– auf Autopilot
Mit TrustSpace automatisieren Sie das Management Ihrer Informationssicherheit.
Ihre All-in-One Lösung für IT Compliance.
Die Automobilindustrie zählt mit einem jährlichen Umsatz von etwa 400 Mrd. €, fast 800.000 Beschäftigten und einem Exportwert von 200 Mrd. € zu den wichtigsten Industriezweigen der Bundesrepublik. Dabei gilt Volkswagen mit rund 120 Produktionsstandorten in 19 europäischen Länden, sowie 10 Ländern Amerikas, Asiens und Afrikas zu den größten Automobilherstellern weltweit. Neben diesen beeindruckenden Zahlen zeichnet sich die Automobilindustrie auch durch ihre global vernetzten, komplexen Lieferketten aus. Allein die Volkswagen AG nutzt in der Produktion die Leistungen von etwa 40.000 Lieferanten.
Da der Sektor weitestgehend auf “Just-in-Time”-Produktion setzt, um spezifische Bedürfnisse der Kunden zu erfüllen, ist eine effiziente und belastbare Lieferkette von zentraler Bedeutung. Wie in unseren vorherigen Beiträgen erläutert, wird diese jedoch durch die Nutzung innovativer Informations- und Kommunikationstechnologien zu einem zunehmend beliebten Angriffsziel für Cyberkriminalität.
Welche Anforderungen stellen OEM und Tier-1-Zulieferer an die IT-Sicherheit ihrer Partner und welche Konsequenzen resultieren daraus für die Cyberresilienz der gesamten Lieferkette?
Die Automobilindustrie ist für ihre langen, komplexen Lieferketten bekannt, denn ein Auto besteht durchschnittlich aus mehr als 10.000 Einzelteilen – diese können wiederum aus mehreren Komponenten bestehen. Nicht zuletzt aufgrund von Effizienz- und Kostengründen wird die Produktion der meisten Bestandteile an spezialisierte Unternehmen ausgelagert.
Im Allgemeinen werden die Zulieferer der Automobilindustrie in Tier 1,2 und 3 unterteilt. Tier 1-Unternehmen sind dabei die Zulieferer, die direkt an den Automobilhersteller (OEM) liefern. Diese arbeiten in der Regel mit weiteren Unterlieferanten zusammen, die dann entsprechend ihrer Stellung als Tier 2- oder Tier-3-Unternehmen kategorisiert werden. Die Fertigungstiefe in der Automobilindustrie variiert zwar, liegt über die gesamte Wertschöpfung im Schnitt jedoch bei etwa 30%, was bedeutet, dass 70% der Leistung durch Zulieferer erbracht wird. Zu den größten Zulieferern gehören Bosch, Continental und ZF Friedrichshafen.
Der Einsatz digitaler und innovativer Informations- und Kommunikationstechnologien zwischen den Akteuren der Lieferkette hat zwar positive Auswirkungen auf die Produktivität, Effizienz und Flexibilität der Prozess, erhöht jedoch die Angriffsfläche für Cyberkriminalität enorm. So nutzen Hacker Unternehme mit keinem oder geringen IT-Sicherheitsvorkehrungen als Eintrittstor für die Kompromittierung weiterer Akteure.
Aus der zunehmenden Gefahr durch Cyberkriminalität ziehen die Hersteller nicht nur Konsequenzen für die eigenen Vorkehrungen, sondern auch für dir IT-Sicherheitsanforderungen, die sie an Zulieferer und Dienstleister stellen.
Eine branchenübergreifende IT-Sicherheitspflicht gibt es bis dato nicht, denn die Pflichten ergeben sich eher aus den Gesetzten diverser Rechtsgebiete, die nicht für jeden Sektor gleichermaßen Anwendung finden. Auch deswegen ist es für Unternehmen nicht immer einfach ihre sicherheitsrechtlichen Pflichten zu kennen und entsprechend umzusetzen. Bislang ist die Implementierung und Zertifizierung eines Informationssicherheitsmanagementsystems (ISMS) lediglich für die Betreiber kritischer Infrastrukturen verpflichtend. Dazu zählen beispielsweise die Sektoren Energie, Transport und Verkehr, sowie das Finanz- und Versicherungswesen, denen aufgrund der Versorgungssicherheit eine hohe Relevanz zugewiesen wird.
Der Vorteil branchenweiter Sicherheitsstandards ist dabei klar erkennbar: eine gut aufgestellte Cyber- und Informationssicherheit schützt nicht nur die Netzwerke einzelner Unternehmen vor unbefugten Zugriffe, sondern unterstützt auch die Resilienz der gesamten Lieferkette. Indem einzelne Akteure grundlegende Sicherheitsmaßnahmen einhalten, vermindern sie das Risiko als Eintrittstor in die Supply Chain genutzt zu werden und machen sie gleichzeitig zu einem zuverlässigen Partner.
