Bei PHONONET in Hamburg verantwortet der Geschäftsbereich „eBusiness“ das zentrale EDI-Kommunikationssystem für einen Groß-teil der Lieferanten und Händler der Entertain-ment-Branche in Deutschland. eBusiness dient dabei als flexible Schnittstelle zur Abwicklung aller EDI-Prozesse (elektronischer Datenaus-tausch) der Lieferkette wie Bestellung, Lie-feravis (Ankündigung der Warenlieferung) und weiterer Formate inkl. Rechnungsstellung und verbindet so die Vertriebe der Branche mit den Handelspartnern. Dabei werden alle Prozesse der Lieferkette über ein Clearing-Center (Clea-ring = zentrale Abwicklung) abgebildet.

Die angeschlossenen Unternehmen kön-nen bewährte Technik-Standards oder indivi-duell angepasste Formate zur Kommunikation mit dem Clearing-Center verwenden. eBusi-ness bietet mit dem EDI-Server neben AS2 und SFTP eine einfache Windows-Software zum Austausch aller Nachrichten. AS2 (Applicability Statement 2) dient dem sicheren Nachrichten-transport über das Internet. SFTP (Secure File Transfer Protocol) ermöglicht einen sicheren, authentifizierten und verschlüsselten Daten-transfer zwischen zwei Geräten, auch wenn der Übertragungsweg nicht sicher ist.

Die Abläufe im DetailDie Artikelstammdaten der Industriefirmen gelangen zunächst durch das Clearing-Center in den eMediaCatalog und werden dort gesam-

melt und geprüft. eBusiness stellt den Händ-lern täglich die validierten Änderungen bereit, z. B. Preisanpassungen, Neuanmeldungen oder Streichungen von nicht mehr lieferbaren Arti-keln. Zentrale Kontrollprozesse sorgen dabei für höchste Datenqualität und -vollständigkeit. So hat PHONONET z. B. Standards für Künst-ler-Schreibweisen etabliert, Genre-Codelisten erarbeitet und Schnittstellen zur Anlieferung von Content (Coverbilder, Sounds) geschaffen. Die regelkonforme Anlieferung wird im eMedia-Catalog automatisiert geprüft.

Bestellungen des Handels werden ohne Medienbruch an das Rechenzentrum und von dort auf die Systeme der Lieferanten übertra-gen. Für jede Sendung an den Handel kann ein Lieferavis als EDI-Datei oder PDF erzeugt werden. Retouren-Anträge können erstellt und wie Bestellaufträge über das Clearing-Center an die jeweilige Industriefirma gesendet wer-den. Die Industrie übermittelt im Gegenzug ihre Retouren-Freigaben. eBusiness erzeugt daraus auf Wunsch einen Retouren-Aufkleber für die Retouren-Sendung des Händlers. Der Austausch von elektronischen Rechnungen auf EDI-Basis zwischen Industrie und Handel ver-einfacht die Prozesse im Rechnungswesen. Es ermöglicht eBusiness-Kunden, elektronische Rechnungen revisionssicher zu archivieren und auf Papierrechnungen zu verzichten. Das eIn-voicing erfüllt für den Rechnungsempfänger alle Voraussetzungen für den Vorsteuerabzug.

Ob Thomas Alva Edison ahnte, wohin seine Erfindung des Phonographen einst führen würde? Die Grundlage für die Entwicklung von Massentonträgern und damit für die Musikindustrie hat er jedenfalls geschaffen. Deutschland ist heute weltweit der viertgrößte Markt für Musikkonserven. Um die Abläufe entlang der Lieferkette zu automatisieren, effizienter zu gestalten und so die Kosten zu senken, hat der Bundesverband Musikindustrie 1991 die Toch-ter PHONONET als gemeinsamen Branchendienstleister gegründet. Für die Sicherheit der Daten im zentralen EDI-Kommunikationssystem setzt man gemeinsam mit Dienstleister POET auf ein ISMS gemäß ISO/IEC 27001.

