Als einheitlicher Prüf- und Austauschmechanismus für die Informationssicherheit in der Automobilindustrie bildet TISAX® das Fundament für die vertrauensvolle und nachhaltige Zusammenarbeit zwischen OEMs und Lieferanten sowie innerhalb des Lieferantennetzwerks. Mit der TISAX®-Zertifizierung weisen Zulieferer und Dienstleister gegenüber interessierten Parteien nach, dass sie über ein robustes Informationssicherheits-Managementsystem verfügen und so das geforderte Niveau an Informations- und Cybersicherheit erfüllen. Auffälligste Änderung im neuen ISA-Katalog 6.0. sind die beiden neuen Label für Vertraulichkeit und Verfügbarkeit, die das alte Label für Informationssicherheit ersetzen. Den Überblick dazu verschaffen wir Ihnen in diesem Blogbeitrag.
- Veränderte Voraussetzungen – neue Anforderungen
- Warum wurden die neuen TISAX®-Label Verfügbarkeit und Vertraulichkeit eingeführt?
- Die neuen TISAX®-Label im Überblick
- Welche TISAX®-Label Unternehmen benötigen
- Prüfziele, Label und Assessment Level – die Unterschiede schnell erklärt
- Für Zertifizierungen nach dem alten ISA-Katalog: GAP-Analyse erforderlich
- Fazit: Die neuen TISAX®-Label
- Die DQS als verlässlicher Partner
Veränderte Voraussetzungen – neue Anforderungen
Mit der TISAX®-Zertifizierung (Trusted Information Security Assessment Exchange) der ENX Associacion weisen Zulieferer und Dienstleister gegenüber interessierten Parteien nach, dass sie über ein robustes Informationssicherheits-Managementsystem verfügen. Bisher sollte dies vor allem Industriespionage und unerwünschte Leaks verhindern. Angesichts der weltweit zunehmenden Ransomware-Angriffe müssen aber neben den wertvollen Geschäftsgeheimnissen auch die störungsanfälligen Lieferketten der Branche besser geschützt werden.
Um der neuen Bedrohungslage auch in der Automobilindustrie zu entsprechen, gilt seit dem 1. April 2024 der neue ISA-Katalog 6.0. Im Zuge dessen kommt es auch zu Änderungen bei den TISAX®-Assessments. Auffälligste Änderung sind die beiden neuen TISAX-Label für Vertraulichkeit und Verfügbarkeit, die das alte Label für Informationssicherheit ersetzen.
Neuer ISA Katalog 6.0 seit 01.04.2024
Die immer weiter voranschreitende Digitalisierung und Vernetzung der IT- und Produktionsumgebungen birgt angesichts steigender Cyberbedrohungen auch neue Security-Herausforderunen. Welche Änderungen der seit April 2024 gültige ISA Katalog 6.0 enthält und worauf sich Unternehmen bei künftigen Assessments einstellen müssen, lesen Sie in unserem Blogbeitrag.
Warum wurden die neuen TISAX®-Label Verfügbarkeit und Vertraulichkeit eingeführt?
Lieferanten und Dienstleister sind eng in die Entwicklungs- und Produktionsprozesse der Automobilhersteller eingebunden – erfüllen mitunter aber ganz unterschiedliche Rollen: Manche Unternehmen sind mit hochsensiblen Informationen betraut, letztendlich aber nicht weiter in die tatsächliche Produktion involviert. Andere liefern elementar wichtige Komponenten für die Fahrzeugherstellung, haben aber keinerlei Einblick in Geschäftsgeheimnisse des beauftragenden Unternehmens.
Um diese unterschiedlichen Rollen besser abzubilden, wurde das alte Label „Informationssicherheit“ in zwei neue Label – „Verfügbarkeit“ und „Vertraulichkeit“ – aufgeteilt. Zulieferer und Dienstleister müssen damit nicht mehr zwingend alle Anforderungen des ISA-Katalogs 6.0 erfüllen, da die Label jeweils nur eine Teilmenge abbilden. Diese Aufteilung soll Unternehmen entlasten und den Auditprozess effizienter gestalten.
