Diese Seite wird auf Deutsch unter Einsatz automatischer Übersetzung angezeigt. Lieber auf Englisch ansehen?
War diese Übersetzung hilfreich?
  1. Home
  2. Trust Center
  3. Cybersecurity-Governance

Governance der Cybersicherheit

Siemens Industry Software Inc. und seine verbundenen Unternehmen (SISW) halten sich an ein effizientes Governance-Rahmenwerk zur Risikominderung, Richtlinien und Leitlinien.

Cybersicherheit ist eines der wichtigsten Zukunftsthemen – für Unternehmen und die Gesellschaft. Es ist die wichtigste Voraussetzung für Unternehmen, um kritische Infrastrukturen zu schützen, vertrauliche Informationen zu schützen und die Geschäftskontinuität zu gewährleisten. Als eines der strategischen Ziele von Siemens wird die digitale Transformation nur gelingen, wenn wir uns auf Datensicherheit und vernetzte Systeme verlassen können. Cybersicherheit hat enorme Auswirkungen auf unsere Kunden und wird von vielen internationalen und nationalen Gesetzen und Vorschriften gefordert. Damit hat Cybersicherheit für Siemens höchste Priorität.

Die Cybersecurity-Organisation von Siemens Industry Software Inc. und seinen verbundenen Unternehmen (SISW) ist bestrebt, die Daten unserer Kunden zu schützen, die sich in SISW-Produkten, -Lösungen und -Dienstleistungen befinden oder von diesen verarbeitet werden. Wir erreichen dies, indem wir sicherstellen, dass solche Produkte, Lösungen und Dienstleistungen den allgemein anerkannten technischen Praktiken für die Produkt- und Lösungssicherheit entsprechen, einschließlich Best Practices für die Cyberabwehr wie Bedrohungserkennung und Reduzierung der Angriffsfläche.

Zentrale Schwerpunkte für SISW

Management der Cybersicherheit

Hochrangige Verantwortlichkeiten

Angesichts der Bedeutung der Cybersicherheit berichtet der SISW Chief Information Security Officer (CISO) direkt an den SISW-CEO und über den Siemens Global Chief Cybersecurity Officer.

Die Corporate-Cybersecurity-Organisation von Siemens und die Cybersecurity-Organisation von SISW arbeiten als vertrauenswürdige Partner zum Nutzen unserer Kunden und anderer Siemens-Geschäftsbereiche eng zusammen. Die Sicherheitsexperten von Siemens entwickeln und übernehmen Technologien, nutzen das interne Netzwerk und beraten sich mit anderen Unternehmen, um die Resilienz von Siemens durch klare, ganzheitliche Verantwortlichkeiten routinemäßig zu verbessern. Wir setzen auf eine Kultur der Eigenverantwortung für alle Aspekte der Cybersicherheit. All dies bietet Siemens eine breite Grundlage, um sich selbst, seine Kunden und die Gesellschaft insgesamt zu schützen.

trust-center-cybersecurity-governance-is890155348-mhero-1280x720

Zertifizierungen, Bescheinigungen, Labels und Berichte

Dies sind die Zertifizierungen, Bescheinigungen, Etiketten und Berichte, die von DI SW gehalten werden.

Zertifizierung nach ISO 27001/17/18

Zertifizierung nach ISO 27001/17/18

ISO 27001 ist die internationale Norm, die Best Practices für ein Informationssicherheitsmanagementsystem (ISMS) beschreibt.

Die Zertifizierung und Akkreditierung nach ISO 27001 zeigt, dass unser Unternehmen die Best Practices der Informationssicherheit (IS) befolgt. Es bietet auch eine unabhängige Expertenüberprüfung, die bestätigt, dass die Informationsgesellschaft im Einklang mit der internationalen Praxis und den Geschäftszielen verwaltet wird.

Das Engagement von SISW für die Informationssicherheit wird durch die unten aufgeführten ISO 27001-Zertifikate und die Anhänge 27017 und 27018 belegt.

ISO 27001

ISO 27017

ISO 27018

Cloud Security Alliance (CSA)

Siemens unterstützt die CSA, eine weltweit führende Organisation, die sich Best Practices für sicheres Cloud Computing verschrieben hat. Siemens wurde von der CSA als "Trusted Cloud Provider" ausgezeichnet, und die SISW-Angebote haben die CSA-Sicherheitsstufe eins (STAR) erreicht, die unsere Übereinstimmung mit den Sicherheitspraktiken der CSA bestätigt.

Die detaillierten Bewertungen von SISW finden Sie im Folgenden.

Cloud Security Alliance

SISW XaaS CSA Registry

SISW MindSphere CSA Registry

Cyber Essentials Plus (CE Plus)

Cyber Essentials Plus (CE Plus) ist die Verifizierung der Cyber Essentials-Implementierung durch Dritte, ein von der britischen Regierung unterstütztes Programm, das dazu dient, ein Unternehmen vor einer Reihe der häufigsten Cyberangriffe zu schützen.

