Handlungsbedarf für 1st-Tier Supplier: Gesetzesänderung zugunsten der Cybersecurity in der Automobilindustrie

Cybersicherheit, Datenschutz und die Abwehr von Cyber-Angriffen auf die heute hochgradig vernetzten Fahrzeuge spielen in der Automobilindustrie eine immer entscheidendere Rolle. Diesem Handlungsdruck, welcher durch das autonome Fahren weiter erhöht wird, hat das UNECE World Forum for Harmonization of Vehicle Regulations (UNECE WP.29) – bereits im Jahr 2021 – konsequent Rechnung getragen und dazu für die Zulassung von Fahrzeugen neue Regelwerke und Anforderungen für die Sicherheit gegen Cyber-Angriffe definiert.

Durch die seitens der UNECE erlassene Regulierung R155 (Amtsblatt der Europäischen Union, L 82, Rechtsvorschriften, 64. Jahrgang, 9. März 2021) wurde eine Leitlinie für deren Umsetzung erlassen, welche die Cyber-Sicherheit in Form der Norm ISO/SAE 21434 „Road vehicles – Cybersecurity engineering“ für Fahrzeughersteller verbindlich festlegt und regelt. Seit Juli 2022 gilt durch den erlassenen Rechtsakt in der gesamten EU die Zertifizierung nach ISO/SAE 21434 als Voraussetzung für die Typgenehmigung und Zulassung von neuen Fahrzeugtypen zum Straßenverkehr sowie ab Juli 2024 für alle Neufahrzeuge, sowohl in der EU als auch für die weiteren UNECE Vertragsstaaten.

Herausforderung für Zulieferer

Nachdem die R155 auch die Zulieferer aufführt, müssen alle IATF 16949 Zulieferer, die bereits heute Teile und Fahrzeugkomponenten an OEMs und in Fahrzeugwerke liefern, damit rechnen, zeitnah durch Ihre Kunden mit den Anforderungen gem. ISO/SAE 21434 konfrontiert zu werden. Insbesondere Zulieferern von Elektrik/Elektronik-Komponenten (E-E) kommt hier eine besondere Bedeutung zu.

Die ISO/SAE 21434 umfasst die wichtigsten Phasen im gesamten Lebenszyklus eines Fahrzeuges, von der Entwicklung über die Fertigung bis zum Betrieb und finalen Verschrottung eines Fahrzeugs (inkl. Löschung der im Fahrzeug gespeicherten Daten). Die Norm unterstützt die Implementierung eines Cyber-Security-Management-Systems (CSMS) beim Entwicklungsdienstleister und/oder OEM, indem es ein aktives Management von (potenziellen) Schwachstellen in Hinblick auf vernetzte Fahrzeuge und deren Komponenten ermöglicht. Eine zentrale Rolle spielt dabei die Funktion des Cyber Security Managements im Projekt, welche idealerweise durch die Funktion des sogenannten Cyber Security Managers übernommen wird.

Ausblick

In einer zunehmend vernetzten Welt mit einem steigenden Grad an autonom unterstützten Fahrzeugen gewinnt das Thema Sicherheit weiter an Bedeutung. Die Gesetzgebung hat dies frühzeitig erkannt. Die europäische Automobilindustrie entwickelt sich mehr und mehr zu einer Tech-Branche. Sie steht somit an vorderster Front, um Cyberrisiken am Produkt Fahrzeug und in dessen Entwicklungsprozess abzusichern. Der Gesetzgeber hat die Voraussetzungen für eine zeitnahe Umsetzung geschaffen. Es ist nun an der Industrie, die Vorgaben zu erfüllen.

Unternehmen, die bereits heute nach IATF 16949 und TISAX arbeiten, sind hier im Vorteil. Denn auf dieser Basis kann eine Implementierung beschleunigt erfolgen, indem auf die Prozesse und das Wissen der Organisation aufgebaut wird. Ein zentraler Punkt der ISO/SAE 21434 ist die Bedrohungsanalyse und Risikobewertung, sowie deren Bündelung zu einem ganzheitlichen Cybersicherheitskonzept im Entwicklungsprojekt. Sowohl für die Risikobewertung als auch das Sicherheitskonzept werden mit einem Informationssicherheitsmanagement auf Basis des VDA-ISA-Fragenkatalogs (TISAX-Verfahren) bereits wichtige Grundlagen gelegt. So fordern beispielweise die Controls 1.3.1 und 1.3.2 die Identifikation und Risikobewertung von Informationswerten. Hinzu kommt die Forderung nach einem Management von Informationssicherheitsereignissen (Control 1.6) oder dem Schutz von Datenübertragung in einem Netzwerk (Control 5.1). Die Aufzählung ließe sich fortsetzen.

