Qualitätsmanagement trifft Informationssicherheit: Der Weg zu integrierten Managementsystemen

Qualitätsmanagement trifft Informationssicherheit: Der Weg zu integrierten Managementsystemen

Beitrag vom 18.11.2024

Zur Themenwelt Qualitätsmanagement

Informationssicherheit im Qualitätsmanagement

Die Verknüpfung von Qualitätsmanagement (QM) und Informationssicherheit gewährleistet nicht nur die Qualität von Produkten und Dienstleistungen, sondern schützt gleichzeitig sensible Daten. Verstöße in beiden Bereichen können schwerwiegende rechtliche und finanzielle Folgen haben. Dennoch wird die Integration in vielen Unternehmen noch vernachlässigt. 

Wir haben uns mit Michael Will, QM-Experte und Abteilungsleiter für Projekt- und Qualitätsmanagement bei der DOS Software-Systeme GmbH, unterhalten über: 

  • relevante Schutzziele und regulatorische Anforderungen für die Informationssicherheit im Qualitätsmanagement,
  • welche Wettbewerbsvorteile eine Verknüpfung der Sektoren mit sich bringt, 
  • welche praktischen Schritte sowie Tools hilfreich und welche Fachkenntnisse erforderlich sind, 
  • warum eine Verbindung der beiden Bereiche für die Zukunftsfähigkeit von Unternehmen unerlässlich sein wird. 
Michael Will, Unternehmensberater

Wichtige Schutzziele für die Informationssicherheit im Qualitätsmanagement

Die Eingliederung der Informationssicherheit in das Qualitätsmanagement ist erforderlich, um die Einhaltung regulatorischer Vorgaben sicherzustellen. Folgende Schutzziele sind dabei von großer Bedeutung: 

  • Vertraulichkeit: Sensible QM-Dokumente müssen vor unbefugtem Zugriff geschützt werden.  

  • Integrität: Es muss sichergestellt sein, dass QM-Daten nicht manipuliert oder versehentlich verändert werden. 

  • Verfügbarkeit: QM-Dokumente müssen stets verfügbar sein, wenn sie benötigt werden, auch über lange Zeiträume hinweg. 

  • Nachvollziehbarkeit (Audit-Trails): Alle Änderungen an QM-Dokumenten sollten lückenlos dokumentiert und nachvollziehbar sein. 

  • Risikomanagement: Informationssicherheitsrisiken müssen in das bestehende Risikomanagement des QM-Systems integriert werden. 

Das Qualitätsmanagement und die Informationssicherheit verfolgen beide das Ziel, die Qualität und Verlässlichkeit von Produkten, Prozessen und Informationen zu gewährleisten, die Integration dieser beiden Welten ineinander ist nur die logische Schlussfolgerung. „Im Qualitätsmanagement spielt die Dokumentation eine zentrale Rolle, um die Einhaltung aller Vorgaben sicherzustellen und nachzuweisen“, erklärt Michael Will. Wenn die Integrität nicht gewährleistet sei, bestehe die Gefahr, dass Dokumente verfälscht oder unzugänglich würden, was die Produktqualität und -konformität direkt gefährde. 

Gründe für eine Kombination von QM und Informationssicherheit

Unternehmen sollten Qualitätsmanagement und Informationssicherheit miteinander verknüpfen, sobald sensible Daten verarbeitet werden. Dazu zählen etwa Produktionsdesigns, Spezifikationen oder FMEAs (Fehlermöglichkeit und Einflussanalyse). Ein weiterer maßgeblicher Grund für die Einbeziehung seien hohe regulatorische Standards und Compliance-Vorgaben, wie sie etwa durch ISO-Normen festgelegt werden. 

Angesichts des steigenden Risikos durch Cyber-Bedrohungen empfiehlt der Experte, alle Geschäftsbereiche – einschließlich des Qualitätsmanagements – konsequent auf Informationssicherheit auszurichten. Andernfalls drohten schwerwiegende Folgen. Datenmanipulation oder der Verlust von QM-Dokumentationen könnten unbemerkt bleiben und Qualitätsmängel verursachen. Nicht-konforme Produkte könnten auf den Markt gelangen und rechtliche sowie finanzielle Schäden nach sich ziehen, warnt Michael Will.   

