ISMS Professional

Warum Sie sich zum ISMS Professional zertifizieren lassen sollten

In Branchen wie der Automobilindustrie ist der Risikofaktor für Daten-Diebstahl, Sabotage oder Spionage hoch. Mit einem ganzheitlichen ISMS nach TISAX® implementieren Sie die notwendigen und geforderten Prozesse in Ihrem Unternehmen. Mehr zu den Hintergründen und warum sich die Zertifizierung für Ihr Unternehmen lohnt, erfahren Sie in diesem Artikel.



ISMS: Ein ganzheitliches Sicherheitskonzept

Die zunehmende Vernetzung, Digitalisierung und Automatisierung in der Industrie sorgt für komplexe und vielschichtige Prozesse in Unternehmen. Um diese Abläufe zu sichern, braucht es ein ganzheitliches System – hier setzt das ISMS an. ISMS steht für „Information Security Management System“, also ein System, das die unternehmensinternen Maßnahmen und Regeln für die Informationssicherheit definiert, überwacht und optimiert.

Bei der Einführung eines ISMS wird das Risikopotenzial individuell für das Unternehmen bewertet und passende Lösungen und Maßnahmen für verschiedene Bedrohungsszenarien entwickelt und implementiert. Ein ISMS wird als ganzheitliches Sicherheitssystem angelegt. Das bedeutet zum einen, dass es nicht nur die IT-Abteilung betrifft, sondern alle Bereiche und Ebenen des Unternehmens einbezogen werden. Und zum anderen werden nicht nur digitale, sondern auch physische Sicherheitsaspekte, wie mögliche Einbruchsszenarien, berücksichtigt.

Der gesamte Ablauf von Planung über Umsetzung bis Überwachung des ISMS ist dabei ein stetiger Prozess, der immer wieder durchlaufen wird, um ein höchstmögliches Sicherheitsniveau zu gewährleisten. Dafür braucht es qualifizierte Mitarbeiter, die diese Prozesse organisieren, steuern und kontrollieren.



Generelle Anforderungen an ein ISMS

Für viele Unternehmen – wie Betreiber Kritischer Infrastrukturen (KRITIS) – ist der Nachweis eines zertifizierten ISMS verpflichtend. Grundsätzlich ist es so, dass in einigen Gesetzen und Richtlinien ein unternehmensweites Risikomanagement vorgeschrieben wird und das ISMS einen wesentlichen Baustein dessen darstellt. Für die Einführung eines ISMS gibt es wiederum verschiedene Regelwerke, an denen Unternehmen sich orientieren können (mehr dazu in unserem Artikel „Was ist ein Information Security Management System (ISMS)?“).

Grundsätzlich sind die Standards für die Entwicklung und Implementierung eines ISMS in der internationalen Normenreihe ISO/IEC 27001 festgehalten. Einen grundlegenden Überblick über diese Normenreihe, sowie die nötigen Zertifizierungsanforderungen bei einem ISMS, geben wir in unserem Grundlagenwissen-Seminar „ISMS Foundation nach ISO/IEC 27001 (TÜV)“, das wir auch als ortsunabhängiges Web-Seminar anbieten.

Möchte oder muss ein Unternehmen sein ISMS zertifizieren lassen, werden sogenannte ISMS Auditoren tätig, die das Zertifizierungs-Audit der Informationssicherheit im Unternehmen planen, durchführen und nachbereiten. Mehr zu den Aufgaben eines ISMS-Auditors können Sie in unserem Artikel „Was macht eigentlich ein ISMS Auditor?“ nachlesen.



Informationssicherheit in der Automobilbranche: Anforderungen und Gefahren

In der Automobilbranche gibt es nochmal besondere Anforderungen an ein ISMS. Die IT- und Informationssicherheit in der Automobilindustrie ist komplex, weil sie über die gesamte Liefer- und Produktionskette hinweg zahlreiche heterogene Prozesse abdecken muss. Zugleich ist der Risikofaktor sehr hoch, weil es sich um sensible Projekte handelt, die für Diebstahl, Spionage oder Sabotage besonders interessant sind.