 

Sie möchten weitere Tipps und Tricks rund um TISAX kennenlernen? Dann melden Sie sich zu unseren kostenlosen DGQ-Webinaren an:

 

Über die Autoren:

Thomas Salvador ist Gründer der QM Experts GmbH, einem auf die Automobilindustrie spezialisierten Beratungsunternehmen im Bereich Zertifizierung und Managementsysteme mit Sitz in München. Seit 2011 für BMW tätig, verantwortet er als Lead-Trainer die nationale Ausbildung von 1st und 2nd Party-Auditoren von BMW Deutschland und hält regelmäßig Fortbildungen für Automotive Auditoren. Für die Opexa Advisory GmbH ist er als Berater tätig und berät auf Grundlage seiner langjährigen Erfahrung im Bereich zivil-militärischer Avionik- und IT-Systeme sehr erfolgreich Automobilzulieferer im Bereich automotiver Informationssicherheitsmanagementsysteme (ISMS), insbesondere nach TISAX. Als Beratungsunternehmen bereitet Opexa Advisory regelmäßig Zulieferer auf Erstzertifizierungen im Bereich der Informationssicherheit vor.

Klaus Kilvinger, ist Geschäftsführender Gesellschafter der Opexa Advisory GmbH, einer auf die Themen Digitalisierung, Cyber- und Informationssicherheit, sowie deren Integration in Geschäftsprozesse spezialisiertes Beratungsunternehmen mit Hauptsitz in München. Er ist seit über 30 Jahren in der IT-Branche Zuhause und verfügt über ein breites anwendungsbezogenes Erfahrungswissen, verfügt ferner über umfassende Kenntnisse und Erfahrungen im IT-Projektgeschäft sowie Fachwissen in der Software-Qualitätssicherung. Die Informationssicherheit im nationalen und internationalen Umfeld ist sein Zuhause. Als zertifizierter IT-Security Manager, IT-Security Beauftragter sowie Datenschutzbeauftragter verfügt über er breite Branchenkenntnisse über die Fertigungs-, Automobilindustrie, den öffentlichen Sektor, bis hin zur Wirtschaftsprüfung.

Zertifizierung nach TISAX – Was ist das?

Automotive, TISAX

Digitalisierung, Vernetzung, Cloud-Anwendungen, usw.: Die fortschreitenden technologischen Entwicklungen machen diese Welt vielfach lebenswerter. Sie schaffen aber auch neue Risiken und Gefahren. So wird die Attraktivität eines Angriffes auf Unternehmen und deren digitale Infrastruktur durch die Möglichkeit von Hacking-Attacken stark erhöht. Denn heute muss niemand mehr Türen aufbrechen oder Panzerschränke knacken, um an Firmeninterna zu kommen. Es reicht ein einfacher PC mit Internetverbindung.

So verursachten kriminelle Attacken auf Unternehmen in Deutschland gemäß dem Branchenverband BITKOM und einer regelmäßigen Befragung seiner Mitglieder einen Schaden für deutsche Unternehmen in Höhe von 102,9 Milliarden Euro allein im vergangenen Jahr. Gerade weil die Hemmschwelle so niedrig ist und die benötigten Mittel für einen Angriff gering sind, gilt es, die digitale Infrastruktur von Unternehmen zu schützen, um das darin enthaltene Know-how zu bewahren.

Aber wie?

Information Security Assessment erklärt

Wie bereits in den 80er Jahren im Bereich Managementsysteme und ISO-Zertifizierungen geht in diesem Thema mal wieder die Automobilindustrie voran und wappnet sich gegen die Gefahren einer digitalisierten Welt. Dazu gibt der Verband der deutschen Automobilindustrie (VDA) seit dem Jahr 2005 Anforderungen an die Informationssicherheit für Unternehmen heraus. Daraus entstand TISAX. Die Bezeichnung ist ein Akronym aus den englischen Begriffen „Trusted Information Security Assessement Exchange“. Auf Deutsch heißt das so viel wie „vertrauenswürdiger Austausch von Informations-Sicherheits-Gutachten und den damit verbundenen Informationen“.

