Case Study – Huf Hülsbeck & Fürst GmbH

Huf Gruppe - Informationssicherheitsmanagement

Gut gerüstet für internationale Zertifizierungen, nach erfolgreicher Umsetzung eines ganzheitlichen Information Security Management Systems (ISMS).

Highlight des Security-Management-Projektes der Firma Huf Hülsbeck & Fürst GmbH & Co. KG in Velbert, Headquarter der Huf-Gruppe, ist sicher die erfolgreiche ISO Zertifizierung 27001 durch den TÜV Nord im Dezember 2010. Huf konnte damit eindrucksvoll demonstrieren, dass es auch dann möglich ist, ein standardisiertes Information-Security-Management-System zu etablieren, wenn das Unternehmen international an 16 Standorten tätig ist und die Anforderungen der Auftraggeber hinsichtlich Informations- und Produktschutz außerordentlich hoch sind. Erfolgreich eingeführt, und in den laufenden Betrieb übernommen, wurde mit Unterstützung der Sicherheitsexperten der WMC, die ganzheitliche ISMS-Lösung QSEC-Suite.
Noch während verschiedene Teilprojekte parallel in der Umsetzungsphase sind, stellt sich Huf mit seinem Headquarter in Velbert im Oktober 2010 den strengen Zertifizierungsrichtlinien des TÜV Nord. Zu diesem Zeitpunkt befinden sich alle noch laufenden Projekte bereits auf einem so hohen Level, so dass die Verantwortlichen dem Audit optimistisch entgegen sehen können.

Ausgangssituation
Zu Beginn des Projekts Anfang 2008 feiert Huf gerade sein 100jähriges Bestehen. Das 1908 für die Herstellung und den An- und Verkauf von Schlössern, Beschlägen, Kleineisen- und Messingwaren gegründete Unternehmen, entwickelt und produziert mittlerweile weltweit mechanische und elektronische Schließ- und Fahrberechtigungssysteme, für fast alle bekannten Automarken. Der Marktanteil bei Schließgarnituren beträgt international 20 Prozent und das macht Huf zum Weltmarktführer in diesem Segment.

Produkt- und Informationsschutz spielen in der Zusammenarbeit mit den renommierten Auftraggebern eine große Rolle. Damit Huf sowohl den eigenen Anforderungen, als auch denen der Kunden gerecht werden kann, ist ein Full-Scope-Sicherheitsmanagement (SMS) unabdingbar. Gesetzlichen Anforderungen muss entsprochen werden, und Haftungsrisiken sind weitestgehend auszuschließen.

Ganzheitliches Sicherheitsmanagement heißt Einbeziehung aller Abteilungen eines Unternehmens. Bei jedem einzelnen Mitarbeiter muss ein Bewusstsein für Risiken geschaffen werden.
Besondere Herausforderung: in die Konzeption des SMS soll von Anfang an auch die weltweite zentrale Steuerung einer heterogenen IT-Landschaft, sprich kaufmännischer und entwicklungsspezifischer Systeme, mit einfließen. Damit wird ab sofort auch bei der Entwicklung von Sicherheitskonzepten weltweit zusammen gearbeitet.

Projektstart und Self-Assessment
Unter der Projektleitung des Kunden Huf werden in Zusammenarbeit mit der WMC GmbH zunächst interdisziplinäre Teams zur Projektsteuerung und -umsetzung definiert. Einen Schwerpunkt bilden die seitens Huf-Headquarters definierten Sicherheitsstandards zur IT-Infrastruktur, Produktentwicklung und Werkssicherheit, die künftig globale Anwendung finden sollen.

Die WMC GmbH wird aufgrund ihrer langjährigen Expertise in ganzheitlicher Informationssicherheit und im IT-Risiko-Management mit der Umsetzung des Projektes betraut.
Für die Beauftragung sprach auch, dass WMC Hersteller der QSEC Suite ist, mit welcher ein komplettes SMS inklusive Compliance, IT-Risiko-, Maßnahmen-, Incident- und Dokumenten-Management umgesetzt werden kann.

Das Projekt wird zunächst mit einem intensiven Self-Assessment gestartet. Die Ausgangslage des Sicherheitsniveaus wird ermittelt und die sich daraus ergebenden Abweichungen gegenüber dem Scope und den durch die Kunden festgelegten Anforderungen definiert.
Erste Priorität ist die Etablierung eines Sicherheitsmanagements im Headquarter in Velbert. Nur was hier erfolgreich eingeführt und umgesetzt ist, kann auch in allen weiteren Standorten und Organisationseinheiten der Huf Gruppe zum Tragen kommen.
Umfangreiche Aufgaben liegen vor allen Beteiligten. Ist doch zunächst einmal die „Organisation der Sicherheit“ zu definieren. Alle notwendigen Richtlinien mit Gültigkeit für den gesamten Konzern müssen formuliert werden, dazu alle notwendigen Verfahrensweisen mit lokaler Gültigkeit. Es gilt detailliert alle sicherheitsrelevanten Verfahren technisch zu überprüfen und eine einheitliche Methode zur Analyse von Risiken, basierend auf dem operativen Geschäft nach ISO 27005, langfristig im Unternehmen zu etablieren.

