Informationssicherheit in der Automobilindustrie - it-sa
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Informationssicherheit in der Automobilindustrie
Joachim Astel
Vorstand noris network AG
Wolfgang Bartsch
Leiter Inhouse-Kommunikation, VDA
Dr. Martin Unterberger
Leiter AK Informationssicherheit im VDA
Lennart Oly
Geschäftsführer, ENX Association
TISAX – Ein Testierungsmodell zur Informationssicherheit in der Automobilindustrie
it-sa, 11. Oktober 2017, Nürnberg
Joachim Astel
Vorstand noris network AG
Wolfgang Bartsch
Leiter Inhouse-Kommunikation, VDA
Dr. Martin Unterberger
Leiter AK Informationssicherheit im VDA
Lennart Oly
Geschäftsführer, ENX Association
TISAX – Ein Testierungsmodell zur Informationssicherheit in der Automobilindustrie
it-sa, 11. Oktober 2017, Nürnberg
Zertifizierungen
Automotive
Joachim Astel
Vorstand
noris network AG
Freiraum schaffen für Innovation, Kreativität, Produktivität
Normen und Zertifizierungen – Banken im RZ
Wesentliche regulatorische Anforderungen an Banken:
Banken haben regulatorisches Anforderungen
• Auslagerung von Aktivitäten und Prozessen nach § 25b KWG (Kreditwesengesetz)
• AT 9 der MaRisk (MaRisk) – bankenaufsichtliche Vorgaben zu Auslagerungsprozessen
• Konkretisierung der MaRisk-Maßgaben für IT-Themen werden in Kürze mit der neuen BAIT (bankenaufsichtliche
Anforderungen an die IT) konkretisiert werden.
Wesentliche Maßgaben der Banken zur Umsetzung der Regulatorik beim Provider:
• ISAE 3402 oder IDW PS 951 Testierung durch Wirtschaftsprüfer
zum Nachweis der IT-Governance beim Dienstleister (COSO/COBIT 5)
• EN 50600 Rechenzentrumsnorm - Sicherheit, Technik und Organisation im RZ
• ISO 27001 ISMS (Informationssicherheits-Managementsystem)
• BCM (Business Continuity Management) nach ISO 22301 oder Notfallmanagement nach BSI 100-4 (bzw. kommend BSI
200-4)
• CSR (Corporate Sustainability Report)Normen und Zertifizierungen – Automotive Wesentliche Anforderungen an Automobilzulieferer: ISO 9001 – QMS (Qualitätsmanagement-System) IATF 16949 – „Automotive“-Forderungen an ein Qualitätsmanagementsystem, seit Ende 2016 Nachfolger von ISO/TS 16949 ISO 14001 – UMS (Umweltmanagement-System) ISO 45001 – AMS (Arbeitsschutz- und Gesundheitsschutzmanagement-System) ab 2018 – heute noch BS OHSAS 18001 CSR – Corporate Sustainability Report - Nachhaltigkeit in der Supply Chain möglich über NQC VDA-ISA – Information Security Assessment - ISO 27002 + Reifegradmessung
Externer RZ-Betreiber für Automobilzulieferer
Schnelle Time-to-market
• Wirtschaftsprüfer oder TIER1-/TIER2-Automobilunternehmen stellen hohe Forderungen an die Automobilzulieferer,
die bei Audits nicht erfüllt werden können
• Aber auch: Automobilkonzerne bilden Startups aus, die mit agilem Management schnelle Time-to-market anstreben
und hier sehr schnell neue Ressourcen benötigen (Big Data, Autonomes Fahren u. ä.)
