von Wolfram Funk

Wozu TISAX?

TISAX steht für “Trusted Information Security Assessment Exchange”. Das sogenannte „TISAX Label“ der ENX Association, einem Zusammenschluss europäischer Automobilhersteller, -Zulieferer und Verbände auf europäischer Ebene, wurde 2017 eingeführt. Das Label dient gegenüber der Automobilindustrie als Nachweis, dass ein Lieferant über ein bestimmtes Sicherheitsniveau verfügt. Es muss alle drei Jahre erneuert werden. Es wird von Automobilherstellern (OEMs) auf einer vertraglichen Grundlage von ihren Zulieferern gefordert. Das TISAX-Label beruht auf einem gemeinsamen, standardisierten Assessmentprozess, der über akkreditierte Auditoren umgesetzt wird. In neuen Leistungsausschreibungen werden die anbietenden Zulieferer im Falle einer Beauftragung zum Beispiel dazu verpflichtet, Zertifikate nach bestimmten Standards vorzulegen. Oft haben die Zulieferer dann noch eine „Karenzzeit“ von zwölf Monaten. Legt ein Lieferant die erforderlichen Nachweise dann nicht vor, hat der OEM das Recht, die Beauftragungen einzustellen. Manche OEMs fordern auch weitere Informationssicherheits-Zertifizierungen, zum Beispiel auf Basis der ISO 27001, dem globalen Standard für das Informationssicherheitsmanagement. Mit der ISO/SAE 21434 “Road vehicles – Cybersecurity engineering" steht eine neue Norm am Horizont, die künftig für Zulieferer relevant werden kann.

Die Auditierung

Um das TISAX-Label zu erhalten, muss das Unternehmen einem anerkannten Prüfdienstleister eine Selbstauskunft in Form eines umfassenden Fragebogens vorlegen. Diese Selbstauskunft wird dann durch die Auditoren geprüft. Für die höchste Stufe des Labels werden die Auditoren Interviews und Vor-Ort-Begehungen durchführen. Der zugrundeliegende VDA-ISA Anforderungskatalog ist an die Sicherheitsnormen ISO 27001 und ISO 27002 angelehnt, in einzelnen Anforderungsspezifikationen aber detaillierter gestaltet.

Fünf Empfehlungen

1. Nutze die TISAX-Auditierung zur Einführung eines Managementsystems für Informationssicherheit (ISMS): Eine TISAX-Auditierung kann zwar als Projekt aufgesetzt werden, muss aber in einen fortlaufenden Sicherheitsprozess münden. Das Unternehmen muss diesen stetig verbessern und dynamisch auf Veränderungen im Umfeld reagieren. Dazu gehören zum Beispiel neue Technologien, Bedrohungen, Schwachstellen oder auch Änderungen in der Tätigkeit der Organisation wie etwa neue Geschäftsfelder. Wer sich nach einer erfolgreichen Erstzertifizierung ausruht, wird sich mit der Erneuerung des TISAX-Labels nach drei Jahren schwer tun. Unternehmen mit einem bestehenden ISMS, möglicherweise sogar mit Zertifizierung nach ISO 27001, können mit überschaubarem Mehraufwand das TISAX Label erhalten und erneuern.

2. Erhalte Unterstützung auf allen Führungsebenen. Für die Auditierungsvorbereitung und -durchführung können unter Umständen erhebliche personelle Ressourcen notwendig sein. Außerdem sind verschiedene Fachbereiche, zentrale Abteilungen und Führungskräfte in den Auditierungsprozess einzubeziehen. Es ist wichtig, dass die Informationssicherheitsverantwortlichen sich im Vorfeld die Unterstützung durch die oberste Führungsebene sichern und die erforderlichen Ressourcen erhalten.

3. Definiere mit Sorgfalt den geplanten Geltungsbereich. Das TISAX-Label gilt immer für einen bestimmten Unternehmensstandort. Es ist in der Regel effizienter, mehrere Standorte auf einmal zu auditieren. Daher müssen die aktuellen und potenziellen Auditierungsanforderungen für alle Standorte im Vorfeld sorgfältig analysiert werden. Aber Vorsicht: Ein gesamthaftes Label kann durch das Scheitern eines einzelnen Standorts gefährdet werden!