Im Automotive-Sektor nimmt die FMEA beispielsweise eine Schlüsselrolle ein, da sie zulassungsrelevant ist – ohne FMEA gibt es keine Zulassung für ein Fahrzeug. „Dieses Dokument muss 30 Jahre aufbewahrt werden“, betont der Experte. „Die drei Schutzziele Integrität, Verfügbarkeit und Nachvollziehbarkeit müssen dabei unbedingt gewährleistet sein, um bei Problemen, wie etwa einem Fahrzeugrückruf aufgrund von Brandgefahr, Nachweise erbringen zu können.“ Sollte der Hersteller oder Zulieferer nicht nachweisen können, dass das Risiko einer Brandgefahr behandelt wurde, könne dies erhebliche rechtliche Folgen haben. Die Regelungen zur Dokumentenaufbewahrung sind in der Automobilbranche im VDA Band 1 festgelegt und ergeben sich aus speziellen Kundenanforderungen. Ähnliche Beispiele existieren aber auch in zahllosen anderen Industrien. „Früher wurden diese Informationen auf großen Papierdokumenten festgehalten, heute kommen dafür digitale Tools zum Einsatz.“ 

Ein weiteres wichtiges Thema sei die Integrität der Daten. „Die Risikoanalyse darf z. B. nachträglich nicht verändert werden – höchstens mit Revisionsnummern“, betont der Experte. Eine lückenlose Historie müsse jederzeit verfügbar sein, sodass auch alte Versionen vorliegen. Diese Anforderungen gingen klassisch vom QM aus und basierten auf Managementsystemen und der Produkthaftung. Besonders bei einem potenziellen Produkthaftungsfall sei es ausschlaggebend, dass diese Kriterien erfüllt werden. 

Die IT-Abteilung müsse vom Qualitätsmanagement daher klare Anforderungen erhalten, um sicherzustellen, dass die Integrität und Verfügbarkeit von Dokumenten über einen Zeitraum von 30 Jahren gewährleistet ist. „Das bedeutet auch, dass ich ein Dokument von vor 30 Jahren heute noch mit aktuellen Mitteln öffnen können muss“, gibt der Experte zu bedenken. Ein anschauliches Beispiel ist die Entwicklung von Speichermedien. „Vor 30 Jahren wurde häufig mit Tonbandspulen gearbeitet. Die IT hätte daher einen Plan haben müssen, um die Daten rechtzeitig auf moderne Medien zu übertragen. Dies ist ebenfalls entscheidend, um sowohl die Informationssicherheit als auch die Verfügbarkeit der Dokumente langfristig zu garantieren.“ 

Vorteile einer Integration 

Die Zusammenführung von Qualitätsmanagement und Informationssicherheit bietet zahlreiche Vorteile. Bedrohungen lassen sich in beiden Bereichen reduzieren, was eine ganzheitliche Risikobewältigung ermöglicht. Der Hauptvorteil liegt jedoch in der gesteigerten Effizienz, indem Redundanzen unterbunden werden. Auch der Schutz von Datenverlusten sowie die Vertraulichkeit und Integrität von QM-Daten lassen sich effektiver und zuverlässiger gewährleisten.  

Standardisierte Prozesse spielen eine zentrale Rolle: Verantwortlichkeiten können klar zugeordnet und doppelte Arbeitsschritte vermieden werden. Automatisierte Sicherheitsmaßnahmen wie z. B. Verschlüsselungen schützen QM-Dokumente wirksam. Darüber hinaus trägt die effizientere Umsetzung regulatorischer Standards dazu bei, das Risiko von Strafen und rechtlichen Problemen zu minimieren.    

Michael Will weiß aus praktischer Erfahrung, dass die Digitalisierung von Industrie und Fertigung mehr Produktivität und Effizienz zur Folge hat. „Früher brauchte man eine Mappe mit Zeichnungen und musste die entsprechenden Maschinenparameter manuell einstellen. Heute ist das alles durch IT-Systeme automatisiert“, erklärt der Experte. Umso wichtiger sei aber die IT-Sicherheit, wenn es um den Schutz von Maschinensteuerung gehe. „Dieses Beispiel zeigt, dass Informationssicherheit aktiv gestaltet werden muss. Wenn das System manipuliert wird, und das ist oft das Ziel von Angreifern, können die Auswirkungen verheerend sein“, warnt der Experte. Ein manipuliertes IT-System, das fehlerhafte Produkte produziert, könne im schlimmsten Fall zum Bankrott eines Unternehmens führen. „In Deutschland gab es einen Stahlhersteller, bei dem die Sicherheitsmaßnahmen eines Hochofens manipuliert wurden. Der Ofen brannte ab und es entstanden Milliardenschäden“, so ein eindrückliches Beispiel aus der Industrie. Diese Fälle verdeutlichen, wie wichtig es ist, sowohl QM- als auch IT-Prozesse abzusichern. 

Nicht zuletzt lässt sich eine erhöhte Compliance erreichen, indem regulatorische Anforderungen in beiden Sektoren effizienter und umfassender umgesetzt werden, was das Risiko von Strafen und rechtlichen Problemen verringert.  