• Bau eines eigenen campus-eigenen RZs dauert typischerweise 1 bis 2 Jahre
gegenüber der sofortigen Verfügbarkeit eines externen RZ-Betreibers
Effizienz- und Kostentransparenz
• externer RZ-Betreiber betreibt das Geschäftsfeld als Kernkompetenz und investiert typischerweise in
Effizienzmaßnahmen, um Wettbewerbsvorteile zu gewinnen (Green IT) und schafft durch Skaleneffekte Mehrwerte bei der
Make-or-buy Entscheidung zwischen Bau eines eigenen RZs oder Anmietung von Co-Location oder Housing-Fläche beim
externen RZ-BetreiberJoachim Astel
Vorstand noris network AG
Wolfgang Bartsch
Leiter Inhouse-Kommunikation, VDA
Dr. Martin Unterberger
Leiter AK Informationssicherheit im VDA
Lennart Oly
Geschäftsführer, ENX Association
TISAX – Ein Testierungsmodell zur Informationssicherheit in der Automobilindustrie
it-sa, 11. Oktober 2017, NürnbergAbsicherung der Supply-Chain durch Einsatz eines
Branchen-Prüfmodells zur Informationssicherheit
Wolfgang Bartsch, VDA – Verband der Automobilindustrie
Dr. Martin Unterberger – Leiter Arbeitskreis Informationssicherheit des VDA
Seite 11Der VDA
• Gründungsjahr 1901
• Über 600 Mitgliedsunternehmen der Deutschen Automobilindustrie
• PKW- , Nutzfahrzeughersteller, Anhänger- Aufbauten und
Zulieferunternehmen
• Seit 2015 Zusammenarbeit mit Startup-Unternehmen
• Standort Berlin und Brüssel
• Führt Dialog mit Industrie, Öffentlichkeit und Politik
• Schnittstelle zu Internationalen Organisationen
• Länderspezifische Roundtables
• Durchführung von Fachkongressen
• Veranstalter der IAA (Internationale Automobilausstellung)
Seite 12Der VDA - Geschäftsbereiche
Technik - Logistik - Umwelt - Forschung
Geschäfts-
Normung - Qualitätsmanagement - Historische Fahrzeuge
bereich A
Elektromobilität - Vernetzung und Automatisierung
Präsidium / Geschäfts- Zulieferindustrie - Aftermarket - Ausstellungen
Vorstand bereich B Steuern und Zölle - Recht und Versicherungen - Finanzen
Nutzfahrzeuge Anhänger Aufbauten
Geschäfts-
Wirtschaft und Klimaschutz - Märkte, Analysen, Statistik
bereich C
Europapolitik - Verkehrspolitik - Inhousekommunikation
Seite 13Der VDA - Arbeitskreise
Ausschuss Entwicklungsleiter Ausschuss Qualitätsmanagement Versicherungsausschuss
Ausschuss Güterverkehr Rechtsausschuss Ausschuss für Vertriebsfragen der Herstellergruppen
Ausschuss Historische Fahrzeuge Rohstoffausschuss Ausschuss Zölle und Verbrauchsteuern
Internationale Handels- und Wirtschaftsfragen Steuerausschuss Werkstoffausschuss
Logistikausschuss Ausschuss Technik, Sicherheit, Umwelt Arbeitskreis Abrechnungsverfahren
Ausschuss Öffentliches Auftragswesen Ausschuss Umweltmanagement Arbeitskreis Automobilkonjunktur
Presseausschuss Verkehrsausschuss Betriebswirtschaftlicher Arbeitskreis der HG II
Arbeitskreis Kundendienst Mittelstandskreis PR-Arbeitskreis
Arbeitskreis
Informationssicherheit
Arbeitskreis Brandschutz Arbeitskreis Elektrotechnik Arbeitskreis Gewerblicher Rechtsschutz
Arbeitskreis PLM Arbeitskreis Fahrzeugrecycling Arbeitskreis Handelsgeschäft der HG III
Arbeitskreis CoC-Packaging Arbeitskreis Finanzdienstleistungen Arbeitskreis Handelspolitik
Arbeitskreis Consumer Electronics Arbeitskreis Finanzen (HG III) Arbeitskreis Ideenmanagement
Arbeitskreis Daten Automobilwirtschaft Arbeitskreis Funktionsdatenaustausch Arbeitskreis Internationale Automobilausstellungen
Arbeitskreis Datenschutz Arbeitskreis Gefahrgutbeauftragte Projektkreis Kfz-Daten / -Strukturen
Arbeitskreis Digitale Fabrik Arbeitskreis Gefahrstoffe Arbeitskreis Kommunikations- und Informationstechnologie
Arbeitskreis Telekommunikation Arbeitskreis Verkehrsmanagement
Seite 14Der VDA - AK Informationssicherheit
Arbeitskreis
Informationssicherheit
Normen
Normen &&
Audit Awareness
Awareness Standards
Standards
IT-Risiko
IT-Risiko Informations-
Informations-
Kollaboration
Kollaboration Management
Management schutz
schutz
E-Mail
E-Mail Cyber
Cyber Prototypen-
Prototypen-
Sicherheit
Sicherheit Security
Security schutz
schutz
Daten-
Daten- Technologie
ISMS
ISMS
austausch
austausch Methoden
Seite 15Joachim Astel
Vorstand noris network AG
Wolfgang Bartsch
Leiter Inhouse-Kommunikation, VDA
Dr. Martin Unterberger
Leiter AK Informationssicherheit im VDA
Lennart Oly
Geschäftsführer, ENX Association
TISAX – Ein Testierungsmodell zur Informationssicherheit in der Automobilindustrie
it-sa, 11. Oktober 2017, NürnbergHerausforderung: Informationssicherheit und
Digitalisierung über Unternehmensgrenzen
Wirtschaft und Gesellschaft sind einer stetig zunehmenden Gefährdung durch
Angriffe aus dem „Cyberraum“ ausgesetzt, z. B.
