FAQs zur IATF 16949

IATF 16949:2016 – Häufig gestellte Fragen (FAQs)

Die IATF 16949:2016, 1. Ausgabe wurde im Oktober 2016 veröffentlicht. Um offizielle Antworten auf Fragen von durch die IATF zugelassenen Zertifizierungsgesellschaften und weiteren Interessensgruppen geben zu können, wurden nachfolgende FAQs von der IATF überprüft.

Sofern nicht anders angegeben, sind die nachstehenden FAQs („häufig gestellte Fragen“) ab dem Zeitpunkt ihrer Veröffentlichung anwendbar.

Eine „häufig gestellte Frage“ ist eine Erläuterung/Klarstellung einer bestehenden Anforderung des IATF 16949-Standards.

Die FAQs 1 – 11 wurden im Oktober 2017 veröffentlicht.
Die FAQs 12 – 20 wurden im April 2018 veröffentlicht.
Die FAQs 21 – 22 wurden im Juni 2018 veröffentlicht.
Die FAQ 18 wurde im Oktober 2018 modifiziert und entsprechend veröffentlicht.
Die FAQ 10 und FAQ 18 wurden im November 2018 gestrichen.
Die FAQs 23 – 26 wurden im März 2019 veröffentlicht.
Die FAQs 27 – 29 wurden im Oktober 2019 veröffentlicht.
Die FAQ 7 wurde revidiert und im April 2021 veröffentlicht.
Die FAQ 29 wurde revidiert und im Mai 2022 veröffentlicht.

