Dr. Martin Unterberger, Lennart Oly, TISAX – Das Branchenprüfmodell zur Informationssicherheit und seine Bedeutung für Cyber Security in:

Eberhard Grein (ed.)

Cyber Security, page 57 - 68

Angriffe verhindern und abwehren - Militärische und zivile Infrastrukturen schützen

1. Edition 2019, ISBN print: 978-3-8288-4404-9, ISBN online: 978-3-8288-7401-5, https://doi.org/10.5771/9783828874015-57

Tectum, Baden-Baden
Bibliographic information
57 TISAX – Das Branchenprüfmodell zur Informationssicherheit und seine Bedeutung für Cyber Security Dr. Martin Unterberger, Verband der Automobilindustrie (VDA) Lennart Oly, ENX Association Unterberger: Schönen guten Tag nochmal, nachdem Sie jetzt dann auch zwei Gesichter sehen. Mein Name ist Martin Unterberger. Ich darf Herrn Lennart Oly von der ENX Association ebenfalls mit einem guten Morgen begrüßen. Wir haben jetzt das Thema Sicherheit, Cybersicherheit, Informationssicherheit – solche Worte sind ja gerade sehr häufig gefallen – von verschiedenen Facetten her gehört und ganz interessant, was ich natürlich wusste, dass ein Eurofighter mit 160 CPUs bestückt ist. Ich kann nur sagen, in einem modernen Fahrzeug heutzutage, da reden wir von einer größeren Anzahl von Steuergeräten (60–80 Steuergeräte) von denen jedes eine Zentraleinheit besitzt. Um das Ganze nochmal ein bisschen auf die Spitze zu treiben, Herr Witthauer meinte gerade, ein Fahrzeug ist ein Smartphone. Ich gehe noch ein ganz großes Stück weiter: Fortbewegungsmittel, egal ob sie nun eine Schiffsschraube oder vier Räder haben, ob sie die Ketten haben, sind vom Grunde her nichts anderes als rollende Computer, rollende Rechenzentren und rollende Rechenzentren deshalb, da wir es hier mit sehr, sehr inhomogenen Netzwerkstrukturen zu tun haben. Gerade wenn man über solche rollenden Rechenzentren nachdenkt und die Bussysteme, also die Kommunikationstechnik in solchen Systemen betrachtet, dann sind diese aus einer Zeit, als das Thema Cybersicherheit/Informationssicherheit eine eher untergeordnete Rolle gespielt hat. Ich denke hierbei an einen Begriff und der eine oder andere wird es sicherlich schon einmal in Fachzeitschriften gelesen haben: Eines der wesentlichen Bussysteme in Fahrzeugen ist der CAN-Bus. Der CAN-Bus 58 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren ist mittlerweile mehrere Jahrzehnte Jahre alt. Jetzt dann solche Systeme resilient zu machen, das ist eine riesige Herausforderung, wenn nicht gar unmöglich. Warum sage ich das als kleines Entree? Weil die Wertschöpfungstiefe in der Automobilindustrie über die letzten Jahrzehnte immer geringer geworden ist. Das heißt, die Automobilindustrie lebt eigentlich davon, dass die Entwicklungen nicht mehr nur im eigenen Haus durchgeführt wurden. Wo früher in der noch nicht klassischen analogen Welt Reißbretter das Mittel der Konstrukteure waren, da konnte ein Ingenieur noch zeichnen und Konstruktionen an einem Reißbrett entstehen. Seit mehr als 30 Jahren bedient man sich aber auch hierfür Computerprogrammen und eben nicht nur beim Automobilhersteller, – sondern auch bei externen Ingenieurdienstleistern. So langsam dürfte es eigentlich jedem im Auditorium bewusst werden: Wenn wir Daten/Informationen an Dritte übergeben, dann ist eine wesentliche Voraussetzung, dass diese Daten/Informationen bei einem Dritten in einer vergleichbaren – ich sage nicht in derselben –, Weise geschützt sein müssen als wenn diese in unserem Rechenzentrum gehalten werden. Im eigenen Unternehmen sind wir selber dafür verantwortlich, dass die Daten/Informationen in einer vergleichbaren Weise behandelt und prozessiert werden müssen. Das Ganze geht noch weit über die ganzen Themen der Entwicklung hinaus. Man denke einfach mal ein Stück weiter. Ein Fahrzeug, wenn es dann entwickelt ist, muss auf die Straße