Governance der Cybersecurity

ISO 27001 ist der internationale Standard, der bewährte Verfahren für ein Informationssicherheits-Managementsystem (ISMS) beschreibt.

Der Erhalt einer akkreditierten Zertifizierung nach ISO 27001 zeigt, dass unsere Organisation die bewährten Verfahren zur Informationssicherheit befolgt und durch einen unabhängigen Experten verifiziert, dass die Informationssicherheit im Einklang mit internationalen Best Practices und Geschäftszielen verwaltet wird.

Cybersecurity Governance for Siemens ist seit November 2017 nach ISO 27001 zertifiziert.

Seit November 2023 sind wir nach der neuen Norm ISO 27001:2022 zertifiziert.

• Zertifikat herunterladen
• Erfahren Sie mehr über Systemzertifikate

Wir setzen uns leidenschaftlich dafür ein, eine belastbare, datengesteuerte Cybersecurity durch eine robuste Architektur zum Schutz von Siemens zu ermöglichen.

Um dies zu erreichen, setzen wir unsere Cybersicherheitsstrategie im Projekt um und nutzen den neu geschaffenen Enterprise Architecture-Service, um unsere strategischen Ziele in einer Zielarchitektur abzubilden, die die gesamte Cybersecurity bei ihren Implementierungsbemühungen leitet.

Die Hauptziele des Projekts sind: Rationalisierung der Ressourcennutzung durch Automatisierungs- und Effizienzmaßnahmen, Verbesserung der Sichtbarkeit und Transparenz von Cybersicherheitsrisiken bei Siemens und Nutzung datengestützter Entscheidungsfindung zur Stärkung der reaktiven und proaktiven Risikominderung.

Unser Projekt-Setup ist in fünf Arbeitsabläufe gegliedert:

• Konzept und Prozesse:

  Unser Ziel ist es, den Architekturprozess innerhalb von Siemens Cybersecurity zu beschreiben und aufrechtzuerhalten und sicherzustellen, dass er in unsere Strategie und unser Portfolio integriert ist. Und um die Bausteine unserer datengesteuerten Cybersicherheitsarchitektur zu beschreiben, einschließlich Fähigkeiten, Anwendungen, Eingaben, Ausgaben und Abhängigkeiten.

• Governance:

  Unser Ziel ist es, zu definieren, wie die Cybersicherheitsdaten kombiniert werden können, um eine automatische Identifizierung und Bewertung von Cybersicherheitsrisiken zu ermöglichen, Entscheidungen zu deren Minderung zu ermöglichen und die Einhaltung von Richtlinien zu verbessern.

• Situationsbewusstsein:

  Unser Ziel ist es, an vorderster Front zu stehen und die Stimme des EA-Projekts zu sein, die Erwartungen der Nutzer zu erfassen und eine ganzheitliche Risikolage zu bieten, um den täglichen Betrieb der Endbenutzer zu verbessern.

• Sicherheitsinformationen:

  Unser Ziel ist es, einen KI-gestützten und datengestützten Entscheidungspunkt zu implementieren, der die automatische Identifizierung und Minderung von Siemens-Cybersicherheitsrisiken ermöglicht, indem er die Entscheidungsfindung unterstützt.

• Daten:

  Workstream Data hilft Cybersecurity dabei, einen datengesteuerten Ansatz zu verfolgen, indem es für Datentransparenz sorgt, Datenduplikationen verhindert und Teams bei ihren Datenstrategien unterstützt.

Das Cybersecurity Policy Framework gilt für Siemens und seine verbundenen Unternehmen. Insbesondere enthält es die Cybersicherheitsanforderungen, die in bestimmten Richtlinien, Standards und Basislinien festgelegt sind.

Alle Richtlinien basieren auf relevanten Industriestandards wie ISO 2700x oder IEC 62443. Um die Einhaltung anderer wichtiger Standards sicherzustellen, werden Verweise auf sie ebenfalls verwaltet. Die Liste der relevanten Standards umfasst zum Beispiel NIST 800-53, die Richtlinien für IKT und Sicherheitsrisikomanagement der EBA und andere.

