Einmal vertraulich, bitte!

Die Digitalisierung der Arbeitswelt macht auch nicht vor der Zusammenarbeit unterschiedlicher Unternehmen halt. Vor allem Lieferanten der Automobilbranche werden kalt erwischt, wenn es um die sichere Übermittlung von Daten geht. Der VDA-Fragenkatalog muss durchgearbeitet werden, die unerlässlichen Prozesse und Lösungen ggf. ergänzt oder erstmals beim Lieferanten implementiert werden. Insgesamt muss das Unternehmen auf ein gefordertes Informationssicherheitsniveau in kurzer Zeit angehoben werden, welches die Abläufe im Betrieb beeinflusst.

Gibt es bereits Policies beim Kunden? Wenn ja, sind diese ausreichend? Wie können technische Lösungen zur Unterstützung aussehen?

Bei der Partnerfirmenabnahme begleitet wenovate den Kunden bis zur erfolgreichen Auditierung. Wir beraten und unterstützen den Kunden rund um das Thema Informationssicherheit, analysieren die IST-Situation, reduzieren z.B. das Abstraktionsniveau und schließen Sicherheitslücken durch individuelle Lösungen. Neben der Koordination aller Aufgaben bis zum Assessment, kann auch die Weitergabe der wichtigsten Grundlagen an den Informationssicherheitsbeauftragten (ISB) erfolgen. So werden wir vom Consultant zum Coach.

Achtung – Sicherheitszone!

Zettel in den Umschlag, ab in die Schublade, Tür abschließen und Schlüssel gut verstecken? Was zuhause als sicher gelten mag, reicht für unsere Kunde nicht. Warum?

Weil auch unser Kunde, wie alle Betreiber von Energieversorgungsnetzen bis 31.01.2018 gemäß KRITIS (Kritische Infrastrukturen) sicherstellen muss, dass der international anerkannte Informationssicherheitsstandard ISO 27001 erfolgreich eingeführt wurde. Diese Zertifizierung hilft in vielen Bereichen (nicht nur IT), die Sicherheit zu erhöhen und mit Hilfe von Standards zu vereinheitlichen. Die Herausforderung für den Kunden? Alle Informationen müssen hinsichtlich Vertraulichkeit, Integrität, Verfügbarkeit analysiert werden, neue Verfahren definiert und ein kontinuierlicher Verbesserungsprozess etabliert werden – und das neben dem Regelbetrieb. Risiken müssen identifiziert und einem Risikoplan mit passender Unternehmensstrategie zugeführt werden.

Hier beginnt unsere Arbeit als wenovate. Wir beraten und unterstützen den Kunden – das reicht von der Implementierung und Umsetzung des Risikomanagements über Optimierung vorhandener Abläufe im Hinblick auf die Informationssicherheit bis hin zur Ausarbeitung erforderlicher Regelungen, Richtlinien und Prozesse.
Für die Implementierung eines ISMS muss das gesamte Team nicht nur die eigenen Aufgaben, sondern auch die laufenden und projektbezogenen Tätigkeiten des Kunden im Auge behalten. Um den Kunden dabei in jedem Schritt bestmöglich zu beraten, ist es unabdingbar sich mit schneller Auffassungsgabe ein genaues Bild vom Kunden zu machen und ihn mit seinen Prozessen und Sorgen ernst zu nehmen. Die Einarbeitung in KRITIS gehört dabei zu den Hausaufgaben und unterstützt alle Teammitglieder in einer erfolgreichen Umsetzung der Standards.

Keyless e-gas!

Neue Techniken schaffen neue Möglichkeiten. Das gilt auch für das Tanken der Zukunft. Die Zapfsäule weiß, welches Fahrzeug vor ihr steht, welche Ladestärke es benötigt und ob das Fahrzeug überhaupt berechtigt ist zu laden. Was für ein schöner Traum.