Zu beachten ist allerdings, dass der Information Security Assessment-Katalog (ISA) mit Blick auf die veränderte Bedrohungslandschaft um eine Reihe zusätzlicher Anforderungen erweitert wurde. Neben dem Aspekt des Geheimnisschutzes soll auch die Lieferfähigkeit – Stichwort: Just-in-time-Produktion – sichergestellt werden, da jene durch Ransomware-Angriffe zunehmend gefährdet ist. Zu den neuen Anforderungen gehören daher nicht zuletzt auch stärkere Schutzmaßnahmen für OT-Anlagen.
Die neuen TISAX®-Label im Überblick
Für Unternehmen, die mit sensiblen Informationen, also Geschäftsgeheimnissen oder personenbezogenen Daten betraut sind, gibt es nun die Label „Confidential“ und „Strictly Confidential“. An Zulieferer, die eine wichtige Rolle für die eigene Lieferfähigkeit einnehmen, richten sich die Label „High Availability“ und „Very High Availability“.
Die Maßnahmen, die für die neuen TISAX® Label – zusätzlich zu den Basisanforderungen – umgesetzt werden müssen, sind im ISA-Prüfkatalog 6.0 jeweils eindeutig gekennzeichnet: Bei Vertraulichkeit mit einem „C“ (für Confidentiality), bei Verfügbarkeit mit einem „A“ (für Availability). Viele der Anforderungen sind dabei mit beiden Buchstaben markiert, gelten also für beide neuen Label.
„Confidential“ – vertraulich
Das Label „Confidential“ fokussiert auf den Schutz vertraulicher Informationen, deren unberechtigte Offenlegung beträchtliche negative Auswirkungen wie Reputationsverluste, strafrechtliche Konsequenzen oder finanzielle Schäden zur Folge haben kann.
In den Controls des ISA-Katalogs sind in der Spalte „Additional requirements for high protection needs“ 28 spezifische Anforderungen definiert und mit einem „C“ markiert, die für dieses Label erfüllt werden müssen.
Folgende Controls verdienen aufgrund ihres Implementierungsaufwands besondere Beachtung (die Anforderungen in Klammern):
- 3.1.3 (Schützen und sicheres Entsorgen von Informationen auf unterstützenden Geräten wie Druckern, Aktenvernichtern, Kameras oder Papier)
- 3.1.4 (Verschlüsseln der Daten auf mobilen Geräten)
- 5.1.1 (Rechtliche Absicherung der Kontrolle über die eigenen Daten durch Verträge, Vorgaben, Zusicherungen, vor allem für das externe Verarbeiten von Daten)
- 5.1.2 (Verschlüsseln der digitalen Transportwege für Informationen)
Die hier genannten Controls sind dabei nur mit einem „C“, nicht mit einem „A“ gekennzeichnet. Damit sind sie nur für die Vertraulichkeit von Relevanz. Bei einem Auditprozess, der ausschließlich ein Label für Verfügbarkeit zum Ziel hätte, müssten diese Anforderungen daher nicht erfüllt werden.
So starten Sie in Ihr TISAX®-Assessment
Sie sind Zulieferer oder Dienstleister für die Automobilindustrie? Dann müssen Sie einen Nachweis über die Verfügbarkeit ihrer Dienste oder die Sicherheit der Ihnen überlassenen sensiblen Informationen erbringen. Informieren Sie sich hier über TISAX®.
„Strictly Confidential“ – streng vertraulich
Das Label „Strictly Confidential“ fokussiert auf den Schutz streng vertraulicher und geheimer Informationen, deren unberechtigte Offenlegung katastrophale bis existenzbedrohende Auswirkungen wie schwere Reputationsverluste, harte strafrechtliche Konsequenzen oder sehr hohe finanzielle Schäden zur Folge haben kann.
In den Controls des ISA-Fragenkatalogs sind in der Spalte „Additional requirements for very high protection needs“ neun spezifische Anforderungen definiert und mit einem „C“ markiert, die für dieses Label erfüllt werden müssen – zusätzlich zu denen für das Label „Confidential“.