Aus der Arbeitsgruppe VDA-ISA entstanden, basiert das TISAX-Verfahren auf einem Fragenkatalog, der als Grundlage für ein Information-Security-Assessment eines Unternehmens oder Zulieferers dient. Dabei baut der TISAX-Standard nicht nur auf den Anforderungen der ISO 27001 auf. Er erweitert diese vielmehr um die Themen „Anbindung Dritter“ – also Sub-Lieferanten-Management – und insbesondere „Prototypenschutz“. Gerade letzteres Thema ist nicht zuletzt seit 2007 auf dem Radar der großen Automobilhersteller (OEMs). So titelte beispielsweise die Welt „Der schlechteste Geländewagen der Welt“ und „BMW-Kopie aus China“, als der asiatische Hersteller Shuanghuan sein Model „Shuanghuan CEO“ 2007 auf den deutschen Markt brachte. [Quelle: Welt; Der schlechteste Geländewagen der Welt; vom 05.07.2014].

TISAX Label – das moderne Zertifikat

Streng genommen dürfte man das TISAX-Verfahren gar nicht Zertifizierung nennen – denn eigentlich handelt es sich bei TISAX um ein Assessment, also eine Art Gutachten. Während Zertifizierung den Prozess zur Erlangung eines Managementsystemzertifikats beschreibt, bezeichnet Assessment hier das Ergebnis einer Informationssicherheitsüberprüfung eines Unternehmens. Diese mündet in einen „Assessment Report“ und schließt mit einem sogenannten Label ab. Wenn man so möchte, ist dieses Label das Äquivalent zu einem Zertifikat.

Die weltweit bekannteste Managementsystem-Norm ist die aus dem Jahr 1987 stammende ISO 9001. Sie bescheinigt Unternehmen mit einem Zertifikat, dass diese die internationalen Anforderungen an Qualitätsmanagementsysteme erfüllen. Unternehmen werben gerne damit. Sie transportieren so nach außen, dass Sie ein gut geführtes Unternehmen mit entsprechenden Nachweisen sind.

Doch diese Praxis ist nicht sehr transparent. Es gibt bis heute keine zentrale und überwachte Datenbank, in der sich ein Kunde über die Rechtmäßigkeit des Zertifikats versichern kann. Aus diesem Grund gehen einige Zertifizierungsgesellschaften wie die DQS mit Kundenportalen dazu über, eine zentrale Abfragedatenbank zumindest für eigene Kunden und die Öffentlichkeit anzubieten.

Diesen grundsätzlichen Nachteil hat die „ENX Association“ von Anfang an vermieden. Die „ENX Association“ ist die Governance und Träger-Organisation, die hinter dem TISAX-Standard steht. Sie stellt einen Zusammenschluss europäischer Automobilhersteller, -zulieferer und -verbände dar. Mit den ENX YELLOW PAGES hat sie eine Datenbank und ein zentrales, sowie öffentliches, Register geschaffen, in dem alle gültigen nach TISAX bewerteten Unternehmen mit Standort und Registrierungsnummer abgefragt werden können. Der Vorteil einer derartigen zentralen Lösung ist ein tagesaktueller Überblick über die Gültigkeit des Informations-Sicherheitsstatus eines Lieferanten oder eines Unternehmens.

Um den modernen Ansatz zu unterstreichen hat die „ENX Association“ bewusst auf ein neues Wording gesetzt. Was in der ISO-Welt das Zertifikat ist, wird in der TISAX-Welt als Label bezeichnet. Wenn Sie dieses Thema weitergehend interessiert, lesen Sie unseren Blogbeitrag zum Thema „TISAX-Label – Die Eintrittskarte in die Automobilindustrie“.

 

Nutzen Sie das DGQ-Beratungsangebot zum Thema TISAX

Bei Interesse an einer Inhouse-Schulung oder einem Beratungsangebot zum Thema „TISAX“ wenden Sie sich gerne an die DGQ Weiterbildung, Team Inhouse und Consulting. Hier stehen Ihnen unsere Expert:innen beratend zur Seite. Nehmen Sie Kontakt mit uns auf:

Telefon: 069-954 24-338
E-Mail: inhouse@dgq.de
Zum Kontaktformular »

 

