Automobil-Zulieferer und -Hersteller müssen branchenspezifischen Industriestandards wie VDA-ISA und TISAX folgen, um ihre IT-Systeme abzusichern. Deshalb nimmt die Systemhärtung eine immer wichtigere Rolle ein.
Was ist TISAX?
Das Akronym TISAX steht ausgeschrieben für Trusted Information Security Assessment Exchange. Hierbei handelt es sich um einen Prüf- und Austauschmechanismus, der in der Automobilindustrie die Informationssicherheit verbessern und gewährleisten soll. Damit können unter anderem sensible Daten wie Geschäftsgeheimnisse besser geschützt werden.
Entwickelt wurde TISAX von der ENX Association. “Die ENX Association ist ein Zusammenschluss von Automobilherstellern, Zulieferern und vier nationalen Automobilverbänden. Ziel ist es, sichere und vertrauenswürdige Zusammenarbeit in industriellen Wertschöpfungsnetzwerken zu ermöglichen und zu vereinfachen”, so die Organisation über sich selbst.
Wofür steht VDA ISA?
TISAX basiert auf VDA ISA. ISA ist die Abkürzung für Information Security Assessments. Diesen Standard gibt der deutsche Verband der Automobilindustrie (VDA) heraus. Aktuell gilt der VDA-ISA-Katalog 5.1, der VDA-ISA-Katalog 6.0 wird ab 1. April 2024 gültig sein.
Die Grundlage für VDA ISA und damit TISAX sind unter anderem die europaweit gültige DS-GVO (Datenschutz-Grundverordnung) bzw. die GDPR (General Data Protection Regulation), das deutsche IT-SiG 2.0 (Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme / IT-Sicherheitsgesetz 2.) und die ISO/IEC 27001.
Welche Veränderungen bringt VDA ISA 6?
VDA ISA 6.0 zieht die ISO 27001:2022 (also die endgültige Fassung der ISO 27001 vom Oktober 2022) als Referenzpunkt heran. Einige der bestehenden Kontrollen, nämlich 3.1.2 und 1.6.1, werden entfernt. Stattdessen führt man mehrere, neue Kontrollfragen ein, die sich ausführlicher mit den Themen “Incident-Management” und “Krisenmanagement” befassen.
Das Thema “Backup & Recovery” soll eigene, spezifische Kontrollfragen im Bereich 5 erhalten, um diesem wichtigen Aspekt der Informationssicherheit mehr Aufmerksamkeit zu widmen. Und das Modul “Datenschutz” wird im VDA ISA 6.0 einer umfassenden Überarbeitung unterzogen. Damit stellen die Verantwortlichen sicher, dass die aktuellen Datenschutzanforderungen und Datenschutzrichtlinien angemessen berücksichtigt sind.
Auch die Bedeutung der Operation Technology (OT) wird im neuesten VDA-ISA-Katalog mehr betont. Es kommt unter anderem zu einer Anpassung und zu einem Abgleich mit der Norm IEC 62443. Das hat zur Folge, dass Assets wie Maschinen im Produktionsbereich einen festen Bestandteil des Standards darstellen.
Was sagen VDA-ISA und TISAX zum Thema Systemhärtung?
Wenn Sie den VDA-ISA-Katalog Version 5.1 herunterladen, finden Sie unter “ISA 5.2.3” (Bezeichnung: “Inwieweit werden IT-Systeme vor Schadsoftware geschützt?”) bei den Soll-Anforderungen unter anderem diese Empfehlung:
“Für IT-Systeme, die ohne Software zum Schutz von Schadsoftware betrieben werden, sind alternative Maßnahmen (z. B. spezielle Härtung, wenig Dienste, keine aktiven User, Netzisolierung) umgesetzt.“
Das bedeutet: Automobil-Zulieferer, -Dienstleister und -Hersteller wird geraten, eine Systemhärtung (engl. System Hardening) einzuführen. Hierbei handelt es sich um die sichere Konfiguration der IT-Systeme, welche die Angriffsflächen für Malware deutlich reduzieren soll.