CE Plus

Siemens CE Plus Zertifizierung

SOC 2®

SOC 2® ist eine Bewertung der Kontrolle der Serviceorganisation, die für Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit oder Datenschutz relevant ist.

SOC 2-Berichte® von SISW sind zertifizierte Bescheinigungen, die unseren Kunden detaillierte Informationen und Sicherheit bieten sollen. Diese Informationen beziehen sich auf Kontrollen innerhalb von SISW in Bezug auf die Sicherheit, Verfügbarkeit und Verarbeitungsintegrität aller Systeme, die an der Bereitstellung von Dienstleistungen und der Verarbeitung von Kundendaten beteiligt sind. Es bestätigt auch die Vertraulichkeit und den Schutz der von SISW-Systemen verarbeiteten Informationen.

SOC 2-Berichte® können über Ihren SISW-Vertriebskontakt angefordert werden und werden zur Verfügung gestellt, nachdem eine ordnungsgemäße Vertraulichkeits-/Geheimhaltungsvereinbarung getroffen wurde.

SOC 3®

SOC 3® Trust Services Report for Services Organizations enthält Kriterien für die allgemeine Nutzungsberichterstattung.

Diese Berichte können frei verteilt werden und wurden entwickelt, um die Wissenslücke von Benutzern zu schließen, die Sicherheit und Verfügbarkeit und Datenschutz benötigen, aber die in einem SOC 2-Bericht® enthaltenen Informationen nicht effektiv anwenden können. SOC 3® Reports sind auch für Anwender und Anwendungsfälle ausreichend, wenn die tiefergehenden Informationen eines SOC 2® Reports nicht benötigt werden.

SISW SOC 3® Trust Services Report für Dienstleistungsorganisationen

Die Trusted Information Security Assessment Exchange (TISAX)

TISAX ist ein Informationssicherheits-Assessment für die Datenaustauschmechanismen zwischen Unternehmen der Automobilindustrie.

Das TISAX-Label bestätigt, dass ein zugelassener Dritter das Informationssicherheits-Managementsystem eines Unternehmens als konform mit definierten Sicherheitszielen bewertet hat. In unseren Bemühungen, die Arbeit unserer Kunden aus der Automobilindustrie zu erleichtern, hat SISW TISAX-Labels für bestimmte Systeme und Einrichtungen angestrebt, die für einen solchen Datenaustausch erforderlich sind.

TISAX

Weitere Anweisungen, wie Sie auf relevante SISW TISAX-Zertifizierungen zugreifen können, finden Sie hier.

Rahmen für die Cybersicherheitspolitik

SISW hat ein Informationssicherheits-Managementsystem (ISMS) eingerichtet, das sich in die Vision des Siemens Cybersecurity Policy Framework einfügt und die Richtlinien, Kontrollen und Zuweisungen von Verantwortlichkeiten vorschreibt, die es SISW ermöglichen, die Kundenerwartungen an Cybersicherheit zu erfüllen und die Anforderungen der oben aufgeführten Zertifizierungen und Bescheinigungen zu erfüllen.

Kernstück des ISMS ist das SISW Information Security Program Manual, das unseren Managementansatz für das Informationssicherheitsprogramm von SISW für Angebote und damit verbundene Aktivitäten darstellt. Das Handbuch beschreibt den Ansatz von SISW zur Einrichtung und Aufrechterhaltung eines Informationssicherheits-Governance-Programms, das die Vertraulichkeit, Integrität, Verfügbarkeit und den Schutz von Informationsressourcen gewährleistet.

Das ISMS legt auch eine Reihe von Richtlinien unter der Leitung des SISW Information Security Council (ISC) fest, um die Verpflichtung zum Informationssicherheitsprogramm, zu den Programmzielen und zur Programmdurchsetzung sicherzustellen.

Produkt- und Lösungssicherheit (PSS)

Die Produkte, Lösungen und Dienstleistungen von SISW enthalten wesentliche Software- und IT-bezogene Komponenten, die den sich schnell entwickelnden regulatorischen Sicherheitsanforderungen unterliegen können.

Die Siemens-weite PSS-Initiative wurde ins Leben gerufen, um sicherzustellen, dass die von uns vertriebenen Produkte, Lösungen und Dienstleistungen es unseren Kunden ermöglichen, ihre Prozesse in einer sicheren Umgebung zu betreiben. SISW weist jeder Produktlinie einen Product and Solutions Security Officer (PSSO) zu, der dafür sorgt, dass diese Initiative während des gesamten Entwicklungszyklus umgesetzt und überwacht wird.

Zu diesem Zweck gibt es innerhalb von Siemens verbindliche Vorgaben für PSS und Empfehlungen zur Umsetzung. Kontinuierliche Verbesserung und Lernen sind grundlegende Voraussetzungen für die erfolgreiche Umsetzung von PSS.

