Referenz #15: Sicherheit und Integrität der Daten hat oberste Priorität.

Was bei der Teufel Prototypen GmbH in Unterfahlheim entsteht, darf in der Regel außer dem Auftraggeber niemand sehen. Denn die hier hergestellten Vorserienteile und -modelle sind alle streng geheim. Deswegen hat sich das Unternehmen in puncto Datenschutz und -sicherheit schon vor zwölf Jahren neu aufgestellt, unterstützt vom Neu-Ulmer IT-Haus s.i.g. mbH.

Geheimhaltung ist das A&O
Die Liste der Kunden der Teufel Prototypen GmbH ist lang und liest sich wie ein Who-is-Who der deutschen Industrie. Hier entstehen Teile für die Erlkönige von Porsche, Daimler oder BMW, die Vorserienmodelle von Playmobil und Gardena oder Bauteile des Medizintechnikherstellers Fresenius Medical Care.

„Als Partner, der schon sehr früh in Entwicklungsprojekte eingebunden ist, müssen wir unseren Auftraggebern ein Höchstmaß an Geheimhaltung garantieren, sonst würden wir erst gar nicht beauftragt“, erklärt Dennis Böhm, neben dem Sohn des Firmengründers Thomas Teufel zweiter Geschäftsführer und unter anderem für die Themen Datensicherheit und -schutz verantwortlich. Schon 2005 setzte das Unternehmen deswegen darauf, die mit dem Datenschutz und der Informationssicherheit verbundenen Prozesse zu optimieren – und damit lange bevor dieses Thema breit ins Bewusstsein von Unternehmen rückte.

Von Anfang an setzte Teufel dabei auf die Kompetenz des Neu-Ulmer IT-Hauses. „s.i.g. mbH war schon zuvor unser Lieferant in Sachen IT und kannte unsere Infrastruktur sehr genau. Deswegen lag es nahe, die Zusammenarbeit auch auf diese neuen Felder auszubauen“, so Dennis Böhm.

Keine Daten außerhalb des Unternehmens:
Neben der Erfüllung der gesetzlichen Anforderungen in Sachen Datenschutz, beispielsweise beim Zugriff auf personenbezogene Daten, wurden bei der Umsetzung zahlreiche weitere Maßnahmen ergriffen.
Das beginnt schon bei den Rechnern: Sie verfügen weder über freigeschaltete USB-Ports noch über CD-Laufwerke. Daten werden ausschließlich auf den Servern im eigenen Rechenzentrum abgelegt, der Zugriff ist durch ein ausgefeiltes Berechtigungskonzept strikt reglementiert. Selbst Außendienstmitarbeiter dürfen auf ihren mobilen Geräten keine Kopien von Daten mit sich führen. Sie müssen auch von unterwegs via VPN auf die zentralen Datenbanken zugreifen, dazu benutzt Teufel ein mehrstufiges Verfahren mit PIN- und Token-Code, der über ein entsprechendes Gerät am Schlüsselbund des Mitarbeiters für jeden Zugriff neu generiert wird.

„Natürlich funktioniert das nur, wenn die Mitarbeiter online sind. Auch die Performance ist je nach Netzgeschwindigkeit durchaus unterschiedlich – was bei den Kollegen manchmal wenig Begeisterung auslöst. Aber im Falle des Verlusts eines Geräts können wir so absolut sicher sein, dass sich darauf keine sensiblen Daten befinden“, erläutert Dennis Böhm. Dazu kommt eine strenge Firewall-Policy sowie eine sehr sensibel eingestellte Virus- und Spam-Filterung. Selbstredend ist die Nutzung von sozialen Netzwerken wie Facebook oder Twitter bei Teufel absolut tabu. Und auch das Thema Cloud ist für Dennis Böhm ein „No-Go“:

„Gerade bei den amerikanischen Anbietern wie etwa Microsoft mit ihrem Office 365 haben wir keinerlei Kontrolle mehr, wo unsere Daten liegen. Deswegen ist die Nutzung solcher Dienste bei uns durchgängig verboten“.

Mitarbeiter werden sensibilisiert:
Trotz aller Absicherung der IT-Systeme: Die größte Schwachstelle ist und bleibt der Mensch. Deswegen nimmt die Sensibilisierung der Mitarbeiter ebenfalls einen ausgesprochen hohen Stellenwert ein. Neben der obligatorischen Geheimhaltungserklärung stehen dabei Mitarbeiterschulungen im Fokus.

„Mit Unterstützung von s.i.g. mbH erhält jeder Mitarbeiter eine halbtägige Datenschutz-Grundschulung. Dazu kommen jährlich weitere Unterweisungen sowie bei aktuell auftretenden Problemen zusätzliche Informationen – zuletzt etwa beim Aufkommen der ‚Chef-Mail-Masche“, erzählt Dennis Böhm. Dabei wurden fingierte Mails versandt, in denen ihre Mitarbeiter zur Überweisung einer größeren Geldsumme aufgefordert wurden – angeblich von ihrem Vorgesetzten. Das Geld war dann natürlich verloren.

Um die hohen Sicherheitsstandards zu dokumentieren, durchläuft die Teufel Prototypen GmbH einmal im Jahr ein ausführliches Audit.

Dabei nimmt s.i.g. mbH alle für den Datenschutz und die Datensicherheit relevanten Abläufe genau unter die Lupe. Auch werden regelmäßig sogenannte Penetrationstests durchgeführt, um mögliche Schwachstellen aufzuspüren.

Dazu kommen zusätzliche Audits, die beispielsweise die Automobilindustrie für Partner im Entwicklungsbereich vorschreibt. „Nachdem wir uns hier mit Unterstützung von s.i.g. mbH sehr gut aufgestellt haben, bestehen wir diese durchaus aufwändigen Prüfungen in der Regel ohne größere Beanstandungen.

Aber auch ein Thema wie die neue EU-Datenschutzgrundverordnung ist für uns kein großes Thema: Denn die neuen Anforderungen haben wir bereits seit Jahren fast alle umgesetzt. Es ändern sich lediglich ein paar Begrifflichkeiten“, fasst Dennis Böhm zusammen.