Ein unterschätztes Risiko für Automobilzulieferer und ihre Unterauftragnehmer?

Unternehmen, die das Zeitalter der Schreibmaschine verlassen haben, sehen sich zunehmend digitaler Bedrohungen und Herausforderungen im Kontext ihrer Produktions- sowie Geschäftsprozesse ausgesetzt. Während vor ein paar Jahrzehnten eine defekte Schreibmaschine noch mittels Handarbeit ersetzt werden konnte, sind heutzutage fast alle Unternehmensprozesse direkt oder indirekt von einer funktionierenden IT abhängig.

 

Wer in der IT aktuell noch auf zweistufige Virenscannerkonzepte setzt, Verhaltensanalysen mit Mitarbeitern assoziiert und bei Sandboxing an den Sandkasten für die Kinder denkt, befindet sich im Bereich der IT-Sicherheit sehr wahrscheinlich wieder auf dem Stand der besagten Schreibmaschine. Denn die Zeit und der Fortschritt sind nicht stehengeblieben. Die Risiken, welche sich aufgrund fehlender, mangelhafter, unzureichender oder veralteter Informationssicherheits- und IT-Sicherheitskonzepte/Maßnahmen ergeben, stellen besonders in stark vernetzten Branchen mit engmaschigen Lieferketten eine vererbbare Gefahr dar. Diesen Umstand haben die Automobilhersteller längst erkannt und zum Zwecke der Risikobehandlung anspruchsvolle Anforderungen in Form des Information Security Assessments (VDA-ISA) in ihre Einkaufsbedingen aufgenommen. 

 

So fordert die BMW Group in ihren, im Internet veröffentlichten, internationalen Einkaufsbedingungen für Produktionsmaterial und Kraftfahrzeugteile (Stand 31.03.2018) unter Punkt 17.3 den Nachweis eines angemessenen Informationssicherheitsniveaus, der durch die Vorlage geeigneter Zertifikate oder "einer Testierung nach dem VDA-Modell TISAX" erfolgen kann. Diese Vorgabe ist mit einer angemessenen Frist zur Erfüllung verbunden. (siehe Quelle, Linkdatum 24.05.2019, TISAX® und ENX® sind eingetragene Marken der ENX)

 

Die Porsche Werkzeugbau GmbH schreibt in ihren, im Internet veröffentlichten, allgemeinen Einkaufsbedingungen (Stand 01/2019) unter Punkt 16.5 dazu, dass der Auftragnehmer auf Anforderung binnen einer "angemessenen Frist eine TISAX-Prüfung (www.tisax.de)" mit einem "vorgegebenen TISAX-Prüfziel" durchzuführen und das Ergebnis zur Verfügung zustellen hat. (siehe Quelle, Linkdatum 24.05.2019, TISAX® und ENX® sind eingetragene Marken der ENX)

 

Aber auch Zulieferer wie die Dräxlmaier Group haben in ihren, im Internet veröffentlichten, allgemeinen Verkaufs- und Lieferbedingungen (Stand März 2019) eine entsprechende Passage. Unter XVIII. im Unterpunkt 2 wird ein angemessenes Niveau der Informationssicherheit im Betrieb gefordert und dabei die ISO 27001 und das "VDA-Modell TISAX" genannt. (siehe Quelle, Linkdatum 24.05.2019, TISAX® und ENX® sind eingetragene Marken der ENX)

Wieso tauchen solche Forderungen mittlerweile auch weiter unten in der Lieferkette auf?

Warum mittlerweile auch die Zulieferer ihre Unterauftragnehmer mit diesen Anforderungen konfrontieren, lässt sich für mich als Prüfer leicht beantworten: 

  1. Weil die Risiken des Unterauftragnehmers, wie eingangs beschrieben, auch die Produktion des Zulieferers negativ beeinflussen könnten.
  2. Weil sich der Bedarf dazu aus den Anforderungen des VDA-ISA (Quelle, Linkdatum 24.05.2019) indirekt ergibt:

Warum haben Ihre Kunden solche Forderungen noch nicht gestellt?

Auch diese Frage lässt sich schnell beantworten:

  1. Weil die Automobilhersteller noch nicht alle Zulieferer zur Erfüllung dieser Anforderungen aufgefordert haben.
  2. Weil viele Unternehmen noch immer die Informationssicherheit mit der IT-Sicherheit verwechseln

Wie man der Darstellung entnehmen kann, steckt in der Informationssicherheit weit mehr drin als viele glauben. Die Unkenntnis darüber führt leider allzu oft dazu, dass entsprechende Projekte, Zeitaufwände und Budgets mangelhaft eingeschätzt und ausgestattet werden. Besonders wenn man bis dato kein zertifizierungsreifes und nachweislich gelebtes Informationssicherheitsmanagementsystem (ISMS) im Unternehmen etabliert hat, kann eine solche Prüfung negativ ausfallen. Falls man zusätzlich auch noch die "angemessenen Fristen" nicht einhält, sind ernste Konsequenzen in Bezug auf das Vertragsverhältnis möglich:

 

In einem mir zugetragenen Fall, durften die LKW des Auftragnehmers mit der fertig produzierten Ware nicht mehr auf das Gelände des Auftraggebers fahren. Der Auftragnehmer wurde entlistet und hat somit auch keine weiteren Anfragen vom Auftraggeber erhalten. 

 

Abhängig vom Ist-Stand der Informationssicherheit im Unternehmen, kann die Erreichung eines angemessenen Reifegrades mehr als ein Jahr und mitunter sogar sechsstellige Investitionen erfordern. Während bei anderen Prüfungen sich das Gerücht der Papiertiger-Managementsysteme nachhaltig hält, ist dies bei diesem Verfahren nahezu ausgeschlossen. Aus diesem Grund empfiehlt es sich frühzeitig tätig zu werden und ein zertifizierungsreifes ISMS aufzubauen, welches bereits bei den internen Audits durch einen berufenen Auditor mehrfach vor der Zertifizierung/Prüfung auditiert wurde. Denn wenn ein Automotive-Auftrag mit entsprechender Anforderung eines Tages bei Ihnen eingehen sollte, kann man mit Geld trotzdem keine Zeit kaufen.


ISMS Auf-
und Ausbau.

Durchführung von
internen Audits.

Durchführung von Zertifizierungsaudits.

Durchführung von

KRITIS Prüfungen.