Siemens verpflichtet Lieferanten verbindlich zu mehr Cyber-Sicherheit

„Charter of Trust“ gewinnt neue Mitglieder

Die in der Allianz „Charter of Trust“ zusammengeschlossenen Partner wollen Cyber-Sicherheit in ihren globalen Lieferketten etablieren. Das wurde jetzt auf der der Münchner Sicherheitskonferenz ebenso deutlich wie die Ziele für 2019: künftig nur noch Produkte mit vorab implementierter Cyber-Sicherheit nutzen und mehr in Aus- und Weiterbildung bei IT-Sicherheit investieren.

Roland Busch, CTO Siemens

Roland Busch, Chief Technology Officer von Siemens: „Wenn alle Partnerunternehmen mit ihrem globalen Gewicht und ihren Lieferanten diese Maßnahmen umsetzen, können wir große Effekte erzielen und die digitale Welt sicherer machen.“

Im Februar 2018 hatten Siemens und acht Partner aus der Industrie auf der Münchner Sicherheitskonferenz (MSC) eine gemeinsame Charta für mehr Cyber-Sicherheit ins Leben gerufen. Ein Jahr nach Unterzeichnung hat sich die Zahl der Mitglieder dieser „Charter of Trust“ auf 16 verdoppelt. Zum Dokument verpflichten sich Stand heute neben Siemens und MSC die Unternehmen Airbus, Allianz, Atos, Cisco, Daimler, Dell, Deutsche Telekom, Enel, IBM, NXP, SGS und Tüv Süd.

Erstmals treten nun mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem National Cryptologic Center (CCN) aus Spanien zwei Regierungsbehörden der Charter bei. Zudem wird die Technische Universität Graz Mitglied der Initiative. Die TU Graz ist seit Langem in der Cybersicherheits-Forschung engagiert und war Anfang 2018 in die Aufdeckung IT-Sicherheits-Lücken „Meltdown“ und „Spektre“ massgeblich involviert. Diese neuen Mitglieder werden dabei als assoziierte Partner aufgenommen - das ist ein neues Format, mit dem sich die Charter nun auch für Regierungsstellen, Universitäten und Forschungseinrichtungen öffnet. Ein Vorteil für solche Organisationen ist, dass sie mit den Partnern der „Charter of Trust“ an konkreten Projekten zusammenarbeiten können, ohne Vollmitglied mit allen Rechten und Pflichten werden zu müssen.

Cyber-Sicherheit als grundlegende Aufgabe

„Im Zeitalter des Internet ist Cyber-Sicherheit eine grundlegende Aufgabe. Die Charter of Trust ist ein erster sehr wichtiger Schritt“, sagte Siemens-Chef Joe Kaeset auf dem MSC. „Wir sind offen für weitere Partner. Cyber-Sicherheit ist das Schlüsselelement für eine erfolgreiche Digitalwirtschaft und für den Schutz kritischer Infrastrukturen. Wir hoffen, dass die Charter zu einer lebhaften öffentlichen Diskussion zum Thema Cyber-Sicherheit führt - und künftig zu verbindlichen Standards und Regeln.“

Im Oktober 2018 haben die Partner zudem grundsätzliche Anforderungen für die Cyber-Sicherheit digitaler Lieferketten erarbeitet. Diese Anforderungen betreffen technische Merkmale und organisatorische Maßnahmen, die für Produkte und Dienstleistungen und ebenso für die entsprechende IT-Infrastruktur relevant sind.

Zu den Anforderungen gehören etwa der Schutz von Daten über ihren gesamten Lebenszyklus hinweg oder Mindestanforderungen für die Ausbildung von Mitarbeitern im Bereich IT-Sicherheit. Die Mitglieder der Charter planen, diese Aufgaben in ihren eigenen globalen Lieferketten einzuführen und dabei die Lieferanten einzubinden. Die Lieferkette gilt als der schwächste Punkt im Cybersecurity-Ökosystem von Unternehmen: 60 Prozent der Cyber-Attacken lassen sich im Ursprung auf Teile der Lieferketten zurückverfolgen und kleine Unternehmen sind laut Accenture Strategy für 92 Prozent der Cyber-Vorfälle verantwortlich.

