Praxisbeispiel TISAX® Qualifizierung – Erfahrungsbericht eines item-pluspartners

Viele Unternehmen erhalten zurzeit die Aufforderung, TISAX®-Label nachzuweisen. Dabei handelt es sich um ein Gütesiegel, welches sicherstellt, dass global geltende Standards in der Informationssicherheit eingehalten werden. Die Erreichung des Labels ist häufig mit der Fortführung der Geschäftsbeziehung verbunden – soll heißen, kein TISAX®-Label, keine weitere Zusammenarbeit.

Auch die INperfektion GmbH, neuestes Mitglied der item-pluspartner Familie, erhielt die Aufforderung sich zertifizieren zu lassen. Um zu verstehen, wie der Zertifizierungsprozess abläuft und mit welchen Herausforderungen gerechnet werden sollte, haben wir bei der INperfektion einmal konkret nachgefragt. 

item: Herr Aldenhoven, erzählen Sie uns doch zunächst einmal etwas über die INperfektion GmbH.

Ralf Aldenhoven:  Die INperfektion ist noch ein recht junges Unternehmen und wurde im Jahr 2017 gegründet. Mein Partner Carsten Finke und ich haben nahezu unser gesamtes Arbeitsleben dem Bereich der Automatisierung gewidmet und haben uns mit der gebündelten Erfahrung selbstständig gemacht. Dabei gründeten wir kein typisches Startup mit irgendeiner Idee, sondern eben mit dem, was wir in den vergangenen 25 Jahren bereits gemacht haben. In der Zwischenzeit besteht die INperfektion aus 42 Kolleginnen und Kollegen und agiert als Full-Service Provider für Automatisierungslösungen am Markt.

item: Weshalb wurden Sie zur TISAX®-Qualifikation aufgefordert und wie haben Sie reagiert?

Ralf Aldenhoven:  Wir haben vor drei Jahren das große Glück gehabt, dass aus einem anderen Unternehmen eine komplette Fachabteilung der Robotik ein neues Zuhause gesucht und bei uns gefunden hat. Diese Abteilung war bereits zu 100% in der Automobilbranche tätig und bei allen namhaften Herstellern bekannt. Damit wurde die INperfektion direkt als Zulieferer gelistet und schnell kam die Frage nach ISO 9001 oder eben der Qualifikation nach TISAX® auf. Auf Grund unserer erst jungen Firmengeschichte, konnten wir anfangs noch ein wenig Welpenschutz genießen.

Weil wir jedoch mit unserer Robotertechnik und Fördertechnik direkt mit den Linien des Automobilherstellers zusammenarbeiten, sind wir ein strategisch wichtiger Lieferant und es war in der Folge abzusehen, dass wir zur Erreichung des TISAX®-Labels aufgefordert werden.

item: Wie lief das genau ab? Wer hat wen aufgefordert und was geschah dann?

Ralf Aldenhoven:  Der Abteilungsleiter der eingegliederten Robotik ist gleichzeitig auch unser Key Account Manager für den Bereich Automotiv. Er wurde vom Einkäufer eines Automobilherstellers angesprochen und aufgefordert, das TISAX® Zertifikat zu erlangen. Da es unterschiedliche Zertifizierungstiefen, sogenannte Assessment Levels, gibt, haben wir uns erst einmal mit dem Automobilhersteller zusammengesetzt und die betroffenen Bereiche gemeinsam ermittelt. Da wir in der Produktion und nicht im Prototypenbereich arbeiten, kristallisierte sich für uns der Assessment Level 2 heraus.

item: Hatten Sie in den Jahren zuvor bereits von dem TISAX® Label gehört? Wie haben Sie sich mit der Thematik auseinandergesetzt?

Ralf Aldenhoven Ich habe von TISAX® in diesem Zusammenhang zum ersten Mal gehört. Vorher hatte ich da keine Berührungspunkte. Um herauszufinden, was TISAX® bedeutet, welche Aufgaben oder Hürden auf einen zukommen, habe ich zunächst im Internet recherchiert. Dabei wurden mir zwei Punkte sehr schnell klar: Erstens holt man sich idealerweise einen externen Partner an Bord, der sich mit der Thematik auskennt und zweitens kümmert man sich frühzeitig um ein akkreditiertes Büro, das später den Audit durchführt. So schafft man für alle Beteiligten die notwendige Transparenz. Denn am Anfang sah das Ganze für uns aus wie ein riesiger Berg, den man erklimmen muss. Ein Berg voller Papierkram, mit jeder Menge administrativen und nicht wertschöpfenden Dingen. Mit all den Punkten, zu dem man eigentlich keine besonders große Lust hat. Und vergleichbar mit einer anstrengenden Bergtour, benötigt man eben eine Seilschaft, um den Gipfel gemeinsam zu erreichen.

item: Das klingt zunächst nach einer Menge zusätzlichen Arbeit? Weshalb sollte man sich das antun?

