Mit meiner Berufung zum Lead Auditor Automotive nach ISO/IEC 27001 habe ich gelernt, branchenspezifische Anforderungen an die Informationssicherheit in der Automobilindustrie gezielt zu bewerten und umzusetzen. Ich kenne die Besonderheiten von TISAX und dem VDA ISA-Katalog und weiß, wie wichtig der Schutz sensibler Entwicklungsdaten entlang der automobilen Lieferkette ist. Ich bewerte Risiken nicht nur normkonform, sondern auch im Einklang mit OEM-spezifischen Sicherheitsanforderungen – etwa im Kontext von Connected Cars, Over-the-Air-Updates oder E/E-Architekturen. Mein Wissen setze ich gezielt bei Zulieferern, IT-Dienstleistern, Softwareentwicklern und Engineering-Partnern ein, um deren ISMS auditkonform aufzubauen und weiterzuentwickeln. Dabei unterstütze ich sowohl bei der ISO 27001-Zertifizierung als auch bei der erfolgreichen TISAX-Teilnahme.
Im Automotive-Bereich sind neben der allgemeinen Informationssicherheit insbesondere der Prototypenschutz und der Datenschutz von zentraler Bedeutung. Der Schutz physischer und digitaler Prototypen – etwa von Fahrzeugmodellen, Komponenten oder Designstudien – ist essenziell, da ein unkontrollierter Informationsabfluss erhebliche wirtschaftliche Schäden und Reputationsverluste verursachen kann. Daher verlangt der TISAX-Standard in seiner Prüfziel-Erweiterung „Prototypenschutz“ spezifische Maßnahmen, wie z. B. Zugangskontrollen, gesicherte Transportwege, Geheimhaltungsvereinbarungen mit externen Partnern und erhöhte Sicherheitsanforderungen an Entwicklungs- und Testeinrichtungen. Parallel dazu gewinnt der Datenschutz mit der zunehmenden Digitalisierung von Fahrzeugen stetig an Bedeutung: Connected Cars erfassen und verarbeiten eine Vielzahl personenbezogener Daten, darunter Standortinformationen, Fahrverhalten, Sprachkommandos und Wartungsdaten. Diese Daten unterliegen der Datenschutz-Grundverordnung (DSGVO) und müssen durch geeignete technische und organisatorische Maßnahmen geschützt werden – z. B. durch Verschlüsselung, Zugriffsbeschränkungen und regelmäßige Datenschutzfolgeabschätzungen (DSFA). OEMs fordern daher von ihren Zulieferern sowohl eine TISAX-Zertifizierung als auch den Nachweis eines wirksamen Datenschutzmanagementsystems. Ein weiteres sicherheitsrelevantes Thema wie sichere Over-the-Air-Updates (OTA) ist ebenso relevant und runden das umfassende Sicherheitsprofil der Automobilbranche ab.
Find English below 🇬🇧:
Peter Suhling is a certified Lead Auditor ISO 27001 Automotive – TÜV SÜD
With my appointment as Lead Auditor Automotive according to ISO/IEC 27001, I have learned to assess and implement industry-specific requirements for information security in the automotive sector in a targeted manner. I am familiar with the particularities of TISAX and the VDA ISA catalog and understand the critical importance of protecting sensitive development data along the automotive supply chain. I assess risks not only in accordance with the standard but also in alignment with OEM-specific security requirements – for example, in the context of connected cars, over-the-air updates, or E/E architectures. I apply my knowledge specifically with suppliers, IT service providers, software developers, and engineering partners to build and further develop their ISMS in an audit-compliant manner. In doing so, I support both ISO 27001 certification and successful participation in TISAX.
In the automotive sector, prototype protection and data protection are particularly important alongside general information security. The protection of physical and digital prototypes – such as vehicle models, components, or design studies – is essential, as uncontrolled data leakage can cause significant financial damage and loss of reputation. Therefore, the TISAX standard requires specific measures in its „Prototype Protection“ assessment objective, such as access controls, secured transport routes, NDAs with external partners, and increased security requirements for development and testing facilities. At the same time, data protection is gaining importance due to the increasing digitization of vehicles: connected cars collect and process a wide range of personal data, including location data, driving behavior, voice commands, and maintenance information. These data are subject to the General Data Protection Regulation (GDPR) and must be protected by suitable technical and organizational measures – such as encryption, access restrictions, and regular data protection impact assessments (DPIA). OEMs therefore require both a TISAX certification and proof of an effective data protection management system from their suppliers. Another highly relevant security topic is secure over-the-air updates (OTA), which rounds off the comprehensive security profile of the automotive industry.