Sensibilisierung für Cybersicherheit

Die Schaffung eines gemeinsamen Bewusstseins unter den Mitarbeitern ist entscheidend, um die Einhaltung von Cybersicherheitsinitiativen und die Aufrechterhaltung eines hohen Sicherheitsniveaus zu gewährleisten. Dies bedeutet, eine risikobewusste Kultur zu schaffen und kontinuierliche Schulungs- und Weiterbildungsmöglichkeiten für Einzelpersonen im gesamten Unternehmen bereitzustellen.

Siemens SISW bietet seinen Mitarbeitern verschiedene Aktivitäten und Möglichkeiten zum Lernen und zur Weiterentwicklung, darunter:

• Eine obligatorische globale Sensibilisierungskampagne , um Mitarbeiter über Cybersicherheitsthemen zu informieren. Diese Schulungen sind webbasiert, barrierefrei und mehrsprachig. Darüber hinaus bieten wir ein "Führerschein"-Training für rollenspezifische Gruppen an. Diese verpflichtende Schulung befähigt den Konzern zur Anwendung der Siemens-Sicherheitsrichtlinien.

• Es werden zusätzliche SISW-obligatorische Sicherheitsschulungen für PSSOs und Cloud-sicherheitsspezifische Schulungen für Entwickler angeboten, die an der Erstellung von Inhalten beteiligt sind.

• Siemens bietet zahlreiche, regelmäßig aktualisierte Schulungen und Weiterbildungsangebote für Mitarbeiter auf freiwilliger Basis an. Diese Schulungsmodule reichen von Basiswissen bis hin zu spezifischen und spezialisierten Bereichen wie PSS.

Überwachung des Cybersicherheitsstatus

SISW hat eine Plattform implementiert, die einen Überblick über unsere Cybersicherheitslage bietet, einschließlich Einblicken in potenzielle Schwachstellen, Bedrohungen und Sicherheitsprotokolle.

Die Überwachung der relevanten Umgebungen und Protokolle ermöglicht:

• Benachrichtigung über sicherheitsrelevante Ereignisse;

• Zentralisierter Überblick über Kontoinformationen (Ressourcen und Vermögenswerte);

• Validierung von festgelegten Cloud-Sicherheitszuständen, -Warnungen und -Praktiken; und

• Durchführung fundierter und zielgerichteter sicherheitsbasierter Geschäftsentscheidungen.

trust-center-cybersecurity-governance-status-monitoring-is808157766-mhero-1280x720

Grundlage des zertifizierten Prozesses

SISW unterhält ein nach ISO 9001 zertifiziertes Qualitätsmanagementsystem (QMS), das darauf abzielt, Sicherheitskontrollen in den Secure Development Lifecycle (SDLC) von SISW-Produkten einzubetten und Drittanbieter zu integrieren, um die Qualität der Ergebnisse zu kontrollieren. Das QMS führt Tore an wichtigen Kontrollpunkten aus, um zu überprüfen, ob Sicherheitskontrollen und Qualitäts-KPIs ordnungsgemäß ausgeführt wurden.

Qualitäts-Vision

Risikomanagement im Bereich Cybersicherheit

Cybersecurity-Risikomanagementprozesse sind Teil der Enterprise Risk Management-Strategie (ERM) von Siemens. Vorrangiges Ziel von ERM ist es, Siemens in die Lage zu versetzen, potenzielle Sicherheitsrisiken auf Basis internationaler Standards zu identifizieren und zu minimieren.

Cybersecurity Risk Management-Prozess von Siemens konzentriert sich auf die Berichterstattung und das Management von Risiken in den folgenden Bereichen:

• Asset-Klassifizierung und -Schutz für IT, Dokumente und Informationen;

• Bedrohungs- und Risikoanalyse für Produkte, Lösungen und Dienstleistungen;

• Ausnahmebehandlung bei vorübergehenden Abweichungen von den Anforderungen; und

• Risikomanagement für Cybersicherheitslieferanten, wie unten beschrieben.

trust-center-cybersecurity-risk-management-is1015220836-mhero-1280x720

Risikomanagement für Cybersecurity-Lieferanten

Cybersicherheitsrisiken müssen entlang der gesamten Lieferkette gemanagt werden. Siemens betrachtet dieses Thema ganzheitlich, einschließlich IT, OT und PSS für die Beschaffung von horizontalen und vertikalen Komponenten, Produkten und Dienstleistungen.

Zu den wichtigsten Aktivitäten zur Verbesserung der Cybersicherheit entlang der Lieferkette gehören:

• Transparenz in Bezug auf Cybersicherheitsrisiken entlang der Lieferkette;

• Systematische Risikomanagementpraktiken, die durch die Bewertungsmethodik von Drittanbietern und entsprechende Tools und Vorlagen für vertragliche Cybersicherheitsanforderungen an Lieferanten unterstützt werden;

• Aktive Mitarbeit in verschiedenen Fachgemeinschaften; und

• Regelmäßige Schulungs- und Sensibilisierungskampagnen für verschiedene Zielgruppen und Anwendungsfälle.