Gemeinsam mit unserem Kunden aus der Automobilindustrie soll das Team InnovationLab die Umsetzung der ISO 15118 Anforderungen umsetzen. Ziel: Elektrofahrzeuge sollen an jeder beliebigen Zapfsäule - ob zuhause oder unterwegs – ohne zusätzliche Hardware erkannt und aufgeladen werden können. Wie können alle Marken in ihren Komponenten von wieder unterschiedlichen Lieferanten berücksichtigt werden? Wie wird eine Authentifizierung ohne Token & Co. trotzdem den rechtlichen Bestimmungen von Datenschutz gerecht? Viel Koordinationsaufwand und Abstimmung mit den unterschiedlichen technischen Teams steht dabei auf der Tagesordnung. Wie können die Anforderungen von vielen auf ein Minimum an Standard reduziert werden? Neben dem Entwickeln einer technischen Lösung geht es in diesem Projekt u.a. auch um die Bereitstellung der Infrastruktur. Das setzt eine stetige Weiterentwicklung voraus.

Luft und Liebe!

Nie wieder in die Werkstatt außer zum Reifenwechseln? Keine Rückrufaktionen mehr, weil die Software nicht mehr aktuell ist? Für die Spritztour am Wochenende einfach mal „50PS mehr“ buchen? Immer ein aktuelles Navi, das die neuesten Restaurants anzeigt?

Die Modelle der Zukunft unseres Kunden aus der Automobilindustrie sollen ständig mit aktueller Firmware versorgt werden, ganz ohne in die Werkstatt zu müssen – Over-the-Air (OTA). Das InnovationLab Team hat hier die Aufgabe eine Software zu entwickeln, zu dokumentieren und über mehrere Jahre den Betrieb sicherzustellen. Die große Herausforderung: Die Fahrzeuge sollen weltweit ausgeliefert werden. Und wer die Richtlinien bezüglich Datenschutz in Deutschland schon streng findet, sollte sich erst einmal mit den Reglementierungen des asiatischen Marktes auseinander setzen. Es gilt also immer den richtigen Umgang mit personenbezogenen Daten auszuwählen und die sicheren Zonenübergänge zu gewährleisten.

Bitte alle zusammen bleiben! Hier entlang!

Projektmanager sind in der Regel Organisationsgenies, Anstoßgeber, Umsetzer von Ideen, Mahner, Jongleure, Aufpasser und Kontrolleure und Redner. Das ist auch bei uns nicht anders. Für unsere Kunden in der Automobilbranche übernehmen wir dabei das gesamte Spektrum der Unterstützung und das auf einem unserer eigenen Spezialgebiete, der IT-Sicherheit. In dem Rollout von unterschiedlichen Anwendungen und Systemen obliegt uns neben der Projektplanung auch die fachliche Beratung und Unterstützung bei der inhaltlichen Umsetzung. Gerade wenn ein Projekt unter hohem Zeitdruck steht, braucht es erfahrene Projektleiter, die die internationale Koordination der verschiedenen Stakeholder übernehmen und dabei Dokumentation und Riskomanagement nicht aus den Augen verlieren. Der Kunde braucht Hilfe beim Trainieren der neuen Anwendungen? Der Kunde braucht einen exklusiven Support für Experten?

Das setzt neben Kommunikationsstärke vor allem sehr gute Kenntnisse über die Prozesse und Infrastruktur des Kunden voraus. Eine schnelle Auffassungsgabe und große Erfahrung im Konzernumfeld helfen da immer.

Ich zeig dir, wer du bist!

Mit der Implementierung einer neuen Software steht jedes Unternehmen vor einer großen Herausforderung - vor allem wenn es sich dabei um eine Software handelt, die die Zugriffskontrollen übernimmt. Vor dieser Herausforderung steht ein großer Energieversorger, der gerade PING Identity eingeführt hat. Ein Grund mehr für uns, zu zeigen, welche Fähigkeiten unsere Mitarbeiter im Bereich Identity und Access Management haben.

Das Team von wenovate stellt dabei die Authentifizierung von bestehenden Applikationen um und sorgt für einen reibungslosen Erstanschluss weiterer Kundenapplikationen. In enger Abstimmung zwischen Applikationsverantwortlichen und technischem Betrieb plant und führt das Team eigenverantwortlich die Changes durch. Jede Anbindung ist wie ein kleines Projekt zu sehen, es wird nie langweilig: Welche technischen Schnittstellen, die durch PING genutzt werden können, gibt es? (SAML, OAuth 2.0, Open ID Conncect) Für welche relevanten Attribute müssen spezifische Skripte entwickelt werden?

Dies alles geschieht nicht auf der grünen Wiese, sondern unter effizienter und sicherer Nutzung des vorhanden, weltweiten IAM Systems des Kunden.

Tanken, Zahlen, losfahren!

