Erlkönig-Jäger haben es mit TISAX schwerer
Die Lieferketten in der Automobilindustrie sind stark digitalisiert und deswegen anfällig für Cyberattacken. Diese können Schäden in Millionenhöhe zur Folge haben. Hersteller, Zulieferer und Verbände des Automotive-Sektors haben deshalb das TISAX-System zur Bewertung der Informationssicherheit eingeführt. Einer der anerkannten Prüfdienstleister ist DNV.
21.04.2021
Die deutschen Automobil-Journalisten Heinz-Ulrich Wieselmann und Werner Oswald waren 1952 die ersten, die einen „Erlkönig“ einfingen. Zufällig fotografierten sie, so schreibt es welt.de, den Prototypen des späteren Mercedes 180, veröffentlichten die Bilder und erfanden auch noch den von Goethe inspirierten Namen für diese immer beliebter werdenden „Abschüsse“.
Die Autohersteller waren über die Enttarnung ihrer Neuentwicklungen natürlich nicht erfreut. Erhielt so die Konkurrenz doch die Möglichkeit, das ein oder andere Detail „abzukupfern“. Deswegen wurden Prototypen fortan mit verwirrenden Mustern beklebt, die Formen und Details wirksam verschleiern – eine Methode, mit der erstmals die britische Marine im Ersten Weltkrieg Kriegsschiffe tarnte.
Erlkönige sind immer noch beliebte „Jagdobjekte“. Die viel größere Gefahr liegt aber woanders: Denn die Automobilindustrie baut auf eine weit verzweigte, stark digitalisierte Lieferkette. Diese lässt sich nicht nur kostenmäßig schwer kontrollieren, sie ist auch besonders anfällig für Cyberattacken. Ein virtueller Angriff auf nur einen Zulieferer kann bei großen Unternehmen Folgekosten von bis zu drei Millionen Dollar verursachen. Davor warnte vor einigen Jahren das Kaspersky Lab.
Deswegen steht das Thema Informationssicherheit ganz oben auf der Prioritätenliste von Automobilherstellern und -zulieferern. Dazu beitragen soll der Informationssicherheitsstandard TISAX (Trusted Information Security Assessment Exchange), der 2017 unter der Ägide des Verbands der Automobilindustrie (VDA) eingeführt wurde. Damit soll „reifegradbasiert“ der Umgang der vielen Mitglieder einer automobilen Lieferkette mit sensiblen Informationen bewertet werden. Cyberangriffe sollen verhindert, Risiken identifiziert und bewältigt werden.
Automobilindustrie nimmt weltweite Vorreiterrolle ein
Innerhalb weniger Jahre ist TISAX zum Quasi-Standard bei vielen großen Automarken geworden. Nach Angaben der ENX Association wird er bereits von 2.500 Unternehmen in 40 Ländern genutzt. ENX ist ein Zusammenschluss der führenden europäischen Autohersteller, -zulieferer und -verbände und hat die „Governance“ über TISAX übernommen. „Mit TISAX ist die Automobilindustrie die erste Industrie weltweit, die ein Assessment auf Basis eines standardisierten Fragenkatalogs anbietet sowie die Prüfungsergebnisse gegenseitig anerkennt und dies bezüglich der gesamten Wertschöpfungs- und Lieferkette – vom Hersteller über Zulieferer bis hin zu Dienstleistern“, sagte Dr. Martin Unterberger, Vorsitzender des VDA-Arbeitskreises „Informationssicherheit“ und Leiter IT-Audit bei Porsche, bei der Tagung „Cybersecurity 2017“.
Der TISAX-Standard orientiert sich an den Zertifizierungskriterien nach ISO/IEC 27001 für die Erstellung, Entwicklung und Wartung von Managementsystemen der Informationssicherheit. Diese wurden auf die spezifischen Bedürfnisse des Automotive-Sektors zugeschnitten. Zulieferer der ersten und zweiten Ebene – von Ingenieurbüros über IT-Dienstleister und Universitäten bis hin zu Marketingagenturen – werden damit in die Lage versetzt, Daten zur Informationssicherheit standardisiert auszutauschen. „In den weit verzweigten, digitalisierten Lieferketten gibt es eine Vielzahl von Angriffsfaktoren. TISAX ist ein wirksames Instrument, um hier zu gemeinsamen Sicherheitsstandards zu gelangen“, sagt Stephan Laske, leitender Auditor für Informationssicherheit bei der Zertifizierungsgesellschaft DNV. Bewertet werden kann der sichere Umgang mit ganz verschiedenen Daten – bei Prototypen genauso wie bei Entwicklungswerkzeugen und beliebigen internen und externen Prozessen.
