TISAX Zertifizierung

Der Branchenstandard für Informationssicherheit in der Automobilindustrie

Der Verband der Automobilindustrie (VDA) hat mit TISAX® einen Standard für Informations- und Cybersicherheit geschaffen, der speziell an die Anforderungen der Automobilbranche angepasst ist. 

 

Automobilhersteller entwickeln ihre Produkte oftmals mit Zulieferunternehmen. Um eine sichere Verarbeitung und einen vertrauensvollen Austausch von Informationen zwischen diesen Unternehmen zu gewährleisten, hat der Verband der Automobilindustrie (VDA) 2017 den Prüf- und Austauschmechanismus TISAX® entwickelt. Mit TISAX® wird für Automobilzulieferer eine Zertifizierung für Informationssicherheit im Unternehmen geschaffen, die sich speziell an die Bedürfnisse der Automobilindustrie richtet.

Der Anforderungskatalog für die TISAX-Zertifizierung (VDA ISA) ist von der internationalen Industrie-Norm ISO 27001 abgeleitet, welche jedoch erweitert wurde. So wurden beispielsweise speziell für die Automobilbranche die Bereiche Einbindung von Partnern in die eigene IT-Infrastruktur, Datenschutz und Prototypenschutz mit aufgenommen.

Um die Zertifizierung zu erlangen, müssen Unternehmen die Anforderungen erfüllen, die im VDA-ISA-Prüfungskatalog festgelegt sind. Dieser besteht aus drei Modulen:
1. Informationssicherheit, 2. Datenschutz und 3. Prototypenschutz.

Die Informationssicherheit ist das Hauptmodul, basierend auf ISO 27001, das bei jedem Assessment geprüft wird. Die drei Sondermodule werden dem Assessment je nach Bedarf hinzugefügt. Ziel des Moduls “Informationssicherheit” der TISAX-Zertifizierung ist es, dass die IT-Sicherheit in einem Unternehmen geplant, überwacht, geprüft und laufend verbessert wird. Dies setzt im Wesentlichen drei Dinge voraus: standardisierte Prozesse, automatisierte Workflows und revisionssichere Reports. Hier greift macmon Network Access Control als IT-Security-Lösung ein.

Wie Network Access Control hilft

  • Übersicht: Erhalten der vollständigen Netzwerkübersicht und Aufspüren von unbekannten Geräten und Ereignissen aus dem Netzwerk.
  • Zugangskontrolle: Effektive Kontrolle der Netzwerkzugänge sowie einheitliches und automatisches Regelwerk zur Steuerung aller Gerätegruppen und Portalzugriffe.
  • Compliance: Überprüfung der Sicherheitslevel von autorisierten Geräten, automatische Isolation von unsicheren Geräten und Anbindung von Technologiepartnern.

macmon NAC für die Anforderungen des TISAX-Fragenkataloges

1.3 Asset Management

Anforderungen nach TISAX

Das Asset Management im Sinne der TISAX Anforderungen unter 1.3 beschäftigt sich zum einen mit Informationswerten (Daten/Informationen) und zum anderen mit Informationsträgern (IT/OT-Systeme jeglicher Art). Dabei ist es elementar, ein zentrales Verzeichnis über alle vorhandenen Assets sowie die zuständigen Personen zu führen.

Entspricht ISO 27001: A.8.1.1, A.8.1.2

Lösung macmon NAC

Durch den Einsatz einer Network-Access-Control-Lösung, wie macmon NAC, besteht eine ständige Übersicht über alle mit dem Netzwerk verbundenen Systeme. Gerätetypen können nach diversen Kriterien, wie dem Standort, dem Netzwerkzugang, dem Gerätetyp, dem Verantwortlichen, dem Informationsgehalt und vielen anderen Eigenschaften gruppiert und im Netzwerk verwaltet werden. macmon NAC trägt damit ein Verzeichnis sämtlicher mit dem Netzwerk verbundenen Assets bei und liefert zudem ergänzende Informationen, wie den Lebenszyklus oder den aktuellen Standort der Geräte.

