TISAX (Trusted Information Security Assessment Exchange) ist ein Zertifizierungsrahmen, der speziell für die Automobilindustrie entwickelt wurde. Er wurde vom Verband der Automobilindustrie (VDA) entwickelt, um sicherzustellen, dass Unternehmen in der Automobilzulieferkette hohe Standards der Informationssicherheit erfüllen.

TISAX verlangt von den Unternehmen, dass sie in jeder der sieben obligatorischen Kategorien mindestens den Reifegrad 3 erreichen.

Reifegrad 3 bedeutet, dass ein Standardprozess konsequent verfolgt und in das Gesamtsystem integriert wird. Die Beziehungen zu anderen Prozessen sind dokumentiert, und es wurden geeignete Schnittstellen geschaffen. Es gibt klare Belege dafür, dass dieser Prozess über einen langen Zeitraum hinweg zuverlässig und aktiv genutzt wurde.

Jede Kategorie hat ihre eigenen spezifischen Anforderungen, wobei Cybersecurity die Kontrollnummern von 5.1 bis 5.3.4 abdeckt.

Hier erfahren Sie mehr über die Anforderungen der einzelnen TISAX-Konformitätskategorien.

Mit NovaMDR erhalten Sie eine fortschrittliche Bedrohungserkennung, kontinuierliche Überwachung und Reaktion auf Vorfälle, die einen robusten Sicherheitsrahmen bilden, der Ihre sensiblen Daten und Systeme vor sich entwickelnden Cyber-Bedrohungen schützt.  

NovaMDR hilft kleinen und mittleren Unternehmen der Automobilindustrie in Deutschland, den Prozess der TISAX-Konformität für Cybersicherheit effizient zu vereinfachen, ohne die Bank zu sprengen, indem es eine maßgeschneiderte und verwaltete Lösung auf der Grundlage Ihrer individuellen Anforderungen bereitstellt.

Erfahren Sie mehr über TISAX-Compliance.

Die Richtlinie zur Netz- und Informationssicherheit (NIS2) ist ein von der Europäischen Union geschaffener Rechtsrahmen zur Verbesserung der Cybersicherheit in den Mitgliedsstaaten. Sie zielt darauf ab, die Widerstandsfähigkeit und die Reaktionsfähigkeit von kritischen Infrastrukturen zu verbessern.

Berichterstattung über Zwischenfälle: Obligatorische Meldung bedeutender Vorfälle an die zuständigen Behörden innerhalb bestimmter Fristen.

Risikomanagement: Umsetzung von Maßnahmen zum Risikomanagement, einschließlich Sicherheitsrichtlinien und -verfahren.

Sicherheit der Lieferkette: Gewährleistung der Cybersicherheit in der gesamten Lieferkette.

Zusammenarbeit und Informationsaustausch: Zusammenarbeit und Informationsaustausch zwischen den Mitgliedsstaaten und relevanten Einrichtungen.

Kontinuierliche Überwachung: Laufende Überwachung von Netzwerken und Informationssystemen, um Bedrohungen zu erkennen und zu entschärfen.

ForeNova bietet umfassende Unterstützung, um Unternehmen bei der Einhaltung von NIS2 zu helfen:

Vorfallberichterstattung: Benachrichtigung innerhalb von 30 Minuten über bedeutende Vorfälle mit regelmäßigen Aktualisierungen und Abschlussberichten, wie von den Behörden gefordert.

Risikomanagement: Unterstützung bei der Umsetzung robuster Risikomanagementmaßnahmen, einschließlich Sicherheitsrichtlinien und -verfahren.

Sicherheit in der Lieferkette: Sicherstellung von Cybersicherheitsmaßnahmen in der gesamten Lieferkette.

Zusammenarbeit und Informationsaustausch: Erleichterung der Zusammenarbeit und des Informationsaustauschs mit relevanten Stellen.

Kontinuierliche Überwachung: Rund-um-die-Uhr-Überwachung von Netzwerken und Informationssystemen, um Bedrohungen zu erkennen und darauf zu reagieren.

