TISAX: Interim-Manager, Lead-Auditor, Trainer & Coach, Experte für komplexe Mehrfachzertifizierungen

8/2020 – 12/2020

Hintergrund: Unternehmen der Automobil- und Zulieferindustrie benötigen für die Zusammenarbeit mit namhaften OEMs eine gültige und nachgewiesene Zertifizierung nach verschiedenen Standards und Normen. Im Bereich IT-Sicherheit ist der weltweit führende Standard dazu die ISO/IEC 27001 sowie der branchenspezifische Standard TISAX. Ohne Zertifikat - kein Geschäft.

Das Projekt umfasste die Beratung und Implementierung eines ISO/IEC 27001 und TISAX-konformen Managementsystems für Informationssicherheit (ISMS). Sowie im Rahmen dessen die unternehmensweite Implementierung und Digitalisierung von Prozessen, unter anderem unter Zuhilfenahme von Microsoft 365 und MS-Teams.

Darüber hinaus die Schulung und Sensibilisierung der Mitarbeiter zu Themen der Cyber- und Informationssicherheit.

Beschreibung des Projektergebnisses mit Innovationsgewinn: Das Unternehmen erreichte mit unserer Unterstützung in Rekordzeit "eine überdurchschnittliche erfolgreiche Erstzertifizierung" (Zitat des Zertifizierungsauditors der DQS BIT Prüfgesellschaft).

Certified Information Systems Security Professional (CISSP), Certified Information Systems Auditor, Certified Information Security Manager, Cyber Security

6/2020 – 9/2020

Hintergrund: Im Rahmen der Covid19-Pandemie wurde das Kerngeschäft des Auftraggebers von jetzt auf gleich komplett in die Home-Offices der Mitarbeiter und in die Microsoft 365 Cloud verlagert. Da die Firma bereits seit >6 Jahren TISAX-zertifiziert ist, waren die Schwächen und Lücken der Cloud-Architektur bekannt und ein entsprechendes Security Assessment bereits extern empfohlen bzw. zwischenzeitlich gefordert. Die Risikosituation war höchst intransparent und schnelles Handeln seitens des Kunden gewünscht.  

Vertiefung "Cloud Security Assessment": Ein Solches Assessment bildet den Grundstein für Unternehmen die vermehrt auf Cloud-Systeme und eine zeitgemäße IT-Infrastruktur setzten. Der Bedarf für abgesicherte Unternehmens-IT und Sicherheit in der Cloud ist im Jahr 2020 extrem gewachsen. Die optimale Absicherung von Daten in der Cloud erfordert ein organisatorisch und technisch valides, stabiles und zukunftssicheres Konstrukt. Mithilfe eines durch uns durchgeführten Microsoft 365 Security-Assessments erzeugen wir einen Überblick über Ihre aktuelle Situation bezüglich der Möglichkeiten zur sicheren Nutzung Ihrer Cloud-Umgebung. Es wird eine Roadmap erstellt, um die aktuelle Situation zu verbessern und zu optimieren. Anhand eines "Security Scores" wird die Situation bewertet und für die weitere Projektabarbeitung priorisiert.

Ergebnis / Exekutive Summary: QM Experts GmbH führte diese Cloud Sicherheitsbeurteilung bei Kunden durch. Das Assessment zeigte die Mängel des derzeitigen Cloud-Setups auf und lieferte einen Fahrplan und einen Projektplan, um die festgestellten Lücken zu schließen. Ausgehend von einem Sicherheitswert von x,xx% (vertraulicher Wert, hier ausgeixt) bei einem Branchendurchschnitt von 23,73% ist eine erreichbare Verbesserung und einem möglich Zielwert von 60,32% identifiziert worden.

Nach Umsetzung aller empfohlenen Maßnahmen wird eine Erhöhung des Sicherheitsniveaus von xx,xx% (vertraulich) für den Kunden erreicht. Zum Zeitpunkt der Sicherheitsbeurteilung entsprach dieses erreichbare Projektziel einem Sicherheitswert in Höhe von 36,59% ÜBER dem entsprechenden Branchendurchschnitt*. Wir konnten diese drastische Verbesserung der Sicherheitssituation mit einem Budget <9.000 EUR erreichen. Der Gewinn auf Kundenseite wurde uns als "unmessbar groß" attestierter.

*Der Microsoft-Algorithmus basiert auf dem Typ des Microsoft-Accountkontos, der Anzahl der Benutzerlizenzen unter dem Account, dem Land des Wohnsitzes und dem Industrietyp. Die Werte beruhen auf einer Werteskala von 0 bis 100%, wobei eine absolute Sicherheit (100%) in der Realität nicht existiert.

Certified Information Systems Auditor, Cloud (allg.), Cloud Computing, ISO / IEC 27001

4/2020 – offen

Auf Grundlage eines bestehenden ISO 9001 konformen Managementsystems bestand die Herausforderung und Zeit und Kosteneffizienz zum nächstmöglichen Zeitpunkt eine Laborakkreditierung gem. ISO/IEC 17025:2018 und TISAX zu erreichen.

Hintergrund: Unternehmen der Automobil- und Zulieferindustrie benötigen für die Zusammenarbeit mit namhaften OEMs eine gültige und nachgewiesene Zertifizierung nach verschiedenen Standards und Normen. Im Bereich IT-Sicherheit ist der weltweit führende Standard dazu die ISO/IEC 27001 sowie der branchenspezifische Standard TISAX. TISAX ist auf Ebene der OEMs (federführend VW-Konzern und BMW Group) seit Ende 2017 verbindlicher Bestandteil der Einkaufbedingungen und fließt in die Lieferantenbewertung mit ein. Druck auf die Lieferkette: Nichterfüllung kann sich seit 2018 bis zum Ausschluss aus dem Lieferantenpool auswirken. Nichterfüllung teils grundlegender Anforderungen der Informationssicherheit wird im Fall von Schadensersatzfällen (zunehmend) als fahrlässiges Organisationsverschulden ausgelegt. 

Projektumfang: Erstbegutachtung, Beratung, Projekt-Management und -Steuerung mit weitreichender Überarbeitung und Implementierung des Managementsystems sowie Vorlage zur Erst-Akkreditierung bei der DAkkS (nationale Akkreditierungsstelle der Bundesrepublik Deutschland) in Rekordzeit und das unter Coronabedingungen. 

Ergebnis: Das Labor erhielt erfolgreich die Zulassung als Prüflaboratorioum gem. ISO/IEC 17025. 

Zitat der DAkkS-Gutachter: "Überdurchschnittlich erfolgreich für eine Erst-Akkreditierung", "die fachliche Einschätzung des Personals wird als 'sehr kompetent' festgestellt". 

Berater zurfrieden. Kunde zufrieden. Was will man mehr?

Certified Information Systems Auditor, DIN EN ISO 19011, IATF 16949, Optische Messtechnik