Retrospektive zur IT-Sicherheit in der Automobilindustrie (TISAX) vom 23. Juni 2021
Noch vor dem wichtigen EM-Fußballspiel Deutschland gegen Ungarn (2:2) fand sich eine gut gelaunte Runde Interessierter und Fachleute der PMG-G zu diesem Gastbeitrag von Herrn Thomas Aberger ein. Den Anfang machte Klaus Stephan, Präsident der unabhängigen Project Management Group – Germany (PMG-G) und hieß Gastredner und Teilnehmer herzlich willkommen.
Vortrag – “TISAX: Der Weg der Automobilindustrie in der Informationssicherheit”
Zum Einstieg stellte Thomas Aberger kurz seine Agenda vor:
• Grundlagen zu IT-Informationssicherheit (ISO 27001)
• TISAX® im Überblick
• TISAX® im Projekt
Thomas Aberger
• 25 Jahre Erfahrung in der Leitung von IT-Projekten
• 20 Jahre Automotive Erfahrung
• 6 Jahre Erfahrung im agilen Projektmanagement
• Berater und Lead Auditor im Bereich Informationssicherheit
Zertifizierungen:
• Informationssicherheit: ISO 27001, Lead Auditor, TISAX
• Projektmanagement: PRINCE2, SAFe, LeSS, Scrum Master
Zum Start in das Thema IT-Informationssicherheit ging er auf die drei wesentlichen Bestandteile der Norm ISO 27001 ein:
- Vertraulichkeit -> Zugriffssteuerung, d.h. wer darf auf welche Daten zugreifen?
- Integrität -> vollständige und unveränderliche Datensicherung, nur revisionsgesteuerte Datenänderungen
- Verfügbarkeit -> gesteuerter Datenzugriff, d.h. wann darf wer auf gewisse Daten zugreifen?
Auf diesen Grundlagen führte die Automobilindustrie im Jahr 2017, so fuhr Thomas Aberger fort, einen eigenen Standard namens TISAX® (Trusted Information Security Assessment Exchange®) ein, um die IT-Informationssicherheit mittels erforderlicher, zu erreichender Schutzniveaus in der gesamten Wertschöpfungs- und Lieferkette vergleichbar für alle Beteiligte abzubilden. Um die IT-Informationssicherheit besser an die eigenen Bedürfnisse der Automobilindustrie anzupassen, aber auch um eine bessere Vergleichbarkeit von Prüfdienstleistern in diesem Bereich zu gewährleisten, bietet die ENX Association – mit Sitz in Frankfurt und Paris – eine eigene Akkreditierung an. Diese ermöglicht auch eine Vergleichbarkeit von Automobilzulieferern, die nach absolvierter Prüfung durch einen akkreditierten Dienstleister ein Zertifikat mit einer Gültigkeit von drei Jahren zur Bestätigung ihrer IT-Informationssicherheit und ihrer Einhaltung von gewissen Schutzniveaus erhalten. Dies wiederum ermöglicht es den Automobilzulieferern bei bestandenem Zertifikat an Ausschreibungen beim Autobauer (OEM) teilzunehmen und diesen nachweislich qualifiziert beliefern zu können. Dazu verfügt die ENX Association über eine eigene Datenbank, in der sowohl Akkreditierungen, aber auch Zertifikate gesteuert und ein Austausch von Prüfdaten ermöglicht wird.
Bei der Einstufung von erforderlichen Sicherheitsniveaus wies Thomas Aberger darauf hin, wie wichtig eine vorige Absprache mit dem OEM ist, dass zwischen einem hohen und sehr hohem Sicherheitsbedarf je Anforderung durchaus ein 5-stelliger Betrag an Investitionen für den Automobilzulieferer liegen können. Ein weiterer und optionaler Bereich ist der Prototypenschutz, auf den er kurz einging und der nicht für alle Zulieferer zutreffend sein muss, aber auch mit hohen Anforderungen und Investitionen zur IT-Informationssicherheit verbunden ist, sodass hier eine Anwendbarkeit zuvor genau zu prüfen ist, um nicht unnötig hohe Barrieren für den Zulieferer aufzubauen. Des Weiteren rät Thomas Aberger allen Zulieferern regelmäßig eine Überprüfung von erforderlichen Sicherheitsniveaus je Anforderung durchzuführen, was 1-mal pro Jahr oder auch 1-mal pro Quartal bedeuten kann, je nach Häufigkeit von Produktänderungen.
Im Anschluss seines Vortrages wie auch bereits während seines Vortrages beantwortete Thomas Aberger eine Reihe von Teilnehmerfragen, wie auch bspw. die Frage, ob man als Unternehmen zuerst mit der ISO 27001 Zertifizierung beginnen muss, um dann insbesondere auch auf eine TISAX®-Zertifizierung übergehen zu können. Diese Frage ist für jeden Unternehmer ein Kalkül, um eine Qualifizierung in geeigneter Art und Weise für den Automobilbereich zu erreichen. Hier antwortete Thomas Aberger, dass dies unabhängig voneinander ist, d.h. Unternehmen können direkt auf eine TISAX®-Zertifizierung zulaufen, ohne zuvor eine ISO 27001 Zertifizierung erbringen zu müssen. Damit wurde der Vortrag von ihm beendet.
Abschließend folgte der Bericht aus dem Board von Klaus Stephan mit Neuigkeiten zu den nächsten Veranstaltungen, Ergebnissen der Expertengruppen, bei denen jeder zum Mitmachen eingeladen ist, und der Vorstellung der neuen Services der PMG-G für die Mitglieder. Mit abschließenden Worten bedankte er sich bei Thomas Aberger für einen sehr gehaltvollen Beitrag und bei allen Teilnehmern für den guten Dialog.
Mitglieder, die PMP zertifiziert sind, können ihre PDUs gegenüber PMI.org beantragen. Mehr Infos dazu finden Sie über unsere folgende Webseite PDU Reporting.
Vielen Dank
Im Namen des Boards von PMG-G
Robert Baumgartner, SAFe 5, PMI-ACP, PMP, PRINCE2 FL
VP Finance + Sponsoring
www.pmg-g.de