Erfahren Sie mehr in unserem Leitfaden zur NIS2-Konformität

Der Basler Ausschuss für Bankenaufsicht (BCBS) legt internationale Standards für die Bankenregulierung fest und konzentriert sich dabei auf Risikomanagement und Transparenz. Basel III zielt darauf ab, die Fähigkeit des Bankensektors zur Bewältigung finanzieller Belastungen durch verbesserte Regulierung, Aufsicht und Risikomanagement zu stärken.

Risikodatenaggregation: Sammeln und Verarbeiten von Daten aus verschiedenen Quellen, um einen umfassenden Überblick über die Risikoexposition zu erhalten.

Risikoberichterstattung: Erstellung zeitnaher und präziser Risikoberichte für die Beteiligten.

Datengenauigkeit und -integrität: Gewährleistung, dass die für das Risikomanagement verwendeten Daten genau und zuverlässig sind.

IT-Infrastruktur: Aufrechterhaltung einer belastbaren und skalierbaren IT-Infrastruktur.

Stresstests: Führen Sie regelmäßig Stresstests durch, um die Widerstandsfähigkeit gegenüber widrigen Umständen zu bewerten.

ForeNova bietet maßgeschneiderte Lösungen, um Finanzinstitute bei der Einhaltung von Basel III zu unterstützen:

24/7 Monitoring: Kontinuierliche Überwachung zur Erkennung von und Reaktion auf Sicherheitsvorfälle in Echtzeit.

Aggregation von Risikodaten: Unterstützung für genaue und zuverlässige Datenaggregations- und Validierungsprozesse.

Risikoberichterstattung: Unterstützung bei der Erstellung umfassender und zeitnaher Risikoberichte.

Resiliente IT-Infrastruktur: Aufbau und Pflege einer skalierbaren IT-Infrastruktur zur Unterstützung des Risikomanagements.

Stresstests: Tools und Fachwissen für die Durchführung von Stresstests.

Mit dem NovaMDR-Service von ForeNova können Finanzinstitute durch ein robustes Risikomanagement, eine kontinuierliche Überwachung und eine effektive Reaktion auf Vorfälle auf die Einhaltung von Basel III hinarbeiten.

Das CERT Resilience Management Model (CERT-RMM) ist ein Rahmenwerk, das Sicherheit, Geschäftskontinuität und IT-Operationen integriert, um die Widerstandsfähigkeit und das Risikomanagement von Organisationen zu verbessern.

Vermögensinventarisierung: Identifizieren und Dokumentieren von Vermögenswerten.

Eigentumszuweisung: Festlegen der Eigentumsverhältnisse und der Verwahrung von Vermögenswerten.

Serviceverknüpfung: Verknüpfen Sie Vermögenswerte mit den Dienstleistungen, die sie unterstützen.

Resilienzanforderungen: Definieren Sie Anforderungen für den Schutz und die Aufrechterhaltung von Anlagen und Dienstleistungen.

Änderungsmanagement: Implementieren Sie Prozesse für die Verwaltung von Anlagenänderungen.

ForeNova unterstützt Organisationen bei der Erfüllung der CERT-RMM-Anforderungen durch:

Asset Identification: Hilfe bei der Inventarisierung und Dokumentation von Assets.

Ownership Assignment: Unterstützung bei der Festlegung der Eigentumsverhältnisse und der Verwahrung von Assets.

Service Linkage: Verknüpfung von Vermögenswerten mit ihren jeweiligen Dienstleistungen.

Resilienzplanung: Definition und Implementierung von Ausfallsicherheitsanforderungen.

Change Management: Unterstützung von Change Management Prozessen für Assets.

Das Center for Internet Security (CIS) Critical Security Controls bietet eine Reihe von Best Practices zur Verbesserung der Cybersicherheit. Diese Kontrollen sind weit verbreitet und ergänzen andere Sicherheitsrahmenwerke.