Das Managementsystem aus Sicht des DQS-Auditors

DQS-Auditor Martin Röper

Die aufeinander abgestimm-ten Managementsysteme von POET und PHONONET sind ein gutes Beispiel für ein durchgän-giges, unternehmensübergrei-fendes Informationssicherungs-konzept. Neben dem regelmä-ßigen Austausch von Informati-onen führt PHONONET interne Audits bei POET durch, um sich von der Effektivität der Maß-nahmen zu Verfügbarkeit und Schutz der Kundendaten zu überzeugen. Solche Kundenau-dits, interne Audits und Anregun-gen aus DQS-Audits hinterfragen die Wirksamkeit von Regelungen und Maßnahmen und sind die Grundlage für stetige Verbesse-rung im Sinne der Informations-sicherheit. Insofern kommt dem externen Auditor auch die Rolle zu, jenseits der Begutachtung von Normkonformität durch kriti-sche Diskussionen und Anregun-gen Möglichkeiten zur Verbesse-rung der Effektivität und Effizi-enz aufzuzeigen.

martin.roeper@dqs.de

PHONONET & POET: Mit Sicherheit ein gutes Team

© DQS GmbH www.dqs.de

Nr. I 2017

Sonderdruck

Zusätzlich wird eine einheitliche Datenschnitt-stelle für alle Bestands- und Verkaufsdaten bereitgehalten.

Zu Partner POET ausgelagerter ProzessDas Clearing ist bei eBusiness als ausgelager-ter Prozess organisiert. Als Partner zur Umset-zung dient den Hamburgern seit vielen Jahren das Unternehmen POET in Karlsruhe, das für das Hosting eine skalierbare, leistungsstarke Serverinfrastruktur betreibt. POET ist u. a. spe-zialisiert auf E-Commerce-Lösungen auf Basis von SAP Hybris, E-Procurement (elektronische Kataloge) mit der Eigenentwicklung X-Solu-tions, Individualentwicklung für die öffentliche Verwaltung sowie Hosting und Managed Ser-

vices für diese Lösungen. Der IT-Dienstleister bedient dabei eine Vielzahl namhafter Kunden aus Industrie und Wirtschaft.

Die an das Clearing-System angeschlos-senen eBusiness-Kunden legen seit jeher größten Wert auf die Verfügbarkeit der Daten. Bedeutend sind dazu die klassischen ISMS-Kriterien Vertraulichkeit, Authentizität und Integrität bei der Übertragung der Daten und ihrer Archivierung. Neben diesen Anforderun-gen sind die systematische Verbesserung der Prozesse, das nachweislich hohe Sicherheits-niveau, eine neutrale Begutachtung und die damit verbundene Akzeptanz im Markt weitere Gründe, schon früh die Implementierung und Zertifizierung eines ISMS anzustreben.

Drei Fragen an Lars Dammann und Klaus KühnerDiD: Meine Herren, die DQS ist seit 12 Jahren Ihr Zertifizierungspartner. Wie sind Sie zu uns gekommen? Dammann: Die Geschäftsleitungen von POET und PHONONET unternahmen 2005 gemein-same Anstrengungen zur Einführung eines ISMS, damals noch nach BS 7799-2. Dazu holten wir ein externes Beratungsunternehmen mit ins Boot, das uns unter anderem die DQS als Zertifizierungspartner empfahl.

Kühner: Die Zertifizierung des ISMS war für beide Firmen auch strategisch bedeutsam. Zur Harmonisierung beider Lösungen wurden der Aufbau des ISMS sowie die Wahl des Zertifizie-rers gemeinsam durchgeführt. Das Renommee und die internationale Ausrichtung der DQS waren dabei für uns entscheidend.

Seit zwei Jahren haben Sie einen neuen Auditor. Was ändert sich bei einem solchen Wechsel?Dammann: Jeder Auditor bringt unterschiedliche Kenntnisse und Erfahrungen ein. Ein Wech-sel kann – gerade bei relativ hohem ISMS-Reifegrad – helfen, neue Punkte zu beleuchten und eingefahrene Lösungen kritisch zu hinterfragen.

Welche konkreten Impulse hat unser Auditor, Martin Röper, den beiden ISMS geben können?Kühner: Herrn Röpers pragmatischer und perspektivischer Ansatz half uns beispielsweise, unseren Aufwand für die ISMS-Dokumentation zu verringern, das Reporting aufs Wesentliche zu reduzieren und die Erhebung und Auswertung von KPIs zu verbessern. Letztendlich waren es Denkanstöße zur Optimierung einiger Prozesse.