Folgende Controls sind hier aufgrund ihres Implementierungsaufwands besonders zu beachten:
- 1.6.1 (Durchführen von und Nachweise für regelmäßige Übungen zur Bewältigung von Informationssicherheitsvorfällen)
- 4.1.2 (Zwei-Faktor-Authentifizierung – oder höher – für den Zugang zu Informationen mit sehr hohem Schutzbedarf)
- 4.2.1 (Verschlüsseln von Informationen mit besonders hohem Schutzbedarf; Quartalsweises Überprüfen der vergebenen Zugangsrechte auf Angemessenheit)
- 5.1.2 (Inhaltliches Verschlüsseln von Informationen für den digitalen Transport)
- 5.2.4 (Protokollieren des Zugriffs auf Informationen mit besonders hohem Schutzbedarf)
- 5.2.8 (Datensicherungskonzept mit alternativen Standorten für Speicherung und Backup-Aufbewahrung)
- 5.3.1 (Überprüfen der Sicherheit von eigenentwickelter bzw. für den Kunden entwickelter Software – bei der Einführung, bei Veränderungen und in regelmäßigen Abständen)
Auch hier gilt es, die klare Abgrenzung zu den Labeln für Verfügbarkeit zu beachten: Konkret sind die hier aufgelisteten Anforderungen der Controls 4.1.2, 4.2.1, 5.1.2 und 5.2.4 nur mit einem „C“ markiert. Damit sind sie ausschließlich bei einem Auditprozess für das Label „Strictly Confidential“ relevant.
„High Availability“ – hohe Verfügbarkeit
Das Label „High Availability“ benötigen Unternehmen, wenn die Verfügbarkeit der eigenen Produkte oder Dienstleistungen direkte Auswirkungen für die Produktions- bzw. Lieferfähigkeit abhängiger Unternehmen zur Folge hat und Ausfälle zu erheblichem Schaden führen. Gängige Beispiele sind Just-in-Time-Lieferanten von Produktionsmaterial oder hochspezialisierte Lieferanten für Dienstleistungen oder Rohstoffen, die nicht zeitnah ersetzt werden können.
In den Controls des ISA-Katalogs 6.0 sind 36 Anforderungen in der Spalte „Additional requirements for high protection needs“ definiert, die mit einem „A“ markiert sind und damit für dieses Label erfüllt werden müssen.
Folgende Controls sind mit Blick auf den Implementierungsaufwand besonders zu beachten:
- 1.6.3 (Vorbereiten auf Krisensituationen: Krisenszenarien, Kontakte, Kommunikationsstrategie, regelmäßige Simulation von Krisen)
- 5.2.8 (Maßnahmen zur Vermeidung von Störungen durch interne Threats – wie dem Schutz von Backups – und von externen Dienstausfällen, z. B. durch angemessene SLAs)
- 5.2.9 (Backup und Recovery Concept: Regelmäßiges Prüfen von Backups und testweise Wiederherstellung)
- 5.3.2 (Monitoring des Netzwerkverkehrs, Verfügbarkeitsanalysen zentraler Dienste)
Die hier erwähnten Anforderungen sind nur mit einem „A“ gekennzeichnet, also ausschließlich für die Verfügbarkeit von Relevanz. Bei einem Auditprozess, der nur ein Label für Vertraulichkeit zum Ziel hat, müssen diese Anforderungen demnach nicht erfüllt werden.
„Very High Availability“ – sehr hohe Verfügbarkeit
Unternehmen benötigen das Label „Very High Availability“, wenn die kurzfristige Verfügbarkeit der eigenen Produkte oder Dienstleistungen schwerwiegende Auswirkungen für die Produktions- bzw. Lieferfähigkeit abhängiger Unternehmen zur Folge hat und Ausfälle zu erheblichem Schaden führen. Ein gängiges Beispiel sind Just-in-Time-Lieferanten, deren Ausfall einen schnellen und umfassenden Produktionsstillstand mit einer sehr hohen Wiederanlaufdauer zur Folge hätte.
