Success Story

Vom BPM-Tool zum integrierten Managementsystem ‒ Informationssicherheits-Management inklusive

Die BPM-Suite Aeneis ist bei Kroschke die zentrale Plattform für das prozessbasierte Risikomanagement aller QM-, Informationssicherheits- und Datenschutzrisiken, weil es die ISO 27001:2013 in das bereits bestehende QM-System nach ISO 9001:2015 integriert und die Anforderungen für die Risikobewertung der Prozesse aus Sicht des Datenschutzes ebenfalls einbezieht. Diese individuelle Kroschke-Lösung mit Aeneis trägt bei den Mitarbeitern den Namen “GECKO”.
Branche
Kennzeichnungs- und Sicherheitslösungen
Anzahl Mitarbeitende
1900
Standort
Ahrensburg
Über das Unternehmen

Die Kroschke Gruppe vereint Unternehmen mit einem starken Automotive-Kompetenzprofil. Im Zentrum stehen die Christoph Kroschke GmbH (CKG), die DAD Deutscher Auto Dienst GmbH (DAD) sowie die Kroschke Digital GmbH, die ihre Kompetenzen stark vernetzen. Die CKG bündelt innovative Kfz-Dienstleistungen, effiziente Prozesslösungen und digitale Services. Mit über 500 bundesweiten Standorten sowie 17 europäischen Partnern ist das Unternehmen Branchenführer für Fahrzeugzulassungen. Der DAD bietet ein ganzheitliches IT-gestütztes Prozess- und Dokumentenmanagement rund um die Verwaltung großer Fahrzeugbestände an. Zu den Kunden zählen Autovermieter, Automobilhersteller, Banken, Leasinggesellschaften, Flottenbetreiber und Kfz-Vermarkter. Als digitaler Innovationsinkubator der Kroschke Gruppe bietet Kroschke Digital individuelle Betreuung bei der Entwicklung und Implementierung von innovativen und digitalen Geschäftsmodellen im Automotive-Umfeld.

Wir hatten hohe Anforderungen, weil wir eine BPM-Lösung für die gesamte Unternehmensgruppe suchten. Aeneis ging als Sieger hervor, weil es einerseits durch eine hohe Funktionalität besticht und sich anderseits gleichzeitig in einem passenden preislichen Rahmen für unser mittelständisches Unternehmen bewegt.

Sabine Wunsch, Bereichsleiterin Projekte, Prozesse, Services bei der Christoph Kroschke GmbH

Wie „GECKO“ in nur 7 Monaten die erfolgreiche Zertifizierung nach ISO 27001:2013 ermöglicht

"Wir haben uns 2011 für Aeneis entschieden und noch nicht einen Tag bereut, dass wir dieses System gewählt haben. Auch neue Anforderungen wie die Anpassung der ISO 9001:2015 um die Darstellung der Prozessrisiken konnten mit dem System schnell und kompetent umgesetzt werden. So gelang es uns als einer der ersten Anwender, im Februar 2016 nach der neuen Norm zertifiziert zu werden. Richtig Spaß hat die Erweiterung zur ISO 27001:2013 gemacht. Der intellior Partner SHD hat ein leistungsfähiges ISMS-Modul entwickelt, von dem wir nach kurzer Sichtung per Webinar begeistert waren, da es das digitale Informationssicherheitsmanagement entscheidend vereinfacht. Wir haben in allen Prozessen unsere Risiken und IT-Systeme (Assets) dargestellt und können so per Klick sofort vom Prozess auf das IT-System mit den bewerteten Risiken springen. Umgekehrt können wir bei Störung eines Systems sofort alle betroffenen Prozesse und Kunden ableiten. GECKO ist somit sowohl für die Auditierung als auch als Wissensspeicher der Organisation nicht mehr wegzudenken."

Sabine Wunsch, Bereichsleiterin Projekte, Prozesse, Services bei der Christoph Kroschke GmbH

Die Aufgabenstellung von Kroschke

  • Die ISO 27001:2013 „Informationssicherheitsmanagement“ deckt verschiedene Anforderungen ab, die für Dienstleister wie die Kroschke Gruppe, die als Prozess- und Digitalisierungs-Experten im Automotive-Umfeld auftreten, immer wichtiger werden: Sie stellt den angemessenen Umgang mit Informationen und Daten aller Art mit Hilfe eines Managementsystems sicher und sorgt für ein angemessenes Management der Risiken.
  • Gerade Unternehmen im reguliertem Umfeld wie Banken und Leasinggesellschaften sind bei der Auslagerung von Geschäftsbereichen an Dienstleister gefordert, die Informations- und Datensicherheit der ausgelagerten Informationen und Daten umfangreich zu prüfen und sicherzustellen. Eine Zertifizierung des Dienstleisters nach ISO 27001:2013 erleichtert diese Prüfungen.
  • Darüber hinaus stellen auch die immer weiter zunehmenden gesetzlichen Anforderungen wie die Datenschutzgrundverordnung (DSGVO) oder das neue Geschäftsgeheimnisgesetz (GeschGehG) Herausforderungen an das Unternehmen, diese Anforderungen angemessen umzusetzen.
  • Es geht letztlich um die Identifikation sowie ein angemessenes Management von Informationen und (personenbezogene) Daten, und die Risikosteuerung mit Blick auf deren Bedeutung, Wert und Kritikalität gegen unbefugte Verwendung oder Veröffentlichung für die Organisation oder die betroffene Person in Bezug auf Datenschutz.