Die Produkte, Lösungen und Dienstleistungen von Siemens enthalten eine beträchtliche Menge an Software und IT-bezogenen Komponenten, die in vielen Fällen im Kontext kritischer Infrastrukturen verwendet werden und Cyberbedrohungen stärker ausgesetzt sein könnten. Die regulatorischen und kundenspezifischen Sicherheitsanforderungen nehmen zu und müssen von Siemens erfüllt werden.

Um wettbewerbsfähig und zuverlässig zu bleiben, wurde die Siemens-weite PSS-Initiative ins Leben gerufen, um sicherzustellen, dass die Produkte, Lösungen und Dienstleistungen, die wir verkaufen, es unseren Kunden ermöglichen, ihre Anlagen in einer sicheren Umgebung zu betreiben.

Zu diesem Zweck gibt es verbindliche Anforderungen für PSS und Empfehlungen für die Umsetzung. Kontinuierliche Verbesserung und kontinuierliches Lernen sind grundlegende Voraussetzungen für eine erfolgreiche Umsetzung.

Es ist von entscheidender Bedeutung, bei allen Mitarbeitern ein gemeinsames Bewusstsein und Verständnis für grundlegende Aspekte der Cybersicherheit zu schaffen und spezielle Schulungen für cybersicherheitsrelevante Rollen anzubieten. Um den Erwartungen unserer Kunden an hochmoderne Produkte, Lösungen und Dienstleistungen von Siemens in Bezug auf Technologie und Sicherheit gerecht zu werden und die Fähigkeit zu gewährleisten, diese Qualität zu liefern, indem wir das Bewusstsein für Cybersicherheit in unserem Unternehmen kontinuierlich schärfen und unsere Mitarbeiter in die Lage versetzen, Cybersicherheit bei jeder Aktivität, jedem Schritt und Prozess der gesamten Wertschöpfungskette zu berücksichtigen, haben wir mehrere Aktivitäten ins Leben gerufen. Zum Beispiel:

• Eine obligatorische globale Sensibilisierungskampagne mit dem Ziel, alle Mitarbeiter über allgemeine und wichtige Cybersicherheitsthemen zu informieren. Diese Schulungen sind webbasiert, barrierefrei und mehrsprachig. Zusätzlich bieten wir für eine rollenspezifische Gruppe die Schulung „Führerschein“ an. Diese Schulung ist verpflichtend und ermöglicht es der rollenspezifischen Gruppe, alle IT-/OT-Sicherheitsrichtlinien von Siemens anzuwenden. Nach erfolgreichem Abschluss erhalten die Teilnehmer ein Zertifikat, das zwei Jahre gültig ist.
• Wir bieten auch mehrere, ständig aktualisierte Schulungen und Lernmöglichkeiten für alle Siemens-Mitarbeiter an. Auf diese kann auf freiwilliger Basis zugegriffen werden. Diese Schulung dient nicht nur zur Vermittlung von Grundkenntnissen, sondern auch für spezifische und spezialisierte Bereiche wie Produkt- und Lösungssicherheit.
• Wir glauben, dass kontinuierliches Lernen ein Schlüssel zum Erfolg ist, und deshalb suchen wir ständig nach neuen Wegen, um unsere Mitarbeiter zu schulen und auf dem Laufenden zu halten.

Behalten Sie immer den Überblick: Um dies zu erreichen, bieten wir eine interne Cybersicherheitsplattform namens „CyberMart“ an, die einen ganzheitlichen Überblick über die Cybersicherheitsdaten und -prozesse bei Siemens bietet.

Es ermöglicht fundierte und zielgerichtete Geschäftsentscheidungen, indem es eine

• Plattform für sichere Anwendungen, die für die Cybersicherheit relevante Informationen verarbeiten,
• sicherer Datenpool für cybersicherheitsrelevante Daten sowie
• Reifegrad- und Statusberichte zu Sicherheitsprozessen (z. B. Vermögensschutz, Ausnahmebehandlung).