Weiterbildungsangebote rund um TISAX

Bei sensiblen Projekten in der Automobilindustrie hat ein sicherer Austausch von Daten und Informationen mit Zulieferern höchste Priorität. Aus diesem Grund müssen sich Dienstleister und Zulieferer bereits seit Jahren regelmäßigen Audits unterziehen. So weisen sie nach, dass sie den geforderten Reifegrad ihrer IT-Sicherheit erfüllen. Im DGQ-Training für TISAX-Assessment – Foundation Level machen Sie sich mit den Grundlagen des TISAX-Standards vertraut und erfahren alles, was für eine Zertifizierung Ihres Unternehmens nötig ist. Praktische Übungen und Diskussionen stehen dabei besonders im Fokus. Jetzt anmelden »

Im weiterführenden Training für TISAX-Assessment – Expert Level vermitteln wir Ihnen die zentralen Aufgaben, damit Sie die Funktion zum Informationssicherheitsbeauftragen (ISB) gemäß TISAX-Anforderungen erfüllen können. Dazu gehört die Koordination aller informationssicherheitsrelevanten Maßnahmen in einem Unternehmen: von der Erstellung und Durchsetzung von Sicherheitsleitlinien, Maßnahmenplänen, bis hin zur konkreten Umsetzung von IT-Sicherheitskonzepten. Jetzt anmelden »

Das TISAX-Label – für Lieferanten die Eintrittskarte in die Automobilindustrie

In der Automobilindustrie müssen Lieferanten den Herstellern (OEMs) ein hohes Schutzniveau im Bereich Informationssicherheit nachweisen – und bisher gegebenenfalls für jeden einzelnen Auftraggeber einen Sicherheitstest durchlaufen. Seitdem man sich jedoch im Rahmen der „ENX Association“, einem Zusammenschluss europäischer Automobilhersteller, -zulieferer und Verbände, auf den TISAX-Standard geeinigt hat, reicht ein Nachweis für alle OEMs. TISAX ist ein international und branchenweit anerkannter Standard für Informationssicherheit in der Automobilindustrie.

Wie wichtig ist TISAX für Lieferanten?

Das TISAX-Label ist für Lieferanten die Eintrittskarte in die Automobilindustrie. Es ist die Grundvoraussetzung, um als Zulieferer aktuell und in Zukunft mit OEMs zusammenarbeiten zu können. Mit anderen Worten: ohne Label kein Geschäft. BMW beispielsweise hat es seit 2018 als harte Forderung in seine Einkaufsbedingungen aufgenommen.

Für die Fachabteilungen der Lieferanten ist es dennoch erfreulich, dass es endlich einen dedizierten und einheitlichen Standard gibt, an dem sie sich orientieren können. TISAX wird international und branchenweit anerkannt.

Interessanterweise bekommen wir immer wieder Feedback von Kunden, die noch nichts mit einem Informationssicherheits-Managementsystem (ISMS) zu tun hatten, dass TISAX für Sie ein großer Schritt in der Weiterentwicklung ihres Unternehmens war. Neben den vielen Themenfeldern, die bei der Einführung eines ISMS abgedeckt werden, ist das Bewusstsein für Informationssicherheit in der heutigen, immer stärker vernetzten Welt, ein nachweislich wesentlicher Sicherheitsgewinn für Unternehmen.

Welche Vorteile bietet TISAX? Und wo lauern Probleme?

Zulieferer sparen sich seit Einführung des TISAX-Standards mehrere Lieferantenaudits pro Jahr und müssen sich nur noch alle drei Jahre prüfen lassen. Gleichzeitig verfügen sie über ein funktionierendes ISMS – das gibt Sicherheit und lässt nachts besser schlafen.
Jedoch Vorsicht: TISAX lässt sich nicht mal eben einfach so umsetzen. Vor allem braucht es, wie bei anderen Managementsystemen auch, das Bekenntnis der Geschäftsleitung zum Thema Informationssicherheit im Unternehmen.
Wenn man sich noch nie mit der Thematik auseinandergesetzt hat, kann die Hürde, ein solches System einzuführen, im ersten Moment relativ hoch wirken. Mit drei wesentlichen Tipps lässt sich allerdings auch diese Hürde meistern:

  • Eine gründliche Dokumentation ist die Basis für eine erfolgreiche Implementierung eines Managementsystems. Sie sollte daher gut durchdacht aufgesetzt werden.
  • Passen Sie das Managementsystem so gut es geht an Ihr Unternehmen, Ihre Ziele und eventuell bereits vorhandene Managementsysteme an, um bestmöglich Synergien zu nutzen.
  • Bereiten Sie sich umfassend und gründlich auf die Zertifizierungsaudits vor.