Kurzprofil

Seit 2013 sind alle Prozesse der Christoph Kroschke GmbH und der DAD Deutsche Auto Dienst GmbH in „GECKO“ modelliert. Jährlich werden die erforderlichen internen und externen Audits mit Hilfe des Zusatzmoduls „Auditplanung“ vorgenommen. Durch einen gut geschulten Mitarbeiter und die kostenmäßig überschaubare Unterstützung von intellior können alle Änderungswünsche zeitnah umgesetzt werden. Das System wird täglich mit den relevanten SAP-Bausteinen (Tabellen, BAPIS, etc.) aktualisiert. Durch das neue ISMS-Modul werden alle relevanten Normanforderung der ISO27001:2013 abgebildet. Jetzt zahlt es sich aus, dass sämtliche IT-Systeme mit den Prozessen verbunden wurden und lediglich die Risikoeinschätzung für die Assets ergänzt werden musste. Das integrierte Managementsystem ist geboren.

Ausblick: Durch die anstehende Ablösung des bisherigen Internets und Dokumenten-Centers wird eine Anbindung an Confluence angestrebt.

In nur 7 Monaten zum erfolgreichen Projektabschluss

ISO 27001 & ISO 9001 Zertifikate von Christoph Kroschke GmbH

„Jeder, der sich mit den Herausforderungen der ISO27001:2013 beschäftigt, ist auf der Suche nach einer gesteuerten Dokumentenablage und damit in der Regel auf der Suche nach einem System“

Im Ok­to­ber 2018 traf die Krosch­ke Grup­pe die Ent­schei­dung, die ISO 27001:2013 zeit­nah um­zu­set­zen. Auf der Grund­la­ge einer durch­ge­führ­ten Um­set­zungs­ana­ly­se war für alle be­tei­lig­ten Per­so­nen klar, ohne GECKO (Be­zeich­nung von Aeneis in der Krosch­ke Grup­pe) geht es nicht!

Nach Erst­ge­sprä­chen mit der intellior und ihrem Ent­wick­lungs­part­ner SHD konn­te be­reits Ende No­vem­ber auf ein ISMS-Test­por­tal (In­for­ma­ti­ons­si­cher­heits­ma­nage­me­n­t­s­y­s­t­em) zu­ge­grif­fen wer­den. Grund­la­ge für diese Er­wei­te­rung war die Do­ku­men­ta­ti­on aller re­le­van­ten Ge­schäfts­pro­zes­se. Das be­deu­te­te für Krosch­ke, dass es auf die Basis von knapp 300 Pro­zes­sen in­klu­si­ve be­wer­te­ter Pro­zess­ri­si­ken und ge­lenk­ter Do­ku­men­ta­ti­on auf­bau­en konn­te. Zu­sätz­lich konn­te das Au­dit-Ma­nage­ment­sys­tem aus der 9001:2015 mit mi­ni­ma­len An­pas­sun­gen 1:1 für die in­ter­nen In­for­ma­ti­ons­au­dits an­ge­wen­det wer­den.

Auf die­ser Basis wur­den die An­for­de­run­gen in­ten­siv dis­ku­tiert und das Modul ent­spre­chend kon­fi­gu­riert. Die In­for­ma­ti­ons­ri­si­ken konn­ten nun auf Grund­la­ge der IT-Ar­chi­tek­tur er­fasst und muss­ten nicht par­al­lel zu den Pro­zess­ri­si­ken de­fi­niert wer­den. Die wich­tigs­ten Nor­man­for­de­run­gen – wie eine Ri­si­ko­ana­ly­se, des­sen Be­wer­tung und die An­wend­bar­keits­er­klä­rung (SoA – State­ment of Ap­lica­bi­li­ty) – konn­ten somit er­füllt wer­den.

Da­durch konn­te im ge­sam­ten Au­dit-Ver­lauf auf eine di­gi­ta­le Grund­la­ge zu­rück­ge­grif­fen und ein schlüs­si­ger und un­un­ter­bro­che­ner In­for­ma­ti­ons­nach­weis vor­ge­zeigt wer­den. Nach nur 7-mo­na­ti­ger Pro­jekt­lauf­zeit war eine er­folg­rei­che Zer­ti­fi­zie­rung ohne jeg­li­che Ab­wei­chung der „Lohn“ für ein durch­dach­tes Sys­tem, ein kom­pe­ten­tes Team und eine hohe Da­ten- und In­for­ma­ti­ons­si­cher­heit.

Vorteile durch Aeneis

  • Prozessmodellierung mit dem Standard-BPMN, Freihanddiagramme, kundenspezifisch einstellbar
  • Zeitgemäße personalisierte Webportal-Funktion
  • Darstellung/Auswertung von SAP-Transaktion, SAP-Tabellen und eingesetzten IT-Systemen
  • Zuordnung prozessrelevanter Unterlagen wie Checklisten, Formularen etc. in Prozessen
  • Steuerung von Sichtbarkeiten über Benutzerrechte- und Rollensystem, sowie Geltungsbereiche
  • Darstellung von Abhängigkeiten und Interdependenzen zwischen Prozessen
  • Ergänzung durch das Modul Auditmanagement: Festlegung von Verantwortung, Audit-Kriterien, Audit-Umfang, Zuordnung der einzelnen Normen, Reporting der Audit-Ergebnisse, Verfolgung der Korrekturmaßnahmen, Dokumentation der Ergebnisse
  • Risikomanagement für Prozesse und Informationssicherheit
  • Mitgelieferte Risikokataloge: ISO-Controls, Schwachstellen und Gefährdungen, Risiko-Szenarien

Weitere spannende Case Studies:

Erfolgskritische Prozesse verstehen, optimieren und absichern
Nutzen Sie das verbesserte Verständnis, um eine Grundlage für die Prozessoptimierung zu schaffen.
Risiken minimieren. Prozesse optimieren.
Kostenfreie Erstberatung anfordern