gebracht werden, also in einen fahrbereiten Zustand gebracht werden. Dabei geht es eben nicht nur um die Vertraulichkeit, die bei meinen Vorrednern stärker in den Vordergrund getreten war. Wenn wir an eine Produktion denken, dann denken wir sofort an Logistikketten. Das heißt, die Verfügbarkeit von Informationen muss gewährleistet sein. Also ein zweites Schutzziel, nämlich neben der Vertraulichkeit auch die Verfügbarkeit, dass Information zum richtigen Zeitpunkt am richtigen Ort vorhanden ist. Eine der Schadsoftware, die Herr Setzer vorher an die Wand geworfen hat, nämlich WannaCry, hat beim einen oder anderen Lieferanten dazu geführt, dass in der Folge die Lieferkette nahezu abgerissen ist. Jetzt stellen Sie sich mal vor, wenn auf einmal das Band stillsteht und zehntausende von Mitarbeitern nicht wissen, was sie tun sollen: vespern, ein gutes Bier trinken oder sonst was. Die Verfügbarkeit ist eine ganz wichtige Säule im Bereich der Informationssicherheit. Last but not least, wenn natürlich so ein Fahrzeug dann produziert ist, auf der Straße ist, dann ist eine Verbindung mit Smartphones usw., heute Standard. Der 59 Unterberger/Oly: TISAX Kunde möchte, dass seine Daten unverfälscht sind. Die Integrität ist ein weiteres wichtiges Schutzziel. Also die drei elementaren Schutzziele sollte man aus unserer Sicht über den Komplex Informationssicherheit stellen. Jüngste Fälle zeigen, dass in besonderem Maße die Automobil in dustrie ein prominentes Ziel von diesen – ich sage nicht nur bösen Jungs, sondern es gibt auch Mädels, die hacken können – sind. Stellvertretend ist in der Folge der eine oder andere Fall herausgegriffen. Lennart, vielleicht sagst du zwei Sätze noch dazu. Du hast die Folie, glaube ich, gemalt. Oly: Sie sehen auch in der hier gezeigten Darstellung im Wesentlichen WannaCry als Beispiel, wenn in der Presse davon geschrieben wird, dass bei einem Hersteller die Produktionsbänder angehalten worden sind. Wir haben auch in der automobilen Zulieferkette Angriffe gesehen, zum Teil erfolgreiche Angriffe, so dass die Automobilindustrie sich die Frage stellen wird, wie weit eigene Lieferfähigkeit und die Lieferfähigkeit von Lieferanten durch Cyberangriffe im Risiko steht. Ein Thema, über das wir sicherlich vor zehn Jahren in unserer Industrie so noch nicht gesprochen haben. Aus dem, was Martin Unterberger gerade schon ausgeführt hat, und auch dem, was Sie hier in unserer Präsentation an Presseveröffentlichungen zu Incidents sehen, verstehen Sie vielleicht schon, dass wir uns in einem Bereich befinden, der über ein einzelnes Unternehmen hinaus geht. Herr Generalmajor Setzer hat deutlich gemacht, es gibt in seiner Organisation das Intranet und es gibt das Internet, auf das wir alle zugreifen. Wir haben in der Automobilindustrie noch eine Zwischenwelt, die wir Extranet nennen. Hunderte von Unternehmen, die, wenn ein VW Golf gebaut wird oder ein BMW 3er vom Band läuft, Teile liefern oder direkt in die Entwicklungszusammenarbeit eingebunden sind, bewegen sich in Extranets wie dem von uns betriebenen ENX Netzwerk. Wenn wir jetzt noch diejenigen mitbetrachten, die z. B. Fotos von den Fahrzeugen machen, bevor sie auf den Markt kommen, die noch nicht in der Zeitung zu finden sein sollen, aber bereits für Prospekte oder den Vorstand benötigt werden, wenn wir all die Übersetzer, die Menschen, die sich um Dokumentation kümmern, um Druck, dann sprechen wir plötzlich von tausenden von Unternehmen, denen wir vertrauen müssen und bei denen Probleme auftauchen können. 