Schlagwortarchiv für: Automobilindustrie

,

TISAX® – Informationssicherheit im Detail, Teil 4

Nachdem in den vorherigen Beiträgen zum Thema TISAX® das Zusammenspiel zwischen den drei wesentlichen ISMS-Elementen Asset Management, Klassifizierung und Risikomanagement dargestellt wurde, wird in diesem Artikel der Einfluss der wichtigsten „nicht-technischen Komponente“ betrachtet – der Einfluss des Menschen.

Wie in eigentlich allen anderen Standards für Informationssicherheit auch, ist das Themengebiet Awareness und Schulung auch bei TISAX® zu finden. Diese generell sehr präsente Herangehensweise beruht auf der Einsicht, dass genaugenommen nur drei mögliche Schwachstellen einen Informationssicherheitsvorfall erst möglich machen: technische Schwächen (wie z.B. Softwarefehler), organisatorische Schwächen (z.B. fehlende Regelungen für das mobile Arbeiten) und menschliche Fehlhandlungen (z.B. das Öffnen eines Mailanhang mit einer Schadsoftware).

Um ein angemessenes Niveau der Informationssicherheit zu erreichen, müssen alle drei Bereiche der möglichen Schwachstellen behandelt werden. Daher finden sich in einem guten Awareness-Konzept vielfältige Maßnahmen, durch deren Zusammenwirken ein sicheres Verhalten der beteiligten Personen erreicht werden soll.

Der erste Schritt – Regelungen treffen

Genaugenommen startet Awareness auf der Seite des Unternehmens. Der Arbeitgeber muss aufzeigen, was im konkreten Unternehmen unter „sicherem Verhalten“ zu verstehen ist und was von den Mitarbeitern erwartet wird. Diese Vorgaben finden sich in den verschiedenen Richtlinien und Anweisungen. Damit sie aber von den Mitarbeitern auch angewandt werden können, müssen diese Vorgaben nicht nur fixiert, sondern auch mitgeteilt werden. Dies geschieht zumeist in Schulungen, in eLearnings oder beim Firmeneintritt eines neuen Mitarbeiters. Inhaltlich findet man an dieser Stelle oft Regelungen für den Gebrauch von Systemen und Anwendungen, den Umgang mit Passworten oder anderen Authentifizierungsmitteln und auch Belehrungen und Verpflichtungen zur Verschwiegenheit.

Als Besonderheit in der Automobilindustrie kommt hinzu, dass Unternehmen häufig mit Informationswerten von Kunden umgehen, oftmals in Form von Projekten. Daher müssen den Projektbeteiligten nicht nur die Vorgaben des eigenen Unternehmens bekannt sein, sondern auch die Vorgaben der Kunden, mit deren Informationswerten im Zuge des Projektes umgegangen wird.

Die Rolle des Mitarbeiters

Die Mitarbeiter haben außerdem noch an einer anderen Stelle einen Einfluss auf das Niveau der Informationssicherheit, neben dem Beachten der Vorgaben des Unternehmens. Es wird von ihnen erwartet, dass sie beobachtete oder vermutete Vorfälle der Schwachstellen dem Verantwortlichen im Unternehmen, zumeist dem Informationssicherheitsbeauftragten (ISB) melden. Das setzt voraus, dass solche Meldewege und Kontakte bei den Mitarbeitern auch bekannt sind. Das Erkennen und Melden von Informationssicherheitsvorfällen sollte daher ebenfalls in Schulungen vorkommen.

An dieser Stelle noch zwei kleine Hinweise zum Melden von Vorfällen. Das Melden der Vorfälle wird von den Mitarbeitern erwartet – nicht aber das Bewerten oder gar das Beheben des gemeldeten Zustands. Diese Bewertung, Entscheidung und weitere Verfolgung wird zumeist beim ISB gesehen. Außerdem freuen sich die meisten Menschen, wenn sie auf einen Hinweis hin zumindest ein kleines positives Feedback bekommen … Schließlich möchten der ISB und auch das Unternehmen, dass dieses Verhalten auch weiterhin gezeigt wird.

Die Gedanken in diesem Artikel zeigen, warum sich in dem VDA ISA Katalog neben vielen eher technischen Aspekten auch Forderungen zur Schulung und Sensibilisierung der Mitarbeiter finden. Natürlich gibt es auch Forderungen, die sowohl die technischen als auch die personellen Aspekte zeitgleich betreffen, wie zum Beispiel das mobile Arbeiten. Doch dazu mehr im nächsten Artikel …

Was Sie auch interessieren könnte:

Seminar:

„TISAX® – Informationssicherheit in der Automobilindustrie“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Die Folge 14 TISAX® – „Informationssicherheit in der Automobilindustrie“ sowie die Folgen 4 und 5 Security Awareness liefern Ihnen hier interessante Informationen zum Thema.

