Auf Herz und Nieren wurde die innerbetriebliche IT-Sicherheit der C&S group geprüft. Auslöser für das umfangreiche Audit war ein Prüf- und Austauschmechanismus mit dem Namen TISAX (Trusted Information Security Assessment Exchange), der sich auf wesentliche Aspekte der ISO/IEC 27001 stützt. TISAX dient einer unternehmensübergreifenden Anerkennung von Elementen der Informationssicherheit in der Automobilindustrie.
IT-Sicherheit ist ein sehr komplexes Feld geworden, denn mit steigenden Möglichkeiten der Datenverarbeitung steigen auch die Gefahren im Umgang mit Informationen aller Art. Wir sind stolz darauf, dieses Audit problemlos überstanden zu haben.
C&S testet unter anderem Steuergeräte und Bausteine, die später im Auto verbaut werden sollen – diesmal ließen sich also die Prüfer selbst prüfen. „Für unser Tagesgeschäft müssen uns die Kunden ihre Prototypen und vertrauliche Daten überlassen“. Das erfordere über reines Vertrauen hinaus Prozesse, mit denen sichergestellt wird, dass diese Daten in den Abteilungen der C&S group in guten Händen sind. „In erster Linie müssen Verfahrensregeln dafür sorgen, dass Vertraulichkeit, Verfügbarkeit und Integrität gewahrt bleiben.“
TISAX ist ein weltweites Label, das Wettbewerb unter akkreditierten Prüfdienstleistern schafft. Seit 2017 ist die erfolgreich abgeschlossene Prüfung die Grundvoraussetzung, um mit den großen Herstellern weiter zusammenarbeiten zu dürfen.
Die ISO/IEC 27001 definiert ein Regelwerk, um die Sicherheit in Unternehmen strukturiert aufzubauen. C&S habe die Informationssicherheit längst in ihr Managementsystem eingearbeitet – nun folgte die Begutachtung durch einen externen Prüfdienstleister nach den Regeln des TISAX.
Das Audit durch die DEKRA fand im Juli 2019 statt unter dem Titel Umgang mit Informationen mit hohem Schutzbedarf/Umgang mit Prototypen mit hohem Schutzbedarf“. Dabei mussten unter intensiver Begutachtung organisatorische Prozesse vorgestellt, die Umsetzung der Prozesse musste gezeigt werden. Außerdem wurden die Räume besichtigt, die Sicherheit vor Ort begutachtet und das Personal befragt.
Am Ende stand nicht nur die erfreuliche Mitteilung der Prüfer, dass C&S den Stresstest bestanden hat. Vielmehr werden im Rahmen der Begutachtung auch immer Verbesserungsmöglichkeiten besprochen. Alle drei Jahre findet nun eine Begutachtung statt.