„TISAXStufe-1-Bewertung“ oder Trusted Information Security Assessment Exchange ist ein Sicherheitszertifizierungsverfahren, das alle deutschen Automobilunternehmen und ‐zulieferer anstreben. Der Verband der Automobilindustrie (VDA) hat die Zertifizierung entwickelt.“
Deutsche Zulieferer, die ihre TISAX-Zertifizierung aufrechterhalten wollen, müssen alle ihre kritischen Systeme vor Cyberangriffen schützen. Zulieferer setzen weiterhin auf Managed Detection and Response (MDR)-Lösungen von Anbietern wie Forenova, um die laufenden TISAX-Betriebsanforderungen zu erfüllen und ihre Sicherheitslage zu verbessern.
–TISAX ist ein umfassendes Zertifizierungsprogramm für Informationstechnologie (IT) und Cybersicherheit, das viele branchenspezifische Sicherheitsanforderungen enthält. Dazu gehört die kontinuierliche Überwachung aller kritischen Systeme, einschließlich der Anwendungen, die auf sensible Design- und Fertigungsprozesse in der Automobilindustrie zugreifen. Um die TISAX-Konformität zu erreichen, müssen Automobilzulieferer mehrere Schritte durchführen, um sicherzustellen, dass ihre verschiedenen Systeme geschützt bleiben, ihre Sicherheitsfunktionen funktionieren und ihre laufende Überwachung und Berichterstattung aktiv und genau bleiben.
Der Schritt zum Erreichen von TISAX beginnt damit, dass der Automobilzulieferer oder ‐hersteller versteht, warum er in diese Zertifizierung investiert und auf welchem Niveau. Anhand der VDA-Bewertungsdokumentation müssen die Unternehmen überlegen, welche Bewertungsstufe sie anstreben. Diese Entscheidung muss mit den Unternehmenszielen und den langfristigen Zielen in Einklang gebracht werden. Wenn das Ziel des Zulieferers darin besteht, ein Tier-1-Anbieter für BMW oder andere Branchenführer zu werden, muss er die höchste Stufe erreichen. Angenommen, das Geschäftsziel des Anbieters besteht eher darin, ein grundlegendes Engagement innerhalb einer Automobilzuliefererkette zu bieten. In diesem Fall könnte er seine anfänglichen Bemühungen auf die niedrigste Bewertungsstufe konzentrieren.
Die VDA-Dokumentation gliedert die TISAX-Bewertungen in drei Stufen:
Die Stufe 1 der TISAX-Bewertung verlangt von den Automobilherstellern die Durchführung einer Selbstbewertung gemäß VDA ISA 6.0. Der Abschluss der Selbstbewertung hilft dem Unternehmen, seine aktuellen Fähigkeiten zum Schutz der Cybersicherheit zu verstehen, welche Richtlinien derzeit zur Verfügung stehen und welche Überwachungs- und Reaktionsfunktionen es nutzt.
Für die Bewertung der Stufe 2 müssen Automobilunternehmen ebenfalls eine Selbstbewertung durchführen und einen externen Prüfer mit der Validierung ihrer Ergebnisse beauftragen. Der Abschluss einer Stufe-2-Bewertung erweitert die Möglichkeiten des Unternehmens, eine größere Menge sensibler Daten innerhalb der Lieferkette oder direkt von Branchenführern zu bewerten.
Die Bewertung der Stufe 3 erfordert eine umfassende Selbstbewertung, Penetrationstests durch Dritte, Schwachstellenbewertungen, die Validierung durch externe Dritte und Besuche vor Ort mit persönlichen Gesprächen. Das Erreichen der Stufe 3 erweitert die Fähigkeit des Lieferanten, auf die höchste Stufe sensibler Informationen innerhalb der Lieferkette oder direkt von Branchenführern zuzugreifen. Unternehmen, die eine TISAX-Zertifizierung der Stufe 3 anstreben, müssen damit rechnen, dass der Prozess bis zu drei Jahre dauert.
Nachdem das Unternehmen seine Arbeit an der ordnungsgemäßen Bewertung abgeschlossen hat, arbeitet es an der Durchführung einer Gap-Analyse auf der Grundlage der VDA-Dokumentation, die von entscheidender Bedeutung ist. Auf der Grundlage der Bewertungsergebnisse bietet der VDA ein Beispiel für eine Lückenanalyse, mit der die Unternehmen feststellen können, welche Probleme angegangen werden müssen, um die verschiedenen Stufen zu erreichen. Die Lückenanalyse hilft bei der Festlegung einer Prioritätenfolge, welche Probleme je nach der angestrebten Bewertungsstufe zuerst behoben werden müssen.