Nummer	Regelverweis	Frage und Antwort
29	6.1.2.3 Notfallpläne	FRAGE: Was ist im Zusammenhang mit der Wirksamkeitsprüfung von Notfallplänen unter dem Begriff „Cyberangriff“ zu verstehen? ANTWORT: Ein Cyberangriff ist der Versuch, illegalen Zugriff auf Computer oder Computersysteme zu erlangen, um diese zu beschädigen oder sonstigen Schaden zu verursachen. Ein Cyberangriff ist oft eine gezielte Ausnutzung von Sicherheitslücken in Computersystemen oder Netzwerken, um auf Daten zuzugreifen, den Computercode, die Logik oder Daten zu verändern. Diese Aktionen können Störungen im Betriebsablauf verursachen, vertrauliche Daten gefährden und zu Cyberkriminalität führen – z. B. in Form von Informations- und Identitätsdiebstahl, in Form von Betriebsunterbrechungen, die durch Angriff auf die automatische Steuerung verursacht wurden, indem kritische Unternehmensdaten verschlüsselt werden oder eine illegale Fernmanipulation von Systemen oder Daten erfolgt. Cyberangriffe und Cyber-Verbrechen werden nicht nur von außerhalb des Unternehmens agierenden Personen unternommen, welche mithilfe leistungsfähiger Computerprogramme und trickreichem Vorgehen versuchen, Passwörter herauszufinden. Häufig handelt es sich vielmehr um Aktionen, mit denen einzelne Personen dazu verleitet werden sollen, vertrauliche oder private Informationen preiszugeben. Dies kann durch entsprechende Aufforderungen per E-Mail erfolgen (in der Regel Phishing), durch Vorwände (als vertrauenswürdige Person oder Regierungsbeamter), durch Telefonanrufe wegen vermeintlicher Notfälle, um so an persönliche Daten zu gelangen, durch das Mitlesen von eingegebenen Passwörtern, durch das Infizieren beliebter Websites mit Malware, durch SMS mit Links zu Websites, bei deren Aufruf Malware installiert wird, durch USB-Sticks, die auf Schreibtischen liegengelassen werden, vertrauenswürdig erscheinen und arglos an PCs angeschlossen werden oder durch Diebstahl von weggeworfenen Speichermedien mit vertraulichen Informationen usw.. Darüber hinaus kann ein Cyber-Verbrecher, nachdem er Zugriff auf das System eines Unternehmens erhalten hat, die kritischen Unternehmensdaten verschlüsseln und ein Lösegeld fordern, um die Daten wieder zu entschlüsseln. Darüber hinaus ist in Europa durch die DSGVO (Allgemeine Datenschutzverordnung) oder ähnliche Anforderungen in anderen Ländern vorgeschrieben, dass Organisationen dafür verantwortlich sind, dass die von der Organisation gespeicherten personenbezogenen Daten jederzeit geschützt und sicher aufbewahrt werden. Ziel ist es, das Bewusstsein für die Bedeutung einer guten Vorbereitung auf Cyberangriffe zu stärken. Weitere Einzelheiten zu Sicherheitstechniken der Informationstechnologie sind in der DIN EN ISO/IEC 27001 zu finden. FRAGE: Was sind die wichtigsten Schritte zur Entwicklung effektiver Notfallpläne? ANTWORT: Die Organisation muss nachweisen, dass sie wirksame Notfallpläne entwickelt und umgesetzt hat, um die Produktionsleistung aufrechtzuerhalten und sicherzustellen, dass die Kundenanforderungen erfüllt werden. Zu den wichtigsten Schritten zur Entwicklung eines effektiven Notfallplans gehören: • Analyse der interne und externen Risiken aller Produktionsprozesse und Infrastrukturen, die für die Aufrechterhaltung der Kontinuität der Produktlieferung gemäß den Vorgaben des Kunden (siehe IATF 16949, Abschnitt 6.1.2.3 a) und c), einschließlich SI 3) notwendig sind. HINWEIS: Die Risikoanalyse umfasst in der Regel eine Bewertung der Wahrscheinlichkeit und potenziellen Auswirkungen des Ausfalls der wesentlichen Produktionsprozesse und Infrastrukturen • Entwicklung von Notfallplänen für den Fall des Ausfalls von Produktionsprozessen und Infrastrukturen und die Bewertung deren Wahrscheinlichkeit, die Kundenanforderungen weiterhin zu erfüllen zu können, einschließlich aller erforderlichen Benachrichtigungen an interessierte Parteien • Spezifische Notfallplanalternativmaßnahmen zur Gewährleistung der Versorgungskontinuität, die beispielsweise bei einer Unterbrechung der Stromversorgung, folgendes umfassen könnten: Ersatzinfrastruktur oder vertraglich vereinbarte Dienstleistungen, Sicherheitsbestände, Hilfsquellen, etc. • Nachweise der Überprüfung sowie der regelmäßigen Prüfung und Validierung der Maßnahmen des Notfallplans auf Wirksamkeit, einschließlich der Sensibilisierung der Mitarbeiter • Einhaltung von Kundenanforderungen und kundenspezifischen Anforderungen

Nummer

Regelverweis

Frage und Antwort

6.1.2.3 Notfallpläne

FRAGE:
Was ist im Zusammenhang mit der Wirksamkeitsprüfung von Notfallplänen unter dem Begriff „Cyberangriff“ zu verstehen?

