Cyber-Security TISAX-Konformität schützt Autoindustrie gegen Hacker

Autor / Redakteur: Maximilian Gilg* / Stefan Guggenberger

Das Thema Informationssicherheit hat für die Zusammenarbeit in der Automobil- und Zuliefererindustrie mehr und mehr an Bedeutung gewonnen. Vor diesem Hintergrund wurde 2017 die TISAX-Zertifizierung entwickelt, die inzwischen branchenweit ausgerollt wird.

Firmen zum Thema

Automobilzulieferer, welche die TISAX-Konformität in Form eines Audit-Zertifikats nicht vorlegen können, verlieren unter Umständen den Zugang zur Technologieumgebung des jeweiligen OEM.
Automobilzulieferer, welche die TISAX-Konformität in Form eines Audit-Zertifikats nicht vorlegen können, verlieren unter Umständen den Zugang zur Technologieumgebung des jeweiligen OEM.
(Bild: gemeinfrei // Unsplash)

Digitale Angreifer nehmen zunehmend die Automobilbranche ins Visier. Im 2020 Automotive Cyber-Security-Report stellt Upstream beispielsweise fest, dass die Zahl der jährlichen Cybersecurity-Vorfälle in der Automobilindustrie seit 2016 um 605 Prozent gestiegen ist. Dabei hat sich Zahl der Vorfälle allein im Jahr 2019 verdoppelt. Über die Hälfte (57 %) dieser Vorfälle ging von Black-Hat-Hackern (Angreifer, die sich persönlich bereichern wollen) aus. Das Ziel: Unternehmensprozesse stören, geistiges Eigentum und Informationen zu Prototypen stehlen oder Lösegeld erpressen. Die Angriffe richten sich beispielsweise gegen schlüssellose Zugangssysteme, Backend-Server und mobile Apps, und sie betreffen Firmen in jeder Phase der automobilen Lieferkette. Unter den Betroffenen sind Erstausrüster (OEMs) genauso wie Fuhrparks, Telematik- und Aftermarket-Dienstleister.

Um dieser Bedrohung durch Cyberangriffe entgegenzuwirken, wurde bereits 2017 die TISAX-Zertifizierung (Trusted Information Security Assessment Exchange) entwickelt, welche mittlerweile für die gesamte Automobil- und Zulieferindustrie anwendbar ist. Als regionale Grundlage für TISAX dient der VDA-ISA-Katalog, um eine unternehmensübergreifende Anerkennung von Assessment-Ergebnissen zu gewährleisten. Der VDA hat die ENX Association zudem als neutrale Instanz für die Steuerung und Betreuung des TISAX-Modells hinzugezogen.

TISAX reagiert auf komplexe Sicherheitsanforderungen

Internationale Institutionen ergreifen bereits Maßnahmen, um die Branche besser vor Hackerangriffen und anderen digitalen Bedrohungen zu schützen. So hat das Weltforum für die Harmonisierung von Fahrzeugregelungen der Wirtschaftskommission der Vereinten Nationen für Europa (UNECE) am 23. Juni 2020 zwei neue Vorschriften verabschiedet. Sie sollen Organisationen insbesondere unterstützen, sich besser als bisher gegen Cybersicherheitsbedrohungen für vernetzte Autos zu wappnen. Die Vorschriften sind im Januar 2021 in Kraft getreten und bieten Unternehmen im Automobilsektor ein Rahmenwerk, um digitale Sicherheitsrisiken zu identifizieren, regelmäßige Risiko-Assessments zu gewährleisten, angemessen auf digitale Angriffe zu reagieren und weitere notwendige Prozesse einzuziehen.

Die digitale Sicherheit im Automobilsektor beschäftigt auch die einzelnen Nationalstaaten. Ein Beispiel dafür ist der TISAX: Seit 2017 fungiert dieser als Bewertungs- und Austauschmechanismus, über den sich Unternehmen Audits unterziehen können – und zwar nach dem vom Verband Deutscher Automobilindustrie (VDA) entwickelten Anforderungskatalog für Informationssicherheit. Dieser Katalog, bekannt als VDA-Information-Security-Assessment (VDA-ISA), gilt für Unternehmen, die an irgendeinem Punkt der deutschen Automobillieferkette ansetzen. Seine branchenweite Durchsetzung betrifft insbesondere Automobilhersteller und OEMs, reicht aber darüber hinaus und schließt auch Partner und Zulieferer mit ein. Das ist ein sehr umfassender Geltungsbereich. Selbst wenn ein Unternehmen nicht in Deutschland ansässig ist und nur einen einzigen Mikrochip produziert, der letztendlich in einem deutschen Fahrzeug landet, fällt dieses Netzwerk dennoch unter die TISAX-Anforderungen. Kein Wunder also, dass der Druck wächst (besonders natürlich seitens der OEM-Anbieter), TISAX flächendeckend für Information-Security-Assessments auszurollen.

