Vom BPM-Tool zum integrierten Managementsystem ‒ Informationssicherheits-Management inklusive

Wie „GECKO“ in nur 7 Monaten die erfolgreiche Zertifizierung nach ISO 27001:2013 ermöglicht

Die BPM-Suite Aeneis ist bei Kroschke die zentrale Plattform für das prozessbasierte Risikomanagement aller QM-, Informationssicherheits- und Datenschutzrisiken, weil es die ISO 27001:2013 in das bereits bestehende QM-System nach ISO 9001:2015 integriert und die Anforderungen für die Risikobewertung der Prozesse aus Sicht des Datenschutzes ebenfalls einbezieht. Diese individuelle Kroschke-Lösung mit Aeneis trägt bei den Mitarbeitern den Namen „GECKO“.

Die Kroschke Gruppe

Die Kroschke Gruppe vereint Unternehmen mit einem starken Automotive-Kompetenzprofil. Im Zentrum stehen die Christoph Kroschke GmbH (CKG), die DAD Deutscher Auto Dienst GmbH (DAD) sowie die Kroschke Digital GmbH, die ihre Kompetenzen stark vernetzen. Die CKG bündelt innovative Kfz-Dienstleistungen, effiziente Prozesslösungen und digitale Services. Mit über 500 bundesweiten Standorten sowie 17 europäischen Partnern ist das Unternehmen Branchenführer für Fahrzeugzulassungen. Der DAD bietet ein ganzheitliches IT-gestütztes Prozess- und Dokumentenmanagement rund um die Verwaltung großer Fahrzeugbestände an. Zu den Kunden zählen Autovermieter, Automobilhersteller, Banken, Leasinggesellschaften, Flottenbetreiber und Kfz-Vermarkter. Als digitaler Innovationsinkubator der Kroschke Gruppe bietet Kroschke Digital individuelle Betreuung bei der Entwicklung und Implementierung von innovativen und digitalen Geschäftsmodellen im Automotive-Umfeld.
Insgesamt sind in der Kroschke Gruppe rund 1.900 Mitarbeiter beschäftigt.

Die Aufgabenstellung von Kroschke

  • Die ISO 27001:2013 „Informationssicherheitsmanagement“ deckt verschiedene Anforderungen ab, die für Dienstleister wie die Kroschke Gruppe, die als Prozess- und Digitalisierungs-Experten im Automotive-Umfeld auftreten, immer wichtiger werden: Sie stellt den angemessenen Umgang mit Informationen und Daten aller Art mit Hilfe eines Managementsystems sicher und sorgt für ein angemessenes Management der Risiken.
  • Gerade Unternehmen im reguliertem Umfeld wie Banken und Leasinggesellschaften sind bei der  Auslagerung von Geschäftsbereichen an Dienstleister gefordert, die Informations- und Datensicherheit der ausgelagerten Informationen und Daten umfangreich zu prüfen und sicherzustellen. Eine Zertifizierung des Dienstleisters nach ISO 27001:2013 erleichtert diese Prüfungen.
  • Darüber hinaus stellen auch die immer weiter zunehmenden gesetzlichen Anforderungen wie die Datenschutzgrundverordnung (DSGVO) oder das neue Geschäftsgeheimnisgesetz (GeschGehG) Herausforderungen an das Unternehmen, diese Anforderungen angemessen umzusetzen.
  • Es geht letztlich um die Identifikation sowie ein angemessenes Management von Informationen und (personenbezogene) Daten, und die Risikosteuerung mit Blick auf deren Bedeutung, Wert und Kritikalität gegen unbefugte Verwendung oder Veröffentlichung für die Organisation oder die betroffene Person in Bezug auf Datenschutz .

