IT-Sicherheit

Kein Mut zur Lücke

Das Interesse an ZF ist groß. Auch seitens der Hacker. Um seine vernetzte Fertigung ebenso wie neue Applikationen für das Auto zu schützen, musste der Automobilzulieferer sämtliche Regeln und Prozesse rund um die Anwendungsentwicklung auf den Prüfstand stellen. Mit mehr Sicherheit kann ZF nun seine digitale Geschäftsfelder sowie strategische Applikationen weiterentwickeln.

Applikationen für oder rund um das Auto liegen außerhalb der ZF-Firewall und erfordern eine noch höhere Sensibilität in Bezug auf die Anwendungssicherheit.

„ZF gehört seit der Übernahme von TRW zu den größten Automobilzulieferern weltweit. Seitdem ist das öffentliche Interesse an uns deutlich größer geworden – und somit auch das Interesse von Hackern“, weiß Reiner Schaaf, Leiter Cross Application Supply bei ZF. Angriffe von außen registriert ZF im Minutentakt. „Die Angriffslage wird zunehmend komplexer. Außerdem gibt es immer mehr Anwendungen außerhalb unserer Firewall. Deshalb hat uns der Vorstand den Auftrag erteilt, die IT sicherer zu machen“, erklärt Michael Schrank, Head of IT Security.

Damit die Entwicklungskapazitäten von ZF nicht durch Hackerangriffe geschwächt werden, gelten nach Abschluss des PISA-Projektes neue Security-Regeln. (Alle Bilder: ZF)

Auf Seiten der IT-Infrastruktur hatte das Unternehmen schon in der Vergangenheit die richtigen Prozesse einbezogen. „Doch uns war klar, dass wir noch zu wenig Augenmerk auf das Thema Anwendungsentwicklung gelegt hatten“, so Schrank. IT-Sicherheit und Anwendungsentwicklung waren bis zu diesem Projekt in unterschiedlichen Organisationen verankert. Critical Design Reviews der Applikationen fanden erst kurz vor dem Zeitpunkt statt, als die Systeme in den Regelbetrieb gehen sollten. Ergaben sich dabei kritische Punkte hinsichtlich der IT-Sicherheit, so musste der Termin für die Aktivierung zwecks Nachbesserung entweder verschoben oder die Risiken in Kauf genommen werden. In Einzelfällen wurde das Projekt sogar komplett gestoppt. Deshalb lautete die Aufgabe, die Anwendungsentwicklung in das Information Security Management System zu integrieren.

Anzeige

„Wir haben während der ersten Diskussionen schnell festgestellt, dass sich hier für uns ein breites Feld öffnet, das weit über die sichere Code-Erstellung hinausgeht“, so Schrank. „Da wir intern nicht über genügend Know-how verfügten, haben wir einen erfahrenen Dienstleister gesucht, der uns auf dem Weg strukturiert begleitet, sodass wir langfristig selbst das Wissen erlangen und anwenden können.“ Da ZF im IT-Infrastrukturbereich bereits seit längerem mit Hewlett Packard Enterprise (HPE) zusammenarbeitet, holte man auch hier die Expertise des IT-Anbieters ein. „Ich fand es sehr hilfreich, dass HPE eine Struktur und ein standardisiertes Vorgehen für solche Projekte hatte – von der gemeinsamen Prozessanalyse über die Ausarbeitung von Maßnahmenplänen bis hin zur Einführung notwendiger Prozesse“, erinnert sich Schrank.

HPE erhob zunächst auf Basis des standardisierten Capability-Maturity-Model-Integration (CMMI)-Fragenkatalogs den aktuellen Reifegrad von insgesamt 16 Prozessen. Dazu gehören zum Beispiel die Beschaffung, Sicherheitsanalysen, das Security Incident Management und die Abstimmung zwischen Anwendungsentwicklung und Geschäftsbereichen.

Die Ergebnisse – von einem empfohlenen CMMI-Durchschnittswert von 3,0 über alle Prozesse hinweg war der Zulieferer zum Teil deutlich entfernt – überraschten die Verantwortlichen bei ZF nicht: „Uns war im Vorfeld ja klar gewesen, dass die Prozessreife der Anwendungssicherheit verbesserungswürdig war, da wir in der Vergangenheit keinen Schwerpunkt auf das Thema gelegt hatten“, betont Schrank. Schaaf bestätigt diese Einschätzung: „Wir wussten jetzt, wo wir konkret ansetzen mussten und bei welchen Punkten wir besonderen Nachholbedarf hatten.“

Von diesem Ergebnis ausgehend definierten ZF und HPE die Projektziele. Für die Anwendungsentwicklung sollten Security-Richtlinien in Projekten und Kleinaufträgen sowie relevante Sicherheitsaspekte in verschiedenen Prozessen wie Quality Management oder Demand Management verankert werden. Es galt, Tools zur Unterstützung der Sicherheit in der Anwendungsentwicklung auszuwählen. Ziel war es auch, Schulungen und Awareness-Maßnahmen zu konzipieren und zu erproben. Und schließlich war es den Projektpartnern wichtig, Aufgaben, Kompetenzen und Verantwortlichkeiten für eine nachhaltige Sicherung der Anwendungsentwicklung festzulegen.