In den Controls des ISA-Katalogs sind 13 Anforderungen in der Spalte „Additional requirements for very high protection needs“ definiert, die mit einem „A“ markiert sind und damit für dieses Label erfüllt werden müssen – zusätzlich zu denen für das Label „High Availability“.
Folgende Controls sind hier aufgrund ihres Implementierungsaufwands besonders zu beachten:
- 1.6.1 (Durchführen von und Nachweise für regelmäßige Übungen zur Bewältigung von Informationssicherheitsvorfällen
- 1.6.2 (Durchspielen auch seltener Arten von Informationssicherheitsvorfällen)
- 1.6.3 (Durchführen von und Nachweise für regelmäßige Übungen zur Bewältigung von Krisensituationen)
- 5.2.6 (Regelmäßige vollautomatische Systemanalyse der IT-Systeme unter Berücksichtigung von OT/Industrial Control Systems)
- 5.2.8 (Datensicherungskonzept mit alternativen Standorten für Speicherung und Backup-Aufbewahrung; Koordinieren der eigenen Krisenpläne mit den Krisenplänen externer Diensteanbieter; Ausweichstrategien mit Ersatzsystemen und Ersatzstandorten für die Speicherung und Backups zur Aufrechterhaltung der Geschäftsprozesse)
- 5.2.9 (Regelmäßiges Testen des Datensicherungskonzepts; geografisch verteilte Sicherungsstandorte; möglichst isoliert arbeitende Backup-Systeme mit technisch unveränderbaren Backups)
- 5.3.1 (Überprüfen der Sicherheit von eigenentwickelter bzw. für den Kunden entwickelter Software – bei der Einführung, bei Veränderungen und in regelmäßigen Abständen)
Die hier aufgelisteten Anforderungen der Controls 1.6.2, 1.6.3, 5.2.6 und 5.2.9 werden ausschließlich bei einem Auditprozess für das Label „Very High Availability“ geprüft und sind damit nicht relevant für die TISAX Label für Vertraulichkeit.
Ganz allgemein haben die beiden Label zur „Availability“ einen verstärkten Fokus auf die Aufrechterhaltung der Produktionsfähigkeiten zur Folge (OT). Das unternehmensinterne Wissen zu OT-Herstellerempfehlungen, OT-Risken und Absicherungsmaßnahmen für OT-Netzwerke sowie die OT-Verwaltung werden im Audit eine höhere Aufmerksamkeit erhalten.
Automotive Cyber Security
Mit der Digitalisierung haben die Risiken von Angriffen rasant zugenommen. Automobilhersteller sind für Cyberkriminelle in mehrfacher Hinsicht ein attraktives Ziel. Lesen Sie in unserem Blogbeitrag, welche Regularien hier schützend eingreifen.
Welche TISAX®-Label Unternehmen benötigen
Die Frage, welche Label in der Praxis benötigt werden, hängt natürlich in erster Linie davon ab, welche Rolle ein Unternehmen in der Lieferkette einnimmt. Auf jeder Stufe der Lieferkette müssen sich die Unternehmen fragen, von welchem Zulieferer sie abhängig sind und welche Zulieferer mit sensiblen Informationen betraut werden.
Demnach führt das von TISAX® geforderte Lieferantenmanagement auf jeder Stufe dazu, dass sich rollenspezifische Label-Anforderungen von oben nach unten kaskadierend über die Lieferkette verbreiten. Hierbei zahlt sich der Austauschmechanismus besonders aus, bei dem ein Zulieferer auf die bereits vorliegenden Label verweisen kann, um die Erfüllung von Anforderungen nachzuweisen. Hier können die Ergebnisse der Assessments für jede interessierte Partei zugänglich gemacht werden.
Sollte dabei ein Unternehmen prophylaktisch beide neuen Label fordern, obwohl keine Notwendigkeit für das Label Vertraulichkeit oder Verfügbarkeit besteht, lohnt es sich angesichts des potenziell deutlich höheren Implementierungsaufwands durchaus, hier noch einmal das Gespräch über das gegenseitige Rollenverständnis zu suchen.