Ralf Aldenhoven: Nun, neben der Tatsache, dass man zunächst das Gefühl hat, den Papiertiger zu befriedigen, ist aus heutiger Sicht betrachtet das Ganze äußerst sinnvoll. Der Weg zum TISAX® Label hat uns geholfen, unsere Prozesse zu durchleuchten. Wo stehen wir eigentlich bei ganz banalen Dingen wie beispielsweise einer Datensicherung? Wo werden unsere Daten heute überall gesichert? Wer kümmert sich darum und in welchen Zyklen? Was kann ich wie und für wie lange wiederherstellen? Nach und nach brachten wir Licht ins Dunkel und qualifizierten die Dinge, die man im alltäglichen Leben einfach so macht und die aber am Ende des Tages für das Unternehmen überlebenswichtig sind. Stellen Sie sich dazu einfach einmal vor, sie verlieren Ihr Telefon oder Laptop. Wie schlimm wäre das für Sie? Wie sieht Ihre Backup-Strategie dafür aus? Nur wenige Unternehmen sind sich der Tragweite ihrer Handlungen im Kontext der Informationssicherheit bewusst und da hat der TISAX®-Prozess in unserem Haus für einige „Aha-Momente“ gesorgt. Man wird gezwungen sich über seine eigenen Prozesse Gedanke zu machen und schreibt das nieder – sehr viel mehr braucht es dafür nicht.

Auf dem Weg dorthin hat uns das externe Büro, das später auch die Auditierung begleitet hat, durch den Prüfkatalog geführt und das Regelwerk durch Schulungen und schriftliche Informationen in unserem Unternehmen so verankert, dass man das jetzt richtig „lebt“. Sprich, unsere Leute wissen heute, dass es das Thema gibt und wissen, was es bedeutet.

item: Sie haben sich für die Begleitung Hilfe geholt. Wie sind Sie hier vorgegangen?

Ralf Aldenhoven: Zunächst haben wir im Internet recherchiert und uns darüber informiert, wer bei der TISAX® Zertifizierung helfen kann und mit welchen Kosten dabei zu rechnen ist. Und dabei findet man die unterschiedlichsten Anbieter, deren Preisvorstellungen auch variieren und dann entscheidet man sich am besten für den, bei dem das Bauchgefühl und der Preis am besten passen. Man arbeitet schließlich eine ganze Weile miteinander. Unsere Begleitung stellt bis heute den Informationssicherheitsbeauftragten (ISB) und führt uns weiterhin durch alle Prozesse.

item: Das heißt, Sie haben jetzt ein richtiges Team zusammengestellt?

Ralf Aldenhoven: Das ist korrekt. Unser ISMS-Team besteht bzw. bestand bereits aus zwei Mitarbeitern von Seiten INperfektion. Neben mir als Geschäftsführer ist noch unser IT-Leiter involviert plus ein externer Mitarbeiter. Es ist wichtig zu verstehen, dass TISAX® kein IT-Thema ist, sondern dass es sich hierbei um die Informationssicherheit handelt. Das ist Chefsache und ich rate jedem, dies so zu sehen.

Es ist wichtig zu verstehen, dass sich viele Punkte am Ende des Tages auf das tägliche Tun auswirken und durchaus auch negative Auswirkungen auf existierende Abläufe haben können. Das muss stets neu bewertet und auf alternative Auslegungen geprüft werden, damit eine Umsetzung in der Realität auch machbar und sinnvoll bleibt.

item: Das heißt, der Weg zum Zertifikat ist ein fortwährender Dialog?

Ralf Aldenhoven: Ganz genau. Die Auditierung findet ja zunächst „nur“ auf Aktenbasis statt. Im Anschluss findet allerdings auch noch ein Auditgespräch statt. Hier ist es enorm wichtig, in die Diskussion zu kommen und mit dem Prüfer zu sprechen und nicht nur strikt nach dem Leitfaden zu gehen. Der Prüfer muss verstehen, wie unsere individuelle Situation ist und wie die jeweiligen Punkte aus dem ISA-Katalog bei uns greifen. Welche Bedeutung sie für unsere Produktion und unser Handeln haben und wie man einen gemeinsamen Nenner dafür findet, so dass beide Parteien am Ende des Tages zufrieden sind. Das gelingt nur über den Dialog.

item: Welchen zeitlichen Rahmen hatten sie da von der Aufforderung bis zur Auditierung?

Ralf Aldenhoven: Als wir zur Erlangung des TISAX® Labels aufgefordert wurden, haben wir damals beschlossen, uns 9 Monate dafür Zeit zu nehmen. Das wurde auch erreicht. Bei der Erstprüfung hatten wir noch ein paar Nebenabweichungen, die uns zwar nicht durchfallen ließen, aber innerhalb von 6 Monaten abzustellen waren. Ende Januar 2022 waren wir dann so weit. Zwischendurch hatten wir einen Prüferwechsel, da eben der besagte Dialog nicht zustande kam und unrealistische Vorgaben gemacht wurden. Nach einem Gespräch mit der Zertifizierungsstelle erhielten wir einen Ersatzmann. Danach wurde nicht alles einfacher, aber realistischer. Ich kann mich nur wiederholen, treten Sie in den Dialog mit allen Beteiligten.

item: Auf dem Weg zum TISAX® Label wurden Sie in meinen Augen vom Skeptiker zum Fan. Wie erklären Sie sich beide Charaktere?