60 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren Und – auch das ist schon heute genannt worden, gerade von unserem Vorredner: Am Schluss vertrauen uns Millionen von Autofahrern und -fahrerinnen. In Zukunft müssen wir uns daran gewöhnen zu sagen: Fahrzeugnutzer und -nutzerinnen. Das ist der Raum, in dem wir uns bewegen und in dem es zu Vorfällen kommt, auch immer wieder kommen wird. Wir müssen sehen, dass wir das Risiko kleinhalten und das bedeutet, es kleinzuhalten gemeinsam über ganz viele Stufen der Zulieferkette hinweg. In der ENX Association, einem europäischen Verein, mussten wir zunächst die Anforderungen von Deutschland und Frankreich, von Spanien und UK unter einen Hut bringen und uns überlegen, wie wir in partnerschaftlicher Zusammenarbeit eine Governance über Organisationen ausüben, auf die wir keinen direkten hierarchischen Zugriff haben. Zulieferer sind unabhängig. Wir wollen als Industrie da aus dem Wettbewerb schöpfen. Das heißt aber auch, wir müssen Wege finden, der Zusammenarbeit und der Steuerung der Zusammenarbeit, die über reine hierarchische Aufforderungen hinausgehen. Das ist Gegenstand dessen, was wir mit TISAX entwickelt haben. Unterberger: Ich sagte es eingangs bereits: Die Komplexität in den ganzen Systemen wird immer größer, egal ob das nun komplexe IT-Architekturen sind, stellvertretend habe ich es für ein Fahrzeug beschrieben, unterschiedliche Bussysteme sind verbaut. Diese werden „intelligent“ durch Softwareprogramme sowie Softwareservices. Zudem sind solche Schlagworte wie Industrie 4.0, Internet of Things und Nutzung von Clouddiensten in aller Munde. So viele graue Haare habe ich nicht, aber dafür gehen dann die Haare aus – aber das ganze Thema Clouddienste beschäftigt aktuell ganze Heerscharen in den Unternehmen. Dort steht im Wesentlichen das Thema Vertraulichkeit und Integrität im Vordergrund. Das Thema Verfügbarkeit ist bei den Clouddiensten ein herausragendes Merkmal. Sie bieten uns per se redundante Systeme an. Das ganze Thema – man hat es im Vortrag von Herrn Witthauer schon einmal gehört, er hat mir da eine Steilvorlage gegeben – vernetztes Fahren, heute schon Realität, vor zehn Jahren hätte man gedacht: Na ja, also lass die Gespinnerten da mal, dann reden wir in 50 Jahren darüber. Die 50 Jahre, das hat sich innerhalb von zehn Jahren komplett gewandelt. Mobile Computing, muss ich auch nichts dazu sagen und dann komme ich ei- 61 Unterberger/Oly: TISAX gentlich zu dem, dass eben heute teilweise völlig intransparente Lieferketten vorhanden sind. Man stelle sich Folgendes vor – ich sagte das vor ein paar Minuten –, dass wir eben Daten/Informationen an Dritte übergeben. Damit ist es nicht getan und stellvertretend nehme ich da mal zwei, drei Firmen, die First-Tier-Zulieferer, ob das eine ZF in Friedrichshafen ist, ob das eine Firma Bosch ist oder ob das Continental ist. Man darf nicht so blauäugig sein zu denken, dass dann diese Daten dort bearbeitet, verarbeitet und sonst was werden und die Welt ist heile. Das heißt, wir haben dort in der dritten, vierten, fünften Reihe weitere Dienstleister, die unsere Daten/Information weiter ver- und bearbeiten. Dabei gilt es jetzt zu überlegen, wie wir eine Basis dafür schaffen können, dass unsere Informationen außerhalb unserer eigenen Unternehmen in vergleichbarer Weise geschützt werden. Dabei kann ich zuerst einmal aus einer rein rechtlichen Sicht nur mit meinem direkten Vertragspartner Absprachen treffen. Ich kann also nur prinzipiell eine IT-Prüfung bei einem Lieferanten durchführen, mit dem ich in einem direkten Vertragsverhältnis stehe und wenn er es mir zudem gestattet. Das, was ich Ihnen jetzt alles erzählt habe, das haben nicht nur wir. Wenn ich sage „wir“, dann ist es Porsche oder der Volkswagen-Konzern, sondern das hat Daimler, das hat BMW hier in München, das hat Audi, es hat jeder Hersteller. Aber dasselbe Problem hat natürlich auch jeder Zulieferer in der Kette weiter unten. Das heißt aber, wir alle reden eigentlich im Prinzip über dasselbe, nämlich über Informationssicherheit und das ist bei weitem