Das Bundeskriminalamt erstellt im Rahmen seiner Erfüllungspflichten als Zentralstellenfunktion in regelmäßigen Abständen das Bundeslagebild Cybercrime – zuletzt wurde das Lagebild für das Jahr 2021 veröffentlicht. Schwerpunkt dieser Bundeslagebilder ist die Entwicklung von Delikten, die sich gegen das Internet und informationstechnische Systeme richten.
Cybercrime ist eines der sich am dynamischsten verändernden Kriminalitätsphänomene. Täter passen sich flexibel an technische und gesellschaftliche Entwicklungen an, agieren global und greifen dort an, wo es sich aus ihrer Sicht finanziell lohnt.
Quelle: Bundeskriminalamt | www.bka.de
Die Bedrohungslage hat sich dabei – u. a. durch den russischen Angriffskrieg auf die Ukraine – eklatant verschärft. Derzeit wird deshalb diskutiert, Länderkompetenzen an das Bundesamt für Sicherheit in der Informationstechnologie (BSI) zu übertragen und damit das BSI als weitere Zentralstelle zu etablieren.
Das BSI legte im Jahr 2021 zudem ein Branchenlagebild in Bezug auf die Cybersicherheit in der Automobilbranche vor. Der – gemessen am Umsatz – bedeutendste Industriezweig Deutschlands stellt nämlich in Bezug auf Vernetzung von IT-Infrastrukturen eine große potentielle Angriffsfläche mit enorm hohem Schadenpotential dar.
Cybercrime verursacht bereits Schäden in Milliardenhöhe – Tendenz steigend
Den Schaden, der durch Cyberkriminalität 2021 entstanden ist, beziffert das BKA auf rund 224 Mrd. Euro. Im Veröffentlichungszeitraum der Vorgängerstudie von 2019 lag die Schadenssumer noch bei rund 103 Mrd. Euro – was wiederum bereits eine Verdopplung zum Jahr 2017 darstellte. Derzeit ist eine Stagnation der Gesamtschadenshöhe in keinster Weise absehbar – die Täter finden stets neue Wege, Sicherheitslücken auszunutzen und zu Ihrem Vorteil zu verwenden.
Bedrohungsfaktor Nummer 1 für Unternehmen ist die Verschlüsselung von Daten und damit verbundene Erpressung von Lösegeldern. Lag hier der Schaden 2019 noch bei 5 Mrd. Euro, hat sich das Schadensausmaß mit rund 24,5 Mrd. Euro fast verfünffacht! Der Einfall in Firmennetzwerke, bei dem sich Kriminelle meist über Wochen und Monate in die Netzwerke einschleusen und sich auf höchste Admin-Ebenen vorarbeiten, geschieht hier meist durch den E-Mail-Verkehr zu den Mitarbeitenden. Über Mail-Anhänge, auf die Mitarbeitende unbedarft klicken, wird das Netzwerk mit Schadsoftware (sogenannter Ransomware) infiziert, die sämtliche Dateien im Netzwerk des Unternehmens mit einem Passwort verschlüsselt. Gegen hohe Lösegeldsummen bieten die Täter schließlich an, die Daten wieder freizugeben.
Laut einer Untersuchung eines IT-Sicherheits-Dienstleisters beläuft sich der durchschnittliche Schaden eines Ransomware-Angriffs auf rund 1,85 Mio. Dollar. Natürlich geht damit gleichzeitig ein enormer – und vor allem im Hinblick auf Markenwert, Employer Branding sowie Vertrauensverluste von (potenziellen) Kunden schwer zu beziffernder – Reputationsverlust für das Unternehmen einher.
