Simulation von Cyberangriffen

Hallo,
konnte nichts weiter finden, deshalb bitte verweisen, wenn das Thema schon behandelt wurde.

Wir sind IATF-Zertifiziert.
Beim Audit wurde ich daruf verwiesen, dass wir nach dern SI eine Simulation von Cyberangriffen durchführen müssen.
Ich lese aber in den SI: „für die Cybersicherheit: Das Testen kann die Simulation eines Cyberangriffs … umfassen“
Das heißt doch eigentlich, dass es nicht zwingend gefordert ist (?). Ich hatte mal gelernt, dass alles was mit "kann" und "sollte" steht, nicht zwingend ist, sondern bewertet werden muss.
Zum Verständnis: wir sind ein kleines Unternehmen mit 25 Mitarbeitern. Es gibt nur 3 Rechner, die ins Netzwerk eingebunden und mit dem Internet verbunden sind. Alle Maschinen und Anlagen haben Insellösungen ohne Anbindung nach außen. Würde also im Falle eines Angriffes "nur" die Auftragsverwaltung betreffen.
Ich sehe hier Aufwand und Nutzen in keinem Verhältnis, zumal uns der Auditor Verstoß gegen die Normforderung zu Verschwendung vorgeworfen hat. Aber das ist ein anderes Kapitel.

Danke für Eure Unterstützung


 

Guten Tag,

die IATF 16949 ist nach meiner Überzeugung für kleine Unternehmen ungeeignet. Es besteht die Möglichkeit, mit den (Haupt) Kunden zu sprechen und eine ISO 9001 Zertifizierung und bei Produktionsbetrieben VDA 6.3 Prozessaudit (durch Kunde oder zertifizierten Auditor) anzubieten und sich über eine QSV zur Einhaltung der relevanten VDA Rotbände zu verpflichten.
Bei Produkten mit sicherheitskritischen Merkmalen wird es allerdings schwierig. Aber dies ist nicht Ihre Frage gewesen.

Nun zu Ihrer Frage.
Zunächst der Originaltext der SI Nr. 3 von Juli 2021:
"Für die Cybersicherheit: Das Testen kann die Simulation eines Cyberangriffs, die regelmäßige Überwachung auf spezifische Bedrohungen, die Identifizierung von Abhängigkeiten und die Priorisierung von Schwachstellen umfassen. Die Tests müssen dem Risiko der damit verbundenen Kundenunterbrechung angemessen sein; Hinweis: Cybersicherheits-Tests können intern von der Organisation verwaltet oder gegebenenfalls an Unterauftragnehmer vergeben werden."

Mit einer "Kann" Argumentation ("Muss man ja nicht") haben Sie sicherlich schlechte Karten beim (Wittness-)Auditor.
Ohne einer fundierten und regelmäßig neu bewerteten Risikoanalyse (z.B. 3 PC mit Außenkontakt, Insellösungen, aktuelle Virenprogramme, nachweislich geschulte Mitarbeiter bezüglich Phishing Mails, Fertigungsauftragseingang, Maschinenbelegung, Warenversand ohne PC möglich gemäß Notfallplan...) werden Sie eine Abweichung kaum vermeiden können.
Sie können mit einem Ishikawa Fischgrätendiagramm beginnen und zu den erkannten Hauptrisiken ihre Sicherheitsmaßnahmen gegenüber stellen und das Ergebnis mit einer Ampel  bewerten.

Wichtig:
Wie weisen Sie nach, dass keine Tests durchzuführen zu den bewerteten Risiken angemessen ist?

Hallo ORollo,
deine Interpretation zu der SI ist schon richtig. Das Testen kann die Simulation eines Cyberangriffs … umfassen“. Du musst nicht zwingend einen Cyberangriff simulieren. Aber du musst irgendetwas machen! Z.B. Fake-Mail versenden um die Mitarbeiter zu sensibilisieren. Der Cyberangriff ist ein Beispiel das die IATF hier vorschlägt.
Aber einfach Nix machen geht halt leider nicht.