ANTWORT:
Ein Cyberangriff ist der Versuch, illegalen Zugriff auf Computer oder Computersysteme zu erlangen, um diese zu beschädigen oder sonstigen Schaden zu verursachen. Ein Cyberangriff ist oft eine gezielte Ausnutzung von Sicherheitslücken in Computersystemen oder Netzwerken, um auf Daten zuzugreifen, den Computercode, die Logik oder Daten zu verändern. Diese Aktionen können Störungen im Betriebsablauf verursachen, vertrauliche Daten gefährden und zu Cyberkriminalität führen – z. B. in Form von Informations- und Identitätsdiebstahl, in Form von Betriebsunterbrechungen, die durch Angriff auf die automatische Steuerung verursacht wurden, indem kritische Unternehmensdaten verschlüsselt werden oder eine illegale Fernmanipulation von Systemen oder Daten erfolgt.
Cyberangriffe und Cyber-Verbrechen werden nicht nur von außerhalb des Unternehmens agierenden Personen unternommen, welche mithilfe leistungsfähiger Computerprogramme und trickreichem Vorgehen versuchen, Passwörter herauszufinden. Häufig handelt es sich vielmehr um Aktionen, mit denen einzelne Personen dazu verleitet werden sollen, vertrauliche oder private Informationen preiszugeben. Dies kann durch entsprechende Aufforderungen per E-Mail erfolgen (in der Regel Phishing), durch Vorwände (als vertrauenswürdige Person oder Regierungsbeamter), durch Telefonanrufe wegen vermeintlicher Notfälle, um so an persönliche Daten zu gelangen, durch das Mitlesen von eingegebenen Passwörtern, durch das Infizieren beliebter Websites mit Malware, durch SMS mit Links zu Websites, bei deren Aufruf Malware installiert wird, durch USB-Sticks, die auf Schreibtischen liegengelassen werden, vertrauenswürdig erscheinen und arglos an PCs angeschlossen werden oder durch Diebstahl von weggeworfenen Speichermedien mit vertraulichen Informationen usw.. Darüber hinaus kann ein Cyber-Verbrecher, nachdem er Zugriff auf das System eines Unternehmens erhalten hat, die kritischen Unternehmensdaten verschlüsseln und ein Lösegeld fordern, um die Daten wieder zu entschlüsseln.
Darüber hinaus ist in Europa durch die DSGVO (Allgemeine Datenschutzverordnung) oder ähnliche Anforderungen in anderen Ländern vorgeschrieben, dass Organisationen dafür verantwortlich sind, dass die von der Organisation gespeicherten personenbezogenen Daten jederzeit geschützt und sicher aufbewahrt werden. Ziel ist es, das Bewusstsein für die Bedeutung einer guten Vorbereitung auf Cyberangriffe zu stärken.
Weitere Einzelheiten zu Sicherheitstechniken der Informationstechnologie sind in der DIN EN ISO/IEC 27001 zu finden.

FRAGE:
Was sind die wichtigsten Schritte zur Entwicklung effektiver Notfallpläne?

ANTWORT:
Die Organisation muss nachweisen, dass sie wirksame Notfallpläne entwickelt und umgesetzt hat, um die Produktionsleistung aufrechtzuerhalten und sicherzustellen, dass die Kundenanforderungen erfüllt werden. Zu den wichtigsten Schritten zur Entwicklung eines effektiven Notfallplans gehören:
• Analyse der interne und externen Risiken aller Produktionsprozesse und Infrastrukturen, die für die Aufrechterhaltung der Kontinuität der Produktlieferung gemäß den Vorgaben des Kunden (siehe IATF 16949, Abschnitt 6.1.2.3 a) und c), einschließlich SI 3) notwendig sind.
HINWEIS: Die Risikoanalyse umfasst in der Regel eine Bewertung der Wahrscheinlichkeit und potenziellen Auswirkungen des Ausfalls der wesentlichen Produktionsprozesse und Infrastrukturen
• Entwicklung von Notfallplänen für den Fall des Ausfalls von Produktionsprozessen und Infrastrukturen und die Bewertung deren Wahrscheinlichkeit, die Kundenanforderungen weiterhin zu erfüllen zu können, einschließlich aller erforderlichen Benachrichtigungen an interessierte Parteien
• Spezifische Notfallplanalternativmaßnahmen zur Gewährleistung der Versorgungskontinuität, die beispielsweise bei einer Unterbrechung der Stromversorgung, folgendes umfassen könnten:
Ersatzinfrastruktur oder vertraglich vereinbarte Dienstleistungen, Sicherheitsbestände, Hilfsquellen, etc.
• Nachweise der Überprüfung sowie der regelmäßigen Prüfung und Validierung der Maßnahmen des Notfallplans auf Wirksamkeit, einschließlich der Sensibilisierung der Mitarbeiter
• Einhaltung von Kundenanforderungen und kundenspezifischen Anforderungen