Woher kommt diese Empfehlung?
Im Bereich der IT-Security hat sich der Dreiklang aus Protect-Detect-Respond etabliert und bewährt. Allerdings wird häufig der erste Aspekt, der Schutz von Systemen, leider häufig vernachlässigt. Dabei ist das “Abschließen” der “IT-Haustüren” über eine umfassende Systemhärtung eine der besten präventiven Maßnahmen gegen Cyber-Attacken.
Mittlerweile setzt sich diese Erkenntnis – zum Glück – in vielen Bereichen durch. BSI, ACSC, DISA, CIS und andere Cybersecurity-Organisationen geben seit Jahren Empfehlungen für ein umfassendes System Hardening heraus, zudem hat man die Systemhärtung in die ISO 27001 als wichtige Maßnahme integriert.
Auch Branchenstandards wie PCI DSS 4.0 (Payment Card Industry Data Security Standard), VAIT (Versicherungsaufsichtliche Anforderungen an die IT) und BAIT (Bankaufsichtliche Anforderungen an die IT) fordern ein Härten von Betriebssystemen und Applikationen. Und der BSI IT-Grundschutz bläst verständlicherweise ins gleiche Horn.
Dementsprechend folgt auch der Verband der Automobilindustrie den immer strengeren Vorgaben und Regularien und ließ sie in VDA-ISA einfließen – und damit in TISAX.
Wohin geht die Reise?
Die Bedrohung durch Cyber-Angriffe nimmt kontinuierlich zu, dementsprechend wird es zu weiteren Verschärfungen der europäischen Verordnungen, branchenspezifischen Regularien und entsprechenden Gesetzen kommen. Nicht nur Unternehmen, die im Bereich KRITIS (Kritische Infrastruktur) agieren und/oder von volkswirtschaftlicher Bedeutung sind, müssen Ihre IT-Systeme besser denn je absichern.
Das heißt, auch die Anforderungen im Umfeld IT-Sicherheit gemäß VDA-ISA bzw. TISAX werden zunehmen. Wir gehen auf Basis von ersten Informationen davon aus, dass sich TISAX voraussichtlich an die aktualisierte Norm zur Informationssicherheit – der ISO 27001:2022 – anlehnen wird.
Damit wird die sichere Konfiguration von IT-Systemen in naher Zukunft eine Muss-Anforderung. Der Bereich “Secure Configuration” in der ISO27001:2022 greift das unter diesem Aspekt auf.
Das bedeutet: Automobil-Hersteller, -Dienstleister und -Zulieferer haben sich darauf einzustellen, dass die regulatorischen Anforderungen steigen werden – unter anderem wegen der geänderten Bedrohungslage. Nur so lässt sich das Risiko verringern, dass Daten abfließen, unternehmenskritische Daten im Zweifel verschlüsselt oder vernetzte Anlagen beschädigt werden.
Sie möchten Ihre Systeme richtig härten?
Dann lassen Sie sich von uns helfen! Die Hardening-Spezialisten der FB Pro beraten Sie zu den wichtigsten Maßnahmen und implementieren bei Bedarf eine automatisierte Härtung Ihrer Systeme. Gleichgültig, ob Dutzende oder Tausende Systeme oder Insellösungen im KRITIS-Umfeld sicher konfiguriert werden müssen – wir stehen Ihnen gerne mit Rat und Tat zur Seite.
______
Hinweis: Die in diesem Blogbeitrag bereitgestellten Informationen dienen ausschließlich allgemeinen Informationszwecken und stellen keine rechtliche oder steuerliche Beratung dar. Falls Sie rechtliche oder steuerliche Beratung benötigen, wenden Sie sich bitte an eine Steuer- oder Rechtsanwaltskanzlei.
Bilder: Freepik, eco