Anmelden
Neu Hier?
titelbild

Simple-Quality - Das Fachportal

Werden auch Sie Mitglied der größten deutschsprachigen Qualitätsmanagement Community.

Wir bieten:

  • eine Community mit über 34.000 Fachleuten
  • ein Forum mit mehr als 27.500 Beiträgen
  • ein Downloadarchiv mit über 300 Dokumenten
  • ein QM-Markt mit Produkten und Dienstleistungen
  • eine Jobbörse, Fortbildungen und vieles mehr... 

Simulation von Cyberangriffen

  • QRollo
  • [QRollo]
  • Autor
  • Offline
  • Quality Senior
  • Quality Senior
Mehr
5 Monate 1 Woche her - 5 Monate 1 Woche her #32039 von QRollo
Simulation von Cyberangriffen wurde erstellt von QRollo
Hallo,
konnte nichts weiter finden, deshalb bitte verweisen, wenn das Thema schon behandelt wurde.

Wir sind IATF-Zertifiziert.
Beim Audit wurde ich daruf verwiesen, dass wir nach dern SI eine Simulation von Cyberangriffen durchführen müssen.
Ich lese aber in den SI: „für die Cybersicherheit: Das Testen kann die Simulation eines Cyberangriffs … umfassen“
Das heißt doch eigentlich, dass es nicht zwingend gefordert ist (?). Ich hatte mal gelernt, dass alles was mit "kann" und "sollte" steht, nicht zwingend ist, sondern bewertet werden muss.
Zum Verständnis: wir sind ein kleines Unternehmen mit 25 Mitarbeitern. Es gibt nur 3 Rechner, die ins Netzwerk eingebunden und mit dem Internet verbunden sind. Alle Maschinen und Anlagen haben Insellösungen ohne Anbindung nach außen. Würde also im Falle eines Angriffes "nur" die Auftragsverwaltung betreffen.
Ich sehe hier Aufwand und Nutzen in keinem Verhältnis, zumal uns der Auditor Verstoß gegen die Normforderung zu Verschwendung vorgeworfen hat. Aber das ist ein anderes Kapitel.

Danke für Eure Unterstützung


 

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

  • Sonntag
  • [Sonntag]
  • Offline
  • Qualitöter
  • Qualitöter
  • Leben ohne QM ist möglich, aber sinnlos. n. Loriot
Mehr
5 Monate 1 Woche her - 5 Monate 1 Woche her #32045 von Sonntag
Sonntag antwortete auf Simulation von Cyberangriffen
Guten Tag,

die IATF 16949 ist nach meiner Überzeugung für kleine Unternehmen ungeeignet. Es besteht die Möglichkeit, mit den (Haupt) Kunden zu sprechen und eine ISO 9001 Zertifizierung und bei Produktionsbetrieben VDA 6.3 Prozessaudit (durch Kunde oder zertifizierten Auditor) anzubieten und sich über eine QSV zur Einhaltung der relevanten VDA Rotbände zu verpflichten.
Bei Produkten mit sicherheitskritischen Merkmalen wird es allerdings schwierig. Aber dies ist nicht Ihre Frage gewesen.

Nun zu Ihrer Frage.
Zunächst der Originaltext der SI Nr. 3 von Juli 2021:
"Für die Cybersicherheit: Das Testen kann die Simulation eines Cyberangriffs, die regelmäßige Überwachung auf spezifische Bedrohungen, die Identifizierung von Abhängigkeiten und die Priorisierung von Schwachstellen umfassen. Die Tests müssen dem Risiko der damit verbundenen Kundenunterbrechung angemessen sein; Hinweis: Cybersicherheits-Tests können intern von der Organisation verwaltet oder gegebenenfalls an Unterauftragnehmer vergeben werden."

Mit einer "Kann" Argumentation ("Muss man ja nicht") haben Sie sicherlich schlechte Karten beim (Wittness-)Auditor.
Ohne einer fundierten und regelmäßig neu bewerteten Risikoanalyse (z.B. 3 PC mit Außenkontakt, Insellösungen, aktuelle Virenprogramme, nachweislich geschulte Mitarbeiter bezüglich Phishing Mails, Fertigungsauftragseingang, Maschinenbelegung, Warenversand ohne PC möglich gemäß Notfallplan...) werden Sie eine Abweichung kaum vermeiden können.
Sie können mit einem Ishikawa Fischgrätendiagramm beginnen und zu den erkannten Hauptrisiken ihre Sicherheitsmaßnahmen gegenüber stellen und das Ergebnis mit einer Ampel  bewerten.

Wichtig:
Wie weisen Sie nach, dass keine Tests durchzuführen zu den bewerteten Risiken angemessen ist?

Mit freundlichen Grüßen
Sonntag

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Mehr
5 Monate 3 Tage her #32057 von jkm
jkm antwortete auf Simulation von Cyberangriffen
Hallo ORollo,
deine Interpretation zu der SI ist schon richtig. Das Testen kann die Simulation eines Cyberangriffs … umfassen“. Du musst nicht zwingend einen Cyberangriff simulieren. Aber du musst irgendetwas machen! Z.B. Fake-Mail versenden um die Mitarbeiter zu sensibilisieren. Der Cyberangriff ist ein Beispiel das die IATF hier vorschlägt.
Aber einfach Nix machen geht halt leider nicht.

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Wir verwenden Cookies
Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch das Anklicken des „Zustimmen“-Buttons erklären Sie sich ausdrücklich mit dem Einsatz von Cookies einverstanden. Weitere Informationen zu Cookies erhalten Sie in unserer Datenschutzerklärung.