Informationsschutz für das BMW Group Partner Portal
Version 1.8 (vom 10. Juli 2003)

Der national und international zunehmende Wettbewerbsdruck zwingt jedes Unternehmen, seine Betriebss- und Geschäftsgeheimnisse zu schützen. Andererseits ist die Zusammenarbeit mit Zulieferfirmen, Systemlieferanten und Mitkonstrukteuren ohne den Austausch vertraulicher Informationen unter den Geschäftspartnern nicht mehr denkbar. Es ist also im gemeinsamen Interesse, dass Betriebs- und Geschäftsgeheimnisse beiderseits gewahrt und geschützt werden.

 

Der Schutz von Informationen umfasst im wesentlichen folgende Schwerpunkte:

1.1 Die Geschäftsleitung/Unternehmensleitung muss eine Sicherheitspolitik beschrieben haben. Sie muss sicherstellen, dass diese auf allen Ebenen verstanden, verwirklicht und aufrecht erhalten wird. Bei der Umsetzung der Sicherheitspolitik sind zu definieren:

  • klar festgelegte, messbare Sicherheitsziele nach Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität (VIVA),

  • der Geltungsbereich,

  • die umzusetzenden Prinzipien und Verhaltensregeln,

  • Maßnahmen zur Aufrechterhaltung des Sicherheitsprozesses.

Die Umsetzungsregelungen müssen insbesondere auf folgende Themen eingehen:

  • Geheimhaltung und Abgrenzung vertraulicher Daten (z.B. Entwicklungs- und Konstruktionsdaten)

  • Integrität, Verfügbarkeit von Daten,

  • Zutrittsschutz in sicherheitskritische Bereiche

  • Wiederanlauffähigkeit und

  • die Einbindung von Partnerfirmen

Entsprechende messbare Ziele müssen beschrieben sein.

1.2 Die Geschäftsleitung/Führungskraft muss zur Erreichung ihrer/seiner Sicherheitsziele angemessene Mittel sowie geschultes Personal für leitende und ausführende Tätigkeiten bereitstellen (Ressourcenmanagement).

1.3 Zur Umsetzung der Sicherheitspolitik muss ein Sicherheitsprozess existieren, der dokumentiert ist und aufrechterhalten wird. Dieser muss berücksichtigen:

  • Feststellung des Schutzbedarfs der Geschäftsprozesse und Unternehmensdaten (nach den o.g. VIVA-Kriterien),

  • Analyse der Bedrohungen/Risiken für schutzbedürftige Entwicklungsprojekte (z.B.: Unberechtigtes Fotografieren von Design oder Innovationen; Weitergabe von vertraulichen Unterlagen, Zeichnungen oder Daten; Aneignung von Rechten/Geschmacksmusterschutz),

  • Analyse der Bedrohungen/Risiken für schutzbedürftige IT-Systeme, -Anwendungen und Daten (z.B.: nachlässiger, unsachgemäßer Umgang mit IT-Systemen und Daten, Einbruch in das System, Aneignung von Rechten, Denial-of-Service-Attacken, Hardwareausfälle, Computerviren),

  • Planung, Realisierung und Aufrechterhaltung von Sicherheitsmaßnahmen zur Reduktion festgestellter Bedrohungen/Risiken,

  • Schulung von Management und Mitarbeitern, insbesondere bei Übernahme neuer Projekte und Einführung neuer Systeme,

  • Kontinuierliche Überprüfung der Angemessenheit der Ressourcen,

  • Planung, Durchführung und Dokumentation interner Checks (Audits) zur Prüfung, ob die sicherheitsbezogenen Tätigkeiten und Maßnahmen den geplanten Festlegungen entsprechen und ob der Sicherheitsprozess wirksam ist,

  • Erarbeitung und Training von Notfallmaßnahmen,

  • Verfolgung, Korrektur und Aufzeichnung sicherheitsrelevanter Vor- und Notfälle.

Anmerkung 1:
Bei hohem Schutzbedarf/Schadenspotential kann eine systematische Risikoanalyse angemessen sein. Diese muss mindestens enthalten:

  • eine Risikodefinition (quantitative Verknüpfung von Schadensausmaß und Eintrittswahrscheinlichkeit),

  • eine Inventarisierung der hochsicherheitsrelevanten Sicherheitssysteme, -anlagen, Anwendungen, Programme, Informationen und ihre Risikoeinstufung,

  • Zuordnung von Gegenmaßnahmen zur Risikoreduktion.

