Informationssicherheit und Datensicherheit in der Automobilindustrie - Expertengespräch

Managementportal.de: Herzlich willkommen zu unserem heutigen Interview zum Thema TISAX® und Informationssicherheit. Wir haben hier einen Experten Marc Mietz, der über 10 Jahre Erfahrung in den Bereichen Informationssicherheit und Datensicherheit sowie im Automotive-Bereich verfügt.

Herzlich willkommen!

Marc Mietz: Vielen Dank, es freut mich hier zu sein und über diese wichtigen Themen sprechen zu können.

Managementportal.de: Lassen Sie uns direkt mit dem Thema TISAX® beginnen. Was genau verbirgt sich hinter der TISAX® Zertifizierung und welchen Nutzen bietet sie für Unternehmen in der Zuliefererindustrie der Automobilhersteller?

Marc Mietz: TISAX® steht für Trusted Information Security Assessment Exchange und ist ein Standard für die Informationssicherheit in der Automobilbranche. Es handelt sich um ein Assessment- und Prüfverfahren, das von der ENX Association entwickelt wurde. TISAX® dient als einheitlicher Rahmen für die Bewertung der Informationssicherheit von Zulieferern in der Automobilindustrie.

Streng genommen ist der Begriff „TISAX® Zertifikat“ oder „TISAX® Zertifizierung“ übrigens nicht korrekt - denn für den Informationssicherheitsstandard nach TISAX ® erhalten Unternehmen kein Zertifikat, wie beispielsweise bei der ISO 27001: Die erfolgreiche Auditierung ist nach außen nicht sofort erkennbar, es darf auch nicht öffentlich damit geworben werden. Das ist aber für Automobilzulieferer nicht entscheidend. Wichtig ist, dass die erfolgreiche Prüfung für andere Teilnehmer und somit potenzielle Geschäftspartner reichweitenstark sichtbar ist. Treffender ist es, von einem TISAX®-Label zu sprechen. Da allerdings im allgemeinen Sprachgebrauch meist dennoch von einer Zertifizierung gesprochen wird, greife ich diesen Term hier auch mal auf.

Die TISAX® Zertifizierung bietet mehrere Vorteile für Unternehmen. Zum einen stellt sie sicher, dass die Informationssicherheitsmaßnahmen eines Unternehmens den hohen Standards der Automobilbranche entsprechen. Dadurch können Unternehmen ihre Vertrauenswürdigkeit gegenüber Kunden und Partnern stärken und ihre Wettbewerbsfähigkeit steigern. Zum anderen hilft die Zertifizierung dabei, Risiken im Bereich der Informationssicherheit zu identifizieren und zu minimieren, insbesondere im Zusammenhang mit Cyberangriffen. Dies ist in Zeiten zunehmender digitaler Bedrohungen von großer Bedeutung. Eine TISAX®-Nachweis ist zwar nicht gesetzlich vorgeschrieben, aber oftmals eine erforderliche Voraussetzung für die Zusammenarbeit mit Unternehmen in der Automobilindustrie.

Das Fehlen eines entsprechenden Labels oder der Entzug desselben kann jedoch gravierende Konsequenzen nach sich ziehen! Wenn ein Unternehmen die TISAX®-Standards nicht erfüllt, wird es in erster Linie als nicht mehr beauftragungsfähig für Automobilhersteller und -lieferanten angesehen, da die meisten eine TISAX®-Zertifizierung verlangen. Und auch bereits bestehende Aufträge werden schrittweise auf TISAX®-Konformität überprüft. Einige große Auftraggeber, wie VW, BMW oder ZF, haben hier schon ganz konkrete Deadlines gesetzt, an die sich ihre Partner vertragsbedingt auch halten müssen.

Managementportal.de: Das klingt wichtig und relevant für Unternehmen in der Automobilindustrie. Können Sie uns ein konkretes Beispiel für die Auswirkungen eines Cyberangriffs in diesem Sektor geben?

Marc Mietz: Natürlich. Ein anschauliches Beispiel ist der Fall des Automobilherstellers BMW im Jahr 2019. Das Unternehmen wurde Opfer eines Cyberangriffs, bei dem Hacker sensible Daten und Betriebsgeheimnisse gestohlen haben. Der Vorfall führte nicht nur zu erheblichen finanziellen Verlusten, sondern auch zu einem erheblichen Rufschaden für das Unternehmen.