Wie können wir sicherstellen, dass dieser Vorgang auch in Zukunft – in der Welt der e-mobility – so einfach bleibt? Wie beim Telefonieren im Urlaub wollen wir auch beim Tanken an einer „fremden“ Zapfsäule zukünftig keinen neuen Vertrag abschließen müssen. Ziel: Ein Vertrag – grenzenloses Tanken! Aber wie kann ich/das Auto (wieder)erkannt werden?

Mit dieser Problemstellung beschäftigt sich unser Kunde und möchte eine gemeinsame Plattform für alle Fahrzeughersteller, Ladesäulenbetreiber und Fahrstromverkäufer entwickeln, um die Fahrzeugvertragsdaten sicher abzurufen und so eine barrierefreies und angenehmes Tanken der Zukunft sicherzustellen.

Ein Projekt mit dem das Team InnovationLab einmal wieder Neuland betritt. Es gilt ein vollumfassendes und hochperformantes System zu entwickeln, dieses mit allen Stakeholdern abzustimmen, mit allen internationalen Anbietern zu testen und jedes wichtige Attribut zu dokumentieren. Besonders der erste Schritt, sich auf einen gemeinsamen Standard zu einigen und diesen gegen Angriffe von außen zu schützen, stellt dabei eine besondere Herausforderung dar – Sicherheit und Innovation gehen also Hand in Hand. Welche Daten sollen in Zukunft über welche Schnittstellen in welchen Formaten zur Verfügung gestellt und übergeben werden? Und wo es doch um personenbezogene Daten geht: Wie kann eine sichere Übertragung gewährleistet werden? Und wie erreichen wir das in einer für den Nutzer hinnehmbaren Performance, wo man doch so wenig Zeit wie möglich an der Zapfsäule verbringen will?

Immer am Ball bleiben!

Papier ist geduldig. Technischer Fortschritt ist nicht aufzuhalten. Jeder der schon einmal in einer größeren Organisation gearbeitet hat, kennt beides und die damit verbundenen Herausforderungen. Wie kann sichergestellt werden, dass die Maßnahme für Informationssicherheit immer den aktuellen Standards entsprechen?

Dieser Kunde aus der Automobilbranche vertraut auf uns. wenovate sucht nach eventuellen Abweichungen und fehlender Konsistenz zwischen verschiedenen Vorschriften. Wir machen dem Kunden qualifizierte Vorschläge für die Konsolidierung und Erweiterung der bestehenden Menge an Sicherheitsmaßnahmen. Wir sorgen somit für ein effizientes und transparentes Informationssicherheitsniveau gemäß internationaler Empfehlungen (BSI, NIST) - auch bei sich stetig verändernder Technik. Für die Mitarbeiter des Teams ist es daher unerlässlich, neue Standards nicht nur zu kennen, sondern diese auch aktiv in Maßnahmen für den Kunden umsetzen zu können. Sind die neuen Vorschläge beschlossen, helfen wir selbstverständlich auch bei der Einführung.

Aller Anfang ist...wichtig

Einer unserer Kunden aus der Automobilbranche hat eine große Herausforderung vor sich. Konzernweit sollen unterschiedliche Systeme und Anwendungen ausgerollt werden. Aber wer stellt sicher, dass zu jedem Zeitpunkt und an jeder Stelle die richtige Infrastruktur zur Verfügung steht?

Wir unterstützen bei der Planung, Auslegung und Beantragung. Unter hohem Zeitdruck gilt es alle Aufgaben (Sicherung, Umschaltung, Inbetriebnahme usw.) und deren zeitliche Planung mit verschiedenen Stakeholdern zu koordinieren und zu dokumentieren. Eine professionelle Einschätzung des Risikos setzt dabei auch sehr gute Kenntnisse der Prozesse und bereits vorhandenen Infrastruktur des Kunden voraus.

1,2,3 - Sprung!

Manchmal sind es die kleinen Lücken, die dem Kunden zu schaffen machen - Sicherheitslücken tun das auf jeden Fall! Bei unserem Kunden aus der Automobilbranche geht es in erster Linie um eine Analyse der Berücksichtigung bestimmter PKI-Attribute an zentralen Authentifizierungsgateways. Ist sichergestellt, dass nur die Zertifikate zur starken Authentifizierung genutzt werden können, die auch dafür vorgesehen sind? Prüft der Client (der verändert werden könnte durch Angreifer) oder das besser geschützte Backend die Inhalte des Zertifikats?

