Alles, was Sie über TISAX wissen müssen

Die Entwicklung von intelligenten und vernetzten Autos in den letzten zehn Jahren hat zu einem starken Anstieg von Cyberangriffen auf Automobile geführt. Laut dem 2020 Automotive Cybersecurity Report von Upstream Security ist die Anzahl der jährlichen Cybersecurity-Vorfälle im Automobilbereich seit 2016 um schwindelerregende 605 % gestiegen. Mehr als die Hälfte dieser Vorfälle wurde von Cyberkriminellen durchgeführt, die aus der Ferne agierten, um Unternehmen zu stören, Eigentum zu stehlen und Lösegeld zu fordern. Beliebte Angriffsvektoren waren schlüssellose Zugangssysteme, Backend-Server und mobile Apps.

Es ist daher nicht verwunderlich, dass die Automobilindustrie Maßnahmen ergreift, um sowohl ihre Fahrzeuge als auch vertrauliche Informationen vor solchen Vorfällen in Zukunft zu schützen. In Deutschland hat der Verband der Automobilindustrie (VDA) 2017 die Trusted Information Security Assessment Exchange (TISAX) gegründet, um als Bewertungs- und Austauschplattform zu fungieren, über den sich Organisationen Audits in Übereinstimmung mit dem VDA Information Security Assessment (ISA) unterziehen können. Das VDA ISA basiert weitgehend auf den bestehenden internationalen Standards ISO/IEC 27001 und 27002.

TISAX wird von der ENX Association geleitet, einer Organisation, die aus Automobilherstellern, Zulieferern und vier nationalen Automobilverbänden besteht, und soll ein einheitliches Niveau der Informationssicherheit gewährleisten und Standardisierung, Qualitätssicherung und gegenseitige Anerkennung von Audits zur Einhaltung von VDA ISA bringen.

Für wen gilt TISAX?

Jedes Unternehmen, das Teil der deutschen Automobilzulieferkette ist, muss ein definiertes Niveau des Informationssicherheitsmanagements gemäß den Anforderungen der VDA ISA nachweisen. TISAX gilt branchenweit für Automobilhersteller und Erstausrüster (OEMs), aber auch für Partner und Zulieferer, unabhängig davon, ob diese in Deutschland ansässig sind oder nicht.

Ein dreistufiger Prozess

Die Notwendigkeit eines TISAX-Assessment-Berichts wird durch eine Anfrage eines Partners zum Nachweis der VDA ISA-Konformität ausgelöst. Um ein Assessment zu erhalten, müssen die Unternehmen drei Schritte durchlaufen:

  • Registrierung: Dieser erste Schritt ist gebührenpflichtig und ermöglicht es ENX, Informationen über das Unternehmen zu sammeln und festzulegen, was Teil des Assessments sein soll.
  • Bewertung: Das Unternehmen unterzieht sich einer Bewertung durch einen der von ENX autorisierten TISAX-Auditanbieter. Das Audit basiert auf einem Assessment-Umfang, der den Anforderungen des Partners entspricht, der das Unternehmen zum Nachweis der VDA ISA-Konformität aufgefordert hat. Sollte ein Unternehmen das Assessment nicht bestehen, kann der TISAX-Prozess weitere Schritte erfordern.
  • Austausch: Schließlich kann das Unternehmen das Ergebnis des Assessments mit dem Partner teilen, der den Nachweis der VDA ISA-Konformität gefordert hat.
Umfang von TISAX-Assessments

Es gibt zwei Arten von Anforderungen für TISAX-Assessments: Standard und benutzerdefiniert. Der benutzerdefinierte Umfang ermöglicht es Unternehmen, einen engeren oder erweiterten Beurteilungsumfang zu wählen. Viele Unternehmen, die die Einhaltung der VDA ISA-Richtlinien fordern, akzeptieren jedoch nur die Ergebnisse von Informationssicherheits-Assessments, die auf dem Standardumfang basieren. Aus diesem Grund empfiehlt ENX allen TISAX-Teilnehmern, sich für den Standardumfang zu entscheiden.