 

Anmerkung 2:
Gegebenenfalls ist eine besondere Sicherheitsstrategie für externe Dienste (Reinigungs-, Instandhaltungs-, Servicepersonal) festzulegen und zu dokumentieren ("Berechtigungs-Konzept"). Diese kann enthalten:

  • "Vieraugenprinzip",

  • Schlüsselverantwortung, besondere Sicherheitsrichtlinien, Zugangskontrollen und Zugangsprotokolle.

Anmerkung 3:
Gegebenenfalls ist eine besondere Sicherheitsstrategie für externe Dienste (World Wide Web, E-Mail, Application Gateway) des Unternehmens festzulegen und zu dokumentieren ("Firewall-Konzept"). Diese kann enthalten:

  • Einrichtung einer Demilitarisierten Zone,

  • besondere Sicherheitsrichtlinien / Zugangskontrollen und Zugangsprotokolle.

Anmerkung 4:
Der Sicherheitsprozess muss spezielle Bedrohungen berücksichtigen, wie den unautorisierten Zugriff auf vertrauliche Modelle, Prototypen, Teile, Daten, Zeichnungen, Bildmaterial durch:

  • Mitarbeiter oder Fremdpersonal,

  • Angreifer während der Weiterleitung von Daten, gezielte Angriffe (Einbruch, Korruption, Social Engineering, Hacker, Korruption Viren/Trojaner, Denial of Service, etc.) zum Zwecke der Wirtschaftsspionage oder des Enthüllungs-Journalismus,

  • Angreifer / Fotografen während Versuchsfahrten,

  • mangelhaften Zutrittsschutz.

Die mittelbare Weiterleitung von Daten und neuen Produkten an Dritte muss dabei betrachtet werden.

1.4 Bei der Umsetzung der Sicherheitspolitik müssen Sicherheitsvorfälle, Notfall- und Katastrophensituationen berücksichtigt werden. Die IT-Sicherheit und konventionelle Sicherheit betreffenden Beschwerden, sicherheitsrelevante Vor- und Notfälle müssen aufgezeichnet und dem Management zur Kenntnis gebracht werden.

1.5 Interne Checks (Audits) müssen sich neben der IT-Landschaft auch mit den konventionellen Sicherheitsprozessen, die speziellen Bedrohungen ausgesetzt sind, sowie auf die Auswertung von Sicherheitsvorfällen ausrichten.

 

2. Organisation und Personal

2.1 Die Verantwortung, Kompetenz, Befugnis, Vertretung und die gegenseitige Beziehung von Personal, deren Tätigkeit Einfluss auf den Sicherheitsprozess hat, muss festgelegt und bekannt sein. Die aus der Sicherheitspolitik und den Anforderungen der Kunden (insbesondere der SE-Partner) abgeleiteten Maßnahmen müssen bzgl. Verantwortlichkeiten und Kompetenzen des Personals Regelungen enthalten im Hinblick auf

  • die Einrichtung, Erhaltung und Zuordnung von Prozessen, die den Geschäftsbeziehungen der Partner entsprechen,

  • die inhaltliche und technische Abgrenzung dieser Prozesse zum Zweck der Geheimhaltung,

  • die regelmäßige Information/Schulung der Mitarbeiter, insbesondere bei der Einführung neuer Prozesse oder Systeme,

  • Verhaltensregeln im Zusammenhang mit Kommunikationsdiensten (Telefon, Fax, E-Mail, Datenaustausch, Nutzung des BMW Group Partner Portals, etc.)

  • die Aufzeichnung, Protokollierung und Auswertung sicherheitsrelevanter Vorgänge,

  • Sicherheits-, Notfall- und Katastrophensituationen,

  • Problemlösungen nach festgelegten Abläufen zu veranlassen.

2.2 Die verantwortliche Stelle/Bereich (z.B. Geschäftsleitung/Führungskraft) muss in ausreichendem Umfang Informationsschutzbeauftragte (ISB) benennen, die festgelegte Befugnisse besitzen, um:

  • sicherzustellen, dass ein Sicherheitsprozess festgelegt, verwirklicht und aufrecht erhalten wird, der die Anforderungen der Schutzmaßnahmen erfüllt;

  • der Unternehmensleitung in mindestens jährlichem Abstand über die Wirksamkeit des Sicherheitsprozesses als Grundlage für dessen Verbesserung zu berichten.