4. Vermeide „Schrankware“. Mancherorts herrscht die Meinung vor, es reiche aus, für eine Auditierung eine Vielzahl an Vorlagen für Security Policies und Konzepte zu befüllen. Das ist mitnichten so. Die Auditoren legen Wert darauf, dass Informationssicherheit als Prozess nachweislich gelebt wird. Dieser Nachweis kann zum Beispiel durch sinnvolle KPIs (Key Performance Indicators) sowie durch lückenlos gepflegte Listen von Risiken, Maßnahmen und Sicherheitsvorfällen untermauert werden.

5. Bereite das Audit sorgfältig vor. Dieser Vorgang beginnt mit der detaillierten Befüllung des ISA-Fragebogens. Es hat sich bewährt, insbesondere für jede MUSS- oder SOLLTE-Einzelanforderung unter einer Kontrollfrage die Umsetzungsbeschreibung und Dokumentenreferenzen kurz und präzise zu fassen. Im Audit selbst müssen die Teilnehmer diese Informationen parat haben und ohne langes Suchen präsentieren können. Vor dem externen muss ein internes Audit zur Erkennung potenzieller „offener Flanken“ stattfinden. Die Informationssicherheitsverantwortlichen sollten im Vorfeld für alle am Audit beteiligten Kolleg*Innen angemessene Briefings durchführen.

msg unterstützt Unternehmen bei der Erlangung einer Zertifizierungsreife für TISAX sowie für weitere gängige Standards des Informationssicherheitsmanagements und ist zugleich selbst als Zulieferer der Automobilindustrie in einzelnen Geschäftseinheiten beziehungsweise Standorten nach TISAX auditiert.

München, 21. Juni 2021. msg platziert sich zum dritten Mal in Folge auf dem sechsten Rang in der Lünendonk-Liste „Führende IT-Beratungs- und Systemintegrations-Unternehmen in Deutschland“. Das Ranking listet die 25 größten internationalen und deutschen Anbieter von IT-Beratungsleistungen nach ihrem jährlichen Umsatz. Somit bietet es einen Überblick über die großen Player am deutschen Markt für IT-Beratung und Systemintegration.

Die Nachfrage nach IT-Dienstleistungen ist im Corona-Jahr 2020 nicht eingebrochen, liegt aber unter dem Niveau des Vorjahres. So verbuchten die in der Lünendonk-Studie untersuchten Unternehmen im Durchschnitt ein Wachstum von 4,9 Prozent (im Vorjahr noch 10,0 Prozent). 65 Prozent der IT-Dienstleister konnten 2020 in ihrem Umsatz zulegen, was 2019 noch 82 Prozent gelungen ist.

Großer Treiber ist die Digitalisierung im öffentlichen Sektor

Insbesondere bei der Cloud-Transformation, Cyber-Security und dem Aufbau von E-Commerce-Lösungen sowie allgemeiner IT-Modernisierung suchten Unternehmen die Unterstützung von externen IT-Consultants. Während die Nachfrage nach IT-Dienstleistungen aus den zwei wichtigsten Branchen „Industrie“ und „Finanzdienstleistungen“ im Vergleich zu 2019 nahezu konstant blieb, bauten die befragten IT-Dienstleister ihr Geschäft mit dem Handel sowie dem öffentlichen Sektor deutlich aus. „Auch bei msg war ein Zuwachs an Aufträgen zu verzeichnen, insbesondere im Public Sector“, kommentiert msg-Vorstandsvorsitzender Dr. Stephan Frohnhoff. „In diesem Bereich erzielten wir 2020 ein Umsatzwachstum von 30 Prozent im Vergleich zum Vorjahr.“