Regulatorische Anforderungen relevant für QM und Informationssicherheit

Die folgenden Frameworks und rechtlichen Vorgaben sollten bei der Verknüpfung von Qualitätsmanagement und Informationssicherheit mit einbezogen werden:  

  • DSGVO (Datenschutz-Grundverordnung): Regelt den Umgang mit personenbezogenen Daten 
  • Produktsicherheitsgesetz (ProdSG): Regelt die Produktintegrität und Konformität 
  • IT-Sicherheitsgesetz: Schutz kritischer Infrastrukturen und Sicherheitsanforderungen 
  • ISO 31000: Risikomanagement-Framework, das auf beide Systeme angewendet werden kann 
  • ISO 15489: Standard für Records Management, hilft bei der strukturierten Dokumentenverwaltung 
  • ISO-Normen (9001 und 27001) legen einen großen Wert darauf, dass Unternehmen gesetzliche und regulatorische Anforderungen verstehen, dokumentieren und in ihre Managementsysteme integrieren. Sie stellen klare Vorgaben an Managementsysteme und deren Integration unter: 
    ISO 9001:  Kapitel 4.2 „Verstehen der Erfordernisse und Erwartungen interessierter Parteien“ sowie Kapitel 8.2.2 „Ermittlungen von Anforderungen an Produkte und Dienstleistungen“ 
    ISO 27001:  Kapitel 4.2 „Verstehen der Erfordernisse und Erwartungen interessierter Parteien“, sowie Kapitel A.18.1 „Einhaltung gesetzlicher und vertraglicher Anforderungen“. Besonders A.18.1.1 fordert, dass alle relevanten Gesetze und Vorschriften in Bezug auf Informationssicherheit identifiziert und dokumentiert werden.  
    Beide Normen legen großen Wert darauf, dass Unternehmen gesetzliche und regulatorische Anforderungen verstehen, dokumentieren und in ihre Managementsysteme integrieren.  

Um diese Standards umzusetzen, müssen Firmen selbstständig Prozesse zur Einhaltung der relevanten Gesetze und Normen definieren. Außerdem sind regelmäßige Audits und Schulungen erforderlich, um sicherzustellen, dass alle Mitarbeiter:innen und Systeme konform arbeiten.  

Praktische Schritte für eine Integration

Die Verknüpfung von Qualitätsmanagement (QM) und Informationssicherheit folgt dem Prinzip vieler anderer Managementsysteme und orientiert sich an bewährten Schritten:  

  1. Bestandsaufnahme der bestehenden QM- und Informationssicherheitsprozesse 
  2. Risikoanalyse für beide Bereiche, um Überschneidungen und Lücken zu identifizieren 
  3. Prozessintegration: Gemeinsame Prozesse definieren, z. B. im Dokumentations- und Risikomanagement 
  4. Schulungen und Sensibilisierung für beide Managementsysteme 
  5. Monitoring und Audits: Gemeinsame Überwachung der Wirksamkeit beider Systeme 
  6. Technische Maßnahmen: Implementierung von Sicherheitstechnologien (z. B. Verschlüsselung, Zugriffskontrollen) im QM-System 

Insbesondere bei jungen Firmen stellt sich jedoch die Frage nach der Reihenfolge: Was kommt zuerst – das Informationssicherheits- oder das Qualitätsmanagementsystem? Michael Will hält mehrere Ansätze für möglich. „In einem neuen Unternehmen kann es sinnvoll sein, beide Systeme parallel aufzubauen, da sie oft eng miteinander verknüpft sind und Synergien nutzen können. Es gibt aber auch den Ansatz, zuerst ein solides QM-System als Grundlage zu etablieren und darauf aufbauend ein ISMS zu entwickeln.“ 

Letztendlich hänge die Entscheidung von den spezifischen Unternehmensstrukturen und verfügbaren Ressourcen ab. Wichtig ist laut Experten, immer eine komplementäre Vorgehensweise, bei der beide Systeme ineinandergreifen. Es ist nicht möglich, das eine System durch das andere zu ersetzen, vielmehr sollten sie sich gegenseitig ergänzen. 

Diese Fachkenntnisse sind notwendig

Michael Will betont, dass Qualitätsmanager:innen keine IT-Sicherheitsexpert:innen sein müssen, aber ein grundlegendes Verständnis von Informationssicherheit sowie den Schnittstellen zwischen Qualitätsmanagement und IT-Sicherheit unerlässlich ist. Die enge Zusammenarbeit mit IT-Sicherheitsspezialist:innen sei notwendig, um die Anforderungen beider Systeme zu erfüllen.  

Qualitätsmanagementseminare, die fundiertes Wissen über Prozessmanagement und Qualitätstechniken vermitteln, können dabei hilfreich sein. Mitarbeiter:innen, die in die strategische Planung und Überwachung von QM-Systemen eingebunden sind, erlangen dort die notwendigen Grundlagen.  