Regelungen zu Verantwortlichkeiten, Kompetenzen, Stellvertretern müssen in geeigneter Form festgelegt und dokumentiert sein, z.B. mittels Organigramm.


2.3 Alle Mitarbeiter des Bereiches der Abteilung einschließlich externe Mitarbeiter und Führungskräfte, die in Kontakt mit sicherheitsrelevanten und/oder vertraulichen Informationen/Daten kommen, müssen über die Sensibilität dieser Daten informiert werden und schriftlich zu deren vertraulichen Handhabung verpflichtet sein. Diese Mitarbeiter müssen vertrauliche oder in sonstiger Weise sicherheitsrelevante Tätigkeiten und die Ansprechpartner im Rahmen ihres Verantwortungsbereiches kennen.


2.4 Dies gilt in gleicher Weise für externe Partner.

Anmerkung:
Mitarbeiter, die durch ihre Arbeit mit personenbezogenen Daten in Berührung kommen, müssen entsprechend des Bundesdatenschutzgesetzes (BDSG) und des Teledienstedatenschutzgesetzes (TDDSG) schriftlich auf das Datengeheimnis verpflichtet sein. Datenschutz darf nicht mit Informationsschutz verwechselt werden.


2.5 Bei der Personalauswahl müssen, insbesondere bei externen Mitarbeitern, bezüglich der Sicherheit angemessene Auswahlkriterien berücksichtigt werden. Pflege, Verwaltung und Service von Entwicklungsprojekten dürfen nur von entsprechend benanntem, autorisiertem und zur Geheimhaltung verpflichtetem Personal durchgeführt werden.

 

3. Mitarbeiterverantwortung am Arbeitsplatz, in Arbeitsbereichen und in der Öffentlichkeit

3.1 Für Büro und Arbeitsplätze sind insbesondere, wenn der Zugriff auf vertrauliche Daten möglich ist, Verhaltensweisen durch den Informationsschutzbeauftragten (ISB) bzw. durch die Führungskraft festzulegen und zu überwachen. Soweit zutreffend, müssen diese umfassen:

  • Erstellen, Ändern, Ablegen, Weitergeben, Kopieren, Ausdrucken, Sichern, Archivieren von Daten und Dokumenten,

  • Nutzung von ungeschützten Austauschverzeichnissen,

  • Virenschutz, insbes. Umgang mit E-Mails, Attachments, Datenträgeraustausch,

  • Umgang mit Passwörtern,

  • Kopieren oder Mitnehmen von Datenträgern und Dokumenten,

  • Postversand sicher verpacken (seriöser Kurierdienst oder per Einschreiben),

  • Verlassen des Arbeitsplatzes (Passwortschutz, Abschließen, "Clear Desk Policy" (wegschließen von vertraulichen Unterlagen, usw.),

  • Umgang mit Laptops,

  • Entsorgung von Informationen und Daten (Nutzung von Schreddern, sicheres Löschen)

  • Verhalten in Notfällen, Störungen bei mangelnder Verfügbarkeit der Ressourcen und Virenattacken,

  • Telearbeitsplätze / Home Offices,

  • Weitergabe von Informationen am Telefon oder per Anrufbeantworter,

  • Wirkung der Geheimhaltung in, bzw. gegenüber der Öffentlichkeit (Messen, Flugzeug, Freundeskreis, etc.)

  • Verhalten bei Anfragen von Medien, zu wissenschaftlichen Veröffentlichungen,

  • Aufspielen/Kopieren von Software,

  • Zugang, Überwachung und Kontrolle von Reinigungs- und Fremdpersonal sowie Besuchern.

 

4. Bautechnische Infrastruktur

4.1 Es muss durch angemessene Zugangskontrollen sichergestellt sein, dass nur befugtes Personal Zugang in die geschützten Bereiche sowie direkten Zugang zu Daten und geheimen Produkten sowie IT-Systemen hat. Je nach Schutzbedarf/Risiko kann dies sichergestellt sein durch:

  • Regelungen zu persönlichen Kontrollen,

  • technische Zugangseinrichtungen,

  • geeignete bauliche und organisatorische Maßnahmen zum Zugangsschutz,

  • abgestufte Schutzzonen,

  • Alarmverfolgung.

4.2 Den besonderen Bedrohungen entsprechend sind geeignete Zutrittsregelungen zu erarbeiten und dies angemessen umzusetzen (z.B. Besucherbegleitung, sichtbares tragen eines Ausweisdokumentes).

