Informationssicherheit

Warum Sie jetzt über TISAX nachdenken sollten

Martin Bodenstein Martin Bodenstein

Geschäftsgeheimnisse, Entwicklungs- und Betriebsinformationen sind hoch sensible Unternehmenswerte, an die besondere Schutzanforderungen gestellt werden. Das Prüf- und Austauschverfahren „TISAX“ (Trusted Information Security Assessment eXchange) bietet eine Möglichkeit, die Umsetzung definierter Schutzmechanismen mit einem Reifegradmodell und somit den professionellen Umgang mit sensiblen Informationen im Rahmen einer Zertifizierung offiziell zu dokumentieren.
Unsere jüngsten Erfahrungen zeigen, dass an mittelständische Unternehmen der Automobilbranche zunehmend konkrete Anforderungen an die Informationssicherheit gestellt werden, die TISAX in naher Zukunft unausweichlich machen.

Ganzheitliche Informationssicherheit

Managementsysteme für Informationssicherheit (ISMS) sind grundsätzlich nichts Neues. Allgemein sind sie als Rahmenwerke zum Aufbau und Betrieb eines ganzheitlichen und risikoorientierten Sicherheitsprofils zu verstehen. Im Rahmen definierter Prozesse wird die gesamte Informationsverarbeitung (digital sowie analog) in allen relevanten Unternehmensbereichen berücksichtigt.

ISMS-Grafik-frei.png

Der wohl am weitesten verbreitete Ansatz zum Aufbau eines ISMS orientiert sich an der Norm ISO/IEC 27001 mit insgesamt 114 Maßnahmen zur Definition eines individuellen Sicherheitsprofils. Doch es gibt noch weitere Rahmenwerke (wie zum Beispiel der BSI Grundschutz, ISIS12 oder VdS 3473), die zur Orientierung dienen können, um branchenspezifisch eine effektive Sicherheitsumgebung schaffen zu können. Das Ziel besteht stets darin, den Fluss schützenswerter Informationen in Gänze abzusichern und sich gegen Missbrauch, Betriebsstörungen und Angriffe zu schützen.

VDA - Information Security Assessment

Der Verband der Automobilindustrie (VDA) ist zu dem Thema Informationssicherheit bereits seit vielen Jahren aktiv. Bereits 2005 veröffentlichte der Branchenverband Empfehlungen zu Anforderungen an Informationssicherheitssysteme speziell für Unternehmen der Automobilindustrie. Gedacht als vollständiger Leitfaden entstand ein „Information Security Assessment“ (ISA), welches sich in Form eines Fragebogens stark an den Normen ISO/IEC 27001 und ISO/IEC 27002 anlehnt, jedoch branchenspezifisch angepasst wurde. Der Arbeitskreis Informationssicherheit des VDA hat den Fragebogen dann kontinuierlich gemäß den Veränderungen der Branche weiterentwickelt. Vier verschiedene Themenbereiche („Informationssicherheit“, „Anbindung Dritter“, „Datenschutz“ und „Prototypenschutz“) mit Fragestellungen aus Sicht der Kfz-Hersteller (OEM) decken heute umfassend Sicherheitsaspekte der Informationsverarbeitung ab. Dabei werden – in Abhängigkeit der jeweiligen Anforderungen des Schutzbedarfs – fünf verschiedene Abstufungen vorgenommen („muss“-, „sollte“- und „kann“-Anforderungen sowie zusätzliche bei hohem oder sehr hohem Schutzbedarf).

Als besonderes zusätzliches Merkmal beinhaltet der Fragebogen in der aktuellen Version ein Reifegradmodel, das auf sechs verschiedenen Stufen (unvollständig, durchgeführt, gesteuert, etabliert, vorhersagbar und optimierend) die Implementierungsreife und Qualität vorgegebener Sicherheitsprozesse einheitlich nachvollziehbar bewertet.

Der nachfolgende Link zum Information Security Assessment des VDA enthält eine Grafik, in der eine exemplarische Ergebnisübersicht des Fragebogens mit den sechs Reifegradstufen dargestellt ist (Reiter „Ergebnisse“). Die dort grün dargestellte Linie zeigt den vom VDA vorgeschlagenen Zielreifegrad für die abgefragten Themenbereiche.

Offizielle Website des VDA

Eine derartige Möglichkeit, die Reifegrade einheitlich zu bewerten und zu vergleichen, ist in anderen Rahmenwerken eher eingeschränkt durchführbar. So legt ein Unternehmen zum Beispiel bei einem ISMS gemäß ISO/IEC 27001 den eigenen Schutzbedarf (somit die Schutzziele) und die Wirksamkeitsmessung der Schutzmaßnahmen individuell selbst fest.

Beispiel aus der Praxis:

In Verbindung mit der Definition eines eingeschränkten oder verkleinerten Anwendungsbereichs für das ISMS (zum Beispiel  nur für die IT des Bürobereichs, ohne Entwicklungs- und Produktions-IT) kann auch eine ISO/IEC 27001 Zertifizierung bereits mit begrenzten zur Verfügung stehenden Ressourcen angestrebt werden.

Aus unserer Erfahrung heraus ist die Betrachtung eines ISMS aus der eigenen Unternehmenssicht stets sinnvoll, um die eigenen „Kronjuwelen“ schützen. Die OEM haben jedoch eine etwas abweichende Sichtweise mit anderen Schwerpunkten. So ist für sie der Schutz ihrer eigenen Informationen (zum Beispiel bei eigenen Prototypen oder der Informationsweitergabe an Dritte) vorranging. Als Grundlage für eine Geschäftsbeziehung möchten die OEM insofern sicherstellen, dass „Externe“ – in diesem Falle die Zulieferer – die eigenen Vorgaben unbedingt umsetzen und einhalten.