keine Raketenwissenschaft. Deshalb hatten wir uns überlegt und wenn ich sage „wir“, dann besagter Arbeitskreis Informationssicherheit im VDA. Dieser existiert jetzt mittlerweile seit 2003. Wir haben uns eigentlich recht bald mit diesem Thema beschäftigt, uns eine Plattform zu bauen, also Plattform nicht im technischen Sinne, sondern im organisatorischen Sinne, die da sagt: Wir suchen uns sogenannte Controls, also Prüfpunkte, aus, die für uns Relevanz besitzen. Wir entwickeln ein Prüfmodell, das die Bewertung erlaubt, ob die Partnerfirma ein geeignetes und angemessenes Informationssicherheitsmanagementsystem betreibt – denn darum geht es letztendlich. Wir werden dort keinen Angriff bei einem Bosch auf seine Firewalls durchführen, sondern letztendlich geht es darum, dass man dort bewertet, wie er seine Informationssicherheit ma- 62 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren nagt – d. h. die Informationssicherheit im Unternehmen steht im Vordergrund. In der Vergangenheit sah dies so aus, dass wir heute zu einer Prüfung gekommen sind, übermorgen kam der nächste Hersteller oder auch Zulieferer und hat gesagt: Ich möchte das sehen, wie Sie das konkret machen. Also lassen Sie mich es abkürzen: Ein Riesen Aufwand zum selben Thema mit ganz, ganz wenig zusätzlichem Erkenntnisgewinn, wenn dann vier, fünf Parteien geprüft haben. Insofern haben wir und wenn ich sage „wir“, dann waren das ein paar Hersteller, und wir haben gesagt: Okay, es muss uns doch einfach gelingen, das alles unter einen Hut zu bekommen, um damit ein abgestimmtes Branchenprüfmodell zu erstellen. Ich greife dem mal vor, denn sonst würde ich heute nicht oder würden wir heute nicht hier stehen. Es ist uns natürlich gelungen, die Automobilgemeinde unter einen Hut zu bringen, denn jeder kam am Anfang zu mir an – ich leite den Arbeitskreis jetzt mittlerweile seit sechs Jahren: Wir haben da so spezifische Anforderungen, überhaupt bei uns geht es dann neben den Daten, und es gibt natürlich auch noch physische Themen, wie ein Prototyp, ein Fahrzeugprototyp, der auf der Straße steht oder bewegt wird, wo eben jetzt Sichtbares Betrachtungsgegenstand ist. Digital ist der Prototyp, wenn er konstruiert wird. Ein häufiges Argument war, dass die Hersteller einen ganz anderen Katalog hatten. Da habe ich gesagt: Verstanden, jetzt bitte Transparenz, dann legen wir alle unsere Kataloge nebeneinander. Ob Sie mir das glauben oder nicht, bei 98 Prozent hatten wir eine Überdeckung, in Nuancen gab es vielleicht in der Wortwahl Unterschiede. Zum Schluss konnten wir dann – und das war vor etwa vier Jahren –, einen Katalog präsentieren, einen Prüfkatalog vorlegen, zu dem jeder in diesem Arbeitskreis Informationssicherheit im VDA seine Zustimmung gegeben hat Es ist uns gelungen, diesen Katalog letztendlich zu verabschieden und als Grundlage des Prüfmodells zu machen. Jetzt haben wir unisono gesagt: Das Modell ist vorhanden, aber die Ressourcen haben wir alle nicht, dass wir dort Prüfungen durchführen. Dann entwickeln wir ein Brokermodell, bei dem eine zentrale Stelle die Prüfungen steuert und verwaltet. Das war die Arbeitsbezeichnung für das TISAX-Modell und TISAX steht – dann löse ich das auch auf – für Trusted Information Security Assessment Exchange. Vereinfacht gesprochen heißt das: Ein Participant oder ein Lieferant – ich sage mal Lieferant – lässt sich einmal durch einen akkreditierten Prüfdienstleister prüfen und das Ergebnis wird von allen anderen in der 63 Unterberger/Oly: TISAX Community anerkannt. Das ist ein Riesenerfolg des Modells bezüglich auftretender Aufwände und Kosten. Konkret bedeutet dies, einmal zu prüfen, dann dieses Testat hochzuhalten und zu sagen: Ja, ich betreibe hier ein vernünftiges Informationssicherheitsmanagementsystem und Ihr könnt mir getrost eure