4.3 Es müssen erforderliche Sichtschutzmaßnahmen erbracht werden. Nach Betrachtung des Risikos können dies im Einzelnen sein:

  • Rollläden, Jalousien,

  • Verdunkelung von Fensterscheiben,

  • Stellwände, Vorhänge,

  • Abdeckplanen, Tarnnetze,

  • Sichtschutzmauern um Parkflächen.

4.4 Es müssen dem Schutzbedarf / dem Risiko entsprechende, wirksame physische Schutzeinrichtungen vorhanden sein, die insbesondere folgenden möglichen Bedrohungen entgegenwirken:

  • Abhören von Leitungen und Geräten,

  • Stromausfall,

  • Brand,

  • Wasserschaden,

  • Zerstörung / terroristische Attacken

  • Ausfall betriebsnotwendiger Klimatisierungen.

 

5. Informations- und kommunikationstechnische Infrastruktur

5.1 Alle Systeme, die vertrauliche Daten verarbeiten (Know How, Konstruktionspläne, Stücklisten, Designstudien etc.) müssen mit wirksamen Maßnahmen entsprechend der Einstufung in die jeweilige Schutzbedarfsklasse gegen den Verlust der Vertraulichkeit ausgestattet sein. Datenübertragungseinrichtungen (Telefon, Fax, E-Mail, Datenaustauschsysteme, Web-Portale) müssen so gestaltet sein, dass streng vertrauliche Informationen nicht unverschlüsselt und nur mit geeigneter Authentisierung über öffentliche Netze übertragen werden.

5.2 Alle Daten müssen nach Zugehörigkeit, sowie nach Schutzbedarf, insbesondere hinsichtlich der Vertraulichkeit, klassifiziert werden.

5.3 Die für die Aufrechterhaltung der Geschäftsprozesse kritischen technischen IT-Systeme müssen dem Bedarf, der angestrebten Verfügbarkeit und der sich aus dem Schutzbedarf ergebenden Vertraulichkeit und Integrität der Daten entsprechend ausgelegt sein. Es muss ein umfassendes Konzept zur Datensicherung und Archivierung sowie zum Disaster Recovery erstellt sein und dessen Umsetzung gewährleisten. Die Verfahren und Medien werden regelmäßig geprüft.

5.4 Es muss ein Konzept zur Erteilung von Berechtigungen existieren. Die Aufstellung der Mitarbeiter und deren Zugriffsrechte auf sicherheitsrelevante Daten ist aktuell zu halten (z.B. mittels Datenbank).

5.5 Systeme zum Schutz der Daten, sowie der informations- und kommunikationstechnischen Infrastruktur (Authentisierungseinrichtung, Firewall, Backup-Einrichtungen, Verschlüsselungseinrichtungen, ....) müssen dem Schutzbedarf und den Risiken entsprechend ausgelegt sein und betrieben werden.

5.6 Es muss ein Plan über die IT-Netztopologie, einschließlich der HW/SW-Inventurregister gepflegt werden.

Anmerkung:
Die Detailmaßnahmen für die Installation und den Betrieb der verschiedenen IT-Systeme können dem IT-Grundschutzhandbuch BSI entnommen werden.

 

6. Systemverwaltung

6.1 Bei der Nutzung zentraler Server, sind hinsichtlich der Sicherheitsanforderungen (VIVA-Kriterien) entsprechende Service-Level-Agreements (SLAs) zu treffen. Es müssen angemessene Regelungen und Verantwortlichkeiten bezüglich der Administration der sicherheitsrelevanten Systeme existieren. Diese müssen die spezifischen Gegebenheiten unterschiedlicher Betriebssysteme (Midrange/Mainframe, Unix, Windows, Novell Netware, etc.) und Netzinfrastrukturen (LAN, Intranet, Extranet, Internet) berücksichtigen. Soweit zutreffend, muss dies umfassen:

  • Einrichten von Bildschirmarbeitsplätzen,

  • Benutzerverwaltung, Rechteverwaltung und Zugriffskontrolle,

  • Zentrale Systemadministration (Single-Sign-On, Netzwerkmanagementsysteme),

  • Vernichtung von Datenträgern (Papier-Datenträger, Hardware),

  • Betrieb von RAS-Zugängen (Remote Access Services),

  • Zentrale Datenbank, zentrale Applikationen (Host, Server),

  • Datensicherung und -archivierung,

  • Wartung,

  • Konfiguration,

  • Aufzeichnen und Auswerten von Systemzugriffen,

  • Verwaltung der Verschlüsselungsinfrastruktur,

  • Betrieb von Datenübertragungseinrichtungen: Modem, ISDN, Funk, Fax, TK-Anlage, Standleitungen, Internet, Extranet

  • Einrichtung, Verwaltung und Kontrolle von Sicherheitssoftware (Firewall, Virenscanner, Authentisierungssysteme usw.).