Neben den in Deutschland generierten Umsatzzahlen benennt Lünendonk auch die Entwicklung der entsprechenden Mitarbeiterzahlen. Dabei stieg die Zahl im Mittel um 4,5 Prozent im Vergleich zum Vorjahr. msg liegt hier mit einem Mitarbeiteranstieg von 6,1 Prozent über dem Durchschnitt. „Die Ergebnisse von Lünendonk bestätigen unsere positiven Geschäftszahlen und zeigen, dass wir die strategisch richtigen Entscheidungen getroffen haben“, sagt Frohnhoff. „Wir sind stolz, uns in Pandemiezeiten unverändert in den Top-10 des renommierten Lünendonk-Rankings etabliert zu haben.“

von Deniz Wetz

Das IT-Sicherheitsgesetz von 2015 und insbesondere die damit verbundenen Änderungen am BSI-Gesetz haben Anforderungen an Betreiber Kritischer Infrastrukturen (KRITIS) gestellt. Das IT-Sicherheitsgesetz 2.0 (auch Zweites IT-Sicherheitsgesetz) ist am 28.05.2021 in Kraft getreten und beinhaltet Erweiterungen in Bezug auf den Schutz von Kritischen Infrastrukturen. Daneben stärkt es den Aufgabenbereich des Bundesamts für Sicherheit in der Informationstechnik (BSI) als Cyber-Sicherheitsbehörde des Bundes. Neben dem Verbraucherschutz zählen dazu Prüf- und Kontrollbefugnisse in der Bundesverwaltung und Anordnungsbefugnisse gegenüber Telekommunikations- und Telemedienanbietern. Zudem werden Bußgelder für Verstöße angehoben.

Erweiterung des Geltungsbereichs

Das IT-Sicherheitsgesetz 2.0 wird um „Unternehmen im besonderen öffentlichen Interesse“ erweitert. Hierzu zählen Unternehmen, die Güter nach § 60 Absatz 1 Nummer 1 und 3 der Außenwirtschaftsverordnung herstellen oder entwickeln, Unternehmen, die der Störfall-Verordnung unterliegen, sowie Unternehmen, die nach ihrer inländischen Wertschöpfung zu den größten Unternehmen in Deutschland gehören und damit eine besondere volkswirtschaftliche Bedeutung haben. Zu letztgenannten zählen auch deren Zulieferer. Durch Rechtsverordnung werden wirtschaftliche Kennzahlen und Merkmale festgelegt, um diese zu bestimmen. Zusätzlich wird die Siedlungsabfallentsorgung zu einem weiteren Sektor der Kritischen Infrastrukturen.

Nachweise zur Informationssicherheit

Unternehmen im besonderen öffentlichen Interesse werden verpflichtet, mindestens alle zwei Jahre dem BSI eine Selbsterklärung zur IT-Sicherheit vorzulegen. Aus dieser muss hervorgehen, welche Zertifizierungen, Sicherheitsaudits oder Prüfungen im Bereich der IT-Sicherheit bestehen und wie sichergestellt wird, dass schützenswerte IT-Systeme, Komponenten und Prozesse angemessen und nach Stand der Technik geschützt werden. Ausgenommen hiervon sind Unternehmen, die der Störfall-Verordnung unterliegen, da diese bereits entsprechende Nachweispflichten vorsieht. Für Unternehmen im besonderen öffentlichen Interesse wird die Möglichkeit, branchenspezifische Standards vom BSI anerkennen zu lassen, wie dies bei Kritischen Infrastrukturen der Fall ist, nicht gegeben.

Anforderungen an Kritische Komponenten

Betreiber Kritischer Infrastrukturen müssen den Einsatz von Kritischen Komponenten beim Bundesministerium des Innern, für Bau und Heimat (BMI) anzeigen. Dabei handelt es sich um IT-Produkte, die in Kritischen Infrastrukturen eingesetzt werden oder von hoher Bedeutung für das Funktionieren des Gemeinwesens sind. Kritische Komponenten können auch auf Grund eines Gesetzes bestimmt werden. Diese dürfen nur eingesetzt werden, wenn der Hersteller eine Garantieerklärung gegenüber den Betreibern der Kritischen Infrastruktur abgegeben hat, aus welcher hervorgeht, dass diese nicht über technische Eigenschaften verfügen, die spezifisch dafür geeignet sind, missbräuchlich gegen die Kritische Infrastruktur eingesetzt zu werden.

Einsatz von Systemen zur Angriffserkennung

Zusätzlich werden Betreiber Kritischer Infrastrukturen ab Mai 2023 dazu verpflichtet, Systeme zur Angriffserkennung einzusetzen. Diese Systeme müssen dazu in der Lage sein, sicherheitsrelevante Ereignisse aus dem laufenden Betrieb zu erfassen und auszuwerten, um Bedrohungen erkennen und auf diese reagieren zu können.