Die gesamte Automobilbranche ist geprägt von einer hohen Arbeitsteilung. Die Automobilhersteller sind eng mit den Zulieferern verzahnt. Dazu werden unter anderem sensible Informationen wie beispielsweise Konstruktionsdaten geteilt. Zudem können Beeinträchtigungen in der Fertigung bei Zulieferern schnell Auswirkungen auf die Automobilhersteller haben. Eine Kettenreaktion mit extremen Haftungsrisiken, die Unternehmen heute auch bereits mit Cyber-Versicherungen zu verringern versuchen. Doch bekanntlich schützt eine Versicherung nicht vor der Bedrohung, weshalb in erster Linie die Geschäftsführung des jeweiligen Unternehmens in der Pflicht ist. Cyber-Versicherer fordern daher zur Minimierung ihres eigenen Risikos den Nachweis eines erfolgreich aufgebauten und gelebten Informationssicherheits-Managementsystems (ISMS).
TISAX® für Informationssicherheit im Unternehmen
Für die sinnvolle Digitalisierung von Geschäftsprozessen über Unternehmensgrenzen hinweg ist es nicht nur notwendig, die eigene Verantwortung für Informationssicherheit wahrzunehmen, sondern ein vergleichbares Niveau an Informationssicherheit bei allen Beteiligten über die gesamte Wertschöpfungskette zu gewährleisten. Es gilt: Eine (Zulieferer-)Kette ist immer nur so stark wie das schwächste Glied!
Experten in der Automobilindustrie arbeiten aus diesem Grund schon lange daran, gemeinsame Standards und Schutzmaßnahmen aufzustellen, die die Lieferketten absichern. Ein wesentliches Ergebnis dieser tiefgehenden Zusammenarbeit ist der Branchenstandard für Informationssicherheits-Assessments: der VDA Information Security Assessment (ISA) Katalog.
Dieser Katalog ist die Grundlage für das Branchenmodell TISAX®, mithilfe dessen eine unternehmensübergreifende Anerkennung von Assessment-Ergebnissen sichergestellt wird.
In den meisten Teilen der Wertschöpfungskette eines Fahrzeuges ist TISAX® verpflichtende Forderung und betrifft eine wachsende Anzahl von Supply-Chain-Teilnehmern. Die Anforderung, den Maßnahmenkatalog zu erfüllen, wird von den Automobilherstellern (OEM) ausgegeben und in der Lieferkette von Stufe zu Stufe weitergegeben.
Zentraler Bestandteil des TISAX® Assessments: das Informationssicherheits-Managementsystem (ISMS)
Der VDA ISA Katalog enthält Maßnahmen, die das Unternehmen zur Erfüllung umsetzen MUSS und Maßnahmen, die das Unternehmen umsetzen SOLL. Im Detail gilt aber immer – die Maßnahmen sind verpflichtend.
Die Umsetzung der Maßnahmen wird in einem Informationssicherheits-Managementsystem beschrieben, das folgende Struktur vorweist:
In den Vorgabedokumenten sind die Managementvorgaben in Form von Leitlinien und Richtlinien vorgegeben und in Prozess- und Verfahrensbeschreibungen detailliert wiedergegeben. Sämtliche Aufzeichnungen, die in Bezug auf die Aufrechterhaltung der Informationssicherheit getätigt werden, gelten als Nachweisdokumente – und im Sicherheitsvorfall ggf. zur Beweissicherung.
Je weiter man sich dem „Fundament“ der ISMS-Pyramide nähert, desto detaillierter werden die Beschreibungen und Aufzeichnungen. Die Änderungs- und Entstehungsfrequenz der gelenkten Dokumente im Managementsystem ist hoch, da ein gelebtes System sich auch stetig verbessern soll.
Richtung Pyramidenspitze befinden sich Dokumente, die – eher grob und detailarm – die Informationssicherheitspolitik beschreiben und die Organisation aus der Managementperspektive beschreibt. Die Änderungs- und Entstehungsfrequenz dieser Dokumente ist eher niedrig.