Solche Cyberangriffe können nicht nur finanzielle Auswirkungen haben, sondern auch das Vertrauen der Kunden und Partner gefährden. Im heutigen digitalen Zeitalter sind Cyberangriffe und Datenlecks eine ernsthafte Bedrohung. Ein weiteres aktuelles Beispiel ist die Cyberattacke auf den Automobilzulieferer Eberspächer, die das Unternehmen weltweit getroffen und zu 100% Kurzarbeit geführt hat. Ebenso betroffen ist ein bekannter deutscher Automobilzulieferer, die Continental AG. Hier fordern die Cyberkriminellen 50 Millionen US-Dollar für die Herausgabe der gestohlenen Daten.

Anhand dieser Beispiele sieht man, dass es für Unternehmen in der Automobilindustrie von entscheidender Bedeutung ist, angemessene Sicherheitsmaßnahmen zu implementieren und die Informationssicherheit kontinuierlich zu verbessern. Und das gilt nicht nur für die „Großen“. Auch im Bereich der KMU ist Informationssicherheit ein Thema, dass auf keinen Fall unterschätzt werden darf – hier können Cyberangriffe erst recht existenzbedrohend sein!

TISAX ist selbstverständlich auch ein Invest: An Zeit, Geld und Ressourcen. Aber es ist ein kluger, gewinnbringender Invest der sich lohnt - da es hilft, Wettbewerbsvorteile zu erlangen, Kundenanforderungen zu erfüllen, Risiken zu minimieren, Effizienz zu steigern und zukunftsorientiert zu agieren. Es bietet eine klare Richtlinie und Struktur für ihre Informationssicherheitsmaßnahmen und unterstützt Unternehmen und Organisationen dabei, als vertrauenswürdige Partner in der Automobilbranche wahrgenommen zu werden.

Die TISAX® Zertifizierung bietet kurzum eine wertvolle Orientierung und ermöglicht es Unternehmen, ihre Sicherheitsmaßnahmen entsprechend den branchenspezifischen Anforderungen zu optimieren.

Managementportal.de: Das Beispiel verdeutlicht wirklich die Risiken, mit denen Unternehmen in der Automobilbranche konfrontiert sind. Wie sehen Sie die Zukunft der Automobilbranche und deren Zulieferer im Kontext von TISAX® und Informationssicherheit?

Marc Mietz: Die Zukunft der Automobilbranche wird immer stärker von der Digitalisierung geprägt sein. Mit der zunehmenden Vernetzung und Integration von Technologien wie dem Internet der Dinge und autonomen Fahrzeugen werden auch die Anforderungen an die Informationssicherheit steigen. Cyberangriffe werden weiterhin eine Bedrohung darstellen, insbesondere da Cyberkriminelle immer raffiniertere Methoden entwickeln, mit der Zeit gehen und somit gefährlicher denn je werden können.

In diesem Kontext wird die TISAX® Zertifizierung eine noch wichtigere Rolle spielen. Unternehmen müssen ihre Informationssicherheitsmaßnahmen kontinuierlich überprüfen und verbessern, um mit den sich entwickelnden Bedrohungen Schritt zu halten. Diejenigen Unternehmen, die frühzeitig in die Informationssicherheit investieren und die TISAX® Zertifizierung erlangen, werden einen Wettbewerbsvorteil haben und das Vertrauen ihrer Kunden und Partner gewinnen.

Managementportal.de: Das klingt spannend und herausfordernd zugleich. Wie genau läuft den der Vorgang zum Erlangen des TISAX®-Zertifikats bzw. TISAX®- Labels ab?

Marc Mietz: Der Prozess zur Erlangung des TISAX®-Zertifikats bzw. TISAX®-Labels besteht aus mehreren Schritten, die ich Ihnen gerne im Detail erläutern werde:

Als erstes müssen Sie feststellen, ob Ihr Unternehmen die Anforderungen erfüllt, um eine TISAX®-Zertifizierung anzustreben. Stellen Sie sicher, dass Sie die relevanten Sicherheits- und Datenschutzanforderungen erfüllen und über die erforderlichen Ressourcen verfügen, um den Zertifizierungsprozess erfolgreich abzuschließen. Hier ist eine sogenannte GAP-Analyse sinnvoll. Mit ihr kann man die Lücken zwischen Ist- und Soll-Zustand definieren.

TISAX®-Assessments werden von zugelassenen Assessment-Anbietern durchgeführt. Wählen Sie also einen geeigneten Anbieter aus, der Ihre Organisation in den Bereichen Informationssicherheit und Datenschutz bewerten kann.

