Security-Lösungen für TISAX®: IT-Sicherheitsstandard der Autoindustrie

Sabine Kuch | Juli 01, 2022

Der Verband der Automobilindustrie (VDA) hat mit TISAX® einen Standard für Informations- und Cybersicherheit geschaffen, der speziell an die Anforderungen der Automobilbranche angepasst ist. Automobilhersteller entwickeln ihre Produkte oftmals mit globalen Zulieferunternehmen. Um eine sichere Verarbeitung und einen vertrauensvollen Austausch von Informationen zwischen diesen Unternehmen zu gewährleisten, hat der Verband der Automobilindustrie (VDA) 2017 den Prüf- und Austauschmechanismus TISAX® entwickelt.

So wurden beispielsweise speziell für die Automobilbranche die Bereiche Einbindung von Partnern in die eigene IT-Infrastruktur, Datenschutz und Prototypenschutz mit aufgenommen. Um die Zertifizierung zu erlangen, müssen Unternehmen die Anforderungen erfüllen, die im VDA-ISA-Prüfungskatalog festgelegt sind.

Dieser besteht aus drei Modulen:

  1. Informationssicherheit
  2. Datenschutz
  3. Prototypenschutz

Die Informationssicherheit ist das Hauptmodul, basierend auf ISO 27001, das bei jedem Assessment geprüft wird. Die drei Sondermodule werden dem Assessment je nach Bedarf hinzugefügt. Ziel des Moduls „Informationssicherheit” der TISAX®-Zertifizierung ist es, dass die IT-Sicherheit in einem Unternehmen geplantüberwachtgeprüft und laufend verbessert wird.

Christian Bücker, Business Director, macmon secure GmbH:

„Die Automobilbranche ist global vernetzt und entwickelt sich immer stärker zu einem Software-definierten Produkt, Stichwort driver-assistance (ADAS-) und automated driving (AD-) -Lösungen. Die Anforderungen an die Informationssicherheit in der Automobilbranche wachsen exponentiell.

In diesem komplexen Wertschöpfungsprozess setzt IT-Security im Wesentlichen drei Dinge voraus: 

  • standardisierte Prozesse,
  • automatisierte Workflows,
  • und revisionssichere Reports.

Hier kann macmon Network Access Control (NAC) als IT-Security-Lösung eingesetzt werden. Wir bieten ÜbersichtCompliance und Zugangskontrolle. Durch die Akquisition durch Belden erhalten wir jetzt einen direkten Zugang nicht nur zu der Branche als solcher, sondern auch zu umfassendem Know-how in OT-Netzwerken, welches in Kombination mit unserer bestehenden Entwicklung noch für diverse Optimierungen, Ergänzungen und Erweiterungen führen wird.“  

Im Speziellen wird macmon NAC den Anforderungen des TISAX®-Fragenkataloges in folgenden Punkten gerecht:

1.3 Asset Management
1.6 Incident Management
2.1 Human Resources
4.1 Identity Management
5.2 Operations Security

Übersicht und Kontrolle mit macmon NAC

Das Asset Management im Sinne der TISAX®-Anforderungen unter 1.3 beschäftigt sich zum einen mit Informationswerten (Daten/Informationen) und zum anderen mit Informationsträgern (IT/OT-Systeme jeglicher Art). Dabei ist es elementar, ein zentrales Verzeichnis über alle vorhandenen Assets sowie die zuständigen Personen zu führen.
Dies entspricht ISO 27001: A.8.1.1, A.8.1.2

Durch den Einsatz einer Network-Access-Control-Lösung, wie macmon NAC, besteht eine ständige Übersicht über alle mit dem Netzwerk verbundenen Systeme. Gerätetypen können nach diversen Kriterien, wie dem Standort, dem Netzwerkzugang, dem Gerätetyp, dem Verantwortlichen, dem Informationsgehalt und vielen anderen Eigenschaften gruppiert und im Netzwerk verwaltet werden. macmon NAC trägt damit ein Verzeichnis sämtlicher mit dem Netzwerk verbundenen Assets bei und liefert zudem ergänzende Informationen, wie den Lebenszyklus oder den aktuellen Standort der Geräte.

Ereignisverarbeitung und situative Reaktion

Das Incident Management einer Organisation (TISAX® 1.6) stellt die geordnete Verarbeitung von Informationssicherheitsereignissen dar und hat das Ziel, möglichen Schaden zu begrenzen und ein wiederholtes Eintreten zu verhindern. Dabei müssen zum einen, auf organisatorischer Ebene die Kritikalitäten und Eskalationsstufen eruiert werden, während auf der anderen Seite, die alarmierenden Systeme in der Lage sein müssen, diese Anforderungen zu erfüllen und damit die organisatorischen Prozesse optimal zu unterstützen. Dies entspricht ISO 27001: A.16.1

macmon NAC bietet neben der Kontrolle der Netzwerkzugänge und dem zugehörigen Regelwerk eine separate Ereignisverarbeitung, mit der individuell auf jede Situation reagiert werden kann. So werden die im Netzwerk ermittelten Informationen zu Endgeräten und Netzwerkgeräten verarbeitet und analysiert, um Angriffsereignisse wie ARP-Spoofing, MAC-Spoofing, etc., informelle Ereignisse zu Network-Session-Started, aber auch Warnungen wie Endpoint-Almost-NonCompliant oder Network-Device-Changed zu generieren. Auf Basis dieser Ereignisse (ca. 50 verschiedene) können diverse Reaktionen definiert werden, wie eine Alarmierung per Mail, SMS, Trap, Syslog, senden von Daten an eine REST-API aber auch konkrete Maßnahmen, wie das Isolieren eines Endgerätes. Dabei können sämtliche Umgebungsvariablen wie Standortzuständige PersonUhrzeit, etc. als Bedingungen einbezogen werden, um individuell jedes Incident Management aktiv zu unterstützen.