Richtlinienkonform, effizient und digital
Managementebenen, die die Entscheidung für die Einführung und Aufrechterhaltung eines Managementsystems treffen, haben im Regelfall nicht die Aufgabe, sich detailliert mit den Anforderungen auseinanderzusetzen und beschäftigen sich folglich nur selten mit der wirklichen Detailtiefe eines gelebten Managementsystems. Wichtig ist im erstem Moment: „Wir brauchen das TISAX® … fordert der Kunde!“
Anschließend folgt oftmals: Der Anforderungskatalog wird gesichtet, alle vorhandenen Dokumente, die in irgendeiner Form danach riechen, einen Teil der Anforderungen erfüllen zu können, werden zusammengesucht, eine Gruppe Mitarbeitende dafür in die Verantwortung genommen – und – fertig ist der nächste Haufen regelmäßig zu erbringender nicht-wertschöpfender Tätigkeiten, die im Zweifel dennoch Abweichungen von den zu erfüllenden Richtlinien aufweisen.
Effiziente und gelebte Managementsysteme sollen allerdings insbesondere folgende Anforderungen erfüllen: Sie sollen konform zur zugrunde liegenden Richtlinie und effizient handhabbar sein sowie idealerweise digital vorliegen. Kein Mitarbeiter möchte heute mehr anhand gedruckter Managementsystemhandbücher arbeiten. Gleichzeitig möchte sich kein Mitarbeiter im Unternehmen damit beschäftigen, wie man ein Informationssicherheits-Managementsystem denn wirklich effizient aufbauen könnte und greift daher auf Tools zurück, die im Haus zur Verfügung stehen.
Die zwei großen Herausforderungen lauten also:
1. Wie verfasse ich meine Dokumentation richtlinienkonform?
2. Wie baue ich ein Managementsystem wirklich effizient und zukunftssicher?
Die Managementsystem-Experten der AUDITTRAILS Networks GmbH beschäftigen sich seit vielen Jahren mit dieser Frage und haben zahlreiche Normen bzw. Richtlinien (neben TISAX® auch DIN EN ISO/IEC 27001, DIN EN ISO/IEC 17025 sowie DIN EN ISO 15189) in ihre umfangreichen Anforderungen zerlegt und teils erstaunliche Parallelen darin entdeckt, was die grundlegenden Forderungen an Dokumentation, Dokumentlenkung, Historisierung, Personal- und Kompetenzmanagement, Risiko- und Chancenmanagement etc. betrifft.
Daraus entstanden schließlich spezifische webbasierte Software-Frameworks, die es erlauben, Managementsysteme digital und sehr effizient handhabbar aufzubauen, um nicht wertschöpfende Tätigkeiten auf ein Minimum zu reduzieren und dabei quasi jeden Tag richtlinienkonform und „Audit-ready“ zu sein.
Einzigartig: TISAX®-Beratung und digitales Managementsystem aus einer Hand
Zentraler Mehrwert ist dabei unsere Kombination aus enormem Wissen und digitalem Managementsystem: Für die Erfüllung der TISAX®-Anforderungen haben wir erfahrene Experten, die Ihr Unternehmen beim Aufbau Ihres effizienten Managementsystems mit hervorragender Fachkompetenz aus IT-, Informationssicherheits- und Prozessmanagement unterstützen – von der ersten Analyse bis hin zum Audit oder dem erfolgreichen Assessment bzw. darüber hinaus auch im Alltag bis hin zum internen Audit oder der Wiederholungsbegutachtung.
Dabei haben wir Änderungen durch Normungsgremien, Arbeitsgruppen, Regulierer und Richtlinienautoren selbstverständlich immer im Blick und passen ggf. das Software-Framework an die geänderten Rahmenbedingungen an.
Unser Ziele dabei – Ihr effizientes ISMS sowie Ihr eigenes TISAX®-Label!
Sie möchten den Weg zum erfolgreichen TISAX®-Assessment gehen?
TISAX® ist eine eingetragene Marke der ENX Association. Die AUDITTRAILS Networks GmbH steht in keiner geschäftlichen Verbindung zur ENX Association. Wir bieten lediglich Beratung und Software-basierte Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der AUDITTRAILS-Website dargestellten Inhalte.