Um eine sichere Verwendung durchzusetzen, muss wenovate sich zunächst einen Überblick verschaffen und eine technische Beschreibung der Problemstellung entwickeln. Im Anschluss von allen Kundenansprechpartner die entsprechenden stichhaltigen Rückmeldungen zu erhalten und das Thema innerhalb des Fachbereichs zu moderieren, ist dabei erfolgsentscheidend. Welche Maßnahmen müssen mit der zentralen IT-Sicherheit im Anschluss festgelegt werden?

Serienreif!

Immer wieder faszinieren uns die Details einer Miniatur – ob das klassische Modellauto, das Miniaturwunderland mit naturgetreuen Landschaften oder große Fahrgeschäfte aus Legosteinen. Manchmal scheint einem erst im Kleinen der Blick für das große Ganze geschärft. Aber wer stellt eigentlich sicher, dass im großen Ganzen auch jedes Teil sitzt? Welcher Weg des Schlauchs für die Kühlflüssigkeit der kürzeste bis zum Kühler ist? Wie sich die Lage der Bauteile bei Vibration des Motors verhält?

Unser Team Engineering übernimmt genau diese geometrische Absicherung von Fahrzeugprojekten. Digitale Techniken, wie Virtual Reality und Simulationstechniken, verändern den Entwicklungsprozess des Automobils. Die Virtuelle Absicherung trägt zur Fahrzeugentwicklung von morgen bei. Mit diesem Vorgehen kann die Integration neuer Bauteile im Vorfeld geprüft und getestet, die Entwicklungszyklen verkürzt und die Bauzeit kostenintensiver und physikalisch aufwendiger Prototypen reduziert werden. Wir verifizieren und validieren, bevor die Komponenten real existieren.
Die Mitarbeiter des DMU-Teams führen im Kontext der virtuellen Absicherung Sichtprüfungen auf Vollständigkeit der Fahrzeugabsicherungsvarianten durch. Nach Durchführung von DMU-Untersuchungen werden die Analyseergebnisse (Problempunkte) nach Relevanz bewertet und in einem Berichtssystem dokumentiert. Die einzelnen Aufgaben können dabei höchst komplex sein, wie z.B. die Erstellung von DMU-Bewegungshüllen. Für die dynamische Absicherung werden z. B. Motorbewegungen simuliert und später auf Basis real gemessener Daten von diesen Bewegungen dynamische Hüllen erstellt. Die Hüllen werden gegen das Bauraumumfeld analysiert. In regelmäßigen Statusterminen mit den beteiligten Fachbereichen wird der Arbeitsstand zur Problemlösung im Sinne der Beteiligten im „Live-DMU“ präsentiert, damit der Termin der geometrischen Gesamtfahrzeugabnahme nicht gefährdet ist. Ein enger und produktiver Kontakt mit dem Kunden und den jeweiligen Fachabteilungen ist dabei unerlässlich.

Mit unserem Einsatz sind wir so ein wichtiger Meilenstein für unseren Automobilkunden hin zum neuen Modell. Dass wir dabei unseren Beitrag zur Zukunft leisten können, macht unsere Arbeit umso spannender.

Niedrig - mittel - hoch

"Das Sicherheitszertifikat der Website ist nicht vertrauenswürdig!" - was wir im privaten Rahmen selbst schnell einschätzen können, bedarf konzernweit meist einer komplexeren Prüfung. Wie viel Risiko geht von einer neuen Software aus? Welche Auswirkungen auf die Sicherheit hat das Update einer bestehenden Software?

Für einen Kunden aus der Automobilbranche überprüfen wir regelmäßig weltweit Systeme und Anwendungen gemäß eines Fragenkatalogs auf ihr Risiko. Ist ein Risiko generell als hoch einzustufen, gilt es dabei den Kunden immer wieder dahingehend zu beraten - trotz des hohen Zeitdrucks. Wir unterstützen bei der Terminplanung mit den fachlichen Beratern und erfassen die Anträge von internationalen Stakeholdern. Neben der Weiterentwicklung des Fragenkatalogs steht vor allem die gewissenhafte Dokumentation im Vordergrund. So begleiten wir die Systeme den gesamten Prozess über.