Automobil-Zulieferer und -Hersteller müssen branchenspezifischen Industriestandards wie VDA-ISA und TISAX folgen, um ihre IT-Systeme abzusichern. Deshalb nimmt die Systemhärtung eine immer wichtigere Rolle ein.
Was ist TISAX?
Das Akronym TISAX steht ausgeschrieben für Trusted Information Security Assessment Exchange. Hierbei handelt es sich um einen Prüf- und Austauschmechanismus, der in der Automobilindustrie die Informationssicherheit verbessern und gewährleisten soll. Damit können unter anderem sensible Daten wie Geschäftsgeheimnisse besser geschützt werden.
Entwickelt wurde TISAX von der ENX Association. “Die ENX Association ist ein Zusammenschluss von Automobilherstellern, Zulieferern und vier nationalen Automobilverbänden. Ziel ist es, sichere und vertrauenswürdige Zusammenarbeit in industriellen Wertschöpfungsnetzwerken zu ermöglichen und zu vereinfachen”, so die Organisation über sich selbst.
Wofür steht VDA-ISA?
TISAX basiert auf VDA-ISA. ISA ist die Abkürzung für Information Security Assessments. Diesen Standard gibt der deutsche Verband der Automobilindustrie (VDA) heraus. Aktuell gilt der VDA-ISA-Katalog 5.1.
Die Grundlage für VDA-ISA und damit TISAX sind unter anderem die europaweit gültige DS-GVO (Datenschutz-Grundverordnung) bzw. die GDPR (General Data Protection Regulation), das deutsche IT-SiG 2.0 (Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme / IT-Sicherheitsgesetz 2.) und die ISO/IEC 27001.
Was sagen VDA-ISA und TISAX zum Thema Systemhärtung?
Wenn Sie den VDA-ISA-Katalog Version 5.1 herunterladen, finden Sie unter “ISA 5.2.3” (Bezeichnung: “Inwieweit werden IT-Systeme vor Schadsoftware geschützt?”) bei den Soll-Anforderungen unter anderem diese Empfehlung:
“Für IT-Systeme, die ohne Software zum Schutz von Schadsoftware betrieben werden, sind alternative Maßnahmen (z. B. spezielle Härtung, wenig Dienste, keine aktiven User, Netzisolierung) umgesetzt.“
Das bedeutet: Automobil-Zulieferer, -Dienstleister und -Hersteller wird geraten, eine Systemhärtung (engl. System Hardening) einzuführen. Hierbei handelt es sich um die sichere Konfiguration der IT-Systeme, welche die Angriffsflächen für Malware deutlich reduzieren soll.
Woher kommt diese Empfehlung?
Im Bereich der IT-Security hat sich der Dreiklang aus Protect-Detect-Respond etabliert und bewährt. Allerdings wird häufig der erste Aspekt, der Schutz von Systemen, leider häufig vernachlässigt. Dabei ist das “Abschließen” der “IT-Haustüren” über eine umfassende Systemhärtung eine der besten präventiven Maßnahmen gegen Cyber-Attacken.
Mittlerweile setzt sich diese Erkenntnis – zum Glück – in vielen Bereichen durch. BSI, ACSC, DISA, CIS und andere Cybersecurity-Organisationen geben seit Jahren Empfehlungen für ein umfassendes System Hardening heraus, zudem hat man die Systemhärtung in die ISO 27001 als wichtige Maßnahme integriert.
Auch Branchenstandards wie PCI DSS 4.0 (Payment Card Industry Data Security Standard), VAIT (Versicherungsaufsichtliche Anforderungen an die IT) und BAIT (Bankaufsichtliche Anforderungen an die IT) fordern ein Härten von Betriebssystemen und Applikationen. Und der BSI IT-Grundschutz bläst verständlicherweise ins gleiche Horn.
Dementsprechend folgt auch der Verband der Automobilindustrie den immer strengeren Vorgaben und Regularien und ließ sie in VDA-ISA einfließen – und damit in TISAX.
Wohin geht die Reise?
Die Bedrohung durch Cyber-Angriffe nimmt kontinuierlich zu, dementsprechend wird es zu weiteren Verschärfungen der europäischen Verordnungen, branchenspezifischen Regularien und entsprechenden Gesetzen kommen. Nicht nur Unternehmen, die im Bereich KRITIS (Kritische Infrastruktur) agieren und/oder von volkswirtschaftlicher Bedeutung sind, müssen Ihre IT-Systeme besser denn je absichern.
Das heißt, auch die Anforderungen im Umfeld IT-Sicherheit gemäß VDA-ISA bzw. TISAX werden zunehmen. Wir gehen auf Basis von ersten Informationen davon aus, dass sich TISAX voraussichtlich an die aktualisierte Norm zur Informationssicherheit – der ISO 27001:2022 – anlehnen wird.
Damit wird die sichere Konfiguration von IT-Systemen in naher Zukunft eine Muss-Anforderung. Der Bereich “Secure Configuration” in der ISO27001:2022 greift das unter diesem Aspekt auf.
Das bedeutet: Automobil-Hersteller, -Dienstleister und -Zulieferer haben sich darauf einzustellen, dass die regulatorischen Anforderungen steigen werden – unter anderem wegen der geänderten Bedrohungslage. Nur so lässt sich das Risiko verringern, dass Daten abfließen, unternehmenskritische Daten im Zweifel verschlüsselt oder vernetzte Anlagen beschädigt werden.
Sie möchten Ihre Systeme richtig härten?
Dann lassen Sie sich von uns helfen! Die Hardening-Spezialisten der FB Pro beraten Sie zu den wichtigsten Maßnahmen und implementieren bei Bedarf eine automatisierte Härtung Ihrer Systeme. Gleichgültig, ob Dutzende oder Tausende Systeme oder Insellösungen im KRITIS-Umfeld sicher konfiguriert werden müssen – wir stehen Ihnen gerne mit Rat und Tat zur Seite.
Bilder: Freepik, eco