DHC Business Solutions

Software Beratung Bildung
Informationssicherheits-Managementsystem (ISMS)
Internes Kontrollsystem (IKS)

Die DHC Business Solutions ist spezialisiert auf digitale Lösungen für Governance, Risk & Compliance, das Management von Informationssicherheit sowie das Qualitätsmanagement in Unternehmen.

Das Unternehmen entwickelt und implementiert innovative Standard Softwareprodukte für die prozessorientierte Unternehmensführung. Die modulare Lösung DHC VISION hilft dem Management die richtigen Entscheidungen zu treffen, wirtschaftliche Risiken zu minimieren, den regulatorischen Anforderungen gerecht zu werden und die Kosten der nicht wertschöpfenden Bereiche zu optimieren. Darüber hinaus umfasst das Portfolio fachliche und technische Beratung, Managed Services und Trainings.

Mehr als 15 Jahre Erfahrung in den genannten Bereichen machen DHC Business Solutions nicht nur in stark regulierten Branchen, wie Life Science, Pharma, Chemie und Energieversorger, zu einem verlässlichen Partner. Für das zukunftsweisende Lösungskonzept von DHC VISION wurde das Unternehmen bereits vielfach ausgezeichnet.

Kontakt:
DHC Business Solutions GmbH & Co. KG
Landwehrplatz 6-7
66111 Saarbrücken
0681 – 93 666 0

Informationssicherheits-Managementsystem (ISMS)

Mit der zunehmenden Vernetzung der Geschäftswelt und der Auslagerung von Unternehmensinformationen in Cloud- Systeme wird das Thema Informationssicherheit immer weiter an Bedeutung gewinnen. Die darauf abzielenden ISO oder BSI Standards stellen Organisationen vor teilweise hohe Hürden zum regulatorisch konformen Betrieb eines Managementsystems für Informationssicherheit.

DHC VISION ISMS unterstützt Organisationen bei der Dokumentation und Steuerung eines Information Security Management System nach den Standards des Bundesamts für Sicherheit in der Informationstechnologie (BSI) oder gemäß ISO/IEC 27001. Die Planung, Durchführung, Überprüfung und kontinuierliche Verbesserung des Information Security Management System (z.B. nach dem PDCA-Modell) wird durchgängig unterstützt. Beginnend mit der Erfassung der IT-Infrastruktur über die Analyse von Risiken und des Sicherheitsniveaus bis hin zur Nachverfolgung von Maßnahmen bildet das ISMS alle notwendigen Bereiche transparent und vollständig ab.

Die Anschlussfähigkeit zu benachbarten Managementprozessen – wie zum Beispiel der EU-Datenschutz-Grundverordnung (EU-DS-GVO) - im Rahmen von DHC VISION als integriertes Managementsystem - ist gegeben.

Die wichtigsten Funktionen im Überblick:

  • Unterstützung gängiger Normen und Standards wie bspw. (ISO/IEC 27001, 27002, 27019, 27005, BSI-Standards, 31000 etc.)
  • Asset Management
  • Risiko-, Gefährdungs- und Maßnahmenmanagement
  • Incident Management (Sicherheitsvorfälle)
  • Rollenspezifische Dashboards und Apps für CISO, ISB, Asset Owner et al.
  • Audit Management
  • Trainingsmanagement

 

Die DHC VISION Information Security Management Software ist als Alternative zum inzwischen eingestellten GSTOOL beim Bundesamt für Sicherheit in der Informationstechnologie (BSI) gelistet und eignet sich zum Umsetzen der BSI Standards und IT-Grundschutz-Kataloge.

Internes Kontrollsystem (IKS)

Viele Unternehmen, insbesondere kapitalmarktorientiere Unternehmen, stehen vor der Notwendigkeit, ein Internes Kontrollsystem (IKS) aufzubauen und zu betreiben. Diese Anforderung geht auf eine Vielzahl gesetzlicher Vorgaben (z.B. KonTraG, BilMoG, OR, URÄG, AktG, ISO 14971, ISO 27000, ISO 31000, SOX, Corporate Governance Kodex) und Regularien zurück. Ein IKS wird damit zu einem unerlässlichen Bestandteil des GRC-Bereichs; es soll Risiken und damit verbundene Schäden von Unternehmen abwenden und die Wirksamkeit, Wirtschaftlichkeit und Ordnungsmäßigkeit unternehmerischen Handelns bzw. betrieblichen Geschehens garantieren. Externe wie interne Richtlinien müssen lückenlos überwacht, Risiken und entsprechende Kontrollen konsequent geprüft und bewertet werden.

