In den letzten Jahren sind vermehrt Besonderheiten bei den Angriffen auf die IT-Security in der Fertigungsindustrie auffällig geworden. So werden gerade in dieser Branche besonders häufig die Netzwerke von Unternehmen ausgespäht und sind somit anfälliger für Cyberangriffe und Cyberkriminalität. Dem soll nun entgegengewirkt werden.
So hat die IATF aktuell das CB-Kommuniqué 2019-009 veröffentlicht, in dem zusätzliche sanktionierte Interpretationen (kurz, SI´s) zur Norm IATF 16949 angekündigt wurden. Diese ändern/ergänzen die bestehenden Anforderungen der Norm IATF 16949 in Kapitel 6.1.2.3 & 7.1.3.1 im Hinblick auf die Produktionsinfrastruktur und das Notfallmanagement deutlich. Als Resultat kann die Nicht-Einhaltung der neuen Anforderungen im Bereich Cybersecurity nun als Abweichung in Audits definiert werden.
Doch zurück zum eigentlichen Inhalt der neuen Anforderungen: Was wurde geändert/erweitert und was gilt es nun zu beachten?
Ganz konkret sind die Anforderungen der bestehenden Bereiche Cybersecurity und Cybersicherheit in puncto Produktionssicherheit erweitert worden:
Zusätze im Bereich Notfallplan
Ab sofort müssen in Unternehmen Notfallpläne für Cyberangriffe auf Informationstechnologiesysteme implementiert werden.
Begründet wurde diese Erweiterung, dass sich Unternehmen mit der Möglichkeit eines Cyberangriffs befassen müssen, der die Produktions- und Logistikbetriebe des Unternehmens beeinträchtigen könnte. Unternehmen müssen sicherstellen, dass sie auf einen Cyber-Angriff vorbereitet sind.
Außerdem müssen Unternehmen die periodische Überprüfung der Notfallpläne auf Wirksamkeit (z.B. durch Simulationen) einführen. Cybersicherheitstests können eine Simulation eines Cyberangriffs, regelmäßige Überwachung auf spezifische Bedrohungen, Identifizierung von Abhängigkeiten und Priorisierung von Schwachstellen beinhalten.
Da Cybersicherheit ein wachsendes Risiko für die Nachhaltigkeit der Fertigung in allen Produktionsstätten, einschließlich der Automobilindustrie, geworden ist, wurden diese Notfalltests als klärungsbedürftiger Bereich identifiziert. Cybersicherheitstests können sowohl intern von dem Unternehmen durchgeführt als auch extern vergeben werden.
Zusätze im Bereich Anlagen-, Betriebsmittel- und Ausrüstungsplanung
Das Unternehmen muss einen multidisziplinären Ansatz verfolgen, der Methoden zur Risikoidentifikation und -minderung umfasst, um Pläne für Anlagen, Einrichtungen und Ausrüstungen zu entwickeln und zu verbessern. Bei der Gestaltung von Anlagenlayouts soll das Unternehmen den Cyberschutz von Geräten und Systemen zur Unterstützung der Fertigung implementieren.
Da sich Cybersicherheit nicht auf die Supportfunktionen und Bürobereiche mit Computern beschränkt, sondern auch die Fertigung computergestützte Kontrollen und Geräte verwendet, die für Cyberangriffe gefährdet sind, ist dieser Zusatz von der IATF als notwendig erachtet worden. Diese Ergänzung treibt die Implementierung der notwendigen Schutzvorkehrungen voran, um den weiteren Betrieb und die Produktion entsprechend den Kundenanforderungen sicherzustellen.
Möglichkeiten der Umsetzung
Um der eingangs erwähnten Nicht-Einhaltung und damit der möglichen Abweichung bei Audits und Zertifizierungen vorzubeugen, gibt es sinnvolle Maßnahmen, die Ihnen zur Verfügung stehen.
