2022-10-28 von Immo Wehrenberg TISAX
Das wesentliche Ziel der Informations- und Cybersicherheit war über eine lange Zeit durch die Notwendigkeit getrieben, Investitionen in Forschung und Entwicklung vor Industriespionage und leaks zu schützen. Dies galt als die erste Version des ISA vom VDA veröffentlicht wurde, es galt beim Start von TISAX in 2017 und es war immer noch der Treiber als ENX's Arbeitsgruppe (WG) ISA die Version 5 des ISA entwickelt hat.
Obwohl Vertraulichkeit unzweifelhaft ein wesentlicher Aspekt der Informationssicherheit ist, zielt die Informationssicherheit auch auf die Integrität und Verfügbarkeit von Informationen ab. Im ISA zielen die Grundanforderrungen und die meisten Zusatzanforderugen auch auf alle dieser Schutzziele ab. Dennoch gab es immer einige Zusatzanforderungen die ausschließlich die Vertraulichkeit schützen sollen. Entsprechend wurde TISAX im wesentlichen auf die Organisationen und Lokationen angewendet, die mit vertraulichen Informationen umgehen.
Durch die Auswirkungen auf unsere Branche hat aber eine andere Bedrohung aktuell wesentlich an Bedeutung gewonnen - Angriffe durch sogenannte Ransomware. Natürlich ist Ransomware auch eine Bedrohung der Vertraulichkeit, der Schaden durch die Auswirkung fehlender Verfügbarkeit auf die Lieferfähigkeit ist aber in vielen Fällen noch größer.
Aus diesem Grund gerät zusätzlich der Teil der Industrie unter die Lupe, in dem Teile fúr die Serienproduktion produziert werden. Diese direkten Zulieferer sind im Herzen der Produktionsprozesse. Ausfälle erzeugen hier nicht nur den Schaden beim Lieferanten selber, sondern hat Konsequenzen nach oben in die Lieferkette. Kurz Zusammengefasst: Wenn die notwendigen Teile wegen einem Ausfall beim Zulieferer fehlen, steht auch die Produktion des Herstellers.
Deswegen legen Hersteller immer mehr Wert auf die Erfüllung der Informationssicherheitsanforderungen im Bereich der direkten Zulieferer. Wenn Sie Teile für die Produktion liefern, wird es deswegen immer wahrscheinlicher, dass Ihre Kunden von Ihnen fordern die Erfüllung von Anforderungen nachuweisen. TISAX ist der Nachweis, um diese Anforderung zu erfüllen.
TISAX nutzt TISAX Prüfziele und dazugehörige TISAX Labels um die Prüfung und das Prüfergebnis gemäß dem Risikoprofil der geprüften Organisation zu Konfigurieren. Genauergesagt: TISAX Prüfziele definieren wie die Prüfung durchgeführt wird (Assessment Level und anzuwendenen Anforderungen)
Durch die neue Klasse von Zulieferern die in den Fokus gerückt sind, bekommt TISAX eine neue Klasse von Unternehmen mit neuem Risikoprofil und entsprechenden eigenen Anforderungen. Dadurch wird notwendig, dass wir die TISAX Prüfziele passend aufstellen.
Unsere Arbeitsgruppe ISA hat noch einmal überprüft, dass tatsächlich alle Basisanforderungen ("muss" und "sollte") gleichermaßen auf Vertraulichkeit, Integrität, und Verfügbarkeit zutreffen. Zudem hat die Gruppe die Zusatzanforderungen für hohen und sehr hohen Schutzbedarf gemäß der adressierten Schutzziele markiert. Vielleicht haben Sie die Kombination der Buchstaben C, I und A, die am Ende der Zusatzanforderungen aufgetaucht sind bereits bemerkt. Mit "C" für Vertraulichkeit (Confidentiality), I für Integrität (Integrity) und A für Verfügbarkeit (Availability) ist dies das Ergebnis dieser Arbeit.
Wie Sie im Bild erkennen können, wird das existierenden "Umgang mit Informationen mit hohem Schutzbedarf" ("Info High") TISAX Label in "hohe Verfügbarkeit" ("Avail High") und "Vertraulich" ("Vertraulich") aufgeteilt. Entsprechend wird mit dem aktuellen "Umgang mit Informationen mit sehr hohem Schutzbedarf" ("Info Very High") umgegangen, es wird zu "Sehr hohe Verfügbarkeit" ("Avail Very High") und "Streng Vertraulich" ("Geheim").
Die neuen Labels funktionieren wie folgt:
Bitte beachten Sie, dass die neuen TISAX Labels eine Untermenge der "Info High" und "Info Very High" labels sind. Durch diese Aufteilung entstehen keine neuen Anforderungen oder Änderungen am Assessment Level.
Weil die Vertraulichkeits-Labels quasi identisch mit den alten Info-Labels sind, erhalten wir diese vorerst mit ihrem "Info"-Namen und vervollständigen die Aufteilng in einem zweiten Schritt. Darüber werden wir Sie noch einmal benachrichtigen, wenn diese Änderung bevorsteht.
Entsprechend gilt: Wenn Sie bereits ein "Info High" TISAX Label haben, vergeben wir Ihnen zusätzlich das neue "Hohe Verfügbarkeit" Label. Dies passiert automatisch, es ist keine Aktion von ihrer Seite notwendig. Genauso werden wir mit dem "Info Very High" label und "Sehr hohe Verfügbarkeit" verfahren. Gehen Sie davon aus, dass wir das gleiche auch auf die Vertraulichkeits-Labels anwenden werden, sobald diese Freigeschaltet werden.
TISAX Prüfdienstleister beginnen nun mit den Vorbereitungen, Prüfungen für die neuen Prüfziele anbieten zu können. Wenn Sie einen neuen Scope registrieren und mit einer Prüfung im nächsten Jahr planen, können Sie die neuen Prüfziele deshalb bereits bei uns im Portal auswählen. Bis die Umstellung abgeschlossen ist (also auch die Vertraulichkeits-Lables eingeführt sind), können sie wie gewohnt weiterhin die "Info High" und "Info Very High" Labels für ihre Prüfung nutzen.