Teil dieser Plattform ist ein Cybersicherheits-Dashboard, das eine Überblick über den Betriebsstatus der Cybersicherheit sowie über strategische Datenpunkte. Diese Informationen sind die Grundlage für die regelmäßige interne Managementberichterstattung an den Siemens-Vorstand und den Siemens-Aufsichtsrat.

Das Hauptziel von Cybersecurity Risk Management, das Teil von Siemens Enterprise Risk Management (ERM) ist, Siemens in die Lage zu versetzen, Transparenz über seine Cybersicherheitsrisiken zu erlangen und diese angemessen auf ein akzeptables Maß zu managen.
Das Siemens Cybersecurity Risk Management Framework basiert auf internationalen Standards (ISO/IEC 27005 und ISF IRAM2) und berücksichtigt alle Ebenen, vom Betrieb bis hin zum Unternehmen, und verwendet auch etablierte ERM-Prozesse und -Rollen.
Die bis zur ERM-Ebene gemeldeten und verwalteten Cybersicherheitsrisiken werden innerhalb der folgenden Prozesse identifiziert und mit den jeweiligen Tools verwaltet:

• Allgemeiner Prozess für das Cybersicherheitsrisikomanagement
• Verfahren zur Klassifizierung und zum Schutz von IT-Anlagen sowie Dokumenten- und Informationsressourcen
• Bedrohungs- und Risikoanalyse für Produkte, Lösungen und Dienstleistungen
• Ausnahmebehandlungsprozess für temporäre Abweichungen vom Siemens-Cybersicherheits-Framework
• Cybersecurity — Risikomanagement für Lieferanten

Risikomanagement für Lieferanten im Bereich Cybersecurity:

Die Cybersicherheitsrisiken müssen entlang der gesamten Lieferkette gemanagt werden. Siemens betrachtet dieses Thema ganzheitlich, einschließlich IT, OT und PSS für die Beschaffung horizontaler und vertikaler Komponenten, Produkte und Dienstleistungen. Aus diesem Grund gehören zu den wichtigsten Aktivitäten zur Verbesserung des Cybersicherheitsniveaus entlang der Lieferkette:

• Transparenz in Bezug auf Cybersicherheitsrisiken entlang der Lieferkette
• Systematische Risikomanagementpraktiken, unterstützt durch Methoden zur Lieferantenbewertung durch Dritte, entsprechende Tools und Vorlagen für vertragliche Cybersicherheitsanforderungen an Lieferanten
• Aktive Teilnahme an der Charter of Trust zur Förderung des zweiten Prinzips: „Verantwortung in der gesamten digitalen Lieferkette“ sowie an verschiedenen Expertengemeinschaften
• Regelmäßige Schulungen und Sensibilisierungskampagnen für verschiedene Zielgruppen und Anwendungsfälle

Was ist ein Informationssicherheitsvorfall?

Ein Informationssicherheitsvorfall ist definiert als: Die direkte oder indirekte Gefährdung der Vertraulichkeit, Integrität und/oder Verfügbarkeit von Informationen gemäß ihrer Klassifizierung (basierend auf ISO27001 und NIST 800-61 rev2). Zu den Beispielen für Vorfälle gehören, sind aber nicht beschränkt auf:

1. Erfolgreiche Versuche, sich unbefugten Zugriff auf ein System oder dessen Daten zu verschaffen
2. Störung oder Diensteverweigerung
3. Unbefugte Nutzung eines Systems zur Verarbeitung oder Speicherung von Daten
4. Änderungen an den Eigenschaften der Systemhardware, Firmware oder Software ohne Wissen, Anweisung oder Zustimmung des Besitzers

Reaktion auf Vorfälle

Wir führen eine eingehende Analyse von Cybersicherheitsvorfällen durch. Um dies zu erreichen, arbeiten wir mit geschäftsverantwortlichen, internen und externen Incident-Reportern und Interessenvertretern zusammen, um die Reaktionsmaßnahmen zu koordinieren und eine angemessene Eindämmung und Einleitung von Abhilfemaßnahmen sicherzustellen. Darüber hinaus stellen wir einen Incident Project Manager zur Verfügung, der Sie in organisatorischen und kommunikativen Aspekten schwerer und komplexer Vorfälle unterstützt.

