Informationssicherheit

Im Rahmen der Auslagerung des Informationssicherheitsbeauftragten unterstützen unsere Mitarbeiterinnen und Mitarbeiter Ihre Bank insbesondere bei folgenden Aufgaben:

Das Compliance Informations-Sicherheitsmanagement System in 12 Schritten (CISIS12) ist ein Information Security Management System (ISMS), das vom IT-Sicherheitscluster e.V. entwickelt, herausgegeben, geschult und vertrieben wird. Es umfasst die Beschreibung des Standards, eine Norm, ein Handbuch zur Einführung und einen Baustein und Maßnahmenkatalog. Es wurde speziell für den Einsatz in Kommunen und KMU entwickelt. CISIS12 unterscheidet konkrete Maßnahmen zur systematischen und kontinuierlichen Erhöhung der Informationssicherheit in den Modalitäten "kann", "soll", "muss". Es ergänzt den bereits seit mehreren Jahren etablierten Standard ISIS12 um eine zusätzliche Schicht mit Compliance-Aspekten und gibt somit der Version 3 ihren neuen Namen CISIS12.

Die Schritte sind:

• Leitlinie erstellen und Ziele definieren
• Sensibilisieren
• ISMS-Team
• Dokumentation
• ITSM-Prozesse
• Compliance / Prozesse / Anwendungen
• Infrastruktur
• Risiko (neu)
• IST-SOLL-Vergleich
• Umsetzung
• Audit intern (neu)
• Revision

Die Schritte werden kontinuierlich im PDCA-Zyklus durchlaufen.

Um einen vollumfänglichen ISMS-Standard zu etablieren, wird in CISIS12 die Prozesssicht in den Vordergrund gestellt.

Einige wichtige Prozesse bei CISIS12 sind:

• Risikomanagementprozess: Der Risikomanagementprozess ist der Kernprozess des ISMS und umfasst die Identifizierung, Bewertung und Behandlung von Risiken im Zusammenhang mit der Informationssicherheit. Dieser Prozess hilft dabei, potenzielle Bedrohungen und Schwachstellen zu erkennen und entsprechende Gegenmaßnahmen zu ergreifen.
• Incident-Managementprozess: Der Incident-Managementprozess umfasst die Meldung, Analyse und Behebung von Sicherheitsvorfällen. Hierbei geht es darum, schnell und effektiv auf Bedrohungen oder Angriffe zu reagieren, um Schäden zu minimieren.
• Change-Managementprozess: Der Change-Managementprozess regelt die Umsetzung von Änderungen an IT-Systemen oder Prozessen, um sicherzustellen, dass diese Änderungen keine negativen Auswirkungen auf die Informationssicherheit haben.
• Kontinuierlicher Verbesserungsprozess: Der kontinuierliche Verbesserungsprozess (KVP) umfasst die ständige Überprüfung und Verbesserung der ISMS-Prozesse, um sicherzustellen, dass sie den sich ändernden Anforderungen und Bedrohungen gerecht werden.
• Schulungs- und Sensibilisierungsprozess: Der Schulungs- und Sensibilisierungsprozess umfasst Schulungen und Awareness-Kampagnen, um das Sicherheitsbewusstsein und -wissen der Mitarbeiter zu verbessern.
• Überwachungs- und Messprozess: Der Überwachungs- und Messprozess umfasst die Überwachung der Umsetzung der ISMS-Prozesse sowie die Messung und Bewertung der Wirksamkeit der implementierten Sicherheitsmaßnahmen.

Diese Prozesse sind eng miteinander verknüpft und bilden zusammen ein umfassendes System zur Gewährleistung der Informationssicherheit in einer Organisation.

TISAX® (Trusted Information Security Assessment Exchange) definiert die Pflichtanforderungen an ein Informationssicherheits-Management-System (ISMS) sowie die datenschutzrechtlichen Mindestanforderungen in der Automobilindustrie. Hierbei orientieren sich die Anforderungen an das ISMS im Sinne der ISO-27001. Datenschutzrechtlich liegt eine ähnliche Grundlage, wie aus der Datenschutz-Grundverordnung (DSGVO) bekannt, vor.