Voraussetzung für ein gelebtes IKS ist eine dezidierte Risikokultur auf allen Ebenen, verbunden mit Transparenz in Prozessen und Entscheidungen. Dazu können digitale Lösungen einen wesentlichen Beitrag leisten: Sie dokumentieren Ereignisse, automatisieren Prozesse, liefern Entscheidungshilfen durch detaillierte Analysen und stellen sicher, dass interne Abläufe mit externen Regulierungen in Einklang stehen.

Das DHC VISION IKS bildet den gesamten internen Kontrollprozess ab – von der Prozessdokumentation über die Erfassung und Bewertung von Risiken, der Definition und Durchführung zugehöriger Kontrollen bis hin zum Test der Kontrollen durch interne oder externe Personen (z.B. Wirtschaftsprüfer). Dabei werden in einem ganzheitlichen Ansatz alle Ebenen in den Blick genommen: Risikobewertungen und Kontrollen finden auf Managementebene (Company bzw. Entity Level), auf Prozessebene (Process Level) sowie auf IT-Ebene (Netzwerke, Datenbanken, Software-Systeme etc.) statt. Interne Maßnahmen korrespondieren mit externen Regelwerken (COSO, BilMoG etc.) bzw. unternehmenseigenen Standards.

Rollenspezifische Dashboard und Apps sowie ein umfangreiches Reporting erlauben Einblicke in den jeweils aktuellen Stand eines IKS – in Echtzeit: Brutto-/Netto-Vergleiche, Gefährdungsniveaus, Schwachstellen und die Wirksamkeit von Kontrollen werden in qualitativen und quantitativen Bewertungen transparent erfasst und dargestellt. Umfassende Workflowunterstützung z.B. für Risikobewertung, Kontrolldurchführung und Tests (Test of Design – ToD; Test of Effectiveness – ToE) ist gegeben. Dabei garantieren die Integrationsfähigkeit sowie die flexible Anpassbarkeit des Systems, dass Software-Konfiguration, IT-Landschaft und IKS-Design in hohem Maße harmonisieren.

IT-gestütztes Information Security Management System (ISMS) bei Dachser

Dachser setzt für die IT-gestützte Abbildung seines Informationssicherheits-Managementsystems (ISMS) auf das DHC VISION ISMS. Mit der Einführung von DHC VISION wurden alle relevanten Dokumentationen in ein zentrales, weltweit verfügbares elektronisches Managementsystem überführt. Informationen und Daten sind zu einem entscheidenden Wettbewerbsfaktor und Unternehmenswert geworden. Als weltweit operierender Logistikdienstleister trägt Dachser besondere Verantwortung für die Informationssicherheit, d.h. die Verfügbarkeit, Vertraulichkeit, Integrität und Compliance, insbesondere wenn es um die Verarbeitung sensibler Kundendaten geht. Informationssicherheit lässt sich nur durch den Aufbau eines ISMS garantieren, das auf die Anforderungen des jeweiligen Unternehmens zugeschnitten ist. Darunter versteht man ein ganzheitliches und standardisiertes Managementsystem mit definierten Regeln und Prozessen, die der Dokumentation, Umsetzung, Steuerung, Kontrolle, Wahrung und fortlaufenden Optimierung der Informationssicherheit im Unternehmen dienen. Die Norm ISO/IEC 27001 legt den internationalen Standard für ein ISMS fest.

