Die Kroschke Gruppe vereint Unternehmen mit einem starken Automotive-Kompetenzprofil. Im Zentrum stehen die Christoph Kroschke GmbH (CKG), die DAD Deutscher Auto Dienst GmbH (DAD) sowie die Kroschke Digital GmbH, die ihre Kompetenzen stark vernetzen. Die CKG bündelt innovative Kfz-Dienstleistungen, effiziente Prozesslösungen und digitale Services. Mit über 500 bundesweiten Standorten sowie 17 europäischen Partnern ist das Unternehmen Branchenführer für Fahrzeugzulassungen. Der DAD bietet ein ganzheitliches IT-gestütztes Prozess- und Dokumentenmanagement rund um die Verwaltung großer Fahrzeugbestände an. Zu den Kunden zählen Autovermieter, Automobilhersteller, Banken, Leasinggesellschaften, Flottenbetreiber und Kfz-Vermarkter. Als digitaler Innovationsinkubator der Kroschke Gruppe bietet Kroschke Digital individuelle Betreuung bei der Entwicklung und Implementierung von innovativen und digitalen Geschäftsmodellen im Automotive-Umfeld.
Wir hatten hohe Anforderungen, weil wir eine BPM-Lösung für die gesamte Unternehmensgruppe suchten. Aeneis ging als Sieger hervor, weil es einerseits durch eine hohe Funktionalität besticht und sich anderseits gleichzeitig in einem passenden preislichen Rahmen für unser mittelständisches Unternehmen bewegt.
"Wir haben uns 2011 für Aeneis entschieden und noch nicht einen Tag bereut, dass wir dieses System gewählt haben. Auch neue Anforderungen wie die Anpassung der ISO 9001:2015 um die Darstellung der Prozessrisiken konnten mit dem System schnell und kompetent umgesetzt werden. So gelang es uns als einer der ersten Anwender, im Februar 2016 nach der neuen Norm zertifiziert zu werden. Richtig Spaß hat die Erweiterung zur ISO 27001:2013 gemacht. Der intellior Partner SHD hat ein leistungsfähiges ISMS-Modul entwickelt, von dem wir nach kurzer Sichtung per Webinar begeistert waren, da es das digitale Informationssicherheitsmanagement entscheidend vereinfacht. Wir haben in allen Prozessen unsere Risiken und IT-Systeme (Assets) dargestellt und können so per Klick sofort vom Prozess auf das IT-System mit den bewerteten Risiken springen. Umgekehrt können wir bei Störung eines Systems sofort alle betroffenen Prozesse und Kunden ableiten. GECKO ist somit sowohl für die Auditierung als auch als Wissensspeicher der Organisation nicht mehr wegzudenken."
Sabine Wunsch, Bereichsleiterin Projekte, Prozesse, Services bei der Christoph Kroschke GmbH
Seit 2013 sind alle Prozesse der Christoph Kroschke GmbH und der DAD Deutsche Auto Dienst GmbH in „GECKO“ modelliert. Jährlich werden die erforderlichen internen und externen Audits mit Hilfe des Zusatzmoduls „Auditplanung“ vorgenommen. Durch einen gut geschulten Mitarbeiter und die kostenmäßig überschaubare Unterstützung von intellior können alle Änderungswünsche zeitnah umgesetzt werden. Das System wird täglich mit den relevanten SAP-Bausteinen (Tabellen, BAPIS, etc.) aktualisiert. Durch das neue ISMS-Modul werden alle relevanten Normanforderung der ISO27001:2013 abgebildet. Jetzt zahlt es sich aus, dass sämtliche IT-Systeme mit den Prozessen verbunden wurden und lediglich die Risikoeinschätzung für die Assets ergänzt werden musste. Das integrierte Managementsystem ist geboren.
Ausblick: Durch die anstehende Ablösung des bisherigen Internets und Dokumenten-Centers wird eine Anbindung an Confluence angestrebt.
„Jeder, der sich mit den Herausforderungen der ISO27001:2013 beschäftigt, ist auf der Suche nach einer gesteuerten Dokumentenablage und damit in der Regel auf der Suche nach einem System“
Im Oktober 2018 traf die Kroschke Gruppe die Entscheidung, die ISO 27001:2013 zeitnah umzusetzen. Auf der Grundlage einer durchgeführten Umsetzungsanalyse war für alle beteiligten Personen klar, ohne GECKO (Bezeichnung von Aeneis in der Kroschke Gruppe) geht es nicht!
Nach Erstgesprächen mit der intellior und ihrem Entwicklungspartner SHD konnte bereits Ende November auf ein ISMS-Testportal (Informationssicherheitsmanagementsystem) zugegriffen werden. Grundlage für diese Erweiterung war die Dokumentation aller relevanten Geschäftsprozesse. Das bedeutete für Kroschke, dass es auf die Basis von knapp 300 Prozessen inklusive bewerteter Prozessrisiken und gelenkter Dokumentation aufbauen konnte. Zusätzlich konnte das Audit-Managementsystem aus der 9001:2015 mit minimalen Anpassungen 1:1 für die internen Informationsaudits angewendet werden.
Auf dieser Basis wurden die Anforderungen intensiv diskutiert und das Modul entsprechend konfiguriert. Die Informationsrisiken konnten nun auf Grundlage der IT-Architektur erfasst und mussten nicht parallel zu den Prozessrisiken definiert werden. Die wichtigsten Normanforderungen – wie eine Risikoanalyse, dessen Bewertung und die Anwendbarkeitserklärung (SoA – Statement of Aplicability) – konnten somit erfüllt werden.
Dadurch konnte im gesamten Audit-Verlauf auf eine digitale Grundlage zurückgegriffen und ein schlüssiger und ununterbrochener Informationsnachweis vorgezeigt werden. Nach nur 7-monatiger Projektlaufzeit war eine erfolgreiche Zertifizierung ohne jegliche Abweichung der „Lohn“ für ein durchdachtes System, ein kompetentes Team und eine hohe Daten- und Informationssicherheit.
