2024 – das Jahr der Cybersecurity bei Derovis

Interview mit Peter Schüßler, Information Security Manager bei Derovis

Cybersecurity – das ist doch nichts Neues für Derovis? Nein, natürlich nicht. Wir handeln mit Vertrauen und Sorgenfreiheit, auch in puncto IT. Seit vielen Jahren sind wir mit einem zentralen Aspekt der IT-Sicherheit konfrontiert, dem Datenschutz. Den haben wir von Anfang an in unsere Systeme eingebaut. Jetzt schauen wir, wie wir uns weiter verbessern können.

Warum jetzt?
Alles, was im Netz hängt, ist angreifbar. Die Gefahr wächst beständig, dass Angreifer mutwillig Daten verändern, Systeme korrumpieren oder ganz außer Kraft setzen. Werden große Server-Systeme im ÖPNV angegriffen, hat das sofort gravierende Auswirkungen. Auch Fahrzeuge können über Sicherheitslücken gekapert, lahmgelegt oder sogar fehlgesteuert werden.

Inwiefern ist das für Derovis relevant?
Unsere Video- und AFZ-Systeme sind zwar nicht direkt relevant für den Fahrzeugbetrieb an sich. Wenn sie aber außer Kraft gesetzt werden, können sie ihre Funktion nicht erfüllen. Das hat dann auch Auswirkungen auf die Betriebsprozesse unserer Kunden. Die eigentliche Herausforderung liegt darin: Für Zulieferer wie Derovis ist es unausweichlich, bestimmte neue Cybersecurity-Standards aufzubauen und einzuhalten.

Welche sind das genau?
Industrienormen und -standards, die auf nationaler und internationaler Ebene erstellt und zunehmend aufeinander abgestimmt werden. Die Bestimmungen reichen von der Entwicklung elektronischer Komponenten über Unternehmensprozesse bis hin zu Vorgaben, wie Systemintegratoren vorgehen sollen. Branchenverbände spezifizieren diese Standards für ihre Bereiche weiter aus, so auch der Verband der Automobilindustrie (VDA) für die
Automotive-Branche. Da wir 95 Prozent unserer Umsätze mit der Ausstattung von Bussen machen, ist das für uns einschlägig.

Was heißt das konkret für Derovis?
2024 wird bei uns das Jahr der Cybersecurity. Wir bereiten uns intensiv auf zwei Zertifizierungen vor: Die ISO 27001 und das TISAX Label. ISO27001 ist eine international anerkannte Norm und umschreibt Anforderungen an die IT-Sicherheit. Dabei geht es nicht nur um die Produkte, sondern auch um Prozesse, beispielsweise den unternehmensweiten Aufbau eines Informationssicherheitsmanagementsystems, kurz ISMS. Das internationale TISAX Label (Trusted Information Security Assessment Exchange) umfasst branchenspezifische Erweiterungen für den Bereich Automotive. TISAX regelt hierbei die sichere Verarbeitung von Informationen zwischen Automobilherstellern und ihren Dienstleistern und Lieferanten.

Die geplanten Zertifizierungen sind also nötig?
In der Sache sowieso: Wer die Sicherheit der Fahrzeug-IT nicht ernst nimmt, spielt mit Menschenleben. Darüber hinaus wird das Thema Cybersicherheit zu einer Marktbereinigung führen. Wer nachweisen kann, dass er die hohen Standards an die IT-Sicherheit erfüllt, bleibt im Geschäft. Alle anderen scheiden aus.

Und was heißt das für Ihre Kunden?
Unsere Kunden können weiterhin auf uns und unsere Produkte setzen. Wir wissen, was dafür getan werden muss, und wir tun es.

Wie weit sind Sie, Stand Herbst 23?
Alle unsere Mitarbeiter:innen haben bereits ein Awareness-Training durchlaufen. Mit Fahrzeugherstellern und Behörden stehen wir in engem Kontakt, ebenso mit der Konzernmutter INIT. Wir bauen ein mit dem Qualitäts- und Datenschutzmanagement verzahntes ganzheitliches ISMS auf. Wir schauen, wo wir Prozesse optimieren müssen, und erstellen die erforderlichen Dokumentationen. Wo es nötig und sinnvoll ist, stützen wir uns auf die Expertise externer Berater:innen. Alles, damit wir unseren Kunden und Partnern Ende 2024 verkünden können: Doppelt zertifiziert – und IT-sicher!