Nach Erkenntnissen des „Centers for Strategic and International Studies“ richteten Cyber-Angriffe im Jahr 2018 einen weltweiten Schaden von mehr 500 Mrd. Euro an. Und die Bedrohungen nehmen in einer digitalisierten Welt ständig zu: Laut Gartner waren im Jahr 2017 rund 8,4 Mrd. vernetzte Geräte in Gebrauch - das sind 31 Prozent mehr als 2016. Bis 2020 sollen es bereits 20,4 Mrd. Geräte sein. Auch deshalb verpflichtet Siemens Lieferanten künftig zu verbindlichen Anforderungen für Cyber-Sicherheit.

Mindestanforderungen für neue Lieferanten

Neue Lieferanten von Siemens müssen verbindliche Mindestanforderungen für Cyber-Sicherheit erfüllen. Diese Anforderungen werden seit dem 15. Februar 2019 schrittweise eingeführt – und dabei als eigene Klausel in allen neuen Verträgen weltweit verankert und verbindlich gemacht.

Von den Regeln betroffen sind vorrangig Lieferanten sicherheitskritischer Komponenten – dazu zählt Siemens z.B. Software, Prozessoren oder elektronische Bauteile für bestimmte Steuerungseinheiten. Bisherige Lieferanten sollen die Anforderungen nach und nach umsetzen, wenn diese nicht bereits erfüllt sind. Zu den Anforderungen gehört etwa, dass Lieferanten spezielle Normen, Prozesse und Methoden in ihre Produkte oder Dienstleistungen einbauen müssen.

Software-Schwachstellen und bösartige Codes verhindern

Das Ziel: Software-Schwachstellen und bösartige Codes verhindern – bei sich selbst und damit in Folge auch in Siemens-Produkten. Ebenso müssen sich die Lieferanten künftig um regelmäßige Sicherheitsüberprüfungen, Tests und Korrekturen kümmern. Diese Anforderungen macht Siemens auch für sich selbst verpflichtend.

„Damit können wir das Risiko von Sicherheitsvorfällen ganzheitlich entlang der Wertschöpfungskette reduzieren und unseren Kunden höhere Cyber-Sicherheit bieten", sagt Roland Busch, Vorstandsmitglied und „Chief Technology Officer“ von Siemens. „Wenn alle Partnerunternehmen mit ihrem globalen Gewicht und ihren Lieferanten diese Maßnahmen umsetzen, können wir große Effekte erzielen und die digitale Welt sicherer machen.“

Im Herbst 2018 hat Siemens auch intern seine Fähigkeiten gegen Hacker-Angriffe weiter gestärkt und seine Cyber-Organisation neu aufgestellt. Die neue Einheit funktioniert als weltweites Netzwerk und vereint vormals getrennte Bereiche miteinander.

Dabei geht Siemens das Thema Cyber-Sicherheit ganzheitlich an: In der neuen Organisation werden nicht nur Hacker-Angriffe aufgeklärt, analysiert und abgewehrt, sondern auch neue Cybersecurity-Services entwickelt und zusammen mit den Siemens-Geschäftseinheiten auf den Markt gebracht.

Schneller und flexibler auf Angriffe reagieren

Ziel ist es, noch schneller und flexibler auf Angriffe reagieren zu können. Zudem hat das Unternehmen in jeder Region und Division sein Netzwerk aus Cybersecurity-Verantwortlichen gestärkt, die an Natalia Oropeza, Chief Cybersecurity Officer von Siemens, berichten.

Siemens ist seit rund 30 Jahren auf dem Feld der Cyber-Sicherheit aktiv – das erste Team wurde bereits im Jahr 1986 aufgestellt. Derzeit arbeiten bei Siemens weltweit rund 1.275 Experten, die sich ausschließlich mit Fragen der Cyber-Sicherheit beschäftigen. Hinzu kommen Mitarbeiter in den Geschäftsbereichen und Regionen, die ebenfalls zum Thema beitragen.

Update: Als erstes asiatisches Unternehmen wird Mitsubishi Heavy Industries der Charter betreten. Eine Absichtserklärung für den Beitritt zur „Charter of Trust“ wurde am 19. Februar in Tokio unterzeichnet; bis Ende September 2019 soll MHI demnach offizielles Mitglied werden.

Mitsubishi: Beitritt bis September 2019

„Cyber-Sicherheit macht nicht vor Grenzen halt“, sagte Joe Kaeser, Vorstandsvorsitzender von Siemens. „Wir freuen uns daher, dass Mitsubishi Heavy Industries als erstes asiatisches Unternehmen der Charter beitritt und dazu beiträgt, die digitale Welt sicherer und vertrauenswürdiger zu machen. Damit wird unsere Initiative noch globaler.“

Bildquelle: Siemens

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok