Da für den Bau eines einzigen Fahrzeugs durchschnittlich 30.000 verschiedene Teile benötigt werden, kann man sich vorstellen, wie komplex die Prozesse und die Koordination der Lieferkette sein müssen, um Automobile auf globaler Ebene herzustellen. Diese Lieferketten mit unzähligen Drittanbietern und Dienstleistern stellen für Automobilhersteller ein erhebliches Risiko dar. Und die Schwachstellen in der Branche werden mit der zunehmenden Integration von Technologie in Fahrzeuge nur noch weiter zunehmen.
Automobilunternehmen und Hersteller entlang der gesamten Automobilzulieferkette müssen daher wachsam gegenüber zunehmenden Cyber- und Geschäftsrisiken sein. Mithilfe des Trusted Information Security Assessment Exchange (TISAX)-Frameworks und weiteren Vorschlägen von Prevalent können Unternehmen besser positioniert sein, um die Schwachstellen innerhalb der Automobilzulieferkette zu mindern. In diesem Blog werde ich spezifische Risiken der Automobilzulieferkette untersuchen, aufzeigen, wie TISAX dabei helfen kann, ein Framework zur Bewältigung dieser Risiken bereitzustellen, und anschließend erläutern, wie Prevalent dabei helfen kann.
Die Automobil-Lieferkette
Die Automobilzulieferkette, die die Produktion und den Transport verschiedener Automobilteile und -komponenten umfasst, ist sowohl aus finanziellen als auch aus regulatorischen Gründen notwendig. Die Herstellung aller für ein Automobil erforderlichen Komponenten wäre für ein einzelnes Unternehmen zu kostspielig. Auf regulatorischer Seite gibt es mehrere Gesetze (z. B. Michigan House Bill 5606 (2014)), die Automobilherstellern den Direktverkauf an Verbraucher untersagen.
Die jüngsten technologischen Umbrüche haben Automobilhersteller dazu veranlasst, ihre Lieferkette zu überdenken und umzustrukturieren. So hat beispielsweise die Fahrzeugoptimierung dazu geführt, dass Hersteller Daten aus Ortungsgeräten nutzen, um die Leistung zu optimieren. Die daraus resultierenden Änderungen an den Fahrzeugen erfordern oft auch Änderungen in der Lieferkette – wodurch die Abhängigkeit von Nicht-OEM-Systemen (Original Equipment Manufacturer) zunimmt und mehr Raum für potenzielle Risiken entsteht.
Cyber-Schwachstellen
Wie alle modernen Branchen ist auch die Automobilindustrie nicht immun gegen Cyber-Sicherheitsbedrohungen. Laut einer aktuellen Studie von Synopsys und SAE International verfügen 30 % der Unternehmen in der Automobilindustrie über kein etabliertes Cyber-Sicherheitsteam, und nur 63 % testen die von ihnen hergestellten Technologien auf Sicherheitslücken. Im Juli 2018 wurden mehrere Automobilhersteller, darunter General Motors, Tesla, Toyota und Ford, Opfer eines Datenlecks. Bei dem Angriff wurden über 47.000 Dateien gestohlen, darunter Blaupausen, Geheimhaltungsvereinbarungen und andere sensible Geschäftsgeheimnisse. Der Angriff erfolgte über einen Drittanbieter, Level One Robotics, ein Unternehmen, das sich auf Automatisierungsprozesse für Automobilzulieferer und -hersteller spezialisiert hat.
TISAX
Eine Möglichkeit, Risiken in der Automobilzulieferkette potenziell zu mindern, ist der Trusted Information Security Assessment Exchange (TISAX). TISAX wurde ursprünglich vom Verband der Automobilindustrie entwickelt und ermöglicht Audits zur Informationssicherheit bei Herstellern und Zulieferern in der Automobilindustrie. TISAX liefert Herstellern die notwendigen Informationen, um fundierte Entscheidungen im Fertigungs- und Vertriebsprozess zu treffen und gleichzeitig Risiken entsprechend zu managen. TISAX baut seine „Community” innerhalb der Automobilzulieferkette weiter aus, in der Hoffnung, dass alle Mitglieder der Community nahtlos und mit vollem Vertrauen zusammenarbeiten können. Die TISAX-Zertifizierung als Voraussetzung hat sich seit ihrer Einführung in Deutschland im Jahr 2018 als wirksames Mittel zum Risikomanagement erwiesen.
Wie kann Prevalent helfen?
Aufgrund der Komplexität und der ständigen Veränderungen in der Automobil-Lieferkette ist eine kontinuierliche Überwachung der verschiedenen beteiligten Hersteller für das Risikomanagement und die Risikominderung unerlässlich. Schließlich kann ein Defekt in der Lieferkette zu einem Marken-, Finanz-, Regulierungs- und/oder Cyberrisiko führen. Die Minderung von Lieferkettenrisiken sollte die folgenden Schritte umfassen:
- Standardisierung einer fragebogenbasierten Bewertung mit einem gemeinsamen Rahmen für von Lieferanten vorgelegte Nachweise und Sorgfaltspflichten.
- Sammeln von Antworten und Nachweisen von Lieferanten auf einer zentralen Plattform, die es Herstellern ermöglicht, Risiken in ihrem Lieferantenökosystem oder auf Lieferantenebene schnell zu identifizieren.
- Nutzung eines gemeinsamen Netzwerks standardisierter, validierter Lieferantenfragebögen zur Beschleunigung des Prozesses zur Risikoidentifizierung und -minderung.
- Kontinuierliche Überwachung der Cybersicherheit von Lieferantennetzwerken aus der Perspektive eines Hackers, um Transparenz zu schaffen und Hinweise zur Behebung von Schwachstellen zu geben, die zu unerwünschten Zugriffen führen könnten, sowie Ergänzung der Ergebnisse der fragebogenbasierten Bewertung, um ein vollständigeres Bild der Lieferantenrisiken zu erhalten.
- Integration von Informationen zu Geschäftsrisiken – wie beispielsweise Finanzdaten von Lieferanten (sofern verfügbar), wichtige Nachrichtenereignisse, Rechtsstreitigkeiten oder Rückrufaktionen –, die einen Ausblick auf potenzielle zukünftige Cyberrisiken geben können.
- Ermöglichung von Abhilfemaßnahmen mit spezifischen Anleitungen zur Risikominderung.
- Berichterstattung gemäß regulatorischen oder Compliance-Rahmenwerken (wie ISO 27001 usw.), um Informationen transparent mit den Mitgliedern der Lieferkette zu teilen.
Prevalent bietet eine einheitliche Plattform, die von Grund auf neu entwickelt wurde, um Dritte zu bewerten und zu überwachen und Abhilfemaßnahmen zur Risikominderung zu empfehlen. In Zusammenarbeit mit Audits wie TISAX kann Prevalent einen ganzheitlichen Überblick über die Risiken durch Dritte in der Automobilindustrie bieten. Wenn Sie mehr darüber erfahren möchten, wie Prevalent Ihnen helfen kann, kontaktieren Sie uns noch heute für eine Demo.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
