„Durch Diebstahl, Spionage und Sabotage entsteht in der deutschen Wirtschaft jährlich ein Gesamtschaden von 223 Milliarden Euro.“ Angriffsziel deutsche Wirtschaft: mehr als 220 Milliarden Euro Schaden pro Jahr | Bitkom e.V.

Informationssicherheit – als Agentur und Dienstleister für Web- und Softwareentwicklung begleitet uns dieser Begriff regelmäßig durch den Arbeitsalltag mit unseren Kund*innen. 2020 wurde das Konzept dann mit mehr Nachdruck in unser Blickfeld gerückt: Als Kunde hat uns VW auf die TISAX-Normen des Verbands der Automobilindustrie verwiesen, die wir erfüllen müssen, um zukünftig weiterhin mit ihnen und anderen Kund*innen aus der Automobilbranche zusammenarbeiten zu können.

Was ist TISAX? Es steht für Trusted Information Security Assessment Exchange. Dahinter versteckt sich ein Katalog an Sicherheitsanforderungen für den Informationsaustausch, der ab 2022 Standard für alle Dienstleistenden in der Automobilbranche ist. Die Anforderungen bauen auf den ISO 27001 Richtlinien auf und wir haben uns bei der Implementierung vergleichbarer oder identischer Controls an diese Richtlinien gehalten. Sie sind also ein aussagekräftiges Qualitätssiegel für die Informationssicherheit und den Datenschutz für Geschäftsprozesse.

Ein guter Plan

Und obwohl uns schnell klar war, dass uns eine Zertifizierung nur zugutekommt, hat sich das Projekt zu einer langatmigen Gipfelbesteigung entwickelt. Dabei wurde Informationssicherheit bei queo mithilfe unserer IT schon gut gelebt. Uns fehlte nur die klare Definition unserer Prozesse, die für eine Zertifizierung wichtig ist. Und bei 41 zu erfüllenden Anforderungen, wussten wir nicht so ganz, wo wir anfangen sollen. Deshalb entschlossen wir uns dazu, externe Expertise mit auf den Trail zu holen. Mit Herrn Kneffel und der BREDEX GmbH haben wir diese Expertise gefunden. Gemeinsam erarbeiteten wir eine Roadmap, an der sich queo Schritt für Schritt zum neuen Information Security Management System (ISMS) entlang orientieren konnte.

Die lange Reise zum Gipfel

Erstellung, Überarbeitung und Verknüpfung von Richtlinien, Sicherheitskonzepten, Maßnahmen und Arbeitsanweisungen ­– das waren unsere Marker, aus denen langsam, aber sicher unser ISMS wuchs. Wie auf so manchem Trail gab es für uns aber auch die ein oder andere Herausforderung und wir sind falsch abgebogen, mussten ein paar Extrameter auf uns nehmen. Doch all diese Blockaden konnten wir als Team und mit einer großen Portion Zähne zusammenbeißen überwinden und hinter uns lassen.

Höhenflug und queos Zukunft in der Automobilbranche

Und wir haben es geschafft. Wir haben ein ISMS aufgebaut, das alle Prozesse überwacht, die Auswirkungen innerer und äußerer Faktoren auf unsere Informationssicherheit einschätzt und sämtliche Informationen, die in einem Unternehmen anfallen, schützt. Gleichzeitig nutzten wir diese Gelegenheit, unsere interne Expertise zum Thema zu erweitern. Das System wurde abschließend unabhängig geprüft und wir haben die Zertifizierung für hohen Schutzbedarf (AL2) nach den TISAX-Richtlinien erhalten. 

Was bedeutet das für unsere Kund*innen?

Wir können ihnen nachweisen, dass queo mit vertraulichen Daten umgehen kann. 2022 wird außerdem ein weiteres Audit vor Ort stattfinden, indem wir dann nachweisen können, dass wir auch streng vertrauliche Informationen verarbeiten und sichern können. Und das nicht nur für die Automobilindustrie.

queo geht weiter

Das TISAX-Label eröffnet queo weitere Möglichkeiten. Die Richtlinien halten sich nah an dem internationalen ISO 27001-Standard. Mit unserer neu gesammelten Erfahrung ist es also ein leichter Schritt, weitere nationale und internationale Zertifizierungen zu erhalten und queo als Dienstleister mit Sicherheit zu etablieren.

Wir bedanken uns abschließend sehr herzlich bei Ron Kneffel und Kevin Keller von der BREDEX GmbH. Denn durch ihre Unterstützung sind wir einen spannenden und zielgerichteten Pfad zur TISAX-Zertifizierung gegangen.

Auch bei den beteiligten queos möchten wir den unermüdlichen Einsatz hervorheben und danke sagen. Und nun packt eure Taschen – es geht weiter.

Interessiert? Dann nehmen Sie gerne Kontakt mit mir auf!

Toni Schönberger 
Informationssicherheitsbeauftragter
queo\software
Dresden
+49 351 21 30 38 311t.schoenberger@queo-group.com