Verantwortlich für die Managementsysteme

Gründung 1991 1993Mitarbeiter 14 120

Branche

IT-Dienstleistungen für Entertainment-

industrie und -handel

IT-Dienstleistungen & Hosting (E-Commerce,

E-Procurement, Öffentl. Verwaltung,

SAP-Partner)

Clearing-Volumen

ca. 4,5 Mio. Doku-mente mit> 2,4 Mrd. Positionen

–

Sound- und Video-Content

> 300 Mio. ausge-spielte Streams –

Bestellungen 1.728.248

Lieferavise 1.005.123

Rechnungen 792.099

Bestellbestätigungen 361.151

Retouren-Management 273.352

Bestands-/Abverkaufsdatenreport 207.613

Sonstige 115.267Gesamtergebnis 4.482.853

Lars Dammann (r.)Leiter eBusiness, PHONONET

Bis 2007 Studium Systematische Musikwissenschaften, Rechts-wissenschaften und Psycholo-gie, Universität Hamburg, Ma-gister Artium. Seit 2007 bei PHONONET, zunächst im GB Musik Promotion Network. Seit 2013 verantwortlich für den GB eBusiness sowie Management-beauftragter ISMS. Zusatzqua-lifikation Projektmanagement (GPM Level D).

Klaus Kühner (l.)Senior IT-Administrator, POET

Dipl. Informatiker (FH), Senior IT-Administrator, Erfahrung in E-Commerce-Projekten, Firmenzu-gehörigkeit seit Anfang der 90er-Jahre, seit 2005 Aufbau und Betrieb des ISMS für die POET GmbH als Informationssicher-heitsverantwortlicher. Projektlei-tung E-Connect für E-Commerce-Branchenprojekte.

www.phononet.de www.poet.de

6 %

5 %

3 %

38 %

22 %

18 %

8 %

S e r v i c e a n d I n n o va t i o n i n E n t e r t a i n m e n t

PHONONET

DAS FACHMAGAZIN FÜR MANAGEMENTSYSTEME UND IMPULSSTARKE AUDITS – AUSZUG

Nr. I 2017

2

Streng abgesichert: Der Serverraum bei POET

Das Regelwerk: ISO/IEC 27001

Die international anerkannte Norm für Informationssicher-heit ISO/IEC 27001, derzeit gül-tig in der Version 2013, ist die geeignete Grundlage zur Imple-mentierung eines Informations-sicherheits-Managementsys-tems (ISMS). Der Fokus liegt auf der Beurteilung und Behand-lung von Risiken für die informa-tionsverarbeitenden Prozesse. Die Erfüllung der bewusst all-gemein gehaltenen Anforderun-gen muss die spezifische Situ-ation einer Organisation wider-spiegeln.

Reinhard Witzke DQS Programm-Manager ISMS

Mit der Revision von 2013 wurde das Thema Informationssicher-heit als bedeutendes strategi-sches Element hervorgehoben und avancierte damit endgül-tig zur „Chefsache“. Eine Zerti-fizierung gemäß ISO/IEC 27001 schafft Vertrauen gegenüber den interessierten Parteien und dient als Nachweis der fortlau-fenden Verbesserung des Infor-mationssicherheitsniveaus, der Reduzierung von Risiken und der Einhaltung relevanter Compli-ance-Forderungen.

Ihre Fragen beantwortet gern: reinhard.witzke@dqs.de

„Das ISMS als Teil unserer Unternehmenskultur

hilft uns, Prozesse und Kundenzufriedenheit stetig

zu verbessern.“Dietmar Schlumbohm

Geschäftsführer PHONONET GmbH

DQS-Vorschlag: ISMS aufeinander abstimmenDer damalige DQS-Auditor schlug wegen der engen Zusammenarbeit der Partner vor, beide ISMS aufeinander abzustimmen. Hier stand besonders die Überlegung im Vordergrund, gemeinsame Schnittstellen zu sichern und Synergien zu nutzen. Dabei gibt eBusiness als Kunde, wie bei ausgelagerten Prozessen not-wendig, dem Dienstleister POET die Anforderun-gen an dessen ISMS vor. Deren Erfüllung wird anhand regelmäßiger Lieferantenaudits geprüft.

Um auch internationalen Kunden gerecht zu werden, hatte man zunächst die britische Norm für Informationssicherheit BS 7799-2:2002 gewählt und von der DQS im Jahr 2005 zertifizieren lassen. Für die anforderungsge-rechte Implementierung des ISMS samt Vor-bereitung auf die Zertifizierung haben beide Unternehmen auf den Dienstleister Secorvo zurückgegriffen.

Noch im selben Jahr wurde die Norm ISO/IEC 27001 veröffentlicht, die aus BS 7799-2 hervorging und diese auch ablöste. Im Zug der ersten Rezertifizierung 2008 haben eBusiness und POET ihre Systeme auf die neue Norm für Informationssicherheit umgestellt. Bei Ausla-gerungen zu einem Partner bzw. in eine Cloud, z. B. bei der Archivierung von Rechnungsver-kehr, müssen auch finanzrechtliche Aspektebeachtet werden (Stichwort: dienstleistungs-bezogenes internes Kontrollsystem). Deshalbliegen zusätzlich Prüfberichte gemäß ISAE3402 (durch PwC) vor. Der Standard gehtjedoch, anders als Vorgänger SAS 70, überKontrollen des Financial-Reportings hinausund überschneidet sich teilweise mit Anforde-rungen von ISO/IEC 27001.