Begeistert … noch keinen Tag bereut … nicht mehr wegzudenken

Sabine Wunsch, Bereichsleiterin Projekte, Prozesse, Services bei der Christoph Kroschke GmbH

Wir haben uns 2011 für Aeneis entschieden und noch nicht einen Tag bereut, dass wir dieses System gewählt haben. Auch neue Anforderungen wie die Anpassung der ISO 9001:2015 um die Darstellung der Prozessrisiken konnten mit dem System schnell und kompetent umgesetzt werden. So gelang es uns als einer der ersten Anwender, im Februar 2016 nach der neuen Norm zertifiziert zu werden. Richtig Spaß hat die Erweiterung zur ISO 27001:2013 gemacht. Der Intellior Partner SHD hat ein leistungsfähiges ISMS-Modul entwickelt, von dem wir nach kurzer Sichtung per Webinar begeistert waren, da es das digitale Informationssicherheitsmanagement entscheidend vereinfacht.
Wir haben in allen Prozessen unsere Risiken und IT-Systeme (Assets) dargestellt und können so per Klick sofort vom Prozess auf das IT-System mit den bewerteten Risiken springen. Umgekehrt können wir bei Störung eines Systems sofort alle betroffenen Prozesse und Kunden ableiten. GECKO ist somit sowohl für die Auditierung als auch als Wissenspeicher der Organisation nicht mehr wegzudenken.

GECKO, das Integrierte Managementsystem der Kroschke Gruppe

Kurzprofil

Seit 2013 sind alle Prozesse der Christoph Kroschke GmbH und der DAD Deutsche Auto Dienst GmbH in „GECKO“ modelliert. Jährlich werden die erforderlichen internen und externen Audits mit Hilfe des Zusatzmoduls „Auditplanung“ vorgenommen. Durch einen gut geschulten Mitarbeiter und die kostenmäßig überschaubare Unterstützung von Intellior können alle Änderungswünsche zeitnah umgesetzt werden. Das System wird täglich mit den relevanten SAP-Bausteinen (Tabellen, BAPIS, etc.) aktualisiert. Durch das neue ISMS-Modul werden alle relevanten Normanforderung der ISO27001:2013 abgebildet. Jetzt zahlt es sich aus, dass sämtliche IT-Systeme mit den Prozessen verbunden wurden und lediglich die Risikoeinschätzung für die Assets ergänzt werden musste. Das integrierte Managementsystem ist geboren.

Ausblick: Durch die anstehende Ablösung des bisherigen Internets und Dokumenten-Centers wird eine Anbindung an Confluence angestrebt.

In nur 7 Monaten zum erfolgreichen Projektabschluss

„Jeder, der sich mit den Herausforderungen der ISO27001:2013 beschäftigt, ist auf der Suche nach einer gesteuerten Dokumentenablage und damit in der Regel auf der Suche nach einem System“

Im Oktober 2018 traf die Kroschke Gruppe die Entscheidung, die ISO 27001:2013 zeitnah umzusetzen. Auf der Grundlage einer durchgeführten Umsetzungsanalyse war für alle beteiligten Personen klar, ohne GECKO (Bezeichnung von Aeneis in der Kroschke Gruppe) geht es nicht!

Nach Erstgesprächen mit der intellior AG und ihrem Entwicklungspartner SHD konnte bereits Ende November auf ein ISMS-Testportal (Informationssicherheitsmanagementsystem) zugegriffen werden. Grundlage für diese Erweiterung war die Dokumentation aller relevanten Geschäftsprozesse. Das bedeutete für Kroschke, dass es auf die Basis von knapp 300 Prozessen inklusive bewerteter Prozessrisiken und gelenkter Dokumentation aufbauen konnte. Zusätzlich konnte das Audit-Managementsystem aus der 9001:2015 mit minimalen Anpassungen 1:1 für die internen Informationsaudits angewendet werden.

Auf dieser Basis wurden die Anforderungen intensiv diskutiert und das Modul entsprechend konfiguriert. Die Informationsrisiken konnten nun auf Grundlage der IT-Architektur erfasst und mussten nicht parallel zu den Prozessrisiken definiert werden. Die wichtigsten Normanforderungen – wie eine Risikoanalyse, dessen Bewertung und die Anwendbarkeitserklärung (SoA – Statement of Aplicability) – konnten somit erfüllt werden.

