Prinz-Mayweg Gruppe –
IT-Sicherheit mit
otris software

Zertifizierte IT-Sicherheit mit otris privacy ISMS

Seit über 100 Jahren liefert die Prinz-Mayweg Gruppe Präzisionsstahlrohre an die Automobilindustrie. Und eben solange erfüllt das Unternehmen die hohen Qualitätsstandards seiner Auftraggeber. Spezielle Zertifizierungen sind Anforderungen, die Automobilhersteller heute von ihren Zulieferern verlangen. Den aufwendigen Zertifizierungsprozess im Bereich IT-Sicherheit hat die Prinz-Mayweg Gruppe mit otris software vorbereitet und durchgeführt.

Schon immer mussten sich Automobilhersteller gegen Spionage, Sabotage und Datendiebstahl schützen. Mit der Einführung digitaler Systeme vergrößerte sich diese Herausforderung. Je komplexer die Systeme in den vergangenen Jahren wurden, desto mehr Aufwand war notwendig, sie zu schützen. Automobilhersteller nutzen ihre Informationswerte (z.B. Konstruktionszeichnungen) aber nicht nur intern, sondern geben sie nach Bedarf auch an ihre Zulieferer weiter. Die Hersteller haben daher ein großes Interesse, dass auch ihre Lieferanten ein funktionierendes IT-Sicherheitssystem betreiben.

IT-Security-Standards in der Automobilbranche
In der Automobilbranche gibt es spezielle Standards (z.B. TISAX ®), mit denen Zulieferer nachweisen, dass sie ein wirksames Informationssicherheits-Management (ISMS) betreiben. Die Auditierung im Bereich IT-Security ist auf die Anforderungen in der Automobilbranche zugeschnitten und zu einer Art K.O.-Kriterium für Lieferanten geworden: Ohne die geforderten Zertifikate, keine Aufträge.

Angesiedelt im Konzerndatenschutz bildete die Prinz-Mayweg Gruppe ein eigenes Kompetenzteam, um den Zertifizierungsprozess im Bereich IT-Sicherheit anzugehen. Die Herausforderung: Um für das Audit bereit zu sein, sowie die Vorteile einer Gruppenbewertung in Konzernstrukturen in Anspruch zu nehmen, musste ein Informationssicherheitssystem (ISMS) nach ISO/IEC 27001 zentralisiert eingeführt werden und reibungslos funktionieren.

Auswahl einer Spezialsoftware
Die Prinz-Mayweg Gruppe nutzt bereits seit Jahren die Spezialsoftware otris privacy für den Datenschutz. Die Erweiterung der Software um ein ISMS-Modul kam dem Kompetenzteam sehr gelegen: „Wir haben uns zwar noch andere Produkte angeschaut, waren uns jedoch schnell darüber im Klaren, dass otris die richtige Wahl ist. Den Ausschlag gab nicht nur die uns bekannte Nutzerführung, sondern auch, dass otris langjährig etabliert und verlässlich ist.“

„Die ISMS-Software von otris war eine große Hilfe bei der Vorbereitung auf unsere Zertifizierung.“

Projektleiter für die IT-Sicherheits-Zertifizierung der Prinz-Mayweg-Gruppe

Externer Berater vervollständigt das Team
Das Kompetenzteam engagierte einen externen Berater von T-Systems MMS, um optimal auf das Zertifizierungsverfahren vorbereitet zu sein. Einer der ersten Arbeitsschritte war es, die ISMS-Speziallösung zusammen mit dem otris-Consulting für das Projekt zu konfigurieren. Die otris-ISMS-Software enthält bereits die Kataloge für eine Zertifizierung nach ISO/IEC 27001 und nach ISO 27001 auf Basis des IT Grundschutz-Kompendiums des BSI. „Den Katalog für die speziellen Anforderungen in der Automobilindustrie zu integrieren, war ohne großen Aufwand möglich. Das hat uns gut gefallen“, berichten die Teammitglieder.

Zertifizierung vorbereiten
Die inhaltliche Arbeit begann mit einer Gap-Analyse. Zusammen mit dem externen Berater bestimmte das Projektteam den Ist-Zustand des IT-Sicherheitssystems und prüfte es auf strategische sowie operative Lücken. Das otris ISMS kam für die konkrete Zertifizierungs-Vorbereitung zum Einsatz: Mit der Spezialsoftware wird der Ist-Zustand des IT-Sicherheitssystems dokumentiert. Ein Netzplan macht transparent, welche Prozesse und Informationswerte (Assets) voneinander abhängig sind. Mit den integrierten Risiko-Analyse-Funktionen werden Handlungsbedarfe ermittelt sowie Maßnahmen zur Optimierung verknüpft.

Die Software macht transparent, wo die Prinz-Mayweg Gruppe steht und was zu tun ist. Während der operativen Arbeit hat dem Projektteam unter anderem das unkomplizierte Einbinden externer Dienstleister gut gefallen: „Wir verschicken eine E-Mail mit Link zu den entsprechenden Checklisten an den Dienstleister. Nachdem er sie ausgefüllt hat, werden die Daten automatisch an die Software übertragen.“

Das Ergebnis
Über 180 Einzeldokumente mit Prozessbeschreibungen befanden sich am Ende des Zertifizierungsprojektes übersichtlich strukturiert und miteinander verknüpft in dem ISMS. Der Maßnahmenbedarf wurde ermittelt und die Umsetzung organisiert. Sogar sämtliche Mitarbeiterschulungen zur IT-Sicherheit werden mit den E-Learning-Funktionen des Systems durchgeführt. So gut aufgestellt, war es vielleicht nicht verwunderlich aber doch eine große Erleichterung, als die Auditoren das Ergebnis bekannt gaben: Die Präzisionsrohre Friedr. Wilhelm Mayweg GmbH & Co. KG hat die Prüfung bestanden! „Wir freuen uns, dass wir die Zertifizierung erfolgreich absolviert haben! Die ISMS-Software von otris war eine große Hilfe bei der Vorbereitung. Und aktuell hilft sie uns bei der kontinuierlichen Prüfung und Optimierung unserer IT-Sicherheit“, fasst der Projektleiter zusammen.

Über die Prinz-Mayweg Gruppe
Seit mehr als 100 Jahren verarbeitet die Prinz-Mayweg Gruppe Präzisionsstahlrohre für kundenspezifische Anwendungen in Industrie und Handel. Das Traditionshaus mit Hauptsitz in Wickede, das seit seiner Gründung im Jahr 1896 inhabergeführt ist, steht für Präzision, Innovationsgehalt und exzellente Qualität bei der Erstellung und der Verarbeitung hochwertiger Stahlrohre und Stahlrohrkomponenten. Diese Leistungsstärke und die damit verbundenen Symbiosen von Tradition und Moderne finden sich unter anderem in der einmaligen Produktvielfalt, den innovativen Fertigungsmethoden sowie in der außergewöhnlichen Fertigungstiefe wieder.

Bildnachweis:
Die verwendeten Fotos (Banner, Zitat) wurden freundlicherweise von der Prinz-Mayweg Gruppe zur Verfügung gestellt.