Komax stellt Informationssicherheit weiterhin auf hohem Niveau sicher
Inside Komax
Nach einem anspruchsvollen Assessment-Prozess konnte die Komax Gruppe die Zertifizierung nach TISAX erfolgreich abschliessen und garantiert Geschäftspartnern somit die Informationssicherheit ihrer IT- und Managementsysteme neu nach einem in der Automobilindustrie anerkannten Branchenstandard. Jan Gehrig, Head IT Security, erklärt, warum diese Zertifizierung für die Zusammenarbeit mit Kundinnen und Kunden wichtig ist und welche Vorteile dadurch entstehen.
Die Digitalisierung moderner Fahrzeuge schreitet rasant voran. Über 100 digitale Steuergeräte, die miteinander verbunden sind oder zentral gesteuert werden können, werden heute in ein Fahrzeug verbaut. Tendenz steigend. Die Komplexität der Software-Architektur in modernen Autos wird aufgrund des autonomen Fahrens und dem Einsatz von künstlicher Intelligenz weiter zunehmen, zugleich gewinnt auch das Thema Cyber-Sicherheit mehr und mehr an Bedeutung. «Die Informationssicherheit wird in der Automobilindustrie immer wichtiger», erklärt Jan Gehrig, Head IT Security bei Komax, denn: «In der Automobilbranche gibt es viele schützenswerte Informationen, welche bei der Zusammenarbeit von Zulieferern und Herstellern im Rahmen der Lieferkette ausgetauscht werden, wie zum Beispiel Patente oder Geschäftsgeheimnisse.»
Dienstleister und Zulieferer müssten garantieren, dass ihre Produkte, Dienstleistungen, Partnernetzwerke aber eben auch Managementsysteme zur Informationssicherheit den stetig steigenden Qualitätsansprüchen entsprechen, weil die meisten europäischen Automobilhersteller bei der Auswahl ihrer Zulieferer strenge Sicherheitsstandards verlangen. Sichere IT-Systeme seien daher von grosser Bedeutung, «sowohl innerhalb der Komax Gruppe als auch bei der Zusammenarbeit mit unseren Kundinnen und Kunden», erzählt Gehrig und ergänzt: «Der wesentliche Bestandteil einer Informationssicherheitsorganisation sind aber die Mitarbeitenden, die über ein hohes Mass an Aufmerksamkeit für das eigene Handeln und ihre Umgebung verfügen müssen». Aus diesem Grund beinhalte TISAX nicht nur Massnahmen zur IT-Sicherheit wie Datenschutz oder digitale Zugriffsrechte, es gehe ebenso um physische oder organisatorische Aspekte wie Zugangsbeschränkungen, Kontrollen oder Vertraulichkeitserklärungen seitens Angestellten, externen Dienstleistern und Partnern.
Komax ist TISAX-zertifiziert
Um dieses Informationssicherheitsniveau nicht nur zu gewährleisten, sondern auch nach einem in der Automobilindustrie anerkannten Branchenstandard nachzuweisen, hat die Komax Gruppe die Zertifizierung nach TISAX angestrebt. «Und nach einem monatelangen, anspruchsvollen Assessment-Prozess erfolgreich abgeschlossen», fügt Gehrig hinzu. Mit TISAX sei ein einheitlicher Standard in der Automobilbranche geschaffen worden, welcher unternehmensübergreifend anerkannte Bewertungsgrundlagen bietet und von allen Mitgliedern des deutschen VDAs (Verband der Automobilindustrie), wie zum Beispiel Audi, Volkswagen, BMW oder Mercedes-Benz, anerkannt wird. «Geprüfte Unternehmen können so zum Beispiel die Mehrfachprüfung von verschiedenen Auftraggebern vermeiden.»
Gute Grundlage für die Zukunft
«Durch die Zertifizierung nach TISAX können wir gegenüber unseren Kundinnen und Kunden, deren Zulieferern und den Automobilherstellern die Sicherheit aller relevanten Informationen transparent nachweisen», erklärt Jan Gehrig weiter. Das sei von enormem Vorteil, denn um mit grossen und renommierten Automobilherstellern zusammenarbeiten zu können, hätte Komax in der Vergangenheit zahlreiche Auditierungen über sich ergehen und sich stichprobenartig nach VDA Information Security Assessment überprüfen lassen müssen. Dies habe jeweils zur Erstellung eines neuen Massnahmenkataloges geführt und sich somit beim Aufbau neuer Kundenbeziehungen oft negativ auf die Zeitachse ausgewirkt. Dank TISAX könne nicht nur dieses Problem eliminiert werden, «es ist auch eine gute Grundlage für eine mögliche Zertifizierung nach ISO/IEC 27001 geschaffen worden.»
Für eine sichere Verarbeitung von Informationen
Der «Trusted Information Security Assessment Exchange»-Standard, kurz TISAX, wird von der rechtlich-selbstständigen ENX Association mit Sitz in Frankfurt am Main und Paris betrieben und wurde 2017 vom deutschen Verband der Automobilindustrie (VDA) als Prüf- und Austauschmechanismus etabliert. Er dient zur Risikobewertung von Lieferanten und befasst sich mit der sicheren Verarbeitung von Informationen von Geschäftspartnern sowie dem Datenschutz zwischen Automobilherstellern und ihren Zulieferern gemäss Datenschutz-Grundverordnung (DSGVO). Die branchenweite Durchsetzung von TISAX gilt für alle Unternehmen der deutschen Automobillieferkette: Automobilhersteller, OEMs, Partner und Zulieferer.
TISAX orientiert sich stark an der bestehenden Norm ISO 27001, die Schutzanforderungen sind jedoch stärker an die Gegebenheiten der Automobilindustrie angepasst. Das heisst, dass sie oft klarer formuliert und strenger in ihrer Bewertung sind. Nach einer erfolgreichen Zertifizierung tauschen Teilnehmende untereinander Informationen zum Status der Informationssicherheit über ein Online-Portal aus und können einen direkten Kontakt zu Prüfdienstleistern herstellen. Dabei entscheidet jeder Teilnehmer selbst, gegenüber wem Ergebnisse in welchem Detailgrad offengelegt werden sollen.
Kontakt
Jan Gehrig ist für die IT Security der Komax Gruppe verantwortlich und berichtet im Bereich Market & Digital Services an Christoph Lienhard, VP Global IT. Er hat an der Hochschule Luzern Informationssicherheit und Datenschutz studiert und ist seit 2018 für die Komax Gruppe tätig.