
Automobilzulieferer Continental arbeitet mit einer globalen IT-Sicherheits-Policy, die sich an dem vom VDA empfohlenen Standard ISO 27 001 orientiert und mit einer Reihe von Dokumenten detailliert für das Unternehmen beschrieben wird. Alle Elemente lassen sich den drei wesentlichen Säulen Vertraulichkeit, Integrität und Verfügbarkeit zuordnen. Regelmäßige Audits sorgen dafür, dass die Anforderungen der Kunden und externen Prüfer erfüllt werden. Bei seinen IT-Dienstleistern legt Continental Wert auf die ISO-27 001-Zertifizierung. „Unsere IT-Security-Policy erfüllt alle rechtlichen Rahmenbedingungen. Ausnahmen, zum Beispiel für Länder, in denen Verschlüsselung nur eingeschränkt erlaubt ist, werden über einen eigenen Prozess gesteuert“, sagt Thomas Ullrich, CSO (Chief Security Officer, Corporate IT) bei Continental. „Personelle Konsequenzen zum Beispiel bei Fehlverhalten sind kein direkter Bestandteil der Policy. Sicherheitsverstöße werden wie andere Verstöße auch lokal bewertet und behandelt.“
Bei globalen Konzepten steht dennoch der Mitarbeiter im Fokus. Auch wenn sich per Log zum Beispiel einfach aufzeichnen lässt, was die Administratoren tun – die Kontrolle kann nur stichprobenartig erfolgen und letztlich bleibt immer eine Grauzone. „Im Rechenzentrum lässt sich nicht alles über Rechte schützen – da muss man sich auf ehrliche Mitarbeiter verlassen können. Zudem bedarf es auch für das Ausland sicherer Verfahren für die Herausgabe und Pflege von Berechtigungen“, meint von Faber. „Es gibt viele Themengebiete, die sich nicht technisch forcieren lassen, sondern von Einsicht und Verhalten der Anwender abhängen“, erläutert Ullrich. Beispielsweise gebe es in Brasilien und China heute weitaus mehr Websites mit Schadcode, der Antivirenschutz könne jedoch nie alle Angriffe abwehren. In diesem Zusammenhang gehe es in erster Linie darum, dass die Mitarbeiter lernen, im Rahmen ihrer beruflichen Notwendigkeit am Arbeitsplatz effektiv zu surfen. „Die Kommunikation an die Mitarbeiter wird dabei auf die entsprechende lokale Kultur abgestimmt, um die jeweiligen Botschaften zu vermitteln“, meint der CSO. Auch der Umgang mit Social Media und Vorgaben zu mobilen Endgeräten gehören für IT-Sicherheitschef Ullrich zu einem globalen und übergreifenden Konzept. Hier arbeitet das Unternehmen aus Hannover derzeit an einer „Any Device“-Strategie, die zwar unterschiedliche Endgerätetypen zulässt, jedoch mit zentralen Regeln und Werkzeugen die Sicherheit gewährleistet.
Richtig heikel wird es bei Entwicklungsdaten. „Wenn Unternehmen Konstruktionsdaten auch für ausländische Töchter und Partner zur Verfügung stellen, ist in der Automobilindustrie die so genannte ‚Verschattung‘ der Informationen eine wesentliche Schutzmaßnahme“, so von Faber. Besonders kritische Informationen, die im CAD- oder PLM-System über die im Ausland benötigten Stücklisten erreichbar sind – also selbst Konstruktionszeichnungen von Zulieferbauteilen –, sollten tunlichst ausgeblendet werden. Dazu gehörten das Kappen von Referenzen, die Veränderung von Baumstrukturen sowie die Entfernung von Features und Umbenennung. Je nach System können sich entsprechende Maßnahmen sehr aufwendig gestalten. Vielfach sind über Jahrzehnte gewachsene Legacy-Systeme im Einsatz, die Funktionen wie Rechtemanagement, Datensegmentierung und Funktionstrennung oder Virtualisierung nicht unterstützen. „Das Thema Sicherheit gehört in die Anwendungen, das ist aber nicht einmal bei allen neueren Systemen gegeben“, so von Faber. Im Prinzip müsse jede Information im System mit dem Rechtemanagement verknüpft sein. Auch das Verhindern von Datenlecks (Data Leakage Prevention: DLP) ist laut von Faber maßgeblich. Dazu gehören registrierte und verschlüsselte USB-Sticks sowie das Überwachen und Filtern von E-Mails und Netzwerkverkehr. So lassen sich beispielsweise entsprechende Anwendungen direkt auf den E-Mail-Gateway aufsetzen und verdächtige Mails „in Quarantäne“ schicken.
Gerade in China ergibt sich in mehrfacher Hinsicht eine besondere Situation. Zum einen sind nicht alle Verschlüsselungstechniken erlaubt, zum anderen sind die üblichen Sanktionen gegen Mitarbeiter hier weniger effektiv: Das liegt an der hohen Fluktuation, aber auch an der milderen Wahrnehmung von Datendiebstählen. Von Faber verweist auch auf den schwer einzuschätzenden Umstand, dass in China rund 800 000 Personen für den Geheimdienst tätig sind, der – anders als in Deutschland – auch im Industrieumfeld arbeiten darf. Hinzu komme, dass es keine Copyright-Gesetzgebung und deren Durchsetzung wie im Westen gebe.
„Die Bedrohungslage auf die IT wird schärfer, das zeigen nicht nur die zunehmenden Medienberichte“, konstatiert Ullrich. Wer genau wissen will, was das Unternehmen von außen angreifbar macht, kann auch externe Vulnerability-Management-Dienstleister damit beauftragen herauszufinden, wo die wunden Punkte sitzen. „Jedes Unternehmen muss sich natürlich die Frage stellen, ob es möchte, dass seine IT-Schwachstellen im Rechenzentrum eines externen Dienstleisters abgespeichert sind“, meint Ullrich. Für ihn liegt jedoch gerade hierin die Herausforderung für das eigene Personal, die der gelegentlich trockenen Materie IT-Security Reiz verleiht: „Die Mitarbeiter müssen sich wie Kriminalisten in die Rolle der Angreifer versetzen, um eventuellen Attacken einen Riegel vorzuschieben.“ „In einer globalen IT-Security-Strategie geht es immer darum, viele Maßnahmen zu kombinieren. Als besonders wirkungsvoll haben sich die Segmentierung von Netzen und Datenbeständen und die Arbeit über funktionsminimierte Terminalserver erwiesen, bei denen das Kopieren von Dateien nicht möglich ist“, fasst Eberhard von Faber zusammen.
Autor: Daniela Hofmann
Foto: iStockphoto/digitalcraft
Sie möchten gerne weiterlesen?
Registrieren Sie sich jetzt kostenlos:
Sie sind bereits registriert?
Hier anmeldenAktuelle Beiträge