Daten/Informationen überlassen. Wir haben als Dachverband den VDA, den Verband der Automobilindustrie, und damit komme ich eigentlich zu meinem Co auf einer von mir aus gesehen linken Seite, der letztendlich mit beauftragt wurde vom VDA, dieses TISAX-Modell zu betreiben. Also er übt letztendlich die Steuerung oder Governance – wie man Neudeutsch sagt – über das Modell aus. Das ENXdieses Vertrauensnetz auf Hardwarebasis, existiert seit mehr als 20 Jahren. Da habe ich gesagt: Wenn die ENX das schon mal gemacht hat, dann sprechen wir ihn doch mal an, ob er sowas nicht jetzt mit Prüfdienstleistungen machen kann. Da wird er sicherlich nachher noch zwei Sätze dazu sagen. Die ENX als Trägergesellschaft, als Governancestelle, sie wirbt und akkreditiert Prüfdienstleister, die nach diesem Fragenkatalog, nach diesen Controls prüfen dürfen. Vereinfacht gesprochen: Der Lieferant beauftragt eine Prüfung, nachdem er sich in diesem Modell registriert hat gegen eine geringe Gebühr – dazu kann Lennart Oly Auskunft geben –, er lässt die Prüfung durchführen und zu guter Letzt wird er das Prüfergebnis hochhalten können und in der Community anerkannt bekommen. Zu guter Letzt haben wir eine Datenbank aufgebaut, auf die die Mitglieder oder die Community Zugriff hat. Darauf können die entsprechenden Mitarbeiter zugreifen und bei der nächsten Vergabe validieren, ob z. B. die Firma Bosch ein geeignetes Zertifikat für einen bestimmten Standort besitzt oder ob noch Erweiterungen/Ergänzungen vorgenommen werden müssen. So, das war in doch recht ausführlichen Worten dargestellt, was sich methodisch hinter TISAX verbirgt. Len nart Oly wird jetzt in den nächsten Minuten das Ganze aus einer Perspektive darlegen, wie dies im täglichen TISAX-Umfeld aussieht. Lennart, deine Bühne. Oly: Martin, Du hast ja auch ein bisschen darüber referiert, was in der Folge auf den Einzelnen als Geprüften zukommt, oder wie er sich in dem Prozess verhält. Ich glaube, wesentlich ist wirklich deutlich zu machen, was hier auch Führung bedeutet. Wir müssen in irgendeiner Weise eine Governance über ein solches Modell ausüben, damit am Schluss einer Prüfung dann auch alle Beteiligten sich gegenseitig vertrauen. Wir müs- 64 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren sen hier aber zur Selbstständigkeit auch den Partnerfirmen verhelfen und zur Eigenverantwortlichkeit anhalten, denn nur diese kann das bewirken. Jedes Unternehmen, das Teil der Automobilindustrie ist, wird von dem Einen oder Anderen auf Informationssicherheit angesprochen und gebeten, sich einer entsprechenden Prüfung zu unterziehen. Er kommt dann zur ENX Assoziation, die als Vertrauensanker für die Automobilindustrie agiert, registriert sich, unterzieht sich damit auch einem gewissen Regelwerk – natürlich erstmal als Teilnehmer und als Unternehmen –, das dann später ein Prüfergebnis zur Verfügung stellt und wählt sich dann einen Prüfdienstleister aus. Auch das ist wesentlich und ebenso eine wesentliche Änderung gegenüber früherer Vorgehensweise, wo vielleicht der Kunde gesagt hat: Bei uns prüft die Firma XY. Das mag ein TÜV gewesen sein, das mag eine Wirtschaftsprüfungsorganisation gewesen sein, alles renommierte schlagkräftige Prüfdienstleister, aber irgendwie immer vom Kunden beauftragt und immer dann auch irgendwie für den einzelnen Zulieferer mit dem versehen, dass man doch nicht so richtig weiß, warum man den Prüfer in die eigene Firma lässt und was man ihm zeigen kann. Das haben wir in diesem Modell gemeinsam geändert. Automobilindustrie ist stets wettbewerblich getrieben. Das heißt, wir wollen eine Vielzahl von Prüfdienstleistern, wir wollen, dass die Qualitätskriterien erfüllt werden. Das stellen wir als ENX Assoziation einem Akkreditierungsprozess sicher. Dann soll aber jedes einzelne Unternehmen (gemeint