Inventarisierung und Kontrolle von Unternehmensressourcen

Aktive Verwaltung (Inventarisierung, Nachverfolgung und Korrektur) aller Hardware-Geräte im Netzwerk, so dass nur autorisierte Geräte Zugang erhalten.

Inventarisierung und Kontrolle von Software-Ressourcen

Aktive Verwaltung (Inventarisierung, Nachverfolgung und Korrektur) aller Software im Netzwerk, so dass nur autorisierte Software installiert ist und ausgeführt werden kann.

Datenschutz

Schützen Sie Unternehmensdaten durch Maßnahmen wie Verschlüsselung, Schutz vor Datenverlust und Zugriffskontrolle.

Sichere Konfiguration von Unternehmensressourcen und Software

Erstellen und pflegen Sie sichere Konfigurationen für Hardware und Software auf mobilen Geräten, Laptops, Workstations und Servern.
Kontoverwaltung

Verwendung von Prozessen und Tools zur Zuweisung und Verwaltung von Berechtigungsnachweisen für Benutzerkonten und Geräte.

Zugangskontrollmanagement

Verwaltung des Lebenszyklus von Zugangsberechtigungen und Umsetzung des Prinzips der geringsten Privilegien.

Kontinuierliches Schwachstellenmanagement

Kontinuierliche Beschaffung und Bewertung von Informationen über neue Softwareschwachstellen und Ergreifen von entsprechenden Maßnahmen.

Audit-Log-Management

Sammeln, Verwalten und Analysieren von Audit-Protokollen, um Sicherheitsvorfälle zu erkennen und zu verstehen.

E-Mail- und Webbrowser-Schutz

Verbesserung des E-Mail- und Webbrowser-Schutzes durch Maßnahmen wie Filterung und Isolierung.

Malware-Abwehr

Kontrolle der Installation, Verbreitung und Ausführung von bösartigem Code durch Anti-Malware-Tools und andere Techniken.

Datenwiederherstellung

Einführung von Maßnahmen zur Gewährleistung der Integrität und Verfügbarkeit von Daten, einschließlich regelmäßiger Backups und Wiederherstellungsverfahren.
Verwaltung der Netzwerkinfrastruktur

Sicherung von Netzwerkinfrastrukturgeräten wie Routern, Switches und Firewalls durch sichere Konfigurationen und Verwaltungspraktiken.

Überwachung und Abwehr von Netzwerken

Betrieb und Verwaltung eines umfassenden Überwachungs- und Abwehrsystems zur Erkennung von und Reaktion auf netzwerkbasierte Bedrohungen.

Schulung des Sicherheitsbewusstseins und der Fähigkeiten

Entwicklung und Umsetzung eines Programms zur Sensibilisierung und Schulung aller Mitarbeiter in Sachen Sicherheit.

Verwaltung von Dienstanbietern

Implementierung von Sicherheitsmaßnahmen zur Verwaltung des mit Dienstanbietern verbundenen Risikos.

Sicherheit von Anwendungssoftware

Verwaltung des Sicherheitslebenszyklus aller intern entwickelten und erworbenen Software zur Verhinderung, Erkennung und Behebung von Sicherheitslücken.

Incident Response Management

Entwicklung und Umsetzung eines Incident Response Plans, um Sicherheitsvorfälle zu erkennen, einzudämmen und zu beheben.

Penetration Testing

Regelmäßige Überprüfung der Wirksamkeit von Sicherheitskontrollen durch Penetrationstests und Red Team Übungen.

ForeNova hilft Unternehmen bei der Implementierung von CIS-Kontrollen durch:

Kontinuierliche Überwachung: Rund um die Uhr Scannen nach Bedrohungen und Schwachstellen.

Schwachstellenmanagement: Priorisierung und Behebung kritischer Schwachstellen.

Zugangskontrolle: Verhinderung von unnötigem Zugriff auf kritische Systeme.

Konfigurationsmanagement: Gewährleistung sicherer Konfigurationseinstellungen.

