Cybersecurity-Risiken in der Lieferkette minimieren: Natalia Petrova-Korudzhiyski im Gespräch
Business Circle: Sehr geehrte Frau DI Petrova-Korudzhiyski, Sie haben sich als Beraterin auf Unternehmen der Mobilitätsindustrie spezialisiert, was ist für Sie das Faszinierende gerade an dieser Branche?
Natalia Petrova-Korudzhiyski: Eindeutig die Vielfältigkeit, Dynamik und Innovation. Die ExpertInnen, die ich treffe, bringen eine beeindruckende Menge an beruflichen Hintergründen, Erfahrungen und Einsatzbereichen mit. Es ist sehr inspirierend zu sehen, wie die Branche untereinander zusammenhält und sich gegenseitig unterstützt. Meine Erfahrung als Versuchstechnikerin, Entwicklungsingenieurin und Product Security Officer ermöglicht es mir, verschiedene Aspekte und Sichtweisen einzubringen, um im Bereich CSMS die optimale Lösung zu finden. Es macht viel Spaß, immer wieder vor neuen Herausforderungen zu stehen und darüber nachzudenken, welche die beste Lösung für das jeweilige Unternehmen ist. Das erinnert mich ein bisschen ans Puzzeln, wo es auch darum geht, aus unterschiedlichen Teilen das große Ganze zu erstellen. Und sind wir uns ehrlich: Wer puzzelt nicht gerne?
BC: Wie schaffen es die OEMs am besten, die Technologien verschiedener Lieferanten so zu koordinieren, dass sie Cybersecurity-Risiken möglichst geringgehalten werden?
Petrova-Korudzhiyski: Risikobewertungen sind ein Muss für jedes Unternehmen, das sich mit Entwicklung, Cybersecurity und funktionaler Sicherheit beschäftigt. Die ISO/SAE 21434 bietet Richtlinien, die diese Koordination ermöglichen. Je nach Organisationsgröße sind verschiedene Koordinationsmöglichkeiten vorgesehen, die explizit Punkte zur Cybersecurity beinhalten - von Lieferantenbewertungen über Lieferantenverträge bis hin zur Absicherung gesamter Lieferketten.
BC: Und daran anschließend: Wie können OEMs sicherstellen, dass ihre Lieferanten die notwendigen Cybersecurity-Standards einhalten?
Petrova-Korudzhiyski: Das Cybersecurity Management System wird oft unterschätzt. Häufig wird angenommen, dass dieser Prozess hauptsächlich die Entwicklungsabteilung und Produktion betrifft. Tatsächlich sind der Prozess und die darin enthaltenen Anforderungen jedoch in das gesamte Unternehmen eingebettet. Das bedeutet im Detail, dass OEMs Lieferantenverträge erstellen müssen, die sicherstellen, dass die Erfahrungen aus allen relevanten Bereichen vollständig berücksichtigt werden. Anschließend ist es Aufgabe der OEMs, zu überprüfen und sicherzustellen, dass die Lieferanten die Vertragsbedingungen einhalten und die festgelegten Anforderungen erfüllen. Dies wird zusätzlich durch die Anforderung von relevanten Cybersecurity-Zertifikaten, Assessments oder weiteren Cybersecurity-relevanten Unterlagen abgesichert.
BC: Aus Ihrer Beratungspraxis: Gibt es bestimmte Best Practices, um die Zusammenarbeit zwischen OEMs und Lieferanten im Bereich Cybersecurity zu optimieren?
Petrova-Korudzhiyski: Die Anforderungen durch diverse Cybersecurity-Regularien stellen eine große Herausforderung dar, und das nicht nur in der Automobilindustrie. Es erfordert die Optimierung von Prozessen, die Anpassung langjähriger Verträge und eine enge Abstimmung mit den Lieferanten. Manchmal führt dies sogar zu einem Wechsel von Lieferanten. Aus eigener Beratungspraxis lässt sich sagen, dass in vielen Projekten die Definition von Verantwortlichkeiten und Zuständigkeiten unterschätzt wird. Dies ist nicht nur ein wesentlicher Bestandteil, um die Zusammenarbeit zwischen OEMs und Lieferanten zu harmonisieren, sondern auch eine durchaus schwere Aufgabe. In der Theorie mag das zwar einfach klingen, kann sich in der Praxis jedoch als sehr anspruchsvoll erweisen.
