Supply Chain Risk Management gerät immer mehr in den Fokus. Ressourcenknappheiten und andere Entwicklung haben die Lieferketten in den vergangenen 24 Monaten beträchtlich beeinflusst. Zudem geraten Lieferketten zunehmend ins Visier der Cyberkriminellen. Wir beleuchten mit welchen Strategien Lieferketten erfolgreich abgesichert werden können und warum ein IT-Sicherheitscheck der erste Schritt zu einer sicheren Lieferkette sein sollte.
Supply Chain Risk Management
Wenn Lieferketten reißen
Die aktuelle Chipknappheit zeigt uns, dass das Lieferkettenmanagement mehr beinhaltet als das reine Betrachten von Qualität und Preis. Zwischenfälle wie die Ever Given Havarie im Suez-Kanal haben aufgezeigt, dass die aktuellen Supply Chain Management Strategien, wie die Just-in-Time-Produktion, durchaus verbesserungswürdig sind. Die Pandemie hat nicht nur auf dem Gebiet der Beschaffung große Schwächen ans Tageslicht befördert.
Hinzukommt die in der Handelspolitik zu beobachtende Regionalisierung der Wirtschaftsräume, die durch den unterschwellig steigenden Protektionismus angetrieben wird, und die Notwendigkeit, den CO2-Ausstoß auch und gerade in der internationalen Logistik zu senken.
Was versteht man unter Supply Chain Management? Das Supply Chain Management (SCM) hat das Ziel, den Fluss von Waren, Informationen, Geld und Personen über die komplette Länge einer Wertschöpfungskette, also vom Lieferanten der Rohstoffe bis hin zum Endkunden zu planen, zu steuern und zu optimieren.
Doch das Umdenken, beschränkt sich nur auf Pandemie und Logistik. Sondern auch darauf, dass die Lieferketten entsprechend abgesichert werden – gerade Ransomware-Attacken haben zunehmend Lieferanten im Visier. Wie schütze ich also meine Lieferketten vor Cyberattacken?
Die neue Rolle des Supply Chain Risk Management
Doch was hat Supply Chain Risk Management mit Cyber Security zu tun und wie setzt man das um?
Das sieht beispielsweise die Automobilindustrie ähnlich. So ist der VDA, der Verband der Automobilindustrie e.V., eine der treibenden Kräfte hinter der TISAX-Zertifizierung. Im VDA sind nicht nur die Automobilhersteller selbst organisiert; vielmehr sind auch alle wesentliche Zulieferer Mitglied. Damit ist der VDA einer der größten und mächtigsten Fachverbände der deutschen Wirtschaft (neben dem ZVEI und dem VCI).
Was ist die TISAX Zertifizierung, und was hat sie mit IT-Sicherheit zu tun?
„Davon habe ich noch nie gehört.“ Diese Bemerkung kann man oft hören. Doch was ist das genau und wofür braucht man diese Zertifizierung?
Wie wir von unseren Kunden aus diesem Sektor erfahren, ziehen die Automobilhersteller allerdings inzwischen die Schraube an. In der Lieferantenportalen wird immer öfter und immer nachhaltiger eine entsprechenden Zertifizierung gefordert.
TISAX ist:
1.Eine Norm, die Automobilzulieferer zertifiziert
2.In den Bereichen
- IT Sicherheit
- Prototypenschutz
- Datenschutz
3.Die Kriterien für das Zertifikat werden vom VDA festgelegt
Oft wird TISAX wie folgt definiert:
TISAX (Trusted Information Security Assessment Exchange) ist ein Prüf- und Austauschmechanismus von Prüfergebnissen nach dem branchenspezifischen Standard VDA-ISA, der durch den Verband der Automobilindustrie (VDA) definiert wurde und gepflegt wird. Der Standard betrifft die sicheren Verarbeitung von vertraulichen Informationen, den Schutz von Prototypen und den Datenschutz gemäß Datenschutz-Grundverordnung (DSGVO) für mögliche Geschäft zwischen Automobilherstellern und ihren Dienstleistern oder Lieferanten. Der VDA hat TISAX 2017 an die Norm ISO/IEC 27001 Information Security Management System (ISMS) und dessen Implementierung angelehnt und so ein System zum Austausch normierter Prüfergebnisse als Ausprägung für die Automobilindustrie geschaffen.