1.6 Incident Management

Anforderungen nach TISAX

Das Incident Management einer Organisation (Tisax 1.6) stellt die geordnete Verarbeitung von Informationssicherheitsereignissen dar und hat das Ziel, möglichen Schaden zu begrenzen und ein wiederholtes Eintreten zu verhindern.

Dabei müssen zum einen, auf organisatorischer Ebene die Kritikalitäten und Eskalationsstufen eruiert werden, während auf der anderen Seite, die alarmierenden Systeme in der Lage sein müssen, diese Anforderungen zu erfüllen und damit die organisatorischen Prozesse optimal zu unterstützen.

Entspricht ISO 27001: A.16.1

 

Lösung macmon NAC

macmon NAC bietet neben der Kontrolle der Netzwerkzugänge und dem zugehörigen Regelwerk eine separate Ereignisverarbeitung, mit der individuell auf jede Situation reagiert werden kann. So werden die im Netzwerk ermittelten Informationen zu Endgeräten und Netzwerkgeräten verarbeitet und analysiert, um Angriffsereignisse wie ARP-Spoofing, MAC-Spoofing, etc., informelle Ereignisse zu Network-Session-Started, aber auch Warnungen wie Endpoint-Almost-NonCompliant oder Network-Device-Changed zu generieren. Auf Basis dieser Ereignisse (ca. 50 verschiedene) können diverse Reaktionen definiert werden, wie eine Alarmierung per Mail, SMS, Trap, Syslog, senden von Daten an eine REST-API aber auch konkrete Maßnahmen, wie das Isolieren eines Endgerätes. Dabei können sämtliche Umgebungsvariablen wie Standort, zuständige Person, Uhrzeit, etc. als Bedingungen einbezogen werden, um individuell jedes Incident Management aktiv zu unterstützen.

2.1 Human Resources

Anforderungen nach TISAX

Die Human Resources eines Unternehmens (Tisax 2.) definieren die Anforderungen für das sichere Arbeiten außerhalb der Unternehmensstrukturen. Hierbei werden die Aspekte des Datenschutzes, des Zugriffes auf Informationsinhalte und dessen Schutz vor dem Zugriff durch Unberechtigten, geregelt.

Entspricht ISO 27001: A.6.2

Lösung macmon NAC

macmon NAC unterstützt die Durchsetzung von Sicherheitsrichtlinien für mobile Endgeräte indem zum einen die Überprüfung der umgesetzten Sicherheitsmaßnahmen, wie Virenschutz, Desktop Firewall oder installierte Patches geprüft werden und zum anderen, direkte Maßnahmen eingeleitet werden können. Mobile Endgeräte, die längere Zeit nicht im Unternehmensnetzwerk angemeldet waren, können in einem separaten Quarantänenetz überprüft und falls nötig aktualisiert oder rekonfiguriert werden, um erst nach bestandener Sicherheitsprüfung Zugang zum Unternehmensnetzwerk zu erhalten. Die Integrität dieser Endgeräte wird durch Sicherheitsmaßnahmen aus den Bereichen des Fingerprinting, des WMI und SNMP sowie des Footprinting individuell verifiziert.

4.1 Identity Management

Anforderungen nach TISAX

Das Identity Management einer Organisation (Tisax 4.1) regelt die Identifizierung von vertrauenswürdigen Quellen für die Authentifizierung mit dem Ziel, nur berechtigten Personen und Geräten den Zugriff auf Unternehmensressourcen zu ermöglichen. Des Weiteren werden Maßnahmen und Verfahren zur Protokollierung definiert, die die nachhaltige Dokumentation zum Auffinden von Sicherheitsverstößen ermöglichen.

