Project Description

bluecue macht SCHWARZ fit für Informationssicherheits-Audit

Informationssicherheit ist längst kein hübscher Zusatz mehr. Für viele Kunden ist sie Voraussetzung für die Vergabe von Aufträgen. So auch bei den großen deutschen OEMs, welche den Werkzeugbauer Heinz Schwarz Gmbh & Co. KG aufforderten, besagte Informationssicherheit in einem Audit überprüfen zu lassen. SCHWARZ stellte sich der Herausforderung zusammen mit der bluecue consulting GmbH & Co. KG – einem langjährigen und zertifizierten Experten auf diesem Gebiet.

„Wir wurden von unserem Kunden angeschrieben und aufgefordert, nachzuweisen, dass sie uns vertrauliche Informationen anvertrauen können“, erklärt Thomas Fedorowytsch, Sicherheitsbeauftragter bei SCHWARZ und ergänzt, dass eine positive Bewertung bei dem Audit ein wichtiger Faktor für die Berücksichtigung bei der Vergabe von Neuaufträgen sei. Bis zur Auditaufforderung hatte das Thema „einen mittleren Stellenwert im Unternehmen“, so Fedorowytsch weiter. „Natürlich legen wir sehr viel Wert auf Informationssicherheit. Allerdings war das Ganze bei uns vorher eher ungeregelt und ohne zusammenhängenden Kontext.“ Um das Audit gut vorzubereiten und gleichzeitig ein in sich schlüssiges und sicherheitsrelevantes Framework mit Richtlinien und Dokumentation aufzusetzen, hat sich der Werkzeugbauer Hilfe von einem anerkannten Experten ins Haus geholt: „Wir arbeiten schon sehr lange mit bluecue zusammen und wussten, dass sie nach ISO 27001 für Informationssicherheit zertifiziert sind“, beschreibt Fedorowytsch die Beweggründe für die Zusammenarbeit mit den Bielefelder IT-Experten.

Von der Selbstauskunft zum Audit

Die Überprüfung läuft schließlich in verschiedenen Schritten ab: Zunächst musste SCHWARZ eine Selbstauskunft über die Informationssicherheit im Unternehmen erstellen. Darin bewertet das Unternehmen nach dem Reifegrad-Modell selbst verschiedenste Aspekte wie beispielsweise seine Richtlinien zur Informationssicherheit, inwiefern die Mitarbeiter eingearbeitet sind oder wie sicher der Systemzugriff von extern geregelt ist. Im nächsten Schritt muss zu sämtlichen Punkten detailliert Stellung genommen werden. „Es muss beispielsweise genau erläutert werden, wie die Sicherheit gewährleistet wird, wenn ein Mitarbeiter seinen Arbeitsplatz verlässt, oder wie mit Daten auf mobilen Endgeräten umgegangen wird“, erklärt Christian Meetz, Informationssicherheits-Experte von bluecue. Fedorowytsch ist froh, dabei von Anfang an einen externen Berater an seiner Seite gehabt zu haben: „Die Anforderungen im Prüfprotokoll sind relativ offen gehalten. Bei einigen Formulierungen wussten wir gar nicht genau, was eigentlich von uns verlangt wurde. Da war ich dankbar, Herrn Meetz von bluecue mit dabei zu haben.“

Gemeinsam haben bluecue und SCHWARZ die Anforderungsliste Punkt für Punkt abgearbeitet und das Framework mit Leben gefüllt. bluecue hat dabei zahlreiche Vorlagen angefertigt, die von SCHWARZ nur noch unternehmensbezogen ausgefüllt werden mussten. „Man erstellt hier einen ganzen Wulst an Dokumenten, vor allem an Richtlinien, Leitlinien und Organisationsanweisungen“, erzählt Fedorowytsch. „Da muss man sich genaue Gedanken machen und überlegen: Was möchte ich wo regeln? Was ist wichtig und was eher unwichtig? Welche Aspekte fasse ich wie zusammen? Und genau diese gedankliche Vorarbeit hat bluecue für uns übernommen.“ Diese detaillierte Dokumentation und die Selbsteinschätzung sind schließlich die Grundlage, auf der das eigentliche Audit durchgeführt wird.