Ein bestehendes ISMS nach ISO/IEC 27001 kann (sofern vorhanden) hervorragend als Basis für die Maßnahmen des ISA dienen und nach Bedarf bzw. Anforderungen der OEM erweitert oder im Reifegrad gesteigert werden.

Im Rahmen unserer Projekte starten wir mit unterschiedlichsten technischen und prozeduralen Rahmenbedingungen in den Unternehmen und implementieren Managementsysteme bzw. auditieren diese auch im Hinblick auf ein anstehendes Zertifizierungsverfahren.


Um in diesem Fall ein ISMS im Hinblick auf Umfang und Reifegrad objektiv bewerten zu können, ist die Bestätigung durch ein alleinstehendes ISO/IEC 27001 Zertifikat nicht ausreichend. Es sind tiefere Einblicke und Bewertungen notwendig, um auch aus Sicht der OEM bewerten zu können, ob alle Bereiche in dem zu bewertenden ISMS den eigenen Schutzanforderungen entsprechen.

Der Vorteil des VDA-ISA für die Automobilindustrie im Vergleich zu anderen Rahmenwerken der Informationssicherheit besteht klar in der Kombination aus der Auswahl branchenspezifischer Schutzmaßnahmen in Verbindung mit einem zur einheitlichen Bewertung geeigneten, generischen Prozess-Reifegradmodell.

Für den VDA stellte sich nach der Ausarbeitung des ISA nun die Frage, wie die beschriebenen Maßnahmen des Fragebogens einheitlich und unvoreingenommen bewertet werden können. Es lag nahe, dass die Einbindung eines unparteiischen Dritten einschließlich einer Zertifizierungsmöglichkeit in diesem Zusammenhang sinnvoll ist.

ENX und das TISAX Prüfverfahren

Aus Sicht des VDA war ein unabhängiges Branchennetzwerk notwendig, um eine gemeinsame Basis für Informationssicherheit innerhalb der Automobilindustrie zu schaffen, die den sicheren Austausch von Entwicklungs-, Produktionssteuerungs- und Logistikdaten gewährleisten soll. Zu diesem Zweck wurde bereits im Jahr 2000 die European Network Exchange (ENX) Association unter Leitung des VDA gegründet. Die ENX, als Non-Profit-Organisation, ist heute ein Zusammenschluss europäischer Automobilhersteller, -zulieferer und -verbände. Sie betreibt ein unabhängiges Prüf- und Austauschverfahren unter der Bezeichnung TISAX (Trusted Information Security Assessment eXchange). Die Basis von TISAX ist das VDA-ISA, das von externen Zertifizierungsgesellschaften offiziell bewertet werden kann. Ziel ist die Schaffung eines branchenspezifischen Sicherheitsstandards mit einer neutralen Instanz zur Bewertung zwischen allen Beteiligten der Branche.

Mit der externen Bewertung einer Zertifizierungsgesellschaft können sogenannte „TISAX Label“ für einzelne oder alle der vier definierten Themenbereiche in zwei unterschiedlichen Schutzbedarfsklassen („hoch“ und „sehr hoch“) erworben werden.

Zitat des VDA:
„Der Informationsaustausch zwischen Hersteller und Zulieferer muss abgesichert werden. Dazu dient TISAX.“
(Quelle: VDA Jahresbericht 2018)

Die erworbenen Labels werden seitens der ENX in einer für alle Mitglieder einsehbaren Datenbank veröffentlicht. Somit ist ein klares Lagebild bezüglich des Schutzniveaus für sensible Informationen für alle TISAX Mitglieder jederzeit einsehbar.

Ein Blick in die Zukunft

Der Schutzbedarf für Entwicklungs-, Produktionssteuerungs- und Logistikdaten wird angesichts der stetig wachsenden Bedrohungen im Cyber-Umfeld unumstritten steigen. Dies belegen zahlreiche Studien mit gemessenen Kennzahlen. Die Vergangenheit hat gezeigt, dass native ISO/IEC 27001 Zertifizierungen den OEM nicht die gewünschte Erkenntnis über die Schutzmechanismen der Vertragspartner bringen können. Mit TISAX ist nun ein Verfahren geschaffen, das im Interesse der OEM Schutzmaßnahmen einschließlich der implementierten Reifegrade klar beschreibt und offenlegt.

Es ist absehbar, dass Forderungen innerhalb der Automobilindustrie, TISAX-Label nachzuweisen, ansteigen werden. Dies ist im Kern zu begründen durch das Interesse, branchenspezifische Sicherheitsumgebungen zu schaffen, aber auch durch den Gesetzgeber im Hinblick auf das kommende „IT-Sicherheitsgesetz 2.0“. Aktuell noch in der Diskussion und Abstimmung sollen ab 2020 auch weitere Branchen im neuen Gesetz (in der Verantwortung des Bundesministeriums des Innern, für Bau und Heimat) als Unternehmen der kritischen Infrastruktur (KRITIS), einschließlich der entsprechenden gesamten Zuliefererkette, eingestuft werden. Die Automobilindustrie als einer der bedeutendsten Industriezweige Deutschlands ist hier im aktuellen Referentenentwurf bereits fest verankert.