18 Monate für PISA

Die Projektpartner legten für dieses sogenannte PISA-Projekt (Professional Information Security for Applications) das Budget fest und definierten einen detaillierten Zeitplan, der sich über insgesamt 18 Monate erstreckte. Zu den ersten Aufgaben gehörte die Entwicklung eines Entwurfs zur Erweiterung der IT-Security-Strategie um Themen der Anwendungsentwicklung. Anschließend wurden gemeinsam Security-Regeln und -Prozesse für die Anwendungsentwicklung festgelegt. Zeitgleich erfolgten Schulungs- und Awareness-Maßnahmen auf allen Ebenen bei ZF – vom Top-Management bis zum einzelnen Anwendungsentwickler.

Bestandteil des PISA-Projekts war schließlich auch die Anpassung beziehungsweise die Auswahl von Tools zur Unterstützung der Security-Policies und -Prozesse. So hat ZF zwei Werkzeuge für das Source-Code-Scanning eingeführt: Virtual Forge und SAP CVA für die SAP-Anwendungen, HPE Fortify und Veracode für alle anderen Anwendungen. Nachdem das Projekt wie geplant abgeschlossen ist, werden die neu eingezogenen Regeln und Prozesse nun im täglichen Betrieb umgesetzt – mit Erfolg, wie die aktuelle Einschätzung des derzeitigen Status nach dem CMMI-Modell zeigt: Demnach wird der anvisierte Reifegrad von 3,0 bereits erreicht und in manchen Aspekten sogar übertroffen. Ein Maturity-Assessment durch HPE in ein bis zwei Jahren soll Aufschluss über die weitere Entwicklung geben.

„Wir haben durch die Integration der Anwendungsentwicklung in das IT Security Management System definitiv unsere Betriebssicherheit gesteigert und damit die Verfügbarkeit von geschäftskritischen Systemen erhöht“, sagt Schaaf. Sehr positiv sieht er es, dass das Thema Anwendungssicherheit nun in der gesamten Organisation nachhaltig verankert ist.

Dies ist auch wichtig vor dem Hintergrund neuer strategischer IT-Themen, die ZF aktuell aufgreift: Dazu gehören neben der Vernetzung der eigenen Fertigung auch Car-IT sowie die Entwicklung neuer digitaler Geschäftsfelder. So hat ZF mit uflip eine Mobilitäts-App auf den Markt gebracht, die auf Basis von Echtzeitdaten die schnellste und günstigste Route aus verschiedenen Mitfahrgelegenheiten und öffentlichem Personennahverkehr in Kombination mit einer intelligenten Parkplatzsuche ermittelt. „Solche neuen Applikationen für oder rund um das Auto stellen wir Konsumenten außerhalb unserer Firewall zur Verfügung. Dies erfordert eine noch höhere Sensibilität in Bezug auf die Anwendungssicherheit“, sagt IT-Security-Chef Schrank. „Doch ich bin mir sicher, dass wir durch das erfolgreiche PISA-Projekt die richtigen Voraussetzungen dafür geschaffen haben.“ cs

Anzeige

Das könnte Sie auch interessieren

Anzeige
Anzeige
Anzeige
Anzeige

Automobilbau

Grauguss zerspanen

Grauguss erfreut sich im Automobilbau immer noch großer Beliebtheit. Grund dafür ist sicherlich seine Anpassungsfähigkeit an unterschiedlichste Anforderungen. Diese erfordert bei der Bearbeitung aber auch spezielle Werkzeuge.

mehr...
Anzeige
Anzeige
Anzeige

Qualitätskontrolle

Schweißnähte im Laserlicht

Die Sportwagen seiner R8-Serie sind Audis Rennwagen für die Straße. In der Karosseriefertigung dieser in der Grundausführung 610 PS starken Boliden unterstützt ein Laserprojektionssystem des Freiburger Herstellers Z-Laser die Mitarbeiter bei der...

mehr...