Warum ein ‚Pre-Audit-Sprint‘ der falsche Weg zur TISAX-Konformität ist

IT- und Compliance-Manager wissen, dass sie für ihren OEM den Nachweis der TISAX-Konformität in Form eines Audit-Zertifikats erbringen müssen. Wer kein geeignetes Audit-Zertifikat vorgelegen kann, verliert als Unternehmen unter Umständen den Zugang zur Technologieumgebung des jeweiligen OEM. Wenn man Geschäftsprozesse nicht wie gewohnt abwickeln kann und Ziele nicht erreicht, hat das schwerwiegende wirtschaftliche Konsequenzen. Kein Wunder also, dass Unternehmen nur zu bereit sind, erhebliche Ressourcen für die Auditvorbereitung zu investieren. Diese Art der Auditvorbereitung hat aber auch ihre Nachteile, und sie ist geeignet, IT-Teams in einschlägigen Unternehmen wochen- oder sogar monatelang von ihrer eigentlichen Arbeit abzuhalten. Der Nachweis der TISAX-Compliance im gesamten Netzwerk verschlingt nicht nur Zeit und Ressourcen, sondern das Ergebnis ist ein Compliance-Level lediglich für einen bestimmten Zeitpunkt.

Kontinuierliche TISAX-Konformität mit SCM automatisieren

Anstatt Unmengen finanzieller und personeller Ressourcen in die Pflege kurzfristiger Compliance zu stecken, bietet es sich an, eine Security-Configuration-Management (SCM)-Suite zu nutzen. Eine SCM-Suite bietet vollständig integrierte Lösungen für die Verwaltung von Richtlinien, Dateiintegrität und Korrekturmaßnahmen. Das ist ein großer Vorteil für das Supply-Chain-Management und hilft, Lieferkettennetzwerke zu optimieren. Sobald eine solche Lösung in einer Umgebung installiert ist, gleicht sie die TISAX-Richtlinie mit dem aktuellen Konfigurationsstatus ab, übermittelt automatisch Warnmeldungen bei nicht konformen Systemen und liefert Empfehlungen zur Behebung gleich mit. Kurz gesagt, SCM unterstützt Unternehmen dabei, eine kontinuierliche, statt einer nur punktuellen Compliance zu erreichen und das ganze Jahr über auditfähig zu bleiben.

Eine SCM-Suite bietet bei TISAX-Compliance aber noch mehr Vorteile:

  • Schnellere Audits und weniger ressourcenaufwendige Auditvorbereitungen
  • Höheres Maß an Cybersicherheit und Support rund um die Uhr
  • Sicherheitsressourcen lassen sich effizienter nutzen
  • Compliance wird ein einfach messbarer KPI
  • Nachverfolgen von Compliance und möglichen Konfigurationsdrifts
  • Eine klare, automatisierte Dokumentation von Änderungen

Über eine SCM-Suite haben Unternehmen zudem die Möglichkeit, auch mehrere Compliance-Richtlinien gleichzeitig zu überwachen. Wenn Firmen beispielsweise Richtlinien für TISAX, ISO 27001 und IEC 62443 simultan anwenden müssen, bietet eine SCM-Suite Zugriff auf die umfangreichste verfügbare Bibliothek von Plattform- und Richtlinienkombinationen. So lässt sich sicherstellen, die Richtlinienkonformität in der gesamten Umgebung durchzusetzen. Es sind auch Tools erhältlich, um die Implementierung zu erleichtern und tieferen Einblick in den Compliance-Status von OT-Umgebungen (Operational Technology) zu gewinnen.

SCM warnt vor unerwünschten Abweichungen

Den Konfigurationsstatus innerhalb eines Netzwerks zu überwachen ist in zweierlei Hinsicht von Vorteil: Es stellt sicher, dass Compliance-Standards wie TISAX kontinuierlich eingehalten werden, wehrt aber auch potenzielle Cyberangriffe und Sicherheitsverletzungen ab, indem man Konfigurationen grundsätzlich sicher hält. Richtig implementiert, überwacht SCM automatisch die Konfiguration der Geräte im Vergleich zu einer bekannten Baseline und spricht bei Abweichungen von der Normkonfiguration unmittelbar Warnungen aus. Solche Abweichungen gehen unter Umständen auf Angreifer zurück, die versuchen, Netzwerkgeräte zu beeinträchtigen und zu einem Teil ihrer Angriffskette zu machen.

SCM erlaubt es, sehr schnell auf diese Informationen reagieren und mögliche Konfigurationsänderungen zu untersuchen. Den Sicherheitsstatus auf diese Art zu überwachen leistet deutlich mehr als lediglich die Gerätekonfigurationen in den gewünschten Zustand zu versetzen. Tatsächlich lassen sich potenzielle Probleme frühzeitig erkennen und Abhilfemaßnahmen ergreifen, bevor sich das Ganze zu einem Sicherheitsvorfall ausweitet.

Dauerhafte Konformität bei mehreren Richtlinien

Eine SCM-Suite enthält eine vorgefertigte TISAX-Richtlinie, die Firmen im Sinne einer kontinuierlichen Compliance nutzen können und um sich auf Audits vorzubereiten. Und sie erlaubt es, auch mehrere Compliance-Richtlinien in der gesamten Umgebung durchzusetzen. Schlussendlich profitiert ein Unternehmen zusätzlich von einem höheren Cybersicherheits-Level aufgrund der TISAX-Compliance.

* Maximilian Gilg arbeitet bei Tripwire.

(ID:47547470)