Und die Angriffe nehmen zu: Wie die aktuelle Wirtschaftsschutzstudie 2020 von Bitkom belegt, wurden 75 Prozent der Unternehmen in den vergangenen zwei Jahren Opfer von Datendiebstahl, Industriespionage oder Sabotage. Weitere 13 Prozent waren vermutlich betroffen – denn nicht immer lässt sich ein Angriff zweifelsfrei feststellen. Demnach war fast die gesamte Industrie von Wirtschaftsspionage, Sabotage oder Datendiebstahl betroffen. Damit haben Umfang und Qualität der Angriffe auf Unternehmen drastisch zugenommen. Zum Vergleich: In 2015 und 2017 war nur gut jedes zweite Unternehmen betroffen.

Umso wichtiger ist es, für die Informationssicherheit die notwendigen und geforderten Maßnahmen und Prozesse im Unternehmen zu implementieren. Von deutschen Automobil-OEMs wird für die weitere Zusammenarbeit zunehmend die Funktionalität eines ISMS basierend auf der Grundlage des VDA ISA in Form einer TISAX® -Prüfung vorausgesetzt.



Der TISAX®-Standard in der Automobilbranche

Um in der Automobilbranche ein einheitliches und verbindliches Sicherheitsniveau zu schaffen, haben der Verband der Automobilindustrie (VDA) und die ENX Association den sogenannten TISAX®-Standard entwickelt. TISAX® steht für „Trusted Information Security Assessment Exchange“ und ist ein wechselseitig anerkannter Prüf- und Austauschmechanismus für die Informationssicherheit speziell in der Automobilindustrie.

Im Grunde basiert TISAX® auf der ISO-Norm 27001, deckt aber die branchenspezifischen Anforderungen von VDA ISA im ISMS mit ab. VDA ISA ist ein Fragenkatalog zur Informationssicherheit der VDA (ISA steht für „Information Security Assessment“). Die Anpassungen beinhalten z.B. eine Erweiterung von Kriterien wie Prototypenschutz oder Anbindung Dritter. TISAX® folgt dem ganzheitlichen Ansatz und macht die unternehmensübergreifenden Prüfergebnisse transparent. Für die Durchführung und Überwachung der Qualität und Umsetzung ist die ENX Association als neutrale Instanz vom VDA beauftragt.



Zertifizierung als ISMS Professional

Damit die Vorgaben von TISAX® in einem Unternehmen zuverlässig Anwendung finden, braucht es qualifizierte Mitarbeiter, die die Anforderungen an ein ISMS nach VDA ISA kennen und umsetzen können. Genau an der Stelle setzt unser neues Seminar „ISMS Professional nach VDA ISA (TÜV)“ an.

Der „ISMS Professional“ ist zuständig für die systematische Planung, Organisation, Steuerung und Kontrolle des ISMS in seinem Unternehmen. Unser Seminar ist darauf ausgerichtet, speziell die Kenntnisse eines ISMS sowie die Anforderungen von TISAX® zu vermitteln und schließt mit einer TISAX®-Prüfung ab. Das Seminar wird als Inhouse-Schulung und als Web-Seminar angeboten.

Für Unternehmen lohnt sich die Zertifizierung, weil TISAX® ein Standard ist, der von allen VDA-Mitgliedern anerkannt ist. Die meisten OEMs setzen mittlerweile auf den einheitlichen TISAX®-Standard und setzen eine entsprechende Zertifizierung für eine Zusammenarbeit voraus. Somit wird TISAX® immer mehr zu einer notwendigen Wettbewerbsanforderung und zu einem Qualitätsmerkmal, das Vertrauen schafft – bei allen Beteiligten in der Liefer- und Produktionskette.




geschrieben von
Annika Brockhaus, für die isits AG International School of IT Security