Umstellung war kein SelbstläuferWährend eBusiness und POET den Schritt von BS 7799-2:2002 auf ISO/IEC 27001:2005 als relativ einfach erachteten, war die Umstellung auf ISO/IEC 27001:2013 teilweise mühsam: Es gab damals weder eine deutsche Überset-zung der Norm noch ein alt/neu-Mapping zu den Anforderungen; zudem war das Regelwerk praktisch das erste unter den bekannten ISO-Managementsystemnormen mit der neuen Grundstruktur (HLS). Lars Dammann erinnert sich an sein Vorgehen, die bei seiner Über-nahme 2013 bereits bestehende, vom frühe-ren Auditor durchaus geforderte, umfangreiche Dokumentation beizubehalten – aus „Angst“, vom Auditor Nebenabweichungen zu erhalten, wenn etwas nicht gesagt wird.

Er war dann aber im Zug des Umstiegs vom heutigen DQS-Auditor auf eine der Unter-nehmensgröße und dem Sachverhalt ange-messenere Form der nun als „dokumentierte Information“ bezeichneten Anforderung hinge-wiesen worden. Dammann hat das gern ange-nommen und sämtliche Texte radikal abge-speckt – u. a. Kennzahlen einfach als Zahlen statt als Text dargestellt und so den Umfang z. B. des Managementreports von einst zwanzigauf heute nur noch zwei Seiten reduziert. DerEffekt: Die Bereitschaft der Mitarbeiter, denInhalt tatsächlich auch zu lesen und damit Ver-änderungen leichter annehmen zu können, istmit der Verschlankung deutlich gestiegen.

Zur sicheren Erfüllung neuer Anforderun-gen hat eBusiness damals mehrere Workshops durchgeführt. Einige der Anforderungen waren indes nicht zuletzt wegen der überschauba-ren Unternehmensgrößen für die Partner eher leicht zu erfüllen, z. B. jene aus Kapitel 5.1, in dem es um die Verantwortung der obersten Leitung geht. Beide Geschäftsführungen haben ihr ISMS von Anfang an unterstützt und bringen sich dabei intensiv ein, z. B. um gemeinsam nutzbares Wissen aufzubauen und zu erwei-tern. Flache Hierarchien und der übersichtlich strukturierte Geltungsbereich beider ISMS haben zudem das Verstehen des Kontextes der Organisation (Kap. 4.1) und die Ermittlung der interessierten Parteien (Kap. 4.2) erleichtert.

© DQS GmbH www.dqs.de3

Nr. I 2017

„Das ISMS und unsere Expertise helfen uns, das Sicherheitsniveau

an die Bedürfnisse unserer Kunden anzupassen.“

Dr. J. KreuzingerMitglied der Geschäftsleitung

POET GmbH

Geschäftsbereiche außer-halb des ISMS-Scopes

Zugriffsrechte: Wer darf was?Ein wesentlicher Aspekt von ISO/IEC 27001 ist die Vertraulichkeit, Authentizität und Integri-tät der Kundendaten. Hier steht nicht zuletzt die Frage im Mittelpunkt: Wer darf was, und wie wird das umgesetzt? Obwohl oder gerade weil es bei eBusiness absolut klare Regeln für den Zugriff auf Daten oder für Schreibberech-tigungen gibt, kommt es – quasi systemimma-nent – hin und wieder zu operativen Hemm-nissen. Das kann bei Mitarbeitern zunächst Widerstände auslösen – wenn nämlich durch fehlende Berechtigungen bestimmte Arbeiten nur unter scheinbar erschwerten Bedingungen ausgeführt werden können. Lars Dammann setzt hier auf das klärende Gespräch und nutzt das regelmäßige „Mitarbeiter-Plenum“ bei PHONONET, um in lockerer Atmosphäre Bewusstsein und Verständnis für Sicher-heitsthemen zu schaffen. Eine vergleichbare Veranstaltung inklusive „Security Awareness Schulung“ hat auch POET eingeführt, hier im vierteljährlichen Turnus im Rahmen der „Mitar-beiterversammlung“.