Um die Risiken in der IT zu verringern, hat sich Dachser bereits 2011 gemäß diesem internationalen Standard zertifizieren lassen. Die im Zuge der Zertifizierung entstandenen Dokumentationen wurden in DHC VISION überführt und allen Mitarbeitern zentral zur Verfügung gestellt. Ausschlaggebend für die Auswahl von DHC VISION war die Flexibilität und einfache Bedienbarkeit des ISMS. Durch DHC VISION wird die Integration zwischen IT-Risiken, den Assets, der Gefährdungslage, Schwachstellen und resultierenden Maßnahmen einfach dokumentiert.

Rollenspezifische Cockpits liefern Mitarbeitern genau die Informationen, die sie für ihre Arbeit benötigen. IT-Richtlinien werden mit Hilfe von DHC VISION einfach erstellt, freigegeben, übersetzt und verteilt. Zugleich werden die Sicherheitsrichtlinien durch den voll integrierten Ansatz direkt auditierbar, so dass sich Reifegrade und der Abgleich zum angestrebten Sicherheitsniveau ablesen lassen. Die Audits dienen der Vorbereitung zur Zertifizierung bzw. Re-Zertifizierung des ISMS. Damit ist die Basis zur fortlaufenden Verbesserung der IT-Sicherheit gegeben.

Christian von Rützen, IT-Sicherheitsbeauftragter bei Dachser.: „Nach einer umfassenden Marktanalyse haben wir uns für DHC VISION als unser ISMS-Tool entschieden, weil unsere Anforderungen nach Durchgängigkeit, Mehrsprachigkeit und Erweiterbarkeit – auch in andere Disziplinen wie Qualitätsmanagement – sehr überzeugend gelöst sind. Mit DHC VISION konsolidierten wir unser bestehendes ISMS lückenlos an einer Stelle und können mit den Anforderungen unseres Geschäfts wachsen.“


IT-Sicherheit als Wettbewerbsvorteil

Die Joh. Meier Werkzeugbau GmbH, kurz JMW, ist auf die Produktion von Werkzeugen für die Serienfertigung in der Automobilindustrie spezialisiert. Mit der Einführung der Information Security-Lösung der DHC Business Solutions sollen die Informationsschutz-Sicherheitsanforderungen in der Automobilindustrie nach ISO 2700x gemäß VDA 3.0 umgesetzt werden.

VDA 3.0-Zertifizierung ist entscheidend für den Wettbewerbsvorteil

„Quality for your success“ – so lautet das Leitbild von JMW, einem bedeutenden Tier 3-Anbieter in der Zulieferpyramide für die Automobil-OEMs (Original Equipment Manufacturer). Dabei zeichnet sich JMW durch ein wahres Hightech-Leistungsspektrum aus – vom Erstmuster über die Null- oder Kleinserienfertigung bis zum Serienteil in einem exakt abgestimmten Fertigungsnetzwerk. Als Werkzeugbauer ist JMW Spezialist für Platinenschneid-, Folge- und Transferwerkzeuge, für Presshärtwerkzeuge und Warmformwerkzeuge sowie für Prototypenwerkzeuge aller Art.

Bei einer derartigen Spezialisierung, Hightech-Ausrichtung und Vernetzung ist es nicht verwunderlich, dass JMW dem Thema Informationssicherheit eine große Bedeutung zumisst. Hinzu kommen hohe regulatorische Anforderungen, die speziell für Automobilzulieferer gelten: Sie müssen bei Aufträgen in regelmäßigen Abständen nachweisen, dass sie die hohen Informationssicherheitsanforderungen ihrer Kunden erfüllen. Grundlage hierzu bilden die Zertifizierung gemäß VDA 3.0 und der Anfang 2017 neu geschaffene sogenannte TISAX-Austauschmechanismus (Trusted Information Security Assessment Exchange), der den Anforderungskatalog VDA ISA erweitert. TISAX dient einer unternehmensübergreifenden Anerkennung von Assessments der Informationssicherheit in der Automobilindustrie auf Basis eines gemeinsamen Prüf- und Austauschmechanismus unter Trägerschaft der ENX Association.