Hören Sie rein!

 

 

 

 

 

/von
,

TISAX® – Informationssicherheit im Detail, Teil 3

Im vorherigen Beitrag wurde der Zusammenhang zwischen den drei wesentlichen ISMS-Elementen Asset Management, Klassifizierung und Risikomanagement aufgezeigt, wobei das Risikomanagement nur kurz angerissen wurde. Wie an dieser Stelle erwähnt wurde, hat der VDA auch zum Risikomanagement ein Whitepaper mit einigen Handreichungen und Vorschlägen herausgegeben.

Wie bei den meisten Methodiken zum Risikomanagement werden auch beim VDA zur Berechnung eines Risikowertes die Eintrittswahrscheinlichkeit und die Schadenshöhe des jeweiligen Risikos miteinander multipliziert. Der VDA unterscheidet hier bei der Schadenshöhe nicht weiter nach spezielleren Schadensarten, wie z.B. Imageschäden oder Personenschäden. Vielmehr orientiert sich der VDA an der Klassifizierung des betroffenen Informationswertes: bei einem Schutzbedarf „sehr hoch“ wird auch von einem „sehr hohen“ Schaden ausgegangen. Ergänzt wird in Anlehnung an die Methodik des Bundesamtes für Sicherheit in der Informationstechnik (BSI) noch die Schutzklasse „niedrig“, sodass sich insgesamt vier mögliche Schadenshöhen ergeben.

Priorisierung und Behandlungsoptionen

Sinn eines Risikomanagements ist es, die betrachteten Risiken sortieren zu können. Die „wichtigsten“ Risiken sollen natürlich zuerst behandelt werden – das sind solche, bei denen das Produkt aus Eintrittswahrscheinlichkeit und Schadenshöhe am größten ist, die also häufig eintreten und bei jedem Eintreten einen sehr hohen Schaden verursachen. Andere Risiken, bei denen das Produkt kleiner ist (die also entweder seltener eintreten oder aber geringere Schäden hervorrufen), werden natürlich ebenfalls betrachtet. Die Übersicht über alle Risiken, die betrachtet wurden, kann nach dem Ergebnis der Risikoberechnung sortiert werden und liefert so gleich die Reihenfolge der Behandlung der einzelnen Risiken.

Rein intuitiv nehmen die meisten Menschen an, dass es bei der Behandlung eines Risikos zwingend um die Verminderung des Risikos gehen muss, sprich: dass entweder Eintrittswahrscheinlichkeit oder Schadenshöhe verringert werden müssen. Die meisten Risikomethodiken sehen jedoch neben der Verminderung eines Risikos noch weitere sogenannte Behandlungsoptionen vor: Risikovermeidung, Risikotransfer und Risikoakzeptanz. Die Bezeichnungen für diese vier Behandlungsoptionen variieren in den verschiedenen Methodiken zum Risikomanagement zumeist, die zugrundeliegende Idee ist aber ähnlich.

Natürlich kann und muss die genutzte Risikomethodik in einem ISMS an das jeweilige Unternehmen angepasst werden. Der VDA ISA Katalog, der für eine Prüfung nach TISAX® genutzt wird, stellt nur allgemeine Anforderungen an ein Risikomanagement. Allerdings bietet es sich an, bei einer angestrebten Konformität die Handreichungen des VDA zum Risikomanagement zumindest in Betracht zu ziehen.

Neben den großen Themen Asset Management, Risikomanagement und Klassifizierungsschema finden sich noch viele weitere Elemente eines ISMS im VDA ISA Katalog. Einige dieser Inhalte werden wir im folgenden Artikel betrachten – oder in einem unserer Seminare.

Was Sie noch interessieren könnte…

Seminar:

TISAX® – Informationssicherheit in der Automobilindustrie

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” hat diesem Thema auch eine Folge gewidmet. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von

Schlagwortarchiv für: Automobilindustrie

ANMATHO AG

Beratungsunternehmen für
Informationssicherheit & Datenschutz

Erste Brunnenstraße 1
20459 Hamburg

Tel: +49(0)4022947190
Fax: +49(0)40229471919
E-Mail: info@anmatho.de

Wir sind Mitglied im:

© ANMATHO AG

Impressum

Datenschutzhinweise

Veranstaltungsbedingungen

Cookie-Einstellungen