Redundanz sichert VerfügbarkeitDie zentrale Kundenanforderung der durch-

gängigen Verfügbarkeit ihrer Daten wird vor allem durch Redundanz bei den Übertragungs-wegen sichergestellt. Die Wege der Daten zwi-schen Industrie und Handel über das Clearing-Center, in dem die Daten verarbeitet, verwaltet und gespeichert werden, wurden nicht nur als vertrauensbildende Maßnahme für die Kunden redundant angelegt. Das Vorgehen ist vor allem einem klassischen BCM-Scenario geschuldet: Fällt ein Weg aus welchen Gründen auch immer aus, ist die Verfügbarkeit, sind die einzelnen Abläufe weiterhin gesichert, die Lieferkette ist nicht unterbrochen.

Würde das System komplett ausfallen, wäre die Branche weitgehend lahmgelegt: Keine Ware für den Handel und in der Folge auch nicht für den Endkunden, um nur die direkteste Auswirkung zu nennen. Angesichts der Tatsache, dass eBusiness mit dem Clea-ring-Center ca. 95 % des hiesigen Marktes abdeckt und zudem als technischer Dienstleis-ter für die PHONONET-Landesgesellschaften in Österreich, der Schweiz und Benelux auch das dortige Branchen-Clearing betreibt, käme ein Total-Ausfall wirtschaftlich einem Desaster gleich.

AusblickAuch nach mehrjährigem Betrieb sind POET und PHONONET vom Konzept des Manage-mentsystems und der Zertifizierung durch eine externe Organisation überzeugt. „Die Akzep-tanz und Transparenz verschafft uns im laufen-den Betrieb inzwischen deutlich höheren Nut-zen als Aufwand“, so Klaus Kühner. Und Lars Dammann ergänzt: „Über die kommenden Auditperioden werden wir unsere „Tandem“-ISMS zunehmend aufeinander abstimmen, indem wir z. B. entsprechende Kontrollmecha-nismen weiter verbessern. Zudem werden wir die Dokumentation aufräumen. Und wir pla-nen, die Durchführung von Maßnahmen noch stärker toolbasiert zu verfolgen, um diesbezüg-lich bessere Reportmöglichkeiten zu haben.“

PHONONET – Services im Bereich Entertainment:

• eMediaCatalog: Produkt-informationen für Handel undEndkunden (seit 1998)

• musicline.de: frei zugänglicheMusiksuchmaschine (seit2001)

• MPN – Musik PromotionNetwork: Bemusterungs-Toolfür Neuveröffentlichungen(seit 2003)

• DigiAS – DigitalerArtikelstamm: Schnittstellezwischen Digitalvertriebenund Marktforschung (seit2006)

• DSS – Digital Sales Service:Aufbereitung von Digital SalesReports (seit 2010)

POET – E-Commerce, E-Procurement undöffentliche Verwaltung:

• E-Commerce: VollintegrierteOnline-Shops für B2B, B2C &B2B2C

• Marketing: Relevante,kontextbezogene Erlebnisseim richtigen Moment

• Service: Bester Service undindividuelle Verkaufsberatungimmer und überall

• Katalogplattformen:Beschaffungsprozessevereinfachen undAutomatisierung steigern

• Individuallösungen:Zuverlässige Verwaltungs-programme für hochkomplexeDaten

Das Reeperbahn Festival findet seit 2006 in Hamburg statt. Gestar-tet zunächst als Musikfestival, wurde es in den Folgejahren um Events und Ausstellungen anderer Kunstformen sowie um ein Kon-ferenzprogramm erweitert. Inzwischen ist es das größte Clubfes-tival Deutschlands und ein wichtiger Branchentreff der Entertain-ment- und Digitalwirtschaft. Zudem bietet das Festival insbeson-dere regionalen, aber auch internationalen Newcomern eine groß-artige Bühne. PHONONET ist überzeugt von der Wichtigkeit einer

starken, abwechslungsreichen und urbanen Kulturszene. Zur Unter-stützung bietet PHONONET regelmäßig Informationsveranstaltun-gen im Rahmen der Konferenzsessions an. Ziel ist es, interessier-ten Musikern, Labels und Vertrieben essentielles Branchenwissen zugänglich zu machen und somit zu helfen, organisatorische Hür-den zu minimieren.

Informationen: www.reeperbahnfestival.com

Aktiv für eine starke Kulturszene: Reeperbahn Festival

DAS FACHMAGAZIN FÜR MANAGEMENTSYSTEME UND IMPULSSTARKE AUDITS – AUSZUG

Nr. I 2017

4