Encuentra el texto en español a continuación 🇪🇸:
Peter Suhling es Auditor Jefe certificado ISO 27001 Automotive – TÜV SÜD
Con mi nombramiento como Lead Auditor en el sector automotriz según ISO/IEC 27001, he aprendido a evaluar e implementar de manera específica los requisitos de seguridad de la información en esta industria. Conozco las particularidades de TISAX y del catálogo VDA ISA, y comprendo la importancia del resguardo de datos sensibles a lo largo de la cadena de suministro automotriz. Evalúo los riesgos no solo conforme a la norma, sino también en alineación con los requisitos de seguridad específicos de los fabricantes (OEM), por ejemplo, en el contexto de vehículos conectados, actualizaciones OTA o arquitecturas E/E. Aplico este conocimiento para ayudar a proveedores, desarrolladores de software, empresas de ingeniería y proveedores de servicios TI a construir y mejorar sus sistemas de gestión de seguridad de la información (ISMS) de forma conforme a auditoría. Esto incluye tanto la certificación ISO 27001 como la participación exitosa en TISAX.
En el ámbito automotriz, la protección de prototipos y la protección de datos son aspectos clave además de la seguridad general de la información. La protección de prototipos físicos y digitales – como modelos de vehículos, componentes o diseños – es esencial, ya que una fuga de información puede causar daños económicos y de reputación significativos. Por ello, el estándar TISAX exige medidas específicas en su objetivo de evaluación „Protección de prototipos“, como controles de acceso, rutas de transporte seguras, acuerdos de confidencialidad y medidas de seguridad elevadas en las instalaciones de desarrollo y prueba. Paralelamente, la protección de datos adquiere creciente importancia con la digitalización de los vehículos: los coches conectados recopilan y procesan numerosos datos personales, como información de ubicación, comportamiento de conducción, comandos de voz y datos de mantenimiento. Estos datos están sujetos al Reglamento General de Protección de Datos (RGPD) y deben protegerse con medidas técnicas y organizativas adecuadas, como cifrado, controles de acceso y evaluaciones de impacto de protección de datos (EIPD). Los fabricantes exigen por tanto a sus proveedores tanto la certificación TISAX como la implementación de un sistema eficaz de gestión de protección de datos. Otro tema clave en seguridad es la implementación de actualizaciones seguras OTA, que completa el perfil de seguridad integral de la industria automotriz.
Retrouvez la version française ci-dessous 🇫🇷:
Peter Suhling est Auditeur Principal certifié ISO 27001 Automotive – TÜV SÜD
Ma nomination en tant qu’Auditeur Principal dans le secteur automobile selon la norme ISO/IEC 27001 m’a permis d’apprendre à évaluer et à mettre en œuvre de manière ciblée les exigences spécifiques à la sécurité de l’information dans cette industrie. Je connais les spécificités de TISAX et du catalogue VDA ISA, et je comprends l’importance de la protection des données sensibles dans la chaîne d’approvisionnement automobile. J’évalue les risques non seulement conformément à la norme, mais aussi en tenant compte des exigences spécifiques des constructeurs (OEM) – par exemple dans le contexte des véhicules connectés, des mises à jour OTA ou des architectures E/E. J’applique mes compétences pour accompagner les sous-traitants, les prestataires informatiques, les développeurs de logiciels et les bureaux d’ingénierie dans la mise en place et l’amélioration de leur système de gestion de la sécurité de l’information (ISMS) conforme aux exigences d’audit. Cela inclut aussi bien la certification ISO 27001 que la réussite à l’évaluation TISAX.
Dans le secteur automobile, la protection des prototypes et la protection des données sont des éléments tout aussi essentiels que la sécurité de l’information en général. La protection des prototypes physiques et numériques – qu’il s’agisse de modèles de véhicules, de composants ou d’études de design – est cruciale, car toute fuite d’information peut entraîner des dommages économiques et une perte de réputation. C’est pourquoi TISAX exige, dans son extension d’objectif « Protection des prototypes », des mesures spécifiques telles que le contrôle d’accès, des transports sécurisés, des accords de confidentialité avec les partenaires externes et des exigences de sécurité accrues sur les sites de développement et de test. Parallèlement, la protection des données devient de plus en plus importante avec la digitalisation croissante des véhicules : les voitures connectées collectent et traitent de nombreuses données personnelles, telles que la géolocalisation, les habitudes de conduite, les commandes vocales ou les données de maintenance. Ces données sont soumises au Règlement général sur la protection des données (RGPD) et doivent être protégées par des mesures techniques et organisationnelles appropriées, comme le chiffrement, les restrictions d’accès et les analyses d’impact (AIPD). Les constructeurs exigent donc de leurs fournisseurs une certification TISAX et la preuve d’un système de gestion de la protection des données efficace. Un autre sujet de sécurité important est celui des mises à jour sécurisées OTA, qui complète le profil de sécurité global de l’industrie automobile.
#automotive #iso27001 #suhlingtooling