IT-Sicherheit in der Automotive-Branche – Was kommt auf Automobilhersteller und Zulieferer zu?
Die Automobilbranche und Zulieferer wappnen sich mit der IATF 16949:2016 und der „Sanctioned Interpretations“ gegen die zunehmende Bedrohung aus dem Cyberraum
Das Thema IT-Sicherheit gewinnt im Rahmen der Zertifizierung nach IATF 16949 nicht nur bei den Automobilherstellern selbst, sondern auch bei deren Zulieferern verstärkt an Aufmerksamkeit.
Anforderungen an Zulieferer: Notfallpläne vorhalten
Die von der International Automotive Task Force (IATF), einem Verbund der weltweit größten Automobilhersteller herausgegebene IATF 16949 ist der umfassendste Standard für Qualitätsmanagement in der internationalen Automobilindustrie. Eine Zertifizierung nach IATF 16949 ist daher fast immer Grundvoraussetzung, um in die Lieferketten der Automobilhersteller integriert zu werden.
Die IATF hat kürzlich neue "Sanctioned Interpretations (SI)" veröffentlicht, die die Norm IATF 16949:2016 weiter spezifizieren. Hierbei ist die SI Nummer 3 besonders interessant, die von zertifizierten Zulieferern verlangt, dass Notfallpläne für die Lieferkontinuität im Falle von Cyber-Attacken auf Informationstechnologiesysteme erstellt werden.
Solche Notfallpläne fordert die Norm bereits seit längerem für diverse Eventualitäten – u.a. Naturkatastrophen und Störungen der Infrastruktur. Neu ist, dass jetzt auch Cyber-Attacken explizit genannt werden, was Automobilzulieferer unter Zugzwang setzt, auch für diesen Fall gerüstet zu sein. Bei der Betrachtung möglicher Cyber-Attacken mit Auswirkungen auf den Produktions- und Logistikprozess sollen auch Angriffe mit Ransom-Ware eingeschlossen werden.
Sich schützen – aber mit System!
Einen wirkungsvollen Schutz bietet ein Informationssicherheitsmanagementsystem (ISMS), z.B. gemäß ISO 27001. Durch den Managementansatz wird die kontinuierliche Verbesserung des Gesamtsystems gefördert: Lücken werden frühzeitig erkannt und können geschlossen werden. Dabei spielt es keine Rolle, ob es sich um virtuelle oder physische Sicherheitslücken handelt.
Besonders Lieferanten bzw. Zulieferer sind oft ein „Schwachpunkt“, den viele Unternehmen unterschätzen. Durch sie entsteht häufig ein relativ unkomplizierter Zugang zu kritischen Systemen, was wiederum Wirtschaftsspionage, Cyberangriffe und Sabotagen erleichtert.
Andreas Lemke, Leadauditor für die ISO 27001 und Leiter der Zertifizierungsstelle der GUTcert, hält die Unternehmen der Lieferkette berechtigterweise für eines der schwächsten Glieder: „Lieferanten haben oft Zugang zu sensiblen Bereichen, und besonders Softwaredienstleister (z.B. externer Support) benötigen im IT-System weitreichende Rechte, um ihre Arbeit zu erledigen. Sollte der Lieferant aber seinerseits nur ungenügende Sicherheitsvorkehrungen getroffen haben, ist das ganze System in Gefahr.“
Der Trend geht daher dahin, dass auch Lieferanten, die dazu eigentlich gesetzlich nicht verpflichtet sind, ein ISMS (optimaler Weise nach ISO 27001) einführen, um mögliche Sicherheitslücken zu schließen, den Aufwand und das Risiko für den Auftraggeber zu reduzieren und als Zulieferer am Markt bestehen zu können.
Die Gutcert als Ihr starker Partner
ISO 27001, BSI Grundschutz oder PAS 555 haben unterschiedliche Vorgehensweisen aber das gleiche Ziel: die Informationssicherheit zu erhöhen. Bei allen Systemen können wir sie mit einer Zertifizierung/Validierung unterstützen.
Darüber hinaus bietet unsere GUTcert Akademie verschiedene Seminare zum Thema IT-Sicherheit an und hat ab 2018 die Weiterbildung zum Datenschutzbeauftragten neu im Programm. Termine werden zeitnah auf unserer Homepage veröffentlicht. Reservieren Sie sich jetzt schon einen Platz unter akademie@gut-cert.de
Fragen zum Thema beantwortet Ihnen gerne Herr Marcel Däfler, Tel.: +49 30 2332021-79