BC: Welchen Einfluss wird Ihrer Meinung nach der wachsende Einsatz Künstlicher Intelligenz auf CSMS aus der Perspektive von Lieferanten und OEMs haben? Wo könnte neue Risiken entstehen?
Petrova-Korudzhiyski: Künstliche Intelligenz (KI) ist die nächste große Herausforderung, die vor uns liegt und bereits jetzt eine Rolle spielt. Unser Alltag ist, auch im privaten Bereich, stark von KI geprägt. Zur Ressourcenoptimierung wird sie bereits in verschiedenen Branchen und Bereichen eingesetzt. Zu behaupten, dass dadurch keine neuen Risiken entstehen, wäre eine gewaltige Untertreibung. Genau hier kommen Automotive/Product Security und IT/OT Security zusammen, um gemeinsam an Lösungen zu arbeiten, die sowohl die unglaublichen Potenziale von KI heben, gleichzeitig aber auch die Risiken immer im Blick behalten.
Ich kenne großartige Technikerinnen, die sich nicht trauen, in diesen von Männern dominierte Bereich einzutreten
BC: Etwas eher Persönliches: Das Thema Cybersecurity ist noch stark männlich besetzt, was könnte / sollte getan werden, um hier den Anteil an weiblichen Fach- und Führungskräften zu erhöhen?
Petrova-Korudzhiyski: Ich komme aus dem Automotive-Entwicklungsbereich – und im Vergleich dazu ist die Frauenquote in der Security-Branche ja fast gigantisch. Aber Spaß beiseite: So oder so haben wir in technischen Berufen noch lange nicht die Anzahl erreicht, die wir uns (als Frauen) wünschen würden. Ich bin in verschiedenen Cybersecurity-Arbeitsgruppen tätig, von denen zwei ausschließlich für weibliche Expertinnen vorgesehen sind. Ja, es ist eine Tatsache, dass das Thema Frauen und Technik bei vielen noch nicht wirklich angekommen ist. Ich kenne großartige, intelligente und kluge Technikerinnen, die sich nicht trauen, in diese immer noch von Männern dominierte Domäne einzutreten. Viele Frauen und Mädchen erhalten auch zu Hause nicht den Rückhalt, wenn sie sagen, dass sie in die Technik gehen wollen. Das muss sich ändern. Ich sehe es daher als absolut wichtig an, dass mehr Frauen in die Öffentlichkeit treten und zeigen, dass es großartig ist, seiner Berufung zu folgen – unabhängig davon, in welchem Bereich oder welcher Branche. Was könnte im Berufsleben besser sein, als wenn die eigene Arbeit tatsächlich das Hobby ist?
BC: Abschließend: Sie werden ja im Rahmen der PriSec zum ersten Mal bei uns vortragen (Glückwunsch dazu!). Was ist die zentrale Botschaft, die Ihr Round Table vermitteln soll, woran soll sich das Publikum nach einem Jahr noch erinnern können?
Petrova-Korudzhiyski: Ich freue mich sehr, Teil dieses großartigen Events zu sein und danke Ihnen für die Einladung. Wenn nach dem Roundtable die Zuhörer – und vielleicht besonders die weiblichen Zuhörerinnen – motiviert und inspiriert aufstehen und sagen: 'Wow, ich wünschte, ich könnte mit so viel Elan, Fachwissen und Begeisterung auftreten', und ich somit Menschen für das Thema Automotive Cybersecurity begeistern konnte, dann war der Auftritt bei der PriSec für mich ein voller Erfolg.
BC: Sehr geehrte Frau DI Petrova-Korudzhiyski, wir danken Ihnen für dieses Gespräch und freuen uns schon, Sie im Oktober live zur PriSec zu begrüßen!
DI Natalia Petrova-Korudzhiyski ist eine erfahrene Beraterin, die Unternehmen der Mobilitätsindustrie unterstützt. Sie verfügt über jahrelange Erfahrung in der Automobilbranche und ist eine zertifizierte Cybersecurity-Ingenieurin und -Managerin sowie eine zertifizierte Funktionale Sicherheitsmanagerin. Darüber hinaus ist sie Expertin für Six Sigma Yellow & Green Belt. Im Rahmen der PriSec ist sie am 15. Oktober 2024 Gastgeberin eines Round Tables zum Thema „CSMS-Herausforderungen aus der Perspektive von Lieferant:innen und OEMs“