ist ein potenzieller Dienstleister) doch bitte selbst in der Lage sein, sich auszusuchen, beauftrage ich die PwC, beauftrage ich KPMG, Ernst & Young, den TÜV Süd, den TÜV Nord, den TÜV Rheinland, etc. All diese spielen hier – und einige andere – mit und ich kann diese dann einem Preiswettbewerb unterziehen. Aber vor allen Dingen bin ich dann auch sicher, dass das Prüfprocedere dann doch unter meiner Kontrolle verläuft. Denn am Schluss soll ich nicht nur ein Ergebnis für mich haben, ich soll es dann auch mit vielen anderen teilen. Ich soll es mit Porsche teilen, ich soll es mit Volkswagen teilen, mit BMW, mit Daimler und dann auch sicherlich einigen anderen außerhalb Deutschlands. Das ist eine Offenheit, die eben persönliches Committent der Einzelnen auch erfordert, die dann die Transparenz über die gesamte Lieferkette für möglichst viele von uns eben auch ermöglichen soll. So gehen dann immer mehr Unternehmen in diesen Prozess, erzielen Ergebnisse, werden geprüft. Wenn es ein schlechtes Ergebnis ist, geht man wahrscheinlich zurück ins stille Kämmerlein und versucht das erstmal 65 Unterberger/Oly: TISAX nicht mit dem Kunden zu teilen, oder wenn es notwendig ist, dann tut man es, aber irgendwann ist man gefordert, ein gutes Ergebnis zu haben und auf das arbeitet man dann eben auch im Unternehmen hin und so versuchen wir für die gesamte deutsche Automobilindustrie, für die europäische Automobilindustrie und damit auch für einen Großteil der Gesamtindustrie und sicherlich auch für Unternehmen, die sehr nah an dem Verteidigungssektor, an der Rüstungsindustrie sind, das Sicherheitsniveau insgesamt zu heben. Wir haben ja eingangs schon gelernt, wie viel vom Menschen abhängt –, wie ich hier auch agieren muss in eine Welt, in der ich nicht mehr allein bin, nicht mehr allein in meinem Unternehmensnetzwerk und nicht mehr allein in den öffentlichen Netzwerken und im Ergebnis nach – jetzt können wir sagen – seit exakt zwei Jahren haben wir bereits 1 500 Unternehmen, die sich für eine solche Prüfung registriert haben. Wir haben auch schon über 1 000–1 250 mögen es jetzt sein – geprüfte Standorte, Produktionsstandorte, Entwicklungsstandorte. Jede dieser Prüfung hat eine dreijährige Gültigkeit, damit es auch irgendwie wirtschaftlich für die einzelnen Beteiligten darstellbar ist. Herr von Kirchbach hat es schon gesagt, am Schluss kommt es drauf an, dass man auch dann tatsächlich in der Lage ist, zu handeln und für unsere Zulieferer kommt es auch darauf an, nicht nur sich in Audits zu ergehen – so wichtig die sein mögen –, sondern am Schluss auch dann zu handeln, zu produzieren, zu entwickeln und unseren Herstellern Produkte zu liefern. Also nicht eine jährlich wiederkehrende Prüfung, sondern das hat dann auch mal für drei Jahre Bestand. Acht Prüfdienstleister sind es im Augenblick. Es steht zu erwarten, dass sich die Zahl nächstes Jahr fast verdoppelt und das Ganze ist natürlich nicht auf Deutschland beschränkt, so wie unsere Industrie nicht auf Deutschland beschränkt ist. Diese Prüfungen finden in aller Herren Länder, 38 sind es inzwischen, statt. Unterberger: Um das zu ergänzen: Der jüngste Prüfkandidat, vor zwei Wochen dazugekommen, ist ein Zulieferer aus Australien, den wir in das System mit einschleusen. Da bin ich selbst mal gespannt, welcher akkreditiere Prüfdienstleister Prüfkapazität in Australien zur Verfügung stellen wird. 66 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren Oly: Zusammenfassend kann man sagen: Sie benötigen, um ein solches Modell zu betreiben, wahrscheinlich tatsächlich so etwas wie einen Vertrauensanker, der Komplexität herausnimmt. Sie wollen nicht, dass alle Automobilhersteller jeder für sich auf die Zulieferer zugehen. Sie wollen das Ganze aber auch an einer Stelle verankern, wo der Zulieferer sich