Sie sind hier

Blogeintrag: Sinn und Unsinn von IT-Compliance Assessments

Warum Kunden an der IT Compliance ihrer Lieferanten interessiert sind

Erst herrscht große Freude – dann kommt die Ernüchterung: Gerade wurde der Deal mit dem Kunden unter Dach und Fach gebracht, da kommen die Anforderungen aus dem Kleingedruckten: Ein Information Security Assessment soll man über sich ergehen lassen. Gerade als produzierendes Unternehmen erscheint einem diese Forderung recht unsinnig, ist die IT doch Mittel zum Zweck: „Weshalb stellt ein Kunde Anforderungen an meine IT, wenn er doch Güter wie z.B. Schrauben geliefert haben möchte, die mit IT nichts zu tun haben?“ Ist dies also eine ungerechtfertigte Anforderung, um die Lieferanten zu gängeln? Schauen wir uns das Thema mal am Beispiel der Automobilindustrie an.

Für den Kunden, den Automobilhersteller, sind mehrere Dinge wichtig: Durch Just-In-Time-Lieferungen sollen Materialeinkauf und Lagerkosten reduziert werden; Unternehmens-Know-How und Informationen zu Neuentwicklungen und Prototypen müssen vor der Konkurrenz geschützt werden. Darüber hinaus sollen negative Schlagzeilen vermieden werden, die bei einem offenkundigen Angriff auf die IT unweigerlich drohen würden, bei dem z.B. Webseiten verunstaltet werden, durch die IT unterstützte Kundendienstleistungen ausfallen oder Unternehmensdaten an unerwünschten Stellen im Internet auftauchen.

Teilweise werden die erforderlichen Anforderungen hierzu durch das Unternehmen festgelegt, teilweise existieren dazu übergreifende Branchenstandards.

Schutz der eigenen Informationen beim Lieferanten

Um diesen Schutz zu gewährleisten, werden die Anforderungen dieser Unternehmen auf die Lieferanten ausgedehnt. Verhindert werden soll damit z.B., dass ein Konzern Unsummen in seinen Prototypenschutz steckt, gleichzeitig aber der Lieferant mit geheimen Teilen in seinem Showroom Werbung macht oder diese gar ohne Rücksprache als Referenz für andere Kunden nutzt. Für Prototypen ist dieser Schutzbedarf einfach ersichtlich, für den Automobilhersteller unterliegen aber auch andere Daten bereits Schutzanforderungen, z.B. Vertrags- und Preisinformationen sowie weitere produktionsrelevante Informationen. Eine entsprechende Liste wird vom Kunden in der Regel bereitgestellt.

Sicherstellung der Lieferkette

Auch an weniger offenkundigen Stellen dient die Weitergabe der Anforderungen an den Lieferanten dem Schutz des Automobilherstellers: Fällt die IT eines Lieferanten aus, so ist in vielen Fällen die Lieferung wichtiger Teile direkt gefährdet. Dies kann zu einem erheblichen Stillstand der Produktion führen – und damit schnell zu hohen Ausfallkosten.

Schutz bei Netzanbindungen

Ein dritter Aspekt ist, dass durch eine enge Anbindung des Lieferanten an das IT-Netzwerk des Automobilherstellers neue Angriffswege auf dessen IT geöffnet werden können. Dies muss nicht durch  den Lieferanten selber geschehen, sondern kann durch seine Dienstleister erfolgen. Der Lieferant muss daher zeigen, dass er angemessene Schutzmaßnahmen hiergegen getroffen hat.

Ziele des Assessments

Wenn man sich die Ziele des Kunden anschaut, dann wird auch das Ziel des Information Security Assessments klar: die für den Kunden relevanten Bereiche sicher abzudecken. Keinesfalls geht es darum, für alle Bereiche der IT die höchsten Sicherheitsanforderungen umzusetzen und in allen Details zu definieren, sondern darum, das ideale Maß zu finden.

Erkennbar wird dabei auch: Je wichtiger die Informationen sind, auf die der Lieferant Zugriff hat, je größer die Abhängigkeit bzw. der potentielle Schaden ist, desto mehr Schutz wird erwartet und desto genauer wird der Automobilkonzern Fragen stellen bzw. die ausreichende Umsetzung prüfen.

Adaption von Kundenanforderungen

Um den Kunden abzuholen und ihm zu zeigen, dass der Lieferant die Schutzinteressen professionell wahrnimmt, muss der Lieferant die Anforderungen des Kunden in den relevanten Bereichen adaptieren: Verbietet der Kunde z.B. in seinen Richtlinien, bestimmte Informationen per Mail zu versenden, muss der Lieferant dies für die entsprechenden Kundeninformationen auch verbieten. Er muss es aber nicht zwangsläufig für gleichartige Informationen anderer Kunden oder seine eigenen verbieten. Durch eine solche differenzierte Betrachtung lassen sich auch in Konflikt stehende Kundenanforderungen lösen.

Informationsklassifizierung

Bei Umsetzung dieser Thematik unterstützt eine Informationsklassifizierung: Die Informationen werden unterschiedlichen Schutzklassen (z.B. „Öffentlich“, „Intern“, „Vertraulich“, „Geheim“) zugeordnet. Diese werden mit Anweisungen verknüpft, welcher Umgang mit den Daten erlaubt oder verboten ist. Die Klassifikation sollte darüber hinaus die relevanten Kundendaten sowie die bekannten Richtlinien des Kunden für den Umgang mit diesen aufgreifen. Der Umgang mit den eigenen Daten sollte davon aber nicht vollständig bestimmt werden.

Kommunikation auf Augenhöhe

Die Erfahrung zeigt, dass es in der Kommunikation mit den Automobilkonzernen bzw. den eingesetzten Auditoren hilft, wenn man aktiv zeigt, dass man die Schutzinteressen des Kunden aufgreift und seine Sorgen adressiert. Das Interesse des Kunden an diesen Themen ist durchaus berechtigt, und in anderen Bereichen werden vergleichbare Anforderungen an Lieferanten bereits seit langer Zeit weitergegeben. Leider werden die Lieferanten mit den Anforderungen weitgehend alleine gelassen, ohne Anhaltspunkt, was denn von Ihnen erwartet wird.

Das Verständnis für die Ziele ermöglicht daher, zielgerichtet auf das Bestehen des Assessments hinarbeiten zu können, dieses zeit- und kostenoptimal zu bestehen, und unnötige Fallstricke durch gutgemeinte, aber kontraproduktive Aussagen zu vermeiden.

Marion Steiner ist seit mehr als zehn Jahren Beraterin mit Schwerpunkt Informationssicherheit und aktuell bei der IT-Security@Work GmbH (ISW) (www.isw-online.de) für die fachliche Ausrichtung des Unternehmens zuständig.

Ihr erklärtes Ziel ist es, dass Informationssicherheit und Compliance nicht als Störfaktoren, sondern als Mehrwert für ein Unternehmen wahrgenommen werden. Bei ihrer Arbeit stehen daher risikobasierte Verfahren sowie Vereinbarkeit von Geschäftsprozessen, IT-Betrieb und Compliance (inklusive Informationssicherheit und Datenschutz) im Vordergrund.