Deutsch

Sicherheit für Ihre Daten

TISAX-Zertifizierung und viele weitere Maßnahmen

Sicherheit für Ihre Daten

Sie als Kunde vertrauen uns eine Ihrer wertvollsten Ressourcen an – Ihre Daten. Wir können keine Dokumente für Sie verfassen, wenn wir nicht detaillierte Informationen über Ihre Produkte und Dienstleistungen von Ihnen erhalten. Zu Beginn jeder Kundenbeziehung unterzeichnen wir eine Geheimhaltungserklärung – schön und gut. Und dann? Was ist "sicher" und wie kümmern wir uns um die Sicherheit Ihrer Daten?

Wir geben Ihnen einen kleinen Einblick in unsere Aktivitäten, wohl wissend, dass es den vollkommenen Schutz niemals geben wird und wir, wie alle anderen Unternehmen, täglich mit einer Vielzahl von Attacken aus dem Netz zu kämpfen haben. Deren Abwehr benötigt immer ausgefeiltere Techniken, aber auch Ressourcen, die wir sicherlich an anderer, produktiver Stelle lieber einsetzen würden.

Neben den Backups, die wir täglich anlegen, ist da zunächst unser externes Backup-Rechenzentrum, das wir zusätzlich zu unserem Rechenzentrum in Kempen betreiben. Hier halten wir ausreichende IT-Ressourcen vor, um sicherzustellen, dass wir auch dann noch arbeitsfähig sind, wenn der Serverbetrieb in Kempen durch einen massiven Schaden beeinträchtigt ist. Dieses Rechenzentrum verfügt über modernen Zutrittsschutz, Notstromaggregate und redundante Netzwerkanbindungen. Unser Datenbestand wird täglich zwischen den beiden Rechenzentren abgeglichen. Wir haben uns dabei aus Kostengründen gegen eine "Hot-Standby"-Lösung entschieden. Um den Backup-Serverraum zu aktivieren, sind administrative Eingriffe nötig; die Ausfallzeit beträgt im schlimmsten Fall ca. 1 Tag.

Der Blick von außen

Weiterhin kann man das, was man tut, von externen Fachleuten prüfen lassen. Motto: Kampf der rosaroten Brille. Dies haben wir neulich getan und ein externes Prüfinstitut gebeten, die "Einbruchssicherheit" unserer IT-Strukturen zu untersuchen. Wesentliche Aspekte dieser Überprüfung waren:

  • Applikations-Schwachstellen (z. B. durch veraltete Software, unsichere Verschlüsselungsverfahren, Verwendung von unsicheren Protokollen)
  • Analyse der Server-Kommunikation (Werden Verbindungen zu verdächtigen Systemen aufgebaut? Gibt es Fehler in der Firewall-Konfiguration?)
  • Werden problematische Dienste durch Mitarbeiter im Internet aufgerufen (hier besteht eine verstärkte Gefahr einer Infektion durch Schadsoftware)?

Das Ergebnis war erfreulich: es gab (fast) keine Probleme – aus Sicht der Auditoren ein überaus ungewöhnlicher Befund; für uns Freude und Aufgabe zugleich. Wir arbeiten an der Eliminierung der gefundenen, wenn auch geringen Restrisiken.

Schließlich gibt es noch eine Zertifizierung mit dem schönen Namen TISAX (Trusted Information Security Assessment Exchange). TISAX ist ein von der Automobilindustrie definierter Standard für Informationssicherheit. Eine große Zahl von Automobilherstellern und Zulieferern der deutschen Automobilindustrie verlangt von ihren Geschäftspartnern seit 2017 eine bestehende TISAX-Zertifizierung.

Die Mitgliedsunternehmen des Verbands der Automobilindustrie e. V. (kurz: VDA) haben einen Katalog erstellt, der von der internationalen Industrie-Norm ISO/IEC 27001 abgeleitet und an die Anforderungen der Automobil-Welt angepasst wurde

Wir haben die Zertifizierung für die Stufe "hoch" (vertraulich) erhalten und haben somit alle Maßnahmen ergriffen, um die so gekennzeichneten Dokumente bearbeiten und übersetzen zu dürfen.

Dies alles sind kleine, aber wichtige Schritte zur Umsetzung unseres Qualitäts- und damit auch Sicherheitsgedankens, der am Ende nur eines schaffen soll: Ihr Vertrauen in unsere Arbeit.

Manuel Welter
Autor:
Blog post Manuel Welter