Anmerkungen:
Es muss eine aktuelle Aufstellung sämtlicher Software-Produkte gepflegt werden. Insbesondere muss die Verwaltung der Lizenzen/Nutzungsberechtigungen für Fremdsoftware bzw. Nachweise für eigenerstellte Software berücksichtigt sein.
Anregungen für diese Regelungen ergeben sich aus dem IT-Grundschutzhandbuch des BSI.

6.2 Es existiert ein Konzept für Remote-Management für Kunden und Eigenpersonal, welches die gesetzten Sicherheitsziele angemessen umsetzt. Notfallmaßnahmen müssen dem Management zur Kenntnis gebracht werden.

 

7. Produktsicherheit

7.1 Die Entwicklung oder der Testbetrieb von Prototypen oder Fahrzeugkomponenten sowie der Aufbau von Designmodellen erfordert einen besonderen Schutz des Design und der Innovationen. Insbesondere ist in den Abläufen darauf zu achten, dass die Risiken analysiert und wirkungsvolle Schutzmaßnahmen durchgeführt werden. Grundlage für den Umgang mit BMW Neuentwicklungen sind im BMW "Handling/Schutzmaßnahmen" für Neuentwicklungen geregelt (muss vom BMW Ansprechpartner zur Verfügung gestellt werden).

7.2 Beim Transport ist darauf zu achten dass:

  • die Personen / die Spedition zur Geheimhaltung verpflichtet sind,

  • die Erreichbarkeit des Fahrers (z.B. über Handy) ständig gewährleistet ist,

  • das Transportmittel über geeignete Verschlussmöglichkeiten, ggf. auch über eine Alarmanlage verfügt,

  • das Auf- und Abladen in einem gesicherten Bereich (Sichtschutz) verdeckt durchgeführt wird,

  • die Übernahme/Übergabe durch einen Verantwortlichen beaufsichtigt wird.

7.3 Die Produkte müssen in gesicherten kontrollierten Bereichen abgestellt werden. Nach Arbeitsende sind diese mit einer Plane zu verdecken und einem Schloss zu sichern. In geschützten Prototypenräumen reicht ein Verdecken.

7.4 Das Fotografieren des Produktes ist nur mit Einverständnis des Auftraggebers zulässig und ist zu dokumentieren. Negative (sofern vorhanden) sind zu dokumentieren und im eigenem Labor oder bei Vertragspartnern zu entwickeln. Digitale Aufnahmen sind sicher (Zugriffsberechtigung/Verschlüsselung) zu handhaben und nach Transfer vom ursprünglichen Datenträger zu löschen.

7.5 Präsentationen gegenüber Dritten sind grundsätzlich untersagt. Ist im besonderen Fall dies zur Auftragserfüllung erforderlich, muss dies in einem gesicherten Bereich durchgeführt und mit dem Projektverantwortlichen abgestimmt werden.

7.6 Versuchsfahrten/Tests sind vorwiegend auf den Testgeländen durchzuführen. Fahrten auf öffentlichen Straßen bedürfen einer Freigabe des Auftraggebers. Tarnungen am Fahrzeug sind nur in Absprache mit dem Auftraggeber/Projektverantwortlichem zu entfernen. Der Informationsschutzbeauftragte des Auftraggebers ist zu informieren.

7.7 Nach Aufhebung der Geheimhaltung sind alle relevanten sensitiven Daten auf Aufrechterhaltung der Vertraulichkeit (z.B. in einem anderen Entwicklungsprojekt) zu prüfen.

7.8 Nach Aufhebung der Geheimhaltung bestehen meistens noch weitere Einschränkungen für das Produkt. Diese werden von der BMW Projektleitung definiert und müssen eingehalten werden.

7.9 Darüber hinaus haben die Projekt-/Produktverantwortlichen an die Nutzer den jeweils aktuellen Stand zum

  • Handling (Schutzmaßnahmen)

  • Transport (Regelungen)

zu kommunizieren.