Herausgabe sicherheitsrelevanter Informationen

Während einer erheblichen Störung der Informationssicherheit kann das BSI im Einvernehmen mit der jeweils zuständigen Aufsichtsbehörde des Bundes von den betroffenen Betreibern Kritischer Infrastrukturen oder Unternehmen im besonderen öffentlichen Interesse die Herausgabe der zur Bewältigung der Störung notwendigen Informationen einschließlich personenbezogener Daten verlangen.

Mit Inkrafttreten des IT-Sicherheitsgesetzes 2.0 gilt es für Unternehmen im ersten Schritt festzustellen, ob sie in den erweiterten Geltungsbereich fallen. Eine ganzheitliche IT-Sicherheits-Strategie muss anschließend Wege definieren, um die Anforderungen an die Informationssicherheit auf möglichst effiziente Weise zu erfüllen und Synergien in der Verbesserung der Informationssicherheit schaffen.

Das neue Angebot RISE with SAP umfasst Cloud-​Lösungen und Services im Bundle, die die Business Transformation der Unternehmen unterstützen.

von Florian Stahl

Die drei größten Datenschutzrisiken in Web-Applikationen 2021 sind Schwachstellen in den Anwendungen, Datenlecks auf Seiten der Betreiber und unzureichende Reaktionen auf Datenpannen. Daran hat sich seit 2014 nichts geändert. Neu ist allerdings das Risiko auf Rang 4 der Liste: „Einwilligung für Alles“. Damit gemeint sind Webanwendungen, die die Einwilligung zur Datenverarbeitung von ihren Nutzern nicht separat für jeden Zweck – etwa die Nutzung der Website und die Profilbildung für gezielte Werbung – einholen. Ebenfalls neu auf der Liste ist „unzureichende Datenqualität“ auf Position 7, was die Verwendung veralteter, inkorrekter oder gefälschter Nutzerdaten meint. Das Problem „intransparenter Nutzungsbedingungen“ bleibt die Nr. 5 auf der Liste der Top 10 Datenschutzrisiken, während die „unzureichende Löschung personenbezogener Daten“ von Rang 4 auf Rang 6 gefallen ist.

Erstellt und veröffentlicht wurde die Top-10-Liste vom Open Web Application Security Project (OWASP). OWASP ist eine nicht-kommerzielle Open-Source-Organisation, die Best Practices und de-facto-Standards zur Anwendungssicherheit bereitstellt. In dem „Top 10 Privacy Risks Project“ widmet sich OWASP außerdem dem Thema Datenschutz bei Webanwendungen. Mit dem Ziel, Entwickler und Anbieter von Webanwendungen dabei zu unterstützen, den Datenschutz zu verbessern, stellt es Tipps zur Verfügung, wie sich Privacy by Design in Webanwendungen umsetzen lässt. Das Projekt betrachtet technische ebenso wie organisatorische Aspekte und konzentriert sich auf die realen Risiken, weniger auf rechtliche Fragen. 2014 wurde die Top-10-Liste zum ersten Mal veröffentlicht. Aufgrund neuer Regularien wie der europäischen Datenschutz-Grundverordnung (DSGVO) oder dem California Consumer Privacy Act (CCPA) sowie eines sich schnell verändernden Umfeldes hat man die Liste jetzt aktualisiert und die Version 2.0 der 10 wichtigsten Datenschutzrisiken veröffentlicht.

Zur Einschätzung der Risiken wurden gleichermaßen die Schwere und die Häufigkeit des Auftretens von zwanzig potenziellen Risiken berücksichtigt. Die Häufigkeit des Auftretens wurde über eine Umfrage unter sechzig Experten beurteilt, und die Schwere wurde in fünf verschiedenen Kategorien wie beispielsweise Beeinträchtigung der persönlichen Freiheit, finanzieller- oder Image-Schaden bewertet.

Florian Stahl leitet das Projekt und kommentiert: „Eine solche, von einer unabhängigen Organisation erstellte Liste mit Datenschutzrisiken und passenden Gegenmaßnahmen ist wichtig für die Community. Deshalb habe ich mich zusammen mit Freiwilligen aus der ganzen Welt, die ihre unterschiedlichen Erfahrungen und Blickwinkel eingebracht haben, in diesem Projekt engagiert.“