Prozess zur Bearbeitung von Vorfällen

• Ermitteln

  Beeinträchtigung der Vertraulichkeit, Integrität und/oder Verfügbarkeit von Informationen.

• Antworten

  Analysieren Sie den Angriff und leiten Sie Gegenmaßnahmen ein.

• Korrigieren

  Enthalten: Bösartige Aktivitäten einschränken, mildern: weiteren Schaden verhindern, Reparieren: Reparieren und erneutes Auftreten verhindern

• Erholen

  Stellen Sie die Integrität der betroffenen Systeme in einen uneingeschränkten Betriebszustand wieder her.

Sicherheitsbedrohungen zwingen die Branche zum Handeln.

Angriffe von Cyberkriminellen, die ganze Wertschöpfungsketten manipulieren können, führen oft nicht nur zu Produktionsausfällen, sondern auch zu erheblichen Imageschäden. Um Ihre Betriebstechnologie (OT) bestmöglich zu schützen, ist es erforderlich, Transparenz über das Risiko Ihrer Vermögenswerte zu erlangen. Dadurch können Cybersicherheitsbedrohungen erkannt und beseitigt werden, bevor sie erheblichen Schaden anrichten. Wir bieten mehr Cybersicherheit für Ihre Fertigungsprozesse. Unser ganzheitlicher Ansatz ist darauf ausgelegt, prozedurale Sicherheitslücken und technische Sicherheitslücken zu identifizieren, bevor sie von böswilligen Akteuren ausgenutzt werden.

Mehr Informationen

KI erfüllt eine entscheidende Funktion bei den Cybersicherheitsbemühungen von Siemens. Es identifiziert dynamisch Sicherheitsbedrohungen und wirkt ihnen entgegen, indem es Anomalien in unserem Netzwerk und unseren Systemen erkennt. Diese Sofortmaßnahmen gegen Sicherheitslücken tragen dazu bei, potenziellen Schaden einzudämmen.

Darüber hinaus steigert KI die Effektivität unserer Cybersicherheitsverfahren, indem sie alltägliche Aufgaben automatisiert. Diese Automatisierung ermöglicht es unseren Sicherheitsteams, sich auf kompliziertere und dringendere Probleme zu konzentrieren. Darüber hinaus führt KI maßgeschneiderte Sicherheitsprotokolle ein, die auf der Analyse des Benutzerverhaltens basieren und so eine präzise Sicherheitsstrategie für jede Abteilung von Siemens fördern.

Trotz der Vorteile ist es wichtig zu beachten, dass KI auch ein Tool für Cyber-Angreifer sein kann, was die Komplexität ihrer böswilligen Aktionen erhöht. Diese Angreifer könnten KI nutzen, um ihre Angriffe zu automatisieren, konventionelle Sicherheitssysteme zu umgehen oder sogar menschliches Verhalten zu simulieren, um einer Entdeckung zu entgehen.

Nichtsdestotrotz ist Siemens auf dieses komplizierte Szenario gut vorbereitet. Wir haben strenge Sicherheitsprotokolle eingeführt, um die sichere und verantwortungsvolle Anwendung von KI zu gewährleisten. Unser zukunftsorientierter Ansatz hilft dabei, die Integrität unserer Systeme aufrechtzuerhalten und uns vor potenziellen Risiken abzuschirmen, sodass wir die Vorteile der KI in unseren Cybersicherheitsoperationen nutzen können.

Die Vorteile, die Siemens aus KI zieht, überwiegen bei weitem die Risiken. Durch eine sorgfältige Implementierung und kontinuierliche Überwachung minimieren wir diese Risiken und verstärken die Vorteile der KI. Folglich erweist sich KI als ein unschätzbares Instrument, das unsere Fähigkeit zur Abwehr von Sicherheitsbedrohungen erheblich verbessert.