ForeNova's NovaMDR Service unterstützt Unternehmen dabei, robuste Cybersicherheitspraktiken zu erreichen, die mit den CIS-Kontrollen übereinstimmen, und so ihre allgemeine Sicherheitslage zu verbessern.

Die Allgemeine Datenschutzverordnung (GDPR) regelt den Datenschutz und den Schutz der Privatsphäre für Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten. Sie sieht strenge Anforderungen und Strafen für die Nichteinhaltung vor.

Datenschutzbüror: Ernennen Sie einen Datenschutzbeauftragten.

Privacy by Design: Setzen Sie einen datenschutzfreundlichen Ansatz um.

Datensicherheit: Stellen Sie sicher, dass Datensicherheitsmaßnahmen vorhanden sind.

Benachrichtigung bei Datenschutzverletzungen: Informieren Sie die Aufsichtsbehörden innerhalb von 72 Stunden über Datenschutzverletzungen.

Verbraucherrechte: Gewähren Sie den Verbrauchern das Recht, auf ihre Daten zuzugreifen, sie einzuschränken und zu kontrollieren.

ForeNova hilft bei der Einhaltung der GDPR durch:

Datensicherheit: Bereitstellung von Sicherheit durch Schwachstellenmanagement und Reaktion.

Beratung und Schulung: Beratung zu Datensicherheitsmaßnahmen und Nutzerschulungen.

Benachrichtigung bei Sicherheitsverletzungen: Erleichterung der schnellen Erkennung und Benachrichtigung bei Datenschutzverletzungen.

Die Dienstleistungen von ForeNova helfen Unternehmen, personenbezogene Daten zu schützen und die GDPR-Anforderungen zu erfüllen.

ISO 27002 ist eine internationale Norm, die Richtlinien für das Informationssicherheitsmanagement enthält. Sie unterstützt die Implementierung von Informationssicherheitskontrollen innerhalb eines ISMS auf der Grundlage von ISO/IEC 27001.

1. Sicherheitsrichtlinien: Legen Sie Richtlinien für die Informationssicherheit fest.
2. Organisation der Sicherheit: Definieren Sie die Organisation der Informationssicherheit.
3. Sicherheit der Humanressourcen: Implementierung von Sicherheitsmaßnahmen für die Personalabteilung.
4. Vermögensverwaltung: Verwalten und kontrollieren Sie Vermögenswerte.
5. Zugangskontrolle: Einrichtung von Zugangskontrollmechanismen.
6. Kryptographie: Verwenden Sie kryptografische Kontrollen.
7. Physikalische Sicherheit: Gewährleistung der physischen und ökologischen Sicherheit.
8. Betriebliche Sicherheit: Implementierung betrieblicher Sicherheitsmaßnahmen.
9. Kommunikationssicherheit: Sichere Kommunikation.
10. Systementwicklung: Sichere Systembeschaffung und -entwicklung.
11. Lieferantenbeziehungen: Verwalten Sie die Sicherheit der Lieferanten.
12. Vorfallmanagement: Umgang mit Vorfällen im Bereich der Informationssicherheit.
13. Geschäftskontinuität: Behandlung der Informationssicherheitsaspekte der Geschäftskontinuität.
14. Compliance: Gewährleistung der Einhaltung von Sicherheitsanforderungen.

ForeNova unterstützt die Einhaltung von ISO 27002 durch:

Beweise und Artefakte: Bereitstellung von Nachweisen für Asset Management, Zugriffskontrolle und Systemwartung.

Unterstützung bei Vorfällen: Unterstützung bei Informationssicherheitsvorfällen.

ForeNova's NovaMDR Service hilft Unternehmen bei der Implementierung und Aufrechterhaltung effektiver Sicherheitskontrollen.

Die KRITIS-Vorschriften in Deutschland gelten für Betreiber kritischer Infrastrukturen, die für gesellschaftliche Funktionen unverzichtbar sind. Das BSI-Gesetz und das IT-Sicherheitsgesetz 2.0 definieren diese Anforderungen.