Vor dem Hintergrund sind Unternehmen, welche einen externen Datenschutzbeauftragten bestellt haben, in der Regel für den datenschutzrechtlichen Teil eines TISAX Assessments bereits gewappnet. 

Grundsätzlich kann man also festhalten, dass es sich bei dem TISAX Assessment um eine Informationssicherheits-, Datenschutz- und Compliance-Überprüfung bzw. Gutachten handelt, das sich an dem branchenspezifischen Standardkatalog VDA-ISA orientiert, welcher durch den Verband der Automobilindustrie (VDA) veröffentlicht wird. Die ENX Association managt und überwacht dabei die Qualität der Durchführung und die Ergebnisse der TISAX Assessments, die für den Erhalt einer Informationssicherheitszertifizierung der Automobilindustrie notwendig ist.

Bei der ENX Association handelt es sich einen Zusammenschluss europäischer Automobilhersteller, -zulieferer und Verbände. Die TISAX Überprüfung betrifft also die sichere Verarbeitung von Informationen von Geschäftspartnern, den Schutz von Prototypen und den Datenschutz gemäß DSGVO. Die Prüfung dieser Thematiken innerhalb des Unternehmens erfolgt in der Regel durch externe TISAX Prüfdienstleister, wobei die ENX Association als Governance-Organisation agiert. 

Eine TISAX Zertifizierung bietet Unternehmen neben der Reduktion von bestehenden Risiken durch gesteigerte Sicherheitsstandards viele weitere Vorteile wie etwa Transparenz und eine höhere Vertrauenswürdigkeit für Kunden und Geschäftspartner. Die TISAX Zertifizierung ist zudem weltweit anerkannt, wodurch diese auch fürs Marketing von Bedeutung sein kann.

Des Weiteren werden durch die Umsetzung der TISAX Vorgaben bei einem entsprechendem Audit generell die IT entlastet und laufende Aufwände und Kosten durch erleichterte Tagesabläufe der implementieren standardisierten Prozesse reduziert. Da diese als Voraussetzung für die Zusammenarbeit mit der Automobilindustrie angesehen werden, bestätigt die TISAX Zertifizierung deren Sicherheitsniveau und Qualitätsstandards. Außerdem werden dadurch teure und aufwändige Mehrfachprüfungen verhindert, da ein Audit nach den TISAX Vorgaben nur noch alle drei Jahre durchgeführt werden muss. So können bspw. Ersparnisse bei den sonst üblichen, mehrfach im Jahr durchgeführten Lieferantenaudits erzielt werden. Es lässt somit festhalten, dass eine TISAX Zertifizierung einen Wettbewerbsvorteil generieren kann.

Eine TISAX Zertifizierung ist zwar nicht gesetzlich verpflichtend, jedoch eine notwendige Bedingung für die Zusammenarbeit mit Unternehmen der Automobilindustrie. Eine fehlende Zertifizierung des Unternehmens oder der Entzug dieser kann jedoch auch einige Konsequenzen mit sich führen. Auch können mögliche Verstöße gegen die DSGVO (bspw. aus Art. 32 Abs. 1 lit. b) DSGVO i. V. m. Art. 39 DSGVO) durch den datenschutzrechtlichen Teil des TISAX präventiv unterbunden werden. Eine Nichterfüllung der TISAX-Standards führt in erster Linie dazu, dass ein Unternehmen für Automobilhersteller und -lieferanten als nicht mehr beauftragungsfähig gilt, da die meisten eine Zertifizierung voraussetzen. Auch werden bestehende Beauftragungen sukzessiv auf die TISAX-Konformität überprüft. So kann ein Nichtvorhandensein der TISAX Zertifizierung einen existenzbedrohenden Faktor für das Unternehmen darstellen. Ein Verstoß gegen datenschutzrechtliche Bestimmungen wie Art. 32 Abs. 1 lit. b) DSGVO können gem. Art. 83 Abs. 4 DSGVO zu Geldbußen von bis zu 10.000.000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres führen sowie Reputationsschäden verursachen. Eine TISAX Zertifizierung ist somit ein relevanter Wettbewerbsfaktor, wobei es auch von Bedeutung ist, sich proaktiv zu zertifizieren.