Der Bereich Virtual Engineering hat es nun auch schriftlich, dass er mit Informationen besonders sorgsam umgeht. Als erste Abteilung überhaupt bei MANN+HUMMEL erhielt dieser die ISO/IEC 27001:2013-Zertifizierung. Ich habe mit Projektleiter Marcus Duhnke, CISO, Dr. Gunnar-Marcel Klein, Vice President Engineering Filter Elements, und Jürgen Lang, Director Engineering Network, darüber gesprochen, was die Norm bedeutet und warum sie für MANN+HUMMEL so wichtig ist.

Wenn ich es richtig verstehe, geht es bei der Zertifizierung nicht um Firewalls und Virenprogramme. Was bedeutet sie genau?

Duhnke: Natürlich sichern wir unsere Daten nach modernsten Gesichtspunkten ab. Bei der jetzt erhaltenen Zertifizierung geht es aber in der Tat nicht nur um Viren oder Hackerangriffe. Diese international führende Norm definiert vielmehr die Umsetzung, Überwachung und Verbesserung eines Informationssicherheits-Managementsystems. Es geht also darum, wie wir mit Daten und Informationen umgehen, ob und wie wir garantieren können, dass sie vertraulich behandelt werden, nicht unzulässig verändert werden können (also integer sind) und den notwendigen Nutzern verfügbar gemacht werden. Das müssen die dafür im Unternehmen vorhandenen Prozesse gewährleisten – und vor allem müssen die Mitarbeiter sie auch entsprechend anwenden.

Wie muss ich mir das in der Praxis vorstellen?

Dr. Klein: Sehen Sie: Wenn wir beispielsweise von einem Kunden den Auftrag bekommen, für ein neues Modell ein neues Filtersystem zu entwickeln, dann stellt er uns dafür vertrauliche Daten bereit. Unser Informationssicherheits-Managementsystem garantiert ihm zuerst einmal, dass nur diejenigen Mitarbeiter auf diese Daten zugreifen können, die dafür autorisiert sind. Die Mitarbeiter arbeiten dann mit diesen Informationen. Es entstehen neue Daten, die sich im Entwicklungsprozess natürlich auch immer wieder ändern. Hier stellen wir sicher, dass einerseits nur berechtigte Personen Daten ändern können und dokumentieren zudem jeden Änderungsschritt. Abschließend sorgen wir dafür, dass alle diese Daten an unseren Entwicklungsstandorten weltweit verfügbar sind. Dafür sind ausgefeilte IT-Systeme ebenso notwendig, wie klare Handlungsanweisungen für die Mitarbeiter.

Und warum wurde dafür der Bereich Virtuell Engineering ausgewählt?

Lang: Hier liegen Daten der höchsten Sensibilität. Einerseits sind das streng vertrauliche Kundendaten, andererseits aber auch unser gesamtes Entwicklungs-Know-how wie beispielsweise neue Erfindungen, Prüfberichte, technische Zeichnungen usw. Es war von daher logisch, die neue Zertifizierung dort zuerst einzuführen.

Nun hatten wir ja auch bisher hohe Standards. Warum diese neue Zertifizierung?

Dr. Klein: Es stimmt, dass in der Entwicklung bereits ein hohes Bewusstsein unter den rund 1.000 Mitarbeitern vorhanden ist, was die Informationssicherheit angeht. Der Markt, also unsere Kunden, fordern aber international vergleichbare Standards, um beurteilen zu können, bei wem sie wirklich in guten Händen sind. Die ISO/IEC 27001:2013 ist die modernste Norm in diesem Bereich. MANN+HUMMEL agiert übrigens ähnlich: Auch unsere Zulieferer müssen je nach Aufgabengebiet entsprechende Zertifizierungen nachweisen.

Welche Arbeiten waren nötig, um die Zertifizierung zu erhalten?

Lang: Hier hat sich gezeigt, dass wir wirklich gut aufgestellt waren. Wir mussten inhaltlich nichts Wesentliches ändern, sondern vor allem an der Dokumentationen der Prozesse arbeiten. Dafür haben wir alle bestehenden Prozesse einer Risikoanalyse unterzogen und nicht ganz eindeutige oder missverständliche Regeln klarer formuliert. Zudem wurden Verantwortlichkeiten eindeutig definiert und natürlich auch angrenzende Prozesse mit einbezogen. Das Ergebnis war, dass wir die Zertifizierung ohne eine einzige Abweichung von der Norm bestanden haben.

Angrenzende Prozesse?

Duhnke: Unsere Entwickler arbeiten ja nicht als isolierte Einheiten. Bei jeder Produktentwicklung spielen früher oder später auch andere Unternehmenseinheiten eine Rolle wie Einkauf, Vertrieb, Prototypenbau, Qualität und viele mehr. Auch Mitarbeiter dort brauchen irgendwann Zugriff auf bestimmte Daten und müssen von daher mit den Regeln vertraut sein.

Ist geplant, weitere Bereiche nach der neuen Norm zu zertifizieren?

Duhnke: Nachdem wir jetzt einen wichtigen Bereich für den Entwicklungsprozess im Fokus hatten, ist es der logische Schritt, als nächstes die allgemeine IT zu zertifizieren. Sie ist der fundamentale Grundbaustein vieler Funktionen im Unternehmen und soll von daher ebenfalls mit einem Zertifikat beweisen können, dass sie die höchsten Standards erfüllt.

Meine Herren, ich bedanke mich für das Gespräch.