In folgenden Schritt sollten Sie sicherstellen, dass Ihre Organisation die erforderlichen Sicherheitsmaßnahmen implementiert und die Richtlinien und Standards erfüllt, die von TISAX® vorgegeben werden. Eine gründliche Überprüfung Ihrer bestehenden Prozesse, Systeme und Infrastruktur ist erforderlich, um mögliche Schwachstellen zu identifizieren und zu beheben. Hier sollten Sie strategisch vorgehen – optimalerweise bilden Sie eine unternehmensinterne Taskforce, wenn die Mitarbeitenden hierfür das nötige Knowhow und die entsprechende Zeit haben. Falls es hier Ressourcenmangel gibt – schließlich müssen Unternehmen die Anforderungen des TISAX-Labels ja neben dem Tagesgeschäft stemmen – ist es sinnvoll, sich einen erfahrenen Experten als Berater zur Unterstützung zu holen.

Ihr Assessment-Anbieter wird vor Ort oder remote eine umfassende Bewertung Ihrer Organisation durchführen. Dabei werden verschiedene Aspekte der Informationssicherheit und des Datenschutzes überprüft, wie z.B. Sicherheitsrichtlinien, Zugriffskontrollen, Risikomanagement, Incident-Management und Datensicherheit. Der Anbieter wird auch überprüfen, ob Ihre Organisation die erforderlichen technischen und organisatorischen Maßnahmen umgesetzt hat.

Zum Abschluss des Assessments wird Ihnen der Assessment-Anbieter einen Bericht über die Ergebnisse zur Verfügung stellen. Dieser Bericht enthält eine detaillierte Zusammenfassung der Bewertung sowie Empfehlungen zur Verbesserung der Informationssicherheit und des Datenschutzes. Bei Erfüllung der Anforderungen erhalten Sie das TISAX®-Zertifikat bzw. das TISAX®-Label, welches Ihre Organisation als sicher und vertrauenswürdig deklariert.

Ein wichtiger Hinweis noch: Die TISAX®-Zertifizierung ist nicht statisch, sondern erfordert kontinuierliche Aktualisierung und Überwachung. Regelmäßige Audits und Assessments werden durchgeführt um sicherzustellen, dass Ihre Organisation weiterhin den hohen Sicherheitsstandards entspricht. Es ist wichtig, dass Sie die erforderlichen Maßnahmen ergreifen, um mögliche Schwachstellen zu beheben und Ihre Sicherheitspraktiken kontinuierlich zu verbessern.

Der genaue Ablauf und die Details des TISAX®-Zertifizierungsprozesses können je nach Assessment-Anbieter und individuellen Anforderungen variieren. Es ist also ratsam, sich frühzeitig mit einem zertifizierten TISAX®-Assessment-Anbieter in Verbindung zu setzen, um den Prozess im Detail zu besprechen und sich über die spezifischen Anforderungen und Vorbereitungen zu informieren.

Managementportal.de: Also ist TISAX® wirklich kein Prozess, der „mal eben so“ zu machen ist. Zum Abschluss des Interviews würden wir daher gerne noch erfahren, wie Sie Unternehmen in diesem Bereich unterstützen können.

Marc Mietz: Natürlich. Unsere Berater von OPTIQUM verfügen über umfangreiche Erfahrung in den Bereichen TISAX®, VDA ISA und Informationssicherheit. Wir können Unternehmen dabei helfen, ein individuelles und maßgeschneidertes Management System für TISAX® aufzubauen, welches den jeweils spezifischen Bedürfnissen entspricht. Unser Ziel ist es, Unternehmen dabei zu unterstützen, ihre Informationssicherheit zu stärken und die TISAX® Zertifizierung erfolgreich zu erlangen. Dabei unterstützen wir mit GAP-Analysen und entsprechenden Workshops, um effizient den Weg zum TISAX®-Label zu ebnen.

Es ist wichtig zu betonen, dass wir keine beratungsintensiven Sonderprozesse schaffen, die eine langfristige Abhängigkeit von Beratern erfordern. Unser Fokus liegt darauf, Unternehmen die nötigen Werkzeuge und das Wissen zu vermitteln, um ihre Informationssicherheit eigenständig zu managen. Wir stehen jedoch bereit, langlaufende Aufgaben zu übernehmen, wenn Unternehmen aufgrund von Ressourcenmangel Unterstützung benötigen.

Managementportal.de: Vielen Dank für diese Einblicke und Informationen zu den Themenbereichen TISAX®, VDA ISA und Informationssicherheit.

Marc Mietz: Ich danke Ihnen für das Interview. Es ist wichtig, dass Unternehmen sich der Bedeutung der Informationssicherheit bewusst sind und entsprechende Maßnahmen ergreifen, um ihre Daten und Systeme zu schützen.

Managementportal.de: Absolut. Nochmals vielen Dank und alles Gute für Ihre zukünftigen Projekte.

Marc Mietz: Vielen Dank

-----------------

Bildquelle: https://pixabay.com/de/photos/autos-autotransport-neuwagen-3631086/