Der prinzipielle Ablauf von TISAX-Assessments ist immer ähnlich. In der Regel verlangen Automobilhersteller oder -zulieferer von ihren Partner-Unternehmen einen Nachweis über die TISAX-Begutachtung. Fehlt dieser, registrieren sie sich bei der ENX als TISAX-Teilnehmer und entscheiden sich dann für einen Dienstleister, der die Begutachtung durchführt. Ein solcher, von ENX anerkannter Dienstleister ist DNV.
Prüfziele werden selbst festgelegt
Ihre Prüfziele – im Fachjargon „Scopes“ genannt – legen die teilnehmenden Unternehmen selbst fest. Die Scopes unterscheiden sich im Wesentlichen nach der Vertraulichkeit der zu schützenden Informationen. Je nachdem werden verschiedene „Assessment Level“ (AL) zugeordnet. Bei der höchsten Stufe AL 3 geht es um Daten mit sehr hohem Schutzbedarf und das Audit wird automatisch zu einem Vor-Ort Audit.
Das Prüfverfahren startet mit einer Selbsteinschätzung der Teilnehmenden auf Basis des VDA-ISA-Katalogs. Orientierung in diesem Verfahren bietet das TISAX-Teilnehmerhandbuch. Die Selbsteinschätzung wird dann durch die Prüfdienstleister begutachtet.
Kommen die Prüfer zu dem Ergebnis, dass Nachbesserungen nötig sind, vereinbaren Teilnehmer und Prüfdienstleister einen „Corrective Action Plan“ (CAP). Darin werden die einzuleitenden Maßnahmen definiert und terminiert. Die Teilnahme an TISAX wird dann zunächst mit einem temporären Label dokumentiert. Für die Nachbesserungen haben die Teilnehmer maximal neun Monate Zeit. Erst wenn der Prüfdienstleister nach einer Follow-up-Prüfung die Erfüllung des CAP bestätigt, erteilt ENX das reguläre, drei Jahre gültige TISAX-Label. Anders als etwa bei der Zertifizierung gemäß ISO/IEC 27001 gibt es bei TISAX keine periodischen Audits und auch keine Rezertifizierung nach Ablauf der Gültigkeit. Stattdessen wird der Begutachtungsprozess nach drei Jahren neu gestartet.
Detailliertere Bewertung als bei anderen Zertifizierungen
Von anderen Zertifizierungen unterscheidet TISAX sich auch durch die Reifegradbasierung. Das Verfahren geht über die Bescheinigung des Bestehens oder Durchfallens hinaus. Stattdessen erhalten die Teilnehmenden detaillierte, mehrstufige Bewertungen, wie vollständig sie die Anforderungen in Bereichen wie Prototypen, Kryptographie, Lieferantenbeziehungen, Compliance, Kommunikations- und Informationssicherheit erfüllt haben. DNV-Experte Stephan Laske erläutert: „Wenn es um Datensicherungen geht, prüfen wir zum Beispiel nicht nur, ob diese regelmäßig durchgeführt werden. Das wäre die Mindestanforderung. Für eine gute Bewertung müsste aber zumindest auch schon eine erfolgreiche Rücksicherung getestet worden sein.“ Die Prüfungsleistungen werden abschließend in einem Diagramm dargestellt. Auf einen Blick wird so deutlich, wo noch Verbesserungsbedarf bei der Informationssicherheit besteht.
Natürlich handelt es sich bei den TISAX-Gutachten um sensible Daten. Deswegen werden sie standardmäßig nicht veröffentlicht. Stattdessen entscheiden die Unternehmen selbst, welche TISAX-Daten sie mit anderen TISAX-Teilnehmern auf der Austauschplattform des ENX-Portals teilen möchten.
Kostenfreies TISAX-Webseminar
Wie lassen sich mit TISAX sensible Informationen in den Lieferketten der Automobilindustrie schützen? Darüber informiert DNV interessierte Unternehmen in einem kostenfreien Webseminar am Freitag, 23. April 2021, ab zehn Uhr. DNV-Experte Stephan Laske erläutert das Prüfverfahren und geht auf Fragen dazu ein.
Interessierte finden auf dieser DNV-Internetseite weitere Informationen und einen Anmeldelink für die Online-Veranstaltung.