Durchsetzung von Sicherheitsrichtlinien für mobile Endgeräte

Die Human Resources eines Unternehmens (TISAX® 2.) definieren die Anforderungen für das sichere Arbeiten außerhalb der Unternehmensstrukturen. Hierbei werden die Aspekte des Datenschutzes, des Zugriffes auf Informationsinhalte und dessen Schutz vor dem Zugriff durch Unberechtigten, geregelt. Dies entspricht ISO 27001: A.6.2

macmon NAC unterstützt die Durchsetzung von Sicherheitsrichtlinien für mobile Endgeräte indem zum einen die Überprüfung der umgesetzten Sicherheitsmaßnahmen, wie Virenschutz, Desktop Firewall oder installierte Patches geprüft werden und zum anderen, direkte Maßnahmen eingeleitet werden können. Mobile Endgeräte, die längere Zeit nicht im Unternehmensnetzwerk angemeldet waren, können in einem separaten Quarantänenetz überprüft, und falls nötig aktualisiert oder rekonfiguriert werden, um erst nach bestandener Sicherheitsprüfung Zugang zum Unternehmensnetzwerk zu erhalten. Die Integrität dieser Endgeräte wird durch Sicherheitsmaßnahmen aus den Bereichen des Fingerprinting, des WMI und SNMP sowie des Footprinting individuell verifiziert (Advanced Security).

Zugang nur für vertrauenswürdige Endgeräte

Das Identity Management einer Organisation (TISAX® 4.1) regelt die Identifizierung von vertrauenswürdigen Quellen für die Authentifizierung mit dem Ziel nur berechtigten Personen und Geräten den Zugriff auf Unternehmensressourcen zu ermöglichen. Des Weiteren werden Maßnahmen und Verfahren zur Protokollierung definiert, die die nachhaltige Dokumentation zum Auffinden von Sicherheitsverstößen ermöglichen. Dies entspricht ISO 27001: A.9.1., A.9.4.2

macmon Network Access Control ist sowohl in der Lage Endgeräte und Benutzer zu authentifizieren als auch eine Kombination aus beiden Identitäten. Zum einen wird so sichergestellt, dass nur Geräte Zugang zum Netzwerk erhalten, die vertrauenswürdig sind und den Sicherheitsvorgaben entsprechen, und zum anderen kann in der Kombination mit Benutzeridentitäten geregelt werden, dass bestimmte Geräte nur von bestimmten Benutzern im Netzwerk betrieben werden dürfen. Auf diese Weise lassen sich Sicherheitszonen in Abhängigkeit der verfügbaren Ressourcen und Informationen definieren und mittels macmon NAC vor unbefugter Nutzung schützen. Dabei können, neben der Verwaltung der Zugänge und der Steuerung der Segmentierung, diverse Drittanbieter-Lösungen wie Firewalls oder IPS-Systeme integriert werden. Solche Integrationen bieten bidirektional die Möglichkeit, bei erkannten Anomalien betreffende Endgeräte zu isolieren oder Informationen über erfolgreich identifizierte Geräte an die anderen Systeme zu übermitteln, um dort die Informationen automatisiert in die Regelwerke zu übernehmen.

Management aller Endgeräte der Netzwerkinfrastruktur

Die Operation Security einer Organisation (TISAX® 5.2) regelt Verfahren zur Absicherung der IT-Netzwerkinfrastruktur mit dem Ziel, Aspekte der Informationssicherheit bei Änderungen der Geschäftsprozesse zu betrachten. Ferner soll sichergestellt werden, dass ZuverlässigkeitVertraulichkeit und Integrität gewährleistet sind. Dies entspricht ISO 27001: A.13.1.1, A.13.1.3

Die Verwaltung und Steuerung der Netzwerke samt sämtlicher darin befindlichen Endgeräte und Netzwerkgeräte bildet das Grundprinzip von macmon NAC. Denkbare Szenarien sind dabei z.B. die Absicherung hochkritischer Netzwerkbereiche durch interne Firewalls, während die Kommunikation durch die Firewalls nur für Endgeräte und Benutzer zugelassen wird, welche vorher durch macmon NAC eindeutig identifiziert wurden und die entsprechende Sicherheitsfreigabe haben. Die Segmentierung des Netzwerks ist eine grundlegende Funktion und gleichzeitig ein großer Mehrwert von macmon NAC. Dabei können die Grenzen zwischen Segmenten durch virtuelle Netzwerke (VLANs) oder auch Access Control Listen (ACLs) definiert werden, um so sicherzustellen, dass immer nur die berechtigten Personen und Geräte zu den jeweiligen Informationsdiensten und Informationssystemen Zugang erhalten. 

 

TISAX® ist eine eingetragene Marke der ENX Association. Die macmon secure GmbH steht in keiner geschäftlichen Beziehung zu ENX. Mit der Nennung der Marke TISAX® ist keine Aussage des Markeninhabers zur Geeignetheit der hier beworbenen Leistungen verbunden.

Empfohlene Artikel

© macmon secure GmbH