Im Gespräch mit Sven Kurzberg von EDAG Engineering

Sven Kurzberg ist Beauftragter für Umwelt­management und Informationssicherheit bei EDAG Engineering, einem Entwicklungs-Dienstleister für die Automobilindustrie. Im Interview mit com! professional spricht er über die Herausforderungen beim Betrieb eines ISMS in einem international tätigen Unternehmen mit vielen Standorten.

Sven Kurzberg: Ich trage die Verantwortung für den Betrieb und die kontinuierliche Verbesserung unseres ISMS, bin Ansprechpartner für die Mitarbeiter und berichte an das Management. Die ISO/IEC 27001 fordert diese Rolle des Informationssicherheitsbeauftragten auch als Ansprechpartner gegenüber den Kunden und Zertifizierungsstellen.

Zu meinen Aufgaben gehört es, vor jedem neuen Projekt dessen Anforderungen an die Informationssicherheit zu prüfen. Dazu zählen Themen wie Prototypen, der Datenaustausch mit Kunden oder Checklisten zur Schulung der beteiligten Mitarbeiter.

com! professional: Welchen Geltungsbereich (Scope) hat Ihr ISMS, und wie gewährleisten Sie die so wichtige Dokumentation?

Kurzberg: Wir haben den Scope gleich am Anfang festgelegt und sehr weit gefasst. Unsere Geschäftstätigkeit ist die Entwicklung von Fahrzeugen und Produktionsanlagen. Da nahezu jeder unserer Standorte mit Produktionsanlagen und direkt mit dem Kunden vor Ort zu tun hat, gilt das ISMS im Prinzip für alles beziehungsweise die komplette Geschäftstätigkeit unseres Unternehmens. Wir haben nichts ausgeschlossen. 

Die Dokumentation und das Prozess-Management-System laufen über eine rollenbasierte Webplattform, die alle Anforderungen an das ISMS sowie sämtliche Prozesse, Verfahren oder Maßnahmen abbildet. Wir können dort beispielsweise Arbeitsanweisungen schnell ändern und publizieren.

Kurzberg: Grundsätzlich steigt natürlich die Gefährdung durch Cyberangriffe stetig an. Da die Geschäftsprozesse immer digitaler und datenlastiger werden, müssen wir unsere IT-Systeme besonders schützen. Fahrzeugentwicklung ist zudem sehr öffentlichkeitswirksam und häufig Ziel von Industriespionage. Die Pflege des ISMS ist vor allem wegen unserer vielen Standorte sehr aufwendig und verursacht durchaus hohe Kosten. Wir haben alleine in Deutschland über 40 Standorte in der Nähe unserer Kunden. Es ist nicht einfach, das Level für Informationssicherheit auf einem konstant hohen Niveau zu halten, zumal unsere Ressourcen nicht unbegrenzt sind.

Kurzberg: Ja. Security Awareness ist entscheidend. Wir müssen unsere Mitarbeiter für mögliche Gefahren wie Phishing-Angriffe sensibilisieren. Eine Schulung alle zwölf Monate reicht dafür nicht aus.

Wir implementieren gerade ein E-Learning-System mit Online-Kursen und regelmäßigen Tests, um hier ein größeres Sicherheitsbewusstsein zu schaffen.

Unsere Kunden fordern auch, dass wir jede Datei verschlüsseln, oder im Extremfall, dass wir die Mitarbeiter und Besucher etwa nach Sticks durchsuchen, wenn sie das Firmengelände betreten oder verlassen. Wir müssen auch sicherstellen, dass Prototypen nicht fotografiert werden können oder Fenster abkleben, um Spionage zu verhindern. Ohne Geheimhaltungsvereinbarung kommt grundsätzlich niemand ins Gebäude.

Die asiatischen OEMs haben hier oft viel strengere Anforderungen als die deutschen Hersteller. Da erhalten wir beispielsweise mit den Anfrageunterlagen ein Dokument mit 100 Fragen darüber, wie wir die Informationssicherheit gewährleisten. Wenn wir an einem neuen Standort externe Kundensysteme anbinden, benötigen wir beispielsweise ein Alarmsystem, das rund um die Uhr funktioniert.

com! professional: Welche Anforderungen stellen Ihre Kunden in puncto Informationssicherheit noch an Sie?

Kurzberg: Entwickeln wir beispielsweise ein Fahrzeug oder eine Produktionsanlage, müssen wir zum einen sicherstellen, dass die Daten, die wir vom Kunden erhalten, intern gesichert sind, und deren Wiederherstellung regelmäßig testen, um die Funktionsfähigkeit zu garantieren. Zum anderen müssen wir natürlich auch bei der Zusammenarbeit mit externen Dienstleistern die Informationssicherheit gewährleisten und diese Anforderungen an unsere Partner durchreichen. Die EDAG hat
etwa eine Abteilung, die Bordbücher für Autos verfasst, die dann mit den Fahrzeugen weltweit verkauft werden. Dazu binden wir Übersetzungsbüros ein. Die Handbücher beschreiben oft neue Funktionen, die noch gar nicht auf dem Markt sind. Die Über­setzer sind dann natürlich zur Geheimhaltung verpflichtet, sie müssen ihre Systeme entsprechend absichern. Die TISAX-Richt­linie (Trusted Information Security Assessment Exchange) geht hier teilweise noch weiter als die ISO/IEC 27001.

Kurzberg: TISAX ist ein von der Automobilindustrie definierter Standard für Informationssicherheit. Jedes Unternehmen, das für die deutsche Automobilindustrie arbeitet, braucht seit 2018 ein TISAX-Zertifikat.

Basis dafür ist der Anforderungskatalog zur Informationssicherheit (ISA, Information Security Assessment) des VDA (Verband der Automobilindustrie). Er stützt sich in wesentlichen Teilen auf die ISO/IEC 27001, enthält aber noch zusätzliche Module für den Schutz von Prototypen, den Datenschutz und die Anbindung Dritter, etwa in Projektbüros. ­

Kurzberg: Die Norm ist im Punkt kontinuierliche Verbesserung nicht besonders konkret. Wir stellen in unseren internen Audits und Vor-Ort-Terminen fest, welche Prozesse nicht so gut liefen, ob es Schwachstellen gibt und verbessern diese entsprechend. Zudem können Mitarbeiter über unser Ideen-Management Verbesserungsvorschläge zum Thema Informationssicherheit einreichen. Unsere IT und das Facility Management arbeiten sehr eng mit den Fachabteilungen zusammen, um zu sehen, wo der Schuh drückt.

Wir überwachen unsere Systeme permanent auf Sicherheits­lücken, setzen auf mehrstufige Patch-Verfahren und haben auch neue Angriffsvektoren im Blick, um Risiken neu bewerten zu können und entsprechende Sicherheitsmaßnahmen einzuleiten. In Zukunft wollen wir maschinelles Lernen einsetzen, um Anomalien schnell zu erkennen. Taucht eine neue Form von Attacken etwa mit Ransomware auf, schulen wir unsere Mitarbeiter anlassbezogen. Wir können daher schnell auf neue Risiken reagieren.