Unbedingt zu beachten ist auch die Verbindung von TISAX-Label und Assessment Levels: Die Label „Sehr hohe Verfügbarkeit“ und „Streng vertraulich“ können nur durch ein Assessment auf Level 3, also durch eine Prüfung vor Ort, vergeben werden.
Prüfziele, Label und Assessment Level – die Unterschiede schnell erklärt
Im vergangenen Abschnitt sind mehrere Begriffe gefallen, die hier kurz erklärt und voneinander abgegrenzt werden sollen:
- TISAX® Prüfziel: Anhand der Vorgaben ihrer Herstellerpartner legen Zulieferer mit den Prüfzielen fest, welche Anforderungen sie im Audit erfüllen müssen.
- TISAX® Label: Nach einem bestandenen Audit erhalten Unternehmen in der TISAX® Datenbank das TISAX-Label für das jeweils gewählte Prüfziel als Bestätigung, dass sie die Anforderungen erfüllt haben.
- TISAX® Level: Je nach Assessment Level wird die Erfüllung der Anforderungen unterschiedlich überprüft. Level 1 ist eine reine Selbsteinschätzung. Bei Level 2 werden die Selbsteinschätzungen durch einen externen Auditor auf Plausibilität geprüft, ergänzt durch Remote-Interviews. Bei Level 3 erfolgt die Prüfung der Wirksamkeit durch den Auditor vor Ort.
ISO 27001 – der Klassiker für Informationssicherheit
ISO/IEC 27001 ist die international führende Norm zur Einführung eines ganzheitlichen Managementsystems für Informationssicherheit. Die ISO-Norm wurde gerade erst überarbeitet und am 25. Oktober 2022 neu veröffentlicht.
Für Zertifizierungen nach dem alten ISA-Katalog: GAP-Analyse erforderlich
Wichtig für Unternehmen, die noch nach dem alten „Info“-Label zertifiziert sind:
- Um die Übergangsphase so unkompliziert wie möglich zu gestalten, haben Unternehmen mit dem Label „Info High“ bis zu dessen Ablaufzeit automatisch die Label „Confidential“ und „High Availability“ zugeteilt bekommen.
- Das Label „Info Very High“ wurde analog dazu in die Label „Strictly Confidential“ und „Very High Availability“ umgewandelt.
Dies gilt auch für Auditprozesse, deren Angebote vor dem 1. April angenommen wurden, sowie nachträgliche Scope-Erweiterungen, die beide noch nach dem alten ISA-Katalog 5.1 durchgeführt werden dürfen.
Zu beachten ist allerdings, dass die entsprechenden Unternehmen nach dem Ablauf ihrer TISAX-Labels, die jeweils eine Gültigkeit von drei Jahren besitzen, nach dem dann gültigen ISA Prüfkatalog zertifiziert werden müssen. Die neue Zertifizierung muss dabei direkt zum Ablaufen der alten Label vorliegen – die Verantwortlichen sind also gut beraten, frühzeitig eine Gap-Analyse durchzuführen, um die Anpassungen im Informationssicherheits-Managementsystem (ISMS) rechtzeitig zu implementieren und auf das nächste TISAX®-Audit vorbereit zu sein.
Für diese Gap-Analyse hat die ENX Association einen dedizierten Anforderungskatalog bereitgestellt, in dem alle Änderungen zwischen ISA 5.1 und ISA 6.0 aufgelistet und rot markiert sind. So sehen die Unternehmen auf einen Blick, welche Anforderungen neu hinzugekommen sind. Was dabei beachtet werden muss: Es handelt sich dabei um ein Hilfsdokument. Für das Audit sollten Unternehmen jeweils die aktuellste Version des ISA Prüfkatalogs auf den Seiten der ENX herunterladen.
Folgende Änderungen fallen besonders ins Auge:
- Das neue Control 1.3.4 erfordert möglicherweise Investitionen in neue Software, zum Beispiel für das Lizenzmanagement.