Speziell auf Audits und Nonkonformitäten in QM-Systemen fokussierte Seminare für Qualitätsauditor:innen helfen Betrieben sicherzustellen, dass ihr QM-System den gesetzlichen Vorgaben entspricht und regelmäßig überprüft wird.  

Für IT-Sicherheitskräfte, die ein Information Security Management System (ISMS) nach ISO 27001 implementieren möchten, bieten sich Weiterbildungen zum Information Security Officer an. Diese vermitteln Risikobewertung, Cyber-Bedrohungsmanagement und die Implementierung von Sicherheitsmaßnahmen. Ergänzende ISMS-Audit-Seminare unterstützen dabei, Informationssicherheitsstandards zu prüfen und Schwachstellen zu identifizieren.  

Unternehmen, die Qualitätsmanagement und Informationssicherheit in einem integrierten Managementsystem (IMS) zusammenführen möchten, sollten Schulungen für IMS-Manager:innen in Betracht ziehen. Diese vermitteln, wie sich ein integriertes Managementsystem für Qualität, Sicherheit und Umwelt implementieren lässt, um Effizienz und Compliance zu optimieren.  

Um auch das übrige Personal für Informationssicherheit zu sensibilisieren, empfiehlt Michael Will Security Awareness Trainings. Diese schärfen das Bewusstsein für Bedrohungen wie Phishing und andere Cyber-Attacken. 

Hilfreiche Tools und Technologien

Neben Schulungen und Normen schlägt der Experte einige Technologien und Tools vor, die eine effektive Sicherung von Dokumenten und Informationen unterstützen:  

  • Dokumentenmanagementsystem (DMS) mit integrierten Sicherheitsfunktionen 
  • Verschlüsselungstechnologien zum Schutz sensibler Daten  
  • Zugriffsmanagementsysteme, die sicherstellen, dass nur autorisierte Personen auf QM-Dokumente zugreifen können 
  • Versionskontrollen und Audit-Trails zur lückenlosen Nachverfolgbarkeit von Änderungen  

Diese lassen sich nahtlos in bestehende QM-Prozesse integrieren, wodurch die Sicherheit und Verfügbarkeit der Daten verbessert werden. Zusätzlich ist es sinnvoll, Richtlinien zur sicheren Aufbewahrung und Verarbeitung von Dokumenten zu etablieren. 

Essenzielle Synergie: Informationssicherheit im Qualitätsmanagement als wichtige Unternehmensbasis

Die Frage, ob Qualitätsmanagement ohne Informationssicherheit in der Zukunft noch denkbar ist, lässt sich klar mit Nein beantworten. Besonders die Dokumentensicherheit verdeutliche die Notwendigkeit für eine enge Verbindung beider Bereiche. „Die Sicherheit von QM-Dokumenten ist für ein Unternehmen existenziell“, betont der Experte. Sie stellt nicht nur die Qualität ihrer Produkte und Dienstleistungen sicher, sondern auch den Schutz sensibler Informationen. Informationssicherheit in Verbindung mit Qualitätsmanagement bildet somit eine wichtige Basis für eine robuste Unternehmensstruktur, die Wertschöpfung ermöglicht. In der zunehmend digitalisierten und vernetzten Welt ist das von vorrangiger Bedeutung, da Verstöße gegen Qualitäts- oder Sicherheitsstandards schwerwiegende rechtliche und finanzielle Konsequenzen haben können. 

„Das Qualitätsmanagement muss zudem die IT-Abteilung als internen Dienstleister betrachten und regelmäßig in Auditprozesse einbeziehen“, führt der Experte weiter aus. Dies stelle sicher, dass die IT-Dienstleistungen sowohl den Qualitätsnormen entsprächen als auch die Informationssicherheitsvorgaben einhielten. Künftige Audits sollten daher nicht nur die Qualität, sondern obendrein die Prozesssicherheit, Datenintegrität und Verfügbarkeit der IT-Systeme überprüfen. Diese Faktoren seien entscheidend für die Erreichung der übergeordneten QM-Ziele. 

Für den Experten Michael Will hat die Verankerung von Informationssicherheit im Qualitätsmanagement weitreichende positive Effekte. „Eine solche systematische Überprüfung stärkt nicht nur das Vertrauen in die IT-Services, sondern trägt auch zur Einhaltung gesetzlicher Vorgaben bei.“ Neben der ganzheitlichen Überwachung der Sicherheit und Qualität wird auch das Vertrauen in die Produkte und Dienstleistungen eines Unternehmens erhöht. Ein Gewinn für sämtliche Stakeholder:innen.