Vom Framework in die Praxis

Allerdings reicht es natürlich nicht, eine lückenlose Dokumentation für die Informationssicherheit anzufertigen. Sämtliche beschriebenen Maßnahmen müssen auch im Unternehmen implementiert und gelebt werden. Gerade im Bereich der „Technisch Organisatorischen Maßnahmen“ – den sogenannten TOMs – war Fedorowytsch einmal mehr von seinem IT-Berater begeistert. „Einerseits hat unser bluecue-Berater Christian Meetz selbst umfangreiche technische Kenntnisse und weiß genau, ob und wie man bestimmte Dinge lösen kann. Und zweitens hat er das gesamte Infrastruktur-Team von bluecue hinter sich, sodass technische Maßnahmen auch direkt umgesetzt werden konnten. Das hat dazu geführt, dass wir mit diesem Projekt insgesamt unglaublich schnell waren.“

Neben der technischen Umsetzung mussten auch die Mitarbeiter in das neue Framework eingearbeitet werden, denn „Informationssicherheit funktioniert nur, wenn sich alle Mitarbeiter an die eingeführten Regeln halten und so wie vorgesehen arbeiten“, erklärt Christian Meetz, der bei bluecue selbst federführend für die ISO 27001:2013 Zertifizierung verantwortlich war. Bei SCHWARZ wurden daher interne Schulungen eingeführt und Hinweisschilder angebracht. Außerdem soll eine eLearning-Plattform in Zukunft Inhalte aus Informationssicherheit und Datenschutz
an die 275 Mitarbeiter vermitteln.

Prüfung

„Beim Audit selbst konnte ich natürlich nicht dabei sein“, sagt bluecue-Experte Meetz, „aber ich habe Thomas Fedorowytsch und sein Team natürlich gut auf das Gespräch vorbereitet, indem wir die Auditsituation simuliert haben. Dabei bin ich sehr konkret geworden und habe sie wohl auch ein bisschen gepiesackt.“ Die Arbeit hat sich gelohnt, denn Fedorowytsch fühlte sich bestens auf die Prüfung vorbereitet und hatte schließlich „für alles eine Antwort parat“. Er ergänzt: „Das Ergebnis war letztendlich sogar ein Overkill. Wir waren in vielen Bereichen viel besser aufgestellt als gefordert war und wurden während des Audits viel gelobt.“ Er hebt den Perfektionismus von bluecue-Berater Meetz hervor und die Tatsache, dass bluecue das Projekt „geschoben“ hat: „Gerade was die Einhaltung von Terminen betrifft, waren sie immer mit dabei. Da hat man sich gut aufgehoben gefühlt und konnte sich auf sie verlassen,“ so Fedorowytsch.

Mehr Sicherheit?!

SCHWARZ hat das Audit bestanden und damit den OEMs gezeigt, dass Informationsschutz ein Teil der Unternehmensphilosophie darstellt. Das Thema Informationssicherheit ist damit aber nicht abgeschlossen. Aufgrund des Projekterfolges und der schnellen Umsetzung spielt SCHWARZ sogar mit dem Gedanken, sich in den kommenden Jahren nach ISO 27001 zertifizieren zu lassen. „Das heißt nicht, dass wir jetzt sofort die Zertifizierung machen wollen, aber wir wollen in den kommenden zwei bis drei Jahren die Bereiche der Informationssicherheit weiter ausbauen, die dafür wichtig sind“, sagt Fedorowytsch und ergänzt: „Wenn wir die Zertifizierung angehen, dann werden wir auch wieder auf bluecue zugehen. Denn wir wurden im Rahmen dieses Projekts wirklich sehr gut auf die Herausforderung des Audits vorbereitet.“

Über Schwarz Werkzeugbau

Schwarz Werkzeugbau wurde 1964 von Heinz Schwarz in Preußisch Oldendorf gegründet. Das Unternehmen hat sich bis heute zu einer der größten unabhängigen Werkzeugbaufirmen Deutschlands entwickelt. Das Leistungsspektrum umfasst den klassischen Werkzeugbau sowie die Komplettentwicklung bis hin zur Serienfertigung von Bauteilen. Das Unternehmen ist u.a. für Kunden der Automobilindustrie, dem Nutzfahrzeugbau oder der Landwirtschaft konstruktiver und erfolgreicher Partner.

Heinz Schwarz GmbH & Co. KG, Lerchenweg 43, 32361 Preußisch Oldendorf

Laden Sie hier die Kundenreferenz als PDF herunter: bluecueCustomerSuccess – Schwarz Werkzeugbau

 

Haben wir Ihr Interesse geweckt? Dann nehmen Sie Kontakt zu uns auf und lassen Sie sich in einem unverbindlichen Vorgespräch von unserer Kompetenz und unserer Herangehensweise überzeugen.

* Diese Felder werden benötigt.

CAPTCHA image

Project Details

  • UnternehmenHeinz Schwarz GmbH & Co. KG, Preuß. Oldendorf
  • ProfilSchwarz Werkzeugbau wurde 1964 von Heinz Schwarz in Preußisch Oldendorf gegründet. Das Unternehmen hat sich bis heute zu einer der größten unabhängigen Werkzeugbaufirmen Deutschlands entwickelt. Das Leistungsspektrum umfasst den klassischen Werkzeugbau sowie die Komplettentwicklung bis hin zur Serienfertigung von Bauteilen. Das Unternehmen ist u.a. für Kunden der Automobilindustrie, dem Nutzfahrzeugbau oder der Landwirtschaft konstruktiver und erfolgreicher Partner.