- Die umfassend modifizierten Controls 1.6.1 und 1.6.2 verlangen jetzt eine koordinierte und regelmäßig getestete Incident Response.
- Control 3.1.2 wurde ersetzt durch die neuen Controls 1.6.3, 5.2.8 und 5.2.9, die einige neue Anforderungen hinsichtlich Krisen-Handling, Business Continuity Management und Datensicherung stellen.
Die neuen TISAX®-Label – Fazit
Die neuen Label für Vertraulichkeit und Verfügbarkeit sollten bei der TISAX®-Zertifizierung künftig mehr Effizienz gewährleisten, da die Audits nun rollenspezifisch durchgeführt werden. So müssen Zulieferer und Dienstleister nicht mehr zwingend jede Anforderung des Katalogs umsetzen. Auffällig ist dabei allerdings, dass für das Label Verfügbarkeit mehr Anforderungen erfüllt werden müssen als für die Vertraulichkeit. Grund ist das neu in den Fokus gerückte Sicherstellen der Lieferfähigkeit sowie das Absichern von OT-Umgebungen, das bei allen Controls des aktuellen ISA-Katalogs miteinbezogen wurde.
Der überarbeitete und teilweise erweiterte Katalog enthält zudem eine Reihe neuer Anforderungen, die mitunter nur mit einigem Aufwand und der entsprechenden Vorlaufzeit zu erfüllen sind. Für Unternehmen mit Zertifizierungen nach dem alten Katalog empfiehlt sich daher eine frühzeitige Gap-Analyse, da sie die neuen Label „nur“ durch die automatische Umwandlung des alten Labels für Informationssicherheit erhalten haben.
Besondere Herausforderungen ergeben sich für Kunden, die in der Vergangenheit ihre Label im Rahmen eines rotierenden Stichprobenverfahrens (Rotating SGA) erhalten haben. Aus Kostengründen möchten diese Unternehmen im letzten Jahr der Labelgültigkeit auf das echte Stichprobenverfahren (Sample-based SGA) umstellen. Sie müssen daher im dritten Jahr das Rotating SGA Assessment abschließen, ihr ISMS auf den neuen ISA Katalog umstellen und vor Ablauf des Labels das Sample-based SGA Assessment abschließen, um das Label nahtlos verlängern zu können.
TISAX®-Assessment
Gern beantworten wir Ihre Fragen auch in einem persönlichen Gespräch.
Ganz unverbindlich und kostenfrei.
Die DQS als verlässlicher Partner
TISAX® wurde – genau wie ENX VCS für Vehicle Cyber Security – von der ENX Association entwickelt. Die DQS ist als Prüfdienstleister von der ENX zugelassen und kann somit weltweit Assessments durchführen – und ist überdies selbst nach TISAX® zertifiziert. Und weil viele unserer TISAX®-Auditoren zugleich auch für die internationale Norm für Informationssicherheit ISO 27001 zugelassen sind, können wir beide Standards zeitgleich und mit einem geringeren zusätzlichen Aufwand begutachten. Wir freuen uns auf das Gespräch mit Ihnen.
Hinweis: Der Zugang zu TISAX® erfolgt über eine Teilnehmer-Registrierung, die auf dem ENX-Portal online vorzunehmen ist. Dies ist die Voraussetzung dafür, um einen zugelassenen Prüfdienstleister wie die DQS beauftragen zu können.
Vertrauen und Expertise
Unsere Texte und Broschüren werden ausschließlich von unseren Normexperten oder langjährigen Auditoren verfasst. Sollten Sie Fragen zu den Textinhalten oder unseren Dienstleistungen an unseren Autor haben, senden Sie uns gerne eine E-Mail: [email protected]
Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.
DQS Newsletter
Holger Schmeken
Produktmanager für TISAX® und VCS, Auditor für ISO/IEC 27001, Experte für Software Engineering mit mehr als 30 Jahren Erfahrung und stellvertretender Informationssicherheitsbeauftragter. Holger Schmeken ist Diplom-Wirtschaftsinformatiker und hat die erweiterte Auditkompetenz für Kritische Infrastrukturen in Deutschland (KRITIS).