Ralf Aldenhoven:  Absolut, absolut, vom Skeptiker zum Fan - das stimmt. Am Anfang ist es zunächst einfach ein Berg Arbeit und ein weiterer Berg Kosten, die man sieht. Und da schlagen natürlich zwei Herzen in meiner Brust. Doch sobald man sich mit dem Thema befasst hat, sieht man einfach, dass viele Dinge im Unternehmen eigentlich bereits schon so laufen, wie sie laufen sollen. Man muss lediglich an identifizierten Stellen Korrekturen oder Justierungen vornehmen. Und nun, da die Prozesse alle einmal schriftlich definiert worden sind, ist beispielsweise das Onboarding von neuen Lieferanten oder für neue Mitarbeiter deutlich einfacher geworden. Durch die Erreichung des TISAX® Labels haben wir jetzt Abläufe zur Hand, die keinen Spielraum für falsche Interpretationen oder unnötige Diskussionen lassen. Die sind schwarz auf weiß, klar strukturiert und eindeutig.

Darüber hinaus gehen wir bereits den nächsten Schritt und kümmern uns um die Zertifizierung nach ISO 9001. Schon jetzt sieht man, dass dabei viele Punkte aus TISAX®, wie beispielsweise der Datenschutz, ineinandergreifen. Durch TISAX® haben wir beschrieben, wie unser Unternehmen funktioniert und das hilft uns im Augenblick enorm.

item: Gab es für Sie während des Zertifizierungsprozesses einen richtigen Wow-Effekt?

Ralf Aldenhoven:  Den schönsten Wow-Effekt hatte ich, als ich gesehen habe, dass die Mitarbeiterinnen und Mitarbeiter alle mitgezogen haben, obwohl das Projekt vielleicht am Anfang nicht das attraktivste war. Aber als alle erkannt haben, dass vieles ja bereits vorhanden ist oder dass wir uns Tools beschaffen, damit verschiedene Dinge besser werden, herrschte eine richtige Aufbruchstimmung und der anfängliche Berg wurde gemeinsam bezwungen.

item: Auf was musste aus operativer Sicht noch geachtet werden, um die TISAX® Vorgaben einzuhalten?

Ralf Aldenhoven:  Wichtig ist, dass die Software, die im Unternehmen eingesetzt wird, die entsprechenden Vorgaben aus der DIN 27001 erfüllt. So wie Office 365 beispielsweise oder Teams, mit dem wir unsere online Meetings durchführen.

item: Welche Vorteile sehen Sie denn noch mal zusammengefasst, dadurch dass sie jetzt zertifiziert sind?

Ralf Aldenhoven:  Der größte Vorteil ist, dass andere Automobilisten nun durch den TISAX® Nachweis ein allgemeingültiges Dokument erhalten, welches von einer neutralen Stelle aus beweist, dass wir die entsprechenden Nachweise für die Informationssicherheit besitzen. Nun müssen die anderen Automobilisten nur noch anfragen und wir könnten uns direkt um deren Problemstellungen kümmern. Das ist es ja, was uns eigentlich ausmacht.

item: Es heißt „Nach der TISAX® Zertifizierung heißt vor der TISAX® Zertifizierung“. Ist diese Aussage zutreffend?

Ralf Aldenhoven:  Diese Aussage trifft zu. Alle drei Jahre muss das TISAX® Label neu erworben werden und die Aufwände sind ähnlich. Doch mit Beginn der Erstzertifizierung entstand ein neues Bewusstsein für das Thema und wird seither in unserem Unternehmen gelebt. Nicht auf Tagesbasis, aber ein- bis zweimal im Quartal beschäftigt man sich einfach damit. Sei es durch neue Kolleginnen oder Kollegen, die an Bord kommen und irgendwelche Zugriffsrechte benötigen oder eine neue Software, die eingeführt wird. Durch das kontinuierliche Beschäftigen und Auseinandersetzen startet man nicht jedes Mal bei null. Das macht die gesamte Thematik auf Dauer beherrschbar.

item: Gibt es eine konkrete Empfehlung an die Kollegen aus dem Netzwerk?

Ralf Aldenhoven:  Unsere Empfehlung lautet „einfach machen“ und vermeiden, sich der Sache alleine, also ohne externe Unterstützung, anzunehmen. Auch sollte man sich nicht von den ganzen Informationen aus den gängigen Suchmaschinen verunsichern lassen. Der dort beschriebene Aufwand kann abschreckend wirken. Unsere Erfahrung zeigt, dass viele Abläufe im Unternehmen bereits etabliert sind, die lediglich beschrieben und/oder justiert werden müssen. Am Ende des Tages weiß man, wie das Unternehmen hinsichtlich der eigenen Informationssicherheit aufgestellt ist – ein Thema, dem man sich früher oder später sowieso widmen muss. Und wenn wir das mit einer Belegschaft von damals rund 20 Leuten, die in der Zwischenzeit auf über 42 angewachsen ist, geschafft haben, dann schafft das auch jedes andere Unternehmen.