So bietet die Zertifizierung nach TISAX oder ISO 27001 ein probates Mittel, die Themenbereiche der Cybersecurity in Bezug auf die Produktionsinfrastruktur abzubilden und die entsprechende Sicherheit zu gewährleisten, ohne ein Parallelsystem und somit vermeidbare Redundanz aufzubauen.
Und auch ohne die Zertifizierung der oben genannten Normen besteht die Möglichkeit, die genannten Anforderungen in Ihrem Unternehmen pragmatisch, wirksam und zielgerichtet zu verwirklichen.
Hierzu beraten Sie unsere Experten von OPTIQUM jederzeit gerne und helfen Ihnen bei der Umsetzung.
Bei der International Automotive Task Force, kurz IATF, handelt es sich um eine Arbeitsgruppe, die sich aus Vertretern von meist nordamerikanischen und europäischen Automobilhersteller und -verbänden zusammensetzt und sich mit der Vereinheitlichung der Standards und Normen zur Verbesserung der Produktqualität für Automobilkunden befasst.
Der von der IATF festgelegte Qualitätsmanagementsystem-Standard der Automobilindustrie, „IATF 16949“, legt zusammen mit entsprechenden kundenspezifischen Anforderungen der Automobilindustrie sowie den Anforderungen aus ISO 9001:2015 und der ISO 9000:2015 die grundlegenden Anforderungen an Qualitätsmanagementsysteme für die Serien- und Ersatzteilproduktion in der Automobilindustrie fest.
Ein Cyberangriff ist ein Versuch, sich illegalen Zugang zu einem Computer oder Computersystem zu verschaffen, um Schaden anzurichten. Eine Cyberattacke ist oft eine bewusste Ausnutzung von Schwächen in der Sicherheit von Computersystemen oder Netzwerken, um Zugang zu Daten zu erhalten, Computercode, Logik oder Daten zu ändern. Diese Maßnahmen können schädliche Folgen haben, die vertrauliche Daten gefährden und zu Cyberkriminalität führen können. So zum Beispiel Informations- und Identitätsdiebstahl, automatisierungsbedingte Betriebsunterbrechungen, Verschlüsselung unternehmenskritischer Daten oder illegale Fernsteuerung von Systemen oder Daten.
Cyberangriffe und Cyberkriminalität sind nicht immer das Ergebnis einer ausgeklügelten Reihe von Aktionen zum Erraten von Passwörtern mit leistungsstarken Computerprogrammen, die von Teams von Personen an einem entfernten Ort ausgeführt werden. Oft handelt es sich um Aktionen, die darauf abzielen
- Einzelpersonen davon zu überzeugen, sensible oder private Informationen durch E-Mail-Notizen (typischerweise Phishing) herauszugeben
- Vorgeschütze Telefonanrufe, bei denen sich der Anrufer als vertrauenswürdige Person oder Regierungsbeamter ausgibt, um persönliche Informationen zu erhalten
- visuelles Lesen von eingegebenen Passwörtern
- Infizieren beliebter Websites mit Malware
- Textnachrichten mit Links zu Websites, die Malware installieren
- USB-Sticks auf Schreibtischen, die als legitim erscheinen und an PCs angeschlossen sind
- Diebstahl von verworfenen Materialien, die vertrauliche Computerinformationen enthalten, etc.
Darüber hinaus könnte ein Cyberkrimineller, nachdem er Zugang zum System eines Unternehmens erhalten hat, die kritischen Daten des Unternehmens verschlüsseln und ein Lösegeld verlangen, um die Daten zu entschlüsseln.
Auch die DSGVO (Datenschutzgrundverordnug) in Europa oder ähnliche Anforderungen in anderen Regionen legen fest, dass Unternehmen dafür verantwortlich sind, sicherzustellen, dass die von dem Unternehmen gespeicherten personenbezogenen Daten jederzeit geschützt und gesichert sind, was die Bedeutung der Vorbereitung im Falle von Cyberangriffen unterstreicht.