1. Registrierung: Registrieren Sie sich beim BSI als Betreiber kritischer Infrastrukturen.
2. Kontaktstelle: Legen Sie eine Kontaktstelle für das BSI fest.
3. Erkennung und Meldung von Zwischenfällen: Erkennen und melden Sie kritische Sicherheitsvorfälle sofort.
4. IT-Sicherheitsmaßnahmen: Implementierung von IT-Sicherheitsmaßnahmen nach dem neuesten Stand der Technik.
5. Sicherheitsprüfungen: Führen Sie alle zwei Jahre IT-Sicherheitsprüfungen durch.

ForeNova unterstützt KRITIS-Betreiber durch:

Vorfallerkennung und -reaktion: Rund-um-die-Uhr-Überwachung und Reaktion auf Vorfälle.
Anleitung: Fachkundige Anleitung zur Verbesserung der Sicherheitsmaßnahmen.
Audit-Support: Bereitstellung von Nachweisen und Berichten für Audits.

Die Dienstleistungen von ForeNova helfen Betreibern kritischer Infrastrukturen, die KRITIS-Anforderungen zu erfüllen und ihre Sicherheitslage zu verbessern.

Der Payment Card Industry Data Security Standard (PCI-DSS) ist eine Reihe von Sicherheitsstandards, die dem Schutz von Karteninhaberdaten dienen. Er wird vom PCI Security Standards Council festgelegt.

1. Firewall-Konfigurationen: Installation und Wartung von Firewalls.
2. Sichere Standardwerte: Vermeiden Sie die Verwendung von Standardwerten für Kennwörter, die vom Hersteller vorgegeben werden.
3. Datenschutz: Schützen Sie gespeicherte Karteninhaberdaten.
4. Datenverschlüsselung: Verschlüsselung der Karteninhaberdaten während der Übertragung.
5. Schutz vor Malware: Schützen Sie Ihre Systeme vor Malware.
6. Sichere Systeme: Entwicklung und Pflege sicherer Systeme und Anwendungen.
7. Zugangskontrolle: Schränken Sie den Zugriff auf Karteninhaberdaten ein.
8. Authentifizierung: Identifizierung und Authentifizierung des Zugangs zu Systemkomponenten.
9. Physikalische Sicherheit: Schränken Sie den physischen Zugang zu Karteninhaberdaten ein.
10. Überwachung: Verfolgen und überwachen Sie den Zugriff auf Netzwerkressourcen.
11. Prüfung: Regelmäßiges Testen der Sicherheitssysteme und -prozesse.
12. Sicherheit Politik: Führen Sie eine Informationssicherheitspolitik.

ForeNova hilft bei der Einhaltung des PCI-DSS durch:

Angepasste Berichte: Vereinfachung der Einhaltung mit maßgeschneiderten Berichten.

Zugangsüberwachung: Überwachung des Zugriffs auf Karteninhaberdaten.

Echtzeit-Warnungen: Bereitstellung von Echtzeit-Warnungen auf der Grundlage von Geschäftsrisiken.

Schwachstellenbewertungen: Umfasst die Suche nach Bedrohungen und Penetrationstests zur Identifizierung von Schwachstellen und Schwachstellen.

Sichere Konfiguration: Implementierung sicherer Konfigurationsrichtlinien.

Einhaltungsnachweis: Nachweis der Konformität durch Berichte und Dashboards.

ForeNova's Dienstleistungen gewährleisten den Schutz von Karteninhaberdaten und helfen bei der Einhaltung von PCI-DSS-Standards.

Das Secure Controls Framework (SCF) ist ein umfassender Katalog von Kontrollmechanismen, der Unternehmen dabei helfen soll, sichere Prozesse, Systeme und Anwendungen zu entwerfen, aufzubauen und zu pflegen, die sowohl die Cybersicherheit als auch den Datenschutz berücksichtigen.