„Dem Kunden ist es egal, woher die Software stammt“
Seitdem Magnus Östberg letzten September die Rolle als Chief Software Officer bei Mercedes-Benz eingenommen hat, wurden viele Weichen für die Zukunft gestellt: Das softwaredefinierte Fahrzeug soll in den Mittelpunkt des Handelns gestellt werden.Weiterlesen...

„Die Konsolidierung wird weiter voranschreiten“
Für Autoexperte Stefan Bratzel ist klar: Die Transformation der Autoindustrie wird zu einigen unschönen Verwerfungen führen. Autobauer müssten daher bei Software oder Elektromobilität Fahrt aufnehmen, um die eigene Zukunftsfähigkeit zu garantieren.Weiterlesen...

„Security wird zu oft als Verhinderer gesehen"
Die Digitalisierung im Eiltempo hat ihre Tücken: Sie entwickelt sich meist schneller, als Security-Konzepte mithalten können. ISG-Experte Roger Albrecht erklärt, wie Firmen auf diese komplexen Anforderungen reagieren können.Weiterlesen...

„Lidar wird in der Zukunft nur noch eine Nische darstellen“
Einst ging Tesla mit seinem Lidar-Verzicht beim autonomen Fahren einen Sonderweg. Durch die neuen Möglichkeiten eines 4D Imaging Radar könnte die Strategie jedoch bald Nachahmer finden, erläutert Matthias Feulner, ADAS-Experte von NXP.Weiterlesen...

„Es wird keine Trennung zwischen IT und OT mehr geben"
Der Amtsantritt von Hanna Hennig als IT-Chefin von Siemens war turbulent: Es galt, die Folgen der Coronapandemie zu managen sowie neue Cloud- und Security-Konzepte auf den Weg zu bringen. automotiveIT gewährt sie einen Einblick in ihre Agenda.Weiterlesen...
industriejobs.de

Doktorand (m/w/d) Nachhaltige Fertigungsregelung - simulationsbasiert mit digitalem Zwilling und Künstlicher Intelligenz
Technische Hochschule Ingolstadt

Function Developer (m/w/d) Special Engines / Vehicle Solutions
Rolls-Royce Solutions GmbH

Software Entwickler Middleware/Basissoftware (m/w/d)
Rolls-Royce Solutions GmbH
Diskutieren Sie mit