aufgehoben fühlt, der Automobilhersteller sich aufgehoben fühlt. Alle, die in der Branche zusammenarbeiten. Das ist bei uns dann die ENX Association. Sie erleichtern damit die Prüfung ganzer Lieferketten und nicht nur einzelner Partner. Herr Unterberger hat es schon gesagt, die Prüfungen werden über den einzelnen Kunden hinaus anerkannt, die einzelnen Beteiligten haben so mehr Ressourcen zur Verfügung, um sich auf das Schließen von Sicherheitslücken bzw. die Kernprozesse ihrer Tätigkeit zu konzentrieren. Dabei lässt sich auch feststellen, dass die Grenzen der Automobilindustrie sehr fließend sind, in andere Branchen hinein. Die Automobilindustrie ist wichtiger Kunde für Unternehmen, die sich selbst ganz anders verorten, mag es der Rohstoffbereich sein, Schwingungs- und Dichtungstechnik, Produktionstechnik. All das ist im Kern auch in irgendeiner Weise automobil. Eine branchenübergreifende Nutzung und branchenübergreifende Anerkennung ist von unserer Seite sicherlich möglich, ein Angebot. Wenn ich nochmal zurückgehe auf das, was wir vor 20 Jahren in der ENX Association angefangen haben, nämlich für die Automobilindustrie ein gemeinsames Kommunikationsnetzwerk aufzubauen, wenn Sie so wollen, ein privates Internet, abgesichert und getrennt vom öffentlichen Internet, dann sehen wir, wie gut es funktioniert, dies in Teilbereichen in andere Branchen hineinzutragen. Dieses ENX Netzwerk war schon immer irgendwie unmodern, weil schon vor 20 Jahren die Menschen gesagt haben: Irgendwann kommt doch das öffentliche Internet und dann leben wir alle nur noch darin und brauchen dann keine davon getrennten Mechanismen mehr. Heute – mit den Verfügbarkeitsrisiken, die Herr Unterberger angesprochen hat, mit den allgemeinen Cyberrisiken – kann das nochmals neu bewertet werden. Für sich bewertet hat dies z. B. die französische Wehrbeschaffung unter dem französischen Verteidigungsministerium. Die Delegation générale de l’Armement hat das ENX Netzwerk für die eigene Kommunikation mit privaten Partnern entdeckt. 67 Unterberger/Oly: TISAX Die Aussage war – wir haben sie heute im Raum heute erfreulicherweise auch schon gehört: Wir müssen nicht nochmal erfinden, was schon erfunden worden ist. Und wenn es für eine bestimmte Branche tauglich und nach allgemeinen Kriterien als sicher oder sicher genug zu betrachten ist, dann kann das auch anwenden wer selbst aus einem völlig anderen Bereich kommt. In diesem Sinne können wir Sie nur ermuntern, auf uns zuzukommen und zu schauen, was wir lernen können und welche Partner heute schon betroffen sind. Wir wollen verstehen, welche Anforderungen Sie an Ihre privaten Partner stellen und wie diese dann auch in weiteren Entwicklungsstufen bei TISAX wieder berücksichtigt werden können. Wir freuen uns auf den Dialog.

Chapter Preview

References

Zusammenfassung

Unwägbarkeiten im Internet betreffen Bundeswehr, zivile Infrastruktur und nicht zuletzt auch deutsche Unternehmen und Schlüsselindustrien gleichermaßen. Dabei besteht die Gefahr, dass militärische Daten gestohlen oder aber vertrauliche Informationen, wie z. B. Patente oder auch Dokumente aus dem Bereich der Politik mit außen-, verteidigungs-, sicherheits- oder rüstungspolitischen Bezügen, von Behörden und Unternehmen gehackt werden. Unter der Überschrift „‚Cyber Security‘. Angriffe verhindern und abwehren – Militärische und zivile Infrastrukturen schützen“ wollen Konferenz und Tagungsband für die Aktualität ihres Themas sensibilisieren, Gefahren aufzeigen und mögliche Lösungsansätze präsentieren. Mit Beiträgen von Eberhard Grein, Oswin Veith, Hans-Peter von Kirchbach, Jürgen Jakob Setzer, Hans-Christian Witthauer, Martin Unterberger, Lennart Oly, Uli Lechte, Bernd Schlömer, Philipp S. Krüger, Patrick O’Keeffe, Martin Unterberger, Julia Egleder, Benjamin Vorhölter