Informationsgewinnung, Know-how Abfluss
Kompromittierung von Netzwerken und Systemen mit Schadsoftware
Das Sicherheitsbewusstsein ist bei kleinen und mittelständischen
Unternehmen unterschiedlich stark ausgeprägt.
Informationen werden in bedeutendem Umfang außerhalb
unternehmenseigener Systeme oder Rechenzentren be- und verarbeitet, z. B.
bei Lieferanten bzw. Dienstleistern,
bei Service-Providern in so genannten „Clouds“
Informationen können durch die Lieferanten bzw. Dienstleister an weitere
Unterlieferanten („Sub-Contractors“) zur Bearbeitung weitergegeben werden
und sind damit dem „Einflussbereich“ des Auftraggebers weitestgehend
entzogen.
Seite 17Projekt im VDA: Optimierung von Prüfungen zur
Informationssicherheit bei Lieferanten
Ausgangssituation TISAX1) Modell
Signifikante Reduzierung des
Bei heutiger Prüfpraxis hoher Aufwand für
Kunden und Lieferanten Prüfaufwands zur Informations-
sicherheit für Kunden und
Lieferant wird mit ähnlichen Anforderungen Lieferanten
unterschiedlicher Kunden konfrontiert (Extrem:
Sicherstellung brancheneinheitlicher
jeder Kunde prüft jeden Lieferanten)
Anforderungen an ein anerkanntes
Initiierung eines Projekts im VDA zur Sicherheitsniveau durch
"Optimierung von Prüfungen zur Anwendung des allgemein
Informationssicherheit bei Lieferanten“ akzeptierten Prüfungsstandards
Unter dem Dach des VDA (Verband der VDA-ISA
Automobilindustrie) wurde gemeinsam das sog. Branchenweite, gegenseitige
TISAX1) Modell entwickelt
Anerkennung von Prüfergebnissen
Befürwortung der Gremien des VDA zur
Vermeidung redundanter
Nutzung des Modells
Prüfungen
1) Trusted Information Security Assessment Exchange
Seite 18TISAX-Modell: Branchenweite Anerkennung von
Prüfergebnissen auf Basis von Standardprüfungen
1
Dienstleister der Automobilindustrie
Automobil-Hersteller und Zulieferer/
Assessment-Standard: VDA-ISA 3.0
fragt TISAX
(Adaptierung ISO/IEC 27002:2013)
Testat ab
Governance
Akkreditierung
Monitoring
Assess-
ments
A akkreditiert
6
TISAX-akkreditierte Prüfdienstleister
(Assessment & Testaterstellung)
liefert Prüfergebnisse 5 beauftragt gegen Bezahlung 3 führt Prüfung durch 4
fordert
Assess-
ment an
Lieferanten mit informationssicherheitsrelevanten
2 Geschäftsbeziehungen zur Automobilindustrie
Seite 19Ergänzung: Möglichkeiten zur Steuerung und
Verwaltung von Prüfungen durch Managed Service
Dienstleister der Automobilindustrie
Assessment-Standard: VDA-ISA 3.0
Automobil-Hersteller und Zulieferer/
TISAX = Trusted Information
(Adaptierung ISO/IEC 27002:2013)
Security Assessment Exchange
Managed Service
beauftragt steuert und verwaltet
Governance
Prüfungen im Auftrag Akkreditierung
B
A akkreditiert
TISAX-akkreditierte Prüfdienstleister
(Assessment &Testaterstellung)
5 3 4
liefert Prüfergebnis beauftragt gegen Bezahlung führt Prüfung
1 durch
fordert
Assess- Lieferanten mit informationssicherheitsrelevanten
ment an