Vor diesem Hintergrund – und angestoßen durch einen OEM – wurde Mats Conrad von der JMW-Geschäftsführung als IT-Sicherheitsbeauftragter mit der VDA 3.0-Zertifizierung und damit der Umsetzung notwendiger Maßnahmen beauftragt. „Das erfolgreiche TISAX-Assessment ist für JMW lebensnotwendig“, stellt Conrad fest, „denn der Wettbewerb in der Automobilzulieferindustrie ist hart und für die OEMs ist das TISAX-Listing ein entscheidendes Auswahlkriterium der Geschäftspartner.“

Somit erfordert neben dem Daten- und Prototypenschutz auch die Informationssicherheit in der automobilen Zulieferindustrie einiges an Aufmerksamkeit. Dies spiegelt auch der aktuelle VDA-Fragenkatalog „Information Security Assessment“ zur Informationssicherheitsbewertung wider. Dort wird eine ganze Reihe zusätzlicher Controls zur Prüfung des ISMS nach ISO 27001 (bzw. ISO 27002:2013) eingeführt. Conrad dazu weiter: „Mehr als 60% der zertifizierungsrelevanten Aspekte konzentrieren sich auf Fragen der Informationssicherheit. Die Einführung eines sogenannten Information Security Management Systems (ISMS) hat für JMW deshalb oberste Priorität“.

Das ISMS der DHC – Smart von der Einführung bis zum Betrieb

Auch mittelständisch geprägte Unternehmen wie JMW unterliegen denselben Governance- und Compliance Regelwerken, die auch für internationale Konzerne gelten. Was im Mittelstand jedoch oftmals fehlt, sind spezialisierte Stabsabteilungen oder dedizierte Ressourcen für dringend umzusetzende Digitalisierungsprojekte. Daher sind monatelange Projektlaufzeiten zum Beispiel für die Einführung eines ISMS parallel zum laufenden Tagesgeschäft nicht realistisch. Und genau darauf hat DHC reagiert, was Conrad auch bestätigt: Denn „bei der Entscheidung zur Einführung eines ISMS, war für uns das schlüssige Gesamtpaket der DHC entscheidend, nämlich die schnelle Projektdurchführung und die kurze ‚time to market‘, verbunden mit einer optimalen Anschlussfähigkeit des ISMS zu vor- und nachgelagerten Managementsystemen. So konnten wir Informationssicherheits- und Qualitätsmanagement nach ISO 9001:2015 eng miteinander verzahnen und gleichzeitig die VDA-Richtlinien berücksichtigen.“ Conrad weiter: „Wenn dann auch noch die Nutzung durch ein modernes Design und die User Experience (UX) gefällt, bleiben bei einem exzellenten Preis-/Leistungsverhältnis keine Wünsche mehr offen. Insbesondere die Dashboards von DHC VISION mit Echtzeitdaten zu Assets, Risiken und potentiellen Schäden, zum Status von Richtlinien und den wichtigsten KPIs sind überaus wertvoll. Das hat auch die Geschäftsführung nachdrücklich überzeugt. Kurz: Wir haben die richtige Entscheidung getroffen“, fasst Conrad zusammen.

Die Digitalisierungsstrategie von JMW insgesamt ist zukunftsorientiert angelegt. Sie umfasst eine stärkere digitale Vernetzung oder Kommunikation zwischen Maschinen, Anlagen oder Produkten. Sie ist darüber hinaus auf die Digitalisierung nicht-wertschöpfender Managementprozesse und die Anpassung der Prozesse an die digitalen Möglichkeiten ausgerichtet. Die VDA 3.0 Zertifizierung markiert den Start für mehr Digitalisierung im Unternehmen; in den kommenden Monaten werden sukzessiv weitere Prozesse wie das Qualitäts-, Reklamations- und CAPA-Management digitalisiert.

Dr. Wolfgang Kraemer, Geschäftsführer der DHC Business Solutions, freut sich auf die langfristig angelegte Zusammenarbeit mit JMW zur Umsetzung der Digitalisierungsstrategie des Unternehmens: „Unser Geschäftsmodell, wachstumsstarke High-Tech-Unternehmen vom operativen IT-Betrieb zu entlasten und diese in ihrer Qualität 4.0-Strategie zu unterstützen, haben uns in diesem Jahr zu einem signifikanten Wachstum verholfen“, so Kraemer.