Entspricht ISO 27001: A.9.1., A.9.4.2

 

Lösung macmon NAC

Network Access Control ist sowohl in der Lage Endgeräte wie auch Benutzer zu authentifizieren, wie auch eine Kombination aus beiden Identitäten. Zum einen wird so sichergestellt, dass nur Geräte Zugang zum Netzwerk erhalten die vertrauenswürdig sind und den Sicherheitsvorgaben entsprechen und zum anderen kann in der Kombination mit Benutzeridentitäten geregelt werden, dass bestimmte Geräte nur von bestimmten Benutzern im Netzwerk betrieben werden dürfen. Auf diese Weise lassen sich Sicherheitszonen in Abhängigkeit der verfügbaren Ressourcen und Informationen definieren und mittels macmon NAC vor unbefugter Nutzung schützen.

Dabei können, neben der Verwaltung der Zugänge und der Steuerung der Segmentierung, diverse Drittanbieter-Lösungen wie Firewalls oder IPS Systeme integriert werden. Solche Integrationen bieten bidirektional die Möglichkeit, bei erkannten Anomalien betreffende Endgeräte zu isolieren oder Informationen über erfolgreich identifizierte Geräte an die anderen Systeme zu übermitteln, um dort die Informationen automatisiert in die Regelwerke zu übernehmen.

5.2 Operations Security

Anforderungen nach TISAX

Die Operations Security einer Organisation (Tisax 5.2) regelt Verfahren zur Absicherung der IT-Netzwerkinfrastruktur mit dem Ziel, Aspekte der Informationssicherheit bei Änderungen der Geschäftsprozesse zu betrachten. Ferner soll sichergestellt werden, dass Zuverlässigkeit, Vertraulichkeit und Integrität gewährleistet sind.

Entspricht ISO 27001: A.13.1.1, A.13.1.3

Lösung macmon NAC

Die Verwaltung und Steuerung der Netzwerke samt sämtlicher darin befindlichen Endgeräte und Netzwerkgeräte bildet das Grundprinzip von macmon NAC. Dabei können neben der Verwaltung der Zugänge und der Steuerung der Segmentierung diverse Drittanbieter-Lösungen wie Firewalls oder IPS Systeme integriert werden. Solche Integrationen bieten biderektional die Möglichkeit, bei erkannten Anomalien durch die Firewalls oder IPS Systeme mittels macmon NAC die betreffenden Endgeräte zu isolieren oder Information über erfolgreich identifizierte Geräte an die anderen Systeme zu übermitteln, um dort die Informationen automatisiert in die Regelwerke zu übernehmen. Denkbare Szenarien sind dabei, zum Beispiel, die Absicherung hochkritischer Netzwerkbereiche durch interne Firewalls, während die Kommunikation durch die Firewalls nur für Endgeräte und Benutzer zugelassen wird, welche vorher durch macmon NAC eindeutig identifiziert wurden und die entsprechende Sicherheitsfreigabe haben.

Die Segmentierung des Netzwerks ist eine grundlegende Funktion und gleichzeitig ein großer Mehrwert von macmon NAC. Dabei können die Grenzen zwischen Segmenten durch virtuelle Netzwerke (VLANs) oder auch Access Control Listen (ACLs) definiert werden, um so sicherzustellen, dass immer nur die berechtigten Personen und Geräte zu den jeweiligen Informationsdiensten und Informationssystemen Zugang erhalten.


 

Network Access Control (NAC) kann einen wichtigen Teil zur TISAX-Zertifizierung beitragen. Konkret bei diesen Teilbereichen:


•    1.3 Asset Management
•    1.6 Incident Management
•    2.1 Human Resources
•    4.1 Identity Management
•    5.2 Operations Security

Laden Sie sich das Whitepaper runter, um alle Infos auf einen Blick zu haben.

JETZT DOWNLOADEN


Jetzt sich unverbindlich beraten lassen!

© macmon secure GmbH