Geschäftsbeziehungen zur Automobilindustrie
Seite 20Joachim Astel
Vorstand noris network AG
Wolfgang Bartsch
Leiter Inhouse-Kommunikation, VDA
Dr. Martin Unterberger
Leiter AK Informationssicherheit im VDA
Lennart Oly
Geschäftsführer, ENX Association
TISAX – Ein Testierungsmodell zur Informationssicherheit in der Automobilindustrie
it-sa, 11. Oktober 2017, NürnbergDie ENX Association Die im Jahr 2000 gegründete ENX Association ist ein Zusammenschluss von Automobilherstellern, Zulieferern und vier nationalen Automobilverbänden. Ziel ist es, sichere und vertrauenswürdige Zusammenarbeit in industriellen Wertschöpfungsnetzwerken zu ermöglichen und zu vereinfachen. ENX mit seiner Vereinsstruktur ist Initiator und Träger gemeinsamer Standards und darauf basierender, interoperabler Dienstleistungen. ENX agiert als neutrale Steuerungs- und Eskalationsinstanz sowie als Motor kontinuierlicher Weiterentwicklung im Sinne der Anwender. Unter den Anbietern, die unsere Lösungen verfügbar machen, muss Wettbewerb bestehen. Hierzu zertifiziert bzw. akkreditiert die ENX Association Dienstleister nach technischen Kriterienkatalogen und schließt Verträge, die eine Kontrolle ermöglichen.
TISAX Governance Die ENX Association ist die Governance-Organisation des TISAX. ENX registriert die Teilnehmer, akkreditiert die Prüfdienstleister und überwacht die Qualität der Durchführung und Prüfergebnisse. ENX wird dabei durch das TISAX Committee unterstützt, dem gleichermaßen Vertreter von Herstellern, Zulieferern und Verbänden angehören. Die Zulassung von Prüfdienstleistern basiert auf einem Katalog von Anforderungen, den sogenannten TISAX ACAR (TISAX Accreditation Criteria and Assessment Requirements). Rechtlich wird die Kontrollfunktion durch ein Vertragskonstrukt abgesichert, bei dem die ENX Association Verträge mit allen Beteiligten hält, Prüfdienstleistern wie auch Teilnehmern. Das gesamte Vertragswerk ist konsequent am deutschen Recht ausgerichtet.
TISAX Teilnahme Als registrierter Teilnehmer kann Ihr Unternehmen Prüfungen bei akkreditierten Dienstleistern beauftragen und durchführen lassen, Ergebnisse von Prüfungen für andere Teilnehmer bereitstellen und Prüfergebnisse von anderen Teilnehmern bereitgestellt bekommen. Teilnehmer sind alle Unternehmen, die im TISAX Informationen untereinander austauschen.
0
200
300
400
500
600
700
800
100
2016-27
2016-30
2016-37
2016-40
2016-45
2016-48
2016-51
Scopes
2017-03
2017-06
Participants
2017-09
2017-12
2017-15
2017-18
2017-21
TISAX Teilnehmer
2017-24
(Stand Oktober 2017)
2017-27
2017-30
2017-33
2017-36
2017-39
553 registrierte UnternehmenWir freuen uns
auf Ihre Fragen.
TISAX – Ein Testierungsmodell zur Informationssicherheit in der Automobilindustrie
it-sa, 11. Oktober 2017, NürnbergWas immer uns auf dem Weg begegnet:
Wir wollen gemeinsam ankommen.
tisax@enx.com
www.enx.com/tisaxSie können auch lesen