Der Standardumfang umfasst alle Prozesse und Ressourcen an Unternehmensstandorten, die den Sicherheitsanforderungen von Partnern aus der Automobilindustrie unterliegen. Zu den Prozessen gehören die Erfassung, Speicherung und Verarbeitung von Informationen. Standorte können sich je nach Größe eines Unternehmens auf Büroräume, Entwicklungs- und Produktionsstätten sowie Rechenzentren beziehen. Ressourcen hingegen können Arbeitsmittel, Mitarbeiter, Auftragnehmer und IT-Infrastruktur bezeichnen.

TISAX-Bewertungsziele

Derzeit gibt es acht TISAX-Bewertungsziele:

  1. Informationen mit hohem Schutzbedarf
  2. Informationen mit sehr hohem Schutzbedarf
  3. Schutz von Prototypenteilen und -komponenten
  4. Schutz von Prototypenfahrzeugen
  5. Handhabung von Testfahrzeugen
  6. Schutz von Prototypen bei Veranstaltungen, Filmaufnahmen oder Fotoshootings
  7. Datenschutz nach Artikel 28 der EU-Datenschutzgrundverordnung (GDPR) in Bezug auf Datenverarbeiter
  8. Datenschutz bei besonderen Kategorien personenbezogener Daten, gemäß Artikel 28 der GDPR, der sich auf Datenverarbeiter bezieht, und Artikel 9, der besondere Kategorien personenbezogener Daten regelt

Unternehmen müssen mindestens ein Bewertungsziel auswählen, das als Maßstab für das Informationssicherheitsmanagementsystem einer Organisation gilt. Alle TISAX-Auditanbieter stützen ihre Bewertungsstrategie hauptsächlich auf das Bewertungsziel. Jedes Assessment-Ziel lässt sich auf einen Kriterienkatalog der VDA ISA abbilden.

Bei einigen Zielen müssen Unternehmen automatisch auch ein anderes Ziel erfüllen. Zum Beispiel erfordert das Ziel „Schutz von Prototypenteilen und Komponenten“, dass Unternehmen auch das Ziel „Informationen mit hohem Schutzbedarf“ erreichen.

Jedes Bewertungsziel entspricht einem TISAX-Label, das ein Partner von einem Unternehmen verlangen kann. Organisationen müssen das Ziel auswählen, das dem gewünschten Label entspricht, und wenn sie die TISAX-Bewertung erfolgreich bestanden haben, erhalten sie das Label dafür.

Selbsteinschätzung auf Basis von VDA ISA

ENX empfiehlt Unternehmen, vor Beginn eines TISAX-Assessments eine VDA ISA-Selbstbewertung ihres Informationssicherheits-Managementsystems durchzuführen, um sicherzustellen, dass es dem erwarteten Reifegrad entspricht, der für TISAX erforderlich ist.

VDA ISA basiert auf sechs Stufen der Implementierungsreife: Unvollständig, Durchgeführt, Verwaltet, Etabliert, Vorhersehbar und Optimierend. Der Ziel-Reifegrad für alle Kontrollfragen ist Level 3 (Etabliert).

VDA ISA hat drei Kriterienkataloge: Informationssicherheit, Prototypenschutz und Datenschutz, die jeweils aus einem Satz von Fragen bestehen. Das Ziel jeder Frage ist detailliert beschrieben, zusammen mit den obligatorischen und optionalen Anforderungen, die zum Erreichen des Ziels erforderlich sind.

Die Kriterien für die Informationssicherheit bestehen aus 41 Fragen, die sich mit dem Datenschutz in einem allgemeineren Sinne befassen und den Schutz vertraulicher Informationen vor Leaks, Diebstahl und menschlichem Versagen beinhalten.

Die Kriterien zum Schutz von Prototypen, die aus 22 Fragen bestehen, beziehen sich auf die physische und umgebungsbedingte Sicherheit von Prototypen, deren Transport und Anforderungen für Film- und Fotoaufnahmen. Die Datenschutzkriterien umfassen mittlerweile nur noch 4 Fragen, die sich speziell auf die Einhaltung der DSGVO, den Schutz personenbezogener Daten (PII) und besondere Kategorien sensibler Daten gemäß der Definition der DSGVO beziehen.

guest
0 Comments
Inline Feedbacks
View all comments