Auch wenn die Vorteile der Einführung grundlegender Informations- und Cybersicherheitsmaßnahmen klar erkennbar sind, scheitert es bei den meisten Unternehmen noch immer an der konkreten Umsetzung. Obwohl die Mehrheit der kleinen und mittelständischen Unternehmen bereits zum Opfer eines Cyberangriffs geworden ist, scheuen sich viele noch immer vor dem finanziellen und personellen Aufwand, der mit der Implementierung und Zertifizierung eines ISMS einhergeht. Dabei übersteigt der mögliche Schaden, der durch einen erfolgreichen Angriff entsteht, die Kosten einer adäquaten IT-Sicherheitslösung deutlich.
Das Blatt wendet sich jedoch, wenn wichtige OEM oder Tier-1-Zulieferer die Erfüllung konkreter IT-Sicherheitsanforderungen von ihren Partnern verlangen und die Nichteinhaltung mit einem Auftragsverlust einhergeht. So verlangt Volkswagen eine TISAX-Zertifizierung von allen Zulieferern bis Ende 2023. Nicht zuletzt durch diese Forderung stehen nun auch Unternehmen in Zugzwang, die ein zertifiziertes ISMS zuvor nicht in Betracht gezogen oder priorisiert haben.
Die erhöhten Informations- und Cybersicherheitsanforderungen sorgen in vielen Unternehmen nicht unbedingt für Begeisterung, denn je nach Status quo ist ein gewisser Ressourcenaufwand für das “Projekt Informationssicherheit” notwendig. Folglich wird eine Zertifizierung nach ISO 27001 oder TISAX als Hürde und weniger als Chance erkannt.
Jedoch: neben dem Imagegewinn bei Automobilherstellern, Schutz der eigenen Unternehmenswerte aber auch der Bewusstseinsschärfung der Mitarbeiter, ist ein zertifiziertes ISMS ebenso sinnvoll für die Cyberresilienz der gesamten Lieferkette.
Lieferketten zeichnen sich immer auch durch Abhängigkeiten aus – sei es der Auftraggeber, der von der Erfüllung der Leistungen der Zulieferer abhängig ist oder auch der Zulieferer, der sich auf die Einnahmen durch den Auftraggeber verlässt. Die Gefahr der Kompromittierung eines Akteurs der Lieferkette ergibt sich also nicht nur aus dem Risiko für das eigene Netzwerk, sondern auch durch die Folgen eines möglichen Ausfalls der Geschäftskontinuität des eigenen Unternehmens. Nicht selten müssen aufgrund einer Cyberattacke ganze Prozesse vorübergehend abgeschaltet oder sogar die Geschäftstätigkeit kurzfristig eigestellt werden. Dadurch stellt sich insbesondere in Sektoren mit langen, komplexen Lieferketten, wie in der Automobilindustrie, ein “Dominoeffekt” ein. Ausreichende IT-Sicherheitsvorkehrungen sind also nicht nur aus der Perspektive der Informations- und Cybersicherheit relevant, sondern auch für die Aufrechterhaltung aller Prozesse der Lieferkette unumgänglich.
Die Lösung ist dabei einfach: eine ausreichende IT- und Cybersicherheit schützt nicht nur einzelne Akteure, sondern die gesamte Lieferkette. Warum es ohne konkrete Verpflichtung dennoch so schwer ist branchenweite Standards umzusetzen, lässt sich mit der Spieltheorie und sozialen Dilemmata erklären. Jedes Unternehmen verfolgt seine individuellen Interessen, die in diesem Falle daraus bestehen sich auf die Sicherheit der anderen Akteure zu verlassen und selbst möglichst gewinnmaximierend zu produzieren. Würde jedoch jedes Unternehmen nur einen geringen Teil seiner Einkünfte in die Umsetzung von Informationssicherheitsmaßnahmen stecken, würde ein neues Optimum erreicht werden – Cyberresilienz über die gesamte Lieferkette.
Doch auch wenn die spieltheoretische Herangehensweise nicht überzeugt, sollte es zumindest der Wettbewerbsvorteil tun, den Unternehmen, die sich frühzeitig mit der Informationssicherheit befassen, realisieren können.
In Zeiten zunehmend aggressiver Cyberattacken, sorgen sich immer mehr Unternehmen um die Sicherheit ihrer internen Prozesse und Systeme. Dabei sollte der Fokus nicht nur auf der eigenen IT-Sicherheit liegen, sondern auch entsprechende Vorkehrungen der Zulieferer und Dienstleister überprüft werden.
Die TISAX®️ (Trusted Information Security Assessment Exchange) beschreibt ein Prüf- und Austauschverfahren, welches die Informationssicherheit in der Automobilindustrie sicherstellen soll. Bei einem Assessment wird die Konformität mit den Anforderungen des VDA Information Security Assessment (VDA ISA) überprüft.
Die TISAX®️ -Zertifizierung (Trusted Information Security Assessment Exchange) beschreibt ein Prüf- und Austauschverfahren, welches die Informationssicherheit in der Automobilindustrie sicherstellen soll. Bei einem Assessment wird die Konformität mit den Anforderungen des VDA Information Security Assessment (VDA ISA) überprüft.
Chausseestraße 16
10115 Berlin
info@trustspace.io