Supply Chain Management- SYSTAG GmbH
Herr über die TISAX Norm ist die im Jahr 2000 gegründete ENX Association. Ihr Hauptsitz befindet sich im Großraum Paris, die deutsche Niederlassung in Frankfurt/Main. Eines der beiden wichtigen Aufgabenfelder der ENX war und ist die Entwicklung und das Management der TISAX-Norm. Der VDA spielt insofern eine große Rolle in diesem Prozess, als dass er das VDA ISA Assessment entwickelt hat.
Dieses Assessment hat drei Aufgabenfelder:
- IT-Sicherheit: Dieser Teil von Norm und Zertifizierung referenziert auf die DIN ISO 27001. Man könnte sagen, beides sei so gut wie identisch.
- Prototypen-Sicherheit: Da die Lieferanten verstärkt in die Entwicklung der Fahrzeuge integriert werden, ist es besonders wichtig geworden, dass alle Daten und Vorgänge sowie deren Ergebnisse „geheim“ bleiben. Dieser Bereich ist besonderen Kriterien unterworfen, die über die Anforderungen von IT-Sicherheit und Datenschutz hinausgehen.
- Datenschutz: In diesem Segment wird geprüft, dass die Vorgaben und Regelugen der DSGVO und der EU-GDPR jederzeit gelebt und eingehalten werden.
!!!Es ist wichtig zu vermerken, dass jeder Standort, von dem Lieferungen und Leistungen ausgehen, separat geprüft und zertifiziert werden muss.
TISAX und DIN ISO27001: aus dem gleichen Stamm geschnitzt?
Diese Frage kann wenigstens für den ersten Teil der TISAX-Norm klar mit einem Ja beantwortet werden. Im Rahmen der Prüfung wird ausdrücklich auf die jeweiligen Vorgaben der DIN ISO27001 verwiesen und zwar im ersten Abschnitt IT Sicherheit im VDA-ISA-Katalog referenziert auf die DIN ISO27001. Sie sind damit Prüfungsgegenstand. Es gibt allerdings einen nicht unwesentlichen Unterschied: TISAX verlangt die Zertifizierung jedes einzelnen Standorts. Die DIN-Norm erlaubt auch die Prüfung von Bereichen und einer Gesamtorganisation.
Wie die DIN ISO27001 wird verlangt, dass jeder Regelung ein KPI (Kritischer Performanz Index) zugeordnet, der seinerseits in vordefinierten Zeitfenstern zu prüfen ist. Die Prüfung kann extern vergeben oder intern durchgeführt werden. Das Prüfungsergebnis, das Berichtsform erhält, muss einen Maßnahmenkatalog und einen zeitlichen und sachlichen Umsetzungsplan enthalten, gegen den wiederum berichtet werden muss. Auf diese Weise entsteht ein kybernetischer Regelkreis-Verlauf – so wie ihn die Methodik des Kontinuierlichen Verbesserungsprozesses (KVP) sich wünscht. Der kluge Beobachter könnte festhalten, dass die Norm DIN ISO27001 damit eine sehr praxisnahe Ausprägung erhalten hat. Dem ist nicht zu widersprechen, im Gegenteil. Mehr zur DIN ISO27001.
IT-Sicherheitscheck als Teil des Cyber Risk Assessments
Der IT-Sicherheitscheck, den Cyber Security Fachleute auch als Compromise oder Cyber Risk Assessment (CA) bezeichnen, kann sowohl zur Vorbereitung als auch zur permanenten Prüfung nach einer DIN 27001 Zertifizierung zum Einsatz kommen. Wegen der engen Verwandtschaft von DIN Norm und TISAX IT Sicherheitsnormierung gilt das Gleiche sinngemäß auch im Falle einer TISAX-Zertifizierung und deren Nachbereitung. Damit schließt sich der Kreis.
Unsere Websession, die wir zusammen mit dem Bereich Cyber Security Consulting Services der BlackBerry SPARK Division vorbereitet haben, richtet sich besonders an Zuliefererbetriebe im Bereich des Automobilsektors. Da er ganz generell die Zusammenhänge zwischen IT-Sicherheitszertifizierung und IT-Sicherheitscheck bzw. Assessment behandelt, kann er auch für andere Teilnehmer interessant sein, die sich mit diesen Fragen beschäftigen. Der Bereich Cyber Security Consulting Services arbeitet produktunabhängig und ist als reiner Dienstleister tätig.