Dadurch konnte im gesamten Audit-Verlauf auf eine digitale Grundlage zurückgegriffen und ein schlüssiger und ununterbrochener Informationsnachweis vorgezeigt werden. Nach nur 7-monatiger Projektlaufzeit war eine erfolgreiche Zertifizierung ohne jegliche Abweichung der „Lohn“ für ein durchdachtes System, ein kompetentes Team und eine hohe Daten- und Informationssicherheit.

Vorteile durch Aeneis

Prozessmodellierung mit dem Standard-BPMN, Freihanddiagramme, kundenspezifisch einstellbar

Zeitgemäße personalisierte Webportal-Funktion

Darstellung/Auswertung von SAP-Transaktion, SAP-Tabellen und eingesetzten IT-Systemen

Zuordnung prozessrelevanter Unterlagen wie Checklisten, Formularen etc. in Prozessen

Steuerung von Sichtbarkeiten über Benutzerrechte- und Rollensystem, sowie Geltungsbereiche

Darstellung von Abhängigkeiten und Interdependenzen zwischen Prozessen

Ergänzung durch das Modul Auditmanagement: Festlegung von Verantwortung, Audit-Kriterien, Audit-Umfang, Zuordnung der einzelnen Normen, Reporting der Audit-Ergebnisse, Verfolgung der Korrekturmaßnahmen, Dokumentation der Ergebnisse

Risikomanagement für Prozesse und Informationssicherheit

Mitgelieferte Risikokataloge: ISO-Controls, Schwachstellen und Gefährdungen, Risiko-Szenarien

Lesen Sie auch die CaseStudy über die Einführung von Prozessmanagement und Aeneis in der Kroschke Gruppe

Durch die Einführung von Business Process Management mit dem BPM-Tool „Aeneis“ im Jahr 2013 wurden bei der Kroschke Gruppe viele wichtige Ziele erreicht. Die CaseStudy zeigt den Projektverlauf und die Erfolge, wie zum Beispiel die Stärkung der Prozessverantwortung von Führungskräften, die Speicherung von Prozesswissen zur Knowhow-Sicherung, die Risikominimierung bei Fluktuation sowie die Integration wichtiger Dokumentationen von Revision und Qualitätsmanagement.

„Wir hatten hohe Anforderungen, weil wir eine BPM-Lösung für die gesamte Unternehmensgruppe suchten. Aeneis ging als Sieger hervor, weil es einerseits durch eine hohe Funktionalität besticht und sich anderseits gleichzeitig in einem passenden preislichen Rahmen für unser mittelständisches Unternehmen bewegt.“

Sabine Wunsch, Bereichsleiterin Projekte, Prozesse, Services, Christoph Kroschke GmbH

Wie können wir auch Sie noch erfolgreicher machen? Rufen Sie uns an: +49 (0)711 68 68 93 -0

Weitere Success Stories:

rewe-markt-hell-erleuchtet
Mit SmartEdit zum prozessorientierten IT-Design
REWE-Business Analysten entwerfen IT-Lastenhefte in Aeneis


Mit neuer Technik zum Prozessportal 2.0
Bürkert startet für das interne Prozessportal eine Usability-Offensive


Mit SmartEdit und SmartModel zum interaktiven Mitarbeiterportal
Die Mitarbeiter der Gunvor Raffinierie Ingolstadt erhalten gezielt die für sie wichtigen Infos und können Inhalte aktiv bearbeiten.

blum-werk-4-in-bregenz
Integrierte Lösung für Prozessmanagement und Managementhandbuch
Zwei Fliegen auf einen Streich


Wie funktioniert mein Unternehmen?
Die Mitarbeiter von Döhler erhalten Informationen zu ihren Prozessen und zu eigenen Jobprofilen jederzeit und immer aktuell


Aufbau einer prozessorientierten Risikobetrachtung
Führungskräfte der KVWL erhalten konzentriert Information über das Risikopotenzial ihrer Prozesse.