Lieferanten müssen künftig Sicherheitszertifizierungen vorlegen. Davon geht der Antriebstechnikhersteller SEW Eurodrive fest aus. „Wir erwarten, dass gerade Autohersteller künftig Zertifizierungen insbesondere in sensiblen Bereichen wie Konstruktion verlangen werden“, sagt CIO Klaus Hoppe. Deshalb will das Unternehmen mit jährlichen Prüfungen belegen, dass es Sicherheit nachweisbar lebt.

Allerdings fehlte bisher ein Gesamtüberblick über alle Sicherheitseinrichtungen, sodass die IT grundlegende Fragen nicht beantworten konnte:
– Welche Assets gehören zu einem Geschäftsprozess?
– Welche Risiken sind mit diesen Unternehmenswerten verbunden, und wie hoch sind diese?
– Wie geht das Unternehmen mit diesen Risiken um?
Sicherheitsthemen diskutierte SEW nur punktuell. Vor allem gab es keine Methode, um den Einsatz der Sicherheitsvorkehrungen zu verwalten.

Als Methode entschied sich die SEW-IT für die Sicherheitsnorm ISO 27001 (International Organization for Standardization). Die Entscheidung fiel für eine ISONorm, weil ISO ein international anerkannter Standard ist. Zunächst zog SEW zwar die britische Norm BS 7799 in Betracht. Doch nachdem BS 7799 (British Standards) im Oktober 2005 mit der ISO 27001 international genormt wurde, schwenkte SEW auf die ISO-Norm um.

Seit Jahren zertifiziert SEW schon die Qualität der Abläufe nach ISO-9000. Bislang hat das Unternehmen die Qualitäts- und Sicherheitsprozesse getrennt beschrieben. „Das ist richtig aufwendig“, so Hoppe. Dies soll künftig gemeinsam geschehen, insbesondere wenn SEW die Geschäftsprozesse in den internationalen Standorten mit einbeziehen will. Denn Qualitätsprozesse schreiben dieselbe Methodik wie Sicherheitsprozesse vor; es ändert sich nur der Blickwinkel auf einen Prozess.

Anfang 2005 begann CIO Hoppe mit einer Bestandsaufnahme. Zertifiziert werden sollten die Bereiche Entwicklung, Implementierung sowie Betrieb und Support von IT-Dienstleistungen in den redundanten Rechenzentren in Bruchsal und Graben. Der Aufwand erwies sich weit höher als gedacht. „Wir haben die Beschreibung der Geschäftsprozesse und die Zahl der Assets unterschätzt. Es gab gut doppelt so viele Elemente, wie ich vorher vermutet hatte“, berichtet Hoppe.