Ein weiteres Teilprojekt verfolgt die Einführung und Umsetzung von Service- und Supportstrukturen in Anlehnung an ITIL. Das beinhaltet folgende Teilschritte:

  • Einbindung der sich bereits im Einsatz befindlichen Software-Lösung zur Verwaltung von Inventory-Daten und Tickets
  • Definition von Service-Vereinbarungen in Abstimmung mit den Ergebnissen der Risiko-Analyse
  • Definition eines Incident-Management-Prozesses
  • Definition eines Change-Managements
  • Definition und unternehmensspezifische Ausprägung der notwendigen Rollen, Verantwortlichkeiten und Eskalationswege
Nur wenn alle Verfahren, Vereinbarungen und Prozesse konkret und detailliert beschrieben sind, kann auch die Ableitung von Maßnahmen zur Risikominimierung, -wandlung, -vermeidung konkretisiert werden.

Das Projektteam widmet sich hier Business Continuity Management konformen Notfallplänen im Hinblick auf die prozessunterstützende IT. Bereits vorhandene Pläne und Verfahren werden konsolidiert und hinsichtlich ihrer Wirksamkeit, auf Basis der durchgeführten Risikoanalyse, überprüft.

Nachdem das Projekt soweit fortgeschritten ist, kann das Rolloutkonzept für die internationalen Standorte gestartet werden. Es sollen zunächst alle die für das Mutterunternehmen definierten Verfahren ausgerollt werden, ohne dabei die Anbindung an die definierten Service- und Supportstrukturen zu vernachlässigen.

Was wurde seit Projektbeginn erreicht?
Systematisch, ganzheitlich und kontinuierlich können die Ziele zur Unternehmenssicherheit nach dem anerkannten Vorgehensmodell Plan-Do-Check-Act (PDCA) und dem hinterlegten Prozessreifegrad-Modelle, in Anlehnung an (Automotive-)SPICE laufend überwacht, gesteuert und verbessert werden. Und nicht nur das: alle Sicherheitsgrundsätze und -leitziele sind für alle jetzt auch zentrale Grundlage des Tagesgeschäftes. Die Sensibilisierung der Mitarbeiter für die notwendigen Sicherheitsvorkehrungen ist erfolgt.

Die weltweite Zusammenarbeit bei der Erstellung von Sicherheitskonzepten wurde durch die zentrale Steuerungsinstanz des Sicherheitsmanagements im Headquarter Velbert entscheidend beeinflusst. Jeder internationale Huf Standort ist soll letztendlich in der Lage sein, sich den strengen Zertifizierungsaudits nach ISO/IEC 27001/2 und ISO IEC 27005 zu stellen.
Allen gesetzlichen Anforderungen hinsichtlich des Haftungsrisikos wird damit entsprochen und die IT-Infrastruktur ist durch die Kenntnis unternehmensweiter Bedrohungen und geeigneter Risikobegegnungsplanung global abgesichert.

Neben der aktuellen ISO Zertifizierung des Hauptsitzes Velbert, konnte bereits im November die erste erfolgreiche internationale Zertifizierung der Tochtergesellschaft in Spanien abgeschlossen werden. Ein wichtiger Schritt, dem weitere folgen werden.

Wie sehen die weiteren Planungen und Ziele aus?
Bernd Herrmann, Leiter Corporate Risiko- & Sicherheitsmanagement: „In unserem Focus steht an erster Stelle die vollständige Anbindung aller internationalen Standorte der Huf Gruppe im Sinne der Konzernsicherheit und somit auch das SMS. Im Headquarter in Velbert werden wir uns im nächsten Jahr intensiv auf den Ausbau des strategischen IT-Risiko- und Notfallmanagements konzentrieren.“

Das Projekt auf einen Blick

Vorteile
Grundsätze und -leitlinien der Informationssicherheit können trotz Internationalität mithilfe eines ganzheitlichen Information Security Management Systems zentral, nach geltenden Gesetzesgrundlagen, überprüft und gesteuert werden. Sicherheitsvorfälle werden zentral abgearbeitet, Vorkehrungen und Lösungen zur Aufrechterhaltung der Sicherheit haben weltweite Gültigkeit. Ein gemeinsames Verständnis bezüglich der operativen Risiken ist etabliert.

Projektdauer
24 Monate für die Einführung des Information-Security-Management-Systems und dessen Überführung in den laufenden Betrieb am Standort Velbert, einschließlich Definition der Rahmenbedingungen für die Auslandsstandorte.

Das Unternehmen Huf Hülsbeck & Fürst GmbH
Huf Hülsbeck & Fürst GmbH entwickeln und produzieren weltweit mechanische und elektronische Schließsysteme, Fahrberechtigungssysteme, Passive-Entry-Systeme, Fahrzeugzugangssysteme, Türgriffsysteme und Systeme für Heckklappen und Hecktüren.
Mit einem Marktanteil bei Schließgarnituren von über 20 Prozent gehört Huf weltweit zu den bedeutendsten Anbietern in diesem Segment.
Aktuell beschäftigt Huf weltweit über 5.000 Mitarbeiter an Standorten in 16 Ländern. Über 300 Konstrukteure arbeiten in den Büros in Deutschland, USA, China, Brasilien und Korea.

Casy Study – Informationssicherheitsmanagement Huf Gruppe hier herunterladen