1. Vertraulichkeit: Sicherstellen, dass der Zugriff auf Informationen auf autorisierte Benutzer beschränkt ist.
2. Integrität: Schützen Sie Daten vor unbefugten Änderungen.
3. Verfügbarkeit: Sicherstellung des rechtzeitigen und zuverlässigen Zugangs zu Informationen.
4. Sicherheit: Reduzieren Sie die mit eingebetteten Technologien verbundenen Risiken.

ForeNova unterstützt die SCF-Implementierung durch:

Beweise und Artefakte: Bereitstellung von Beweisen für alle SCF-Bereiche.
Überwachung: Bietet kontinuierliche Überwachungsdienste.
Schwachstellenmanagement: Wirksames Management von Schwachstellen.
Sicherheitsschulung: Bereitstellung von Schulungen zum Sicherheitsbewusstsein.

Die Dienstleistungen von ForeNova helfen Unternehmen, die SCF-Anforderungen zu erfüllen und sichere Abläufe zu gewährleisten.

Das Sarbanes-Oxley-Gesetz (SOX) soll Anleger vor betrügerischen Finanzberichten von Unternehmen schützen. Es gilt für alle börsennotierten Unternehmen in den USA, für ausländische Unternehmen mit bei der SEC registrierten Wertpapieren und für Wirtschaftsprüfungsgesellschaften.

1. Section 302: Leitende Angestellte müssen die Richtigkeit der Jahresabschlüsse bescheinigen.
2. Sektion 404: Management und Prüfer müssen interne Kontrollen einrichten und aufrechterhalten.
3. Abschnitt 802: Festlegung von Regeln für die Aufbewahrung von Unterlagen, einschließlich Vernichtung und Aufbewahrungsfristen.

ForeNova unterstützt die SOX-Konformität durch:

Schwachstellenmanagement: Analysieren und Verwalten von Schwachstellen.
Überwachung von Audit-Protokollen: Überwachung und Verwaltung von Audit-Protokollen.
Risikobewertungen: Durchführung regelmäßiger Risikobewertungen, um sicherzustellen, dass die internen Kontrollen wirksam sind.

Ein SOC-2-Bericht vom Typ 2 bewertet, wie Cloud-basierte Dienstanbieter mit sensiblen Daten umgehen, und konzentriert sich dabei auf die Eignung und Wirksamkeit ihrer Kontrollen über einen bestimmten Zeitraum. Er basiert auf fünf Kriterien für vertrauenswürdige Dienste: Sicherheit, Verfügbarkeit, Integrität der Verarbeitung, Vertraulichkeit und Datenschutz.

1. Sicherheit: Schutz der Systeme vor unberechtigtem Zugriff.
2. Verfügbarkeit: Sicherstellen, dass die Systeme für den Betrieb und die Nutzung wie zugesagt verfügbar sind.
3. Integrität der Verarbeitung: Sicherstellen, dass die Systemverarbeitung vollständig, gültig, genau, zeitgerecht und autorisiert ist.
4. Vertraulichkeit: Schützen Sie die als vertraulich eingestuften Informationen.
5. Datenschutz: Schutz personenbezogener Daten, die gesammelt, verwendet, gespeichert, weitergegeben und entsorgt werden.

ForeNova unterstützt Unternehmen bei der Einhaltung von SOC 2 Typ 2 durch:

Zugangskontrollen: Überwachung und Nachweis von Zugriffskontrollen.
Systembetrieb: Gewährleistung eines sicheren und zuverlässigen Systembetriebs.
Risikomanagement: Unterstützung des Risikomanagements durch kontinuierliche Überwachung und Verfolgung von Schwachstellen.
Reaktion auf Vorfälle: Bietet robuste Funktionen zur Erkennung von und Reaktion auf Vorfälle.

ForeNova's NovaMDR Service stellt sicher, dass Unternehmen die SOC 2 Typ 2 Anforderungen durch effektive Sicherheitskontrollen und kontinuierliche Überwachung erfüllen können.