Die Selbst- oder Fremdbewertung kann Probleme aufdecken, die die Firma nicht zu lösen braucht. Wenn die Firma nur Stufe 1 anstrebt, kann sie die Behebung der Mängel aufschieben. Firmen, die Stufe 2 oder 3 anstreben, können in Erwägung ziehen, alle relevanten Probleme zu beheben. In der Lückenanalyse werden auf der Grundlage des VDA-Dokuments ein Element der Ausrichtung und eine Priorität festgelegt. Im Folgenden sind einige allgemeine Schritte aufgeführt, die Unternehmen im Rahmen ihres Implementierungsplans befolgen sollten: Gemäß dem aktuellen Änderungskontrollprozess des Unternehmens müssen alle Änderungen an den Produktionssystemen innerhalb des genehmigten Ausfallzeitraums abgeschlossen werden.
Sobald das Unternehmen den auf der Lückenanalyse basierenden Sanierungsplan abgeschlossen hat, besteht der nächste kritische Schritt in der Implementierung oder Aktualisierung des bestehenden Informationssicherheits-Managementsystems (ISMS), um die aufgrund der Lückenanalyse und des Sanierungsplans installierten Sanierungsmaßnahmen und zusätzlichen Sicherheitskontrollen zu berücksichtigen. Unternehmen der Automobilindustrie, die ihre Strategie zum Schutz der Cybersicherheit weiter ausbauen wollen, setzen weiterhin auf den ISO 27001-Rahmen.
Automobilunternehmen müssen sicherstellen, dass sie mehrere sicherheitsadaptive Kontroll- und Verteidigungsschichten erfolgreich eingesetzt haben, um die TISAX-Konformitätsbewertungsstufen zu erfüllen. Diese Schichten umfassen:
Um die Zertifizierungen der Stufen 2 und 3 zu erlangen, müssen Unternehmen der Automobilindustrie sicherstellen, dass sie ihre verschiedenen physischen und umgebungsbezogenen Systeme implementiert und validiert haben, die von internen und externen Bewertungsteams getestet wurden. Zu diesen Systemen gehören biometrische Systeme für den physischen Zugang, gesicherte Türen, Ausweislesegeräte für das Rechenzentrum und Fernzugriffsschlösser an verschiedenen Werksstandorten.
Neben der Einhaltung der TISAX-Compliance-Standards müssen deutsche Automobilunternehmen auch die Allgemeine Datenschutzverordnung (GDPR) zum Datenschutz einhalten. Alle Informationen, einschließlich personenbezogener Daten (PII), müssen geschützt werden. Automotive-Firmen, insbesondere solche, die Kundeninformationen sammeln, müssen diese Informationen unter GPDPschützen.
Automotive-Firms investing in security-awareness-training als a cybersecurity-defensive-strategy will sehen a Reduktion in successful Cyberattacks against their digital assets.
As automotive suppliers become certified in TISAX, the need to protect their digital assets becomes even more significant. TISAX ist critical für den Automotivautomotive, um zu erhöhen revenues und ecosystem-Alliances für future Growth. Successful Cybersecurity-Attacks will impede ihre Möglichkeit, to become an active Partner within the German Automotive-Supplier.
Security-awareness-training ist critical, um die Risiken against ihre unterschiedlichen Attack-Surfaces zu reduzieren.
Automobilunternehmen, die einen TISAX-zertifizierten Bewertungsauditor suchen, sollten die ENX-Website konsultieren, um eine Liste der AFNOR-zertifizierten Wirtschaftsprüfungsunternehmen zu erhalten. Hier ist eine kurze Liste einiger in der Europäischen Union (EU) ansässiger Wirtschaftsprüfungsunternehmen, die für die TISAX-Assessment-Zertifizierung zertifiziert sind.
Die Kosten für die TISAX-Zertifizierung setzen sich zusammen aus den Gebühren für den Auditor, den Kosten für die Kontrolldurchführung und den Beraterkosten.
Die Aufrechterhaltung eines sicheren Unternehmensnetzwerks ist ein wesentlicher Bestandteil der Reduzierung von TISAX-Erst- und Rezertifizierungsaudits. Automobilunternehmen wollen das Risiko eines Angriffs auf ihre wichtigsten digitalen Ressourcen verringern und investieren daher in eine Partnerschaft mit einem MDR-Unternehmen wie Forenova, um die Lieferkette der Automobilindustrie zu schützen.