IT-Sicherheits- und Prototypenschutzzertifizierung gemäß ISO/IEC 27001

Namhafte Automobilhersteller fordern zunehmend mehr von ihren Zulieferern die Zertifizierung ihres IT-Sicherheitsmanagementsystems nach ISO/IEC 27001, erweitert um die Bereiche Prototypen- und Neuproduktentwicklungsschutz sowie Projektmanagement. Der VDA hat in einer Arbeitsgruppe relevante Prüffragen für diese Bereiche entwickelt, die die Prüfung nach ISO/IEC 27001 effizient ergänzen. Das Problem für viele Zulieferer besteht darin, sich kostengünstig und effizient auf ein solches Audit mit dem Ziel der nachfolgenden Zertifizierung vorzubereiten. Die UIMCert hat aus diesem Grund ein Tool entwickelt, welches die Norm widerspiegelt und darüber hinaus um die relevanten Fragen der genannten Gebiete erweitert ist. Dieses Tool gibt es in zwei Varianten:

Variante 1:

Vorbereitungstool für Zulieferergroßbetriebe und -Konzerne sowie
Variante 2:
Vorbereitungstool für mittelständische und kleine Unternehmen.

Beide Tools bilden die Anforderungen der Norm ISO/IEC 27001 auf dem Gebiet der IT-Sicherheit ab und sind ergänzt um die spezifischen VDA-Fragestellungen. Der Nutzen für die Automobilzulieferer-Unternehmen ist offensichtlich: Sie bringen bei einer Vorbereitung auf die Zertifizierung ihre IT-Sicherheit als wesentlichen Bestandteil fortschrittlicher Unternehmensführung auf Vordermann und können anschließend gewiss sein, dass der Stand ihrer IT-Sicherheit modernen Anforderungen nach einem international geltenden Anforderungskatalog entspricht. Darüber hinaus erfüllen sie noch die zusätzlichen Anforderungen ihrer Kunden. Das Tool enthält demnach folgende Prüfgebiete: ISO 27001

  1. Zielsetzung und Feststellung zur Anwendbarkeit
  2. Informationssicherheitsmanagementsystem
  3. Interne ISMS-Audits
  4. Management-Review des ISMS
  5. Organisation der Informationssicherheit
  6. Anlagenmanagement
  7. Human Resources Sicherheit
  8. Physische und Umgebungssicherheit
  9. Übertragungs- und Betriebsmanagement
  10. Zugangs-/Zugriffskontrolle
  11. Informationssystem-Einrichtung, -Entwicklung und -Pflege
  12. Informationssicherheitsvorkommnisse und schwächen
  13. Business Continuity Management
  14. Compliance/Ordnungsmäßigkeit
  15. Prototypen- und Neuproduktentwicklungsschutz

IT-Sicherheit bei Automobilzulieferern ist zum Gegenstand erhöhter Aufmerksamkeit geworden. Insbesondere die fortschreitende Computerisierung bei Prototypen- und Neuproduktentwicklungen sowie Projektmanagement hat den Fokus des Interesses in Sachen IT-Sicherheit auch auf diejenigen Bereiche gelenkt, die im Rahmen üblicher IT-Sicherheitsprüfungen bisher nur am Rande betrachtet wurden. Auch die Zertifizierung nach ISO 9001 hilft hier nichts, da sie andere Scopes und eine andere Zielsetzung hat. Dies hat sich seit einiger Zeit drastisch geändert, nachdem einige namhafte Hersteller sich nicht nur für die Frage interessieren, ob ihre Zulieferer IT-sicherheitszertifiziert sind, sondern ob sie vor allem auch sämtliche mit neuen Produkten und Produktentwicklungen zusammenhängende Bereiche bei diesem Zertifizierungsprozeß mit haben auditieren und zertifizieren lassen. Das Problem bei manchen Zulieferern liegt darin, dass der F+E-Bereich entweder aufgrund von regionaler Ausgliederung - z. B. befindet er sich oft in einer separaten Organisationseinheit - nicht bewusst entsprechend sicher gestaltet wird. Hier wird im Rahmen einer Zertifizierung gemäß der Norm eine spezifische Auditierung und Bewertung regionaler/selbstständiger Einheiten vorgenommen (sog. Multiple-Site-Betrachtung). Auch ist dieser bei einer Integration in das Gesamtsystem manchmal nicht hinreichend abgeschottet. Dies muss auf jeden Fall beachtet werden, wenn das Scope für die Zertifizierung festgelegt wird. Zusätzlich ergeben sich Konsequenzen für das ?Statement of Applicability? (Erklärung zur Anwendbarkeit), in dem ebenfalls das erweiterte Scope zum Ausdruck kommen muss. Die UIMCert hat auf diesem Sektor eine Kompetenz gewonnen, die in einer Anzahl durchgeführter Auditierungen/Zertifizierungen erworben wurde. Darüber hinaus ist das UIMCert-Tool geeignet, Vorprüfungen im Hinblick auf die ISO/IEC 27001-Konformität durchzuführen. Bei einer hinreichenden Fachkompetenz ist dies leicht durch das an einer Zertifizierung interessierte Unternehmen selbst zu realisieren. Allerdings lehrt die Erfahrung, dass das generelle, an den Anforderungen der ISO 27001 gemessene IT-Sicherheitsniveau häufig noch verbesserungsnotwendig ist und ein Projekt zur Konformitätsherstellung der offiziellen Auditierung/Zertifizierung vorgeschaltet werden muss. Hierzu ist dann in manchen Unternehmen weder die fachliche Kompetenz noch die personelle Kapazität gegeben, sodass die Hilfe eines erfahrenen Beraters in Anspruch genommen werden sollte.