Varonis debuts trailblazing features for securing Salesforce. Learn More

Wir stellen vor: Die Least Privilege Automation für Microsoft 365, Google Drive und Box

Mehr erfahren
Blog Datensicherheit

Herausforderung TISAX meistern und Datensicherheit erhöhen

Informationssicherheit ist vor allem in der Automobilindustrie ein entscheidender Erfolgsfaktor: So ist gerade in der Wertschöpfungskette in allen Bereichen der Zusammenarbeit die Integrität der Daten essenziell, etwa beim Austausch von...
Michael Buckbee
4 minute gelesen
Letzte aktualisierung 29. Oktober 2021

Inhalt

    Informationssicherheit ist vor allem in der Automobilindustrie ein entscheidender Erfolgsfaktor: So ist gerade in der Wertschöpfungskette in allen Bereichen der Zusammenarbeit die Integrität der Daten essenziell, etwa beim Austausch von Konstruktionsdaten in Entwicklungsprozessen, zur Gewährleistung der Funktionssicherheit von Fertigungsprozessen oder auch beim automatisierten Datenaustausch vernetzter Produktionssysteme.

    Mit der zunehmenden Vernetzung und Digitalisierung steigen aber auch die Herausforderungen:

    • Vermehrt Angriffe aus dem Cyberraum mit Schadsoftware
    • Informationen werden in steigendem Umfang außerhalb unternehmenseigener Systeme oder in der Cloud verarbeitet
    • Daten müssen an Sub-Contractors zur Bearbeitung weitergegeben werden und sind damit dem „Einflussbereich“ des Auftraggebers entzogen
    • Zunehmende Anforderungen an den Datenschutz. Hierbei spielen insbesondere die Daten eine Rolle, die durch die Verwendung von Autos generiert werden und beispielsweise an den Hersteller gesendet werden. Dabei sind Anforderungen wie die DSGVO zu beachten.

    Automobilhersteller haben verständlicherweise ein Interesse daran, ihre Daten und Informationen zu schützen, die sie für die Produkt- und Prozessentwicklung vorhalten bzw. in ihrer Lieferkette bereitstellen, schließlich ist dieses geistige Eigentum einer ihrer wertvollsten Assets. Dabei muss zudem auch die Integrität der Daten stets sichergestellt sein, da ihre Verletzung gerade im Automotive-Sektor enorme Auswirkungen haben kann.

    Was ist TISAX überhaupt?

    Vor diesem Hintergrund haben die OEMs gemeinsam mit dem Verband der Automobilindustrie (VDA) ein eigenes System für Informationssicherheit entwickelt: Trusted Information Security Assessment Exchange (TISAX). Die Zertifizierung wurde 2017 eingeführt und basiert auf der bis dahin verbreiteten internationalen Norm ISO/IEC 27001, die nun aber um Bereiche wie Prototypenschutz, Auftragsverarbeitung oder Verbindungen zu externen Unternehmen erweitert wurde.

    Der Zertifizierungsprozess umfasst sieben Schritte:

    1. Registrierung im TISAX
    2. Vorklärung und Vertragsschluss
    3. Vorbereitung der Bewertung
    4. Durchführung des initialen Assessments
    5. Prüfung Maßnahmenplan
    6. Prüfung
    7. Abschluss

    Die Grundlage der Überprüfung bildet dabei das Information Security Assessment in der aktuelle Version 4.0. Es umfasst 108 Elemente in 18 Kapiteln, von Information Security Policies über Human Resources Security, Access Control und Kryptographie bis hin zur physischen Sicherheit und Supplier Relationships. Die Ergebnisse der Überprüfung sind maximal drei Jahre gültig und werden von den deutschen OEMs akzeptiert.

    Herausforderung unstrukturierte Daten

    Im Hinblick auf die Informationssicherheit stellen vor allem unstrukturierte Daten eine große Herausforderung dar, also Daten, die außerhalb von geschlossenen Systemen wie Datenbanken gespeichert werden. Und diese Daten finden sich nahezu überall verstreut in den Unternehmenssystemen, etwa auf diversen File- und Mail-Servern. Und diese Art Daten wird immer umfangreicher: Laut den Analysten von IDG nehmen unstrukturierte Daten jährlich um 62 Prozent zu – bis 2022 werden 93 Prozent der Dateien als unstrukturierte Daten vorliegen. Aber nicht nur das Volumen sollte einen aufmerken lassen: Diese Dateien bergen in aller Regel die wertvollsten (und dadurch höchst gefährdeten) Informationen eines Unternehmens: von Mitarbeiter- und Kundendaten über Produktions- und Strategiepläne bis zu geistigem Eigentum. Deshalb ist es essenziell für Unternehmen, genau zu wissen, wo welche Daten gespeichert sind, wer darauf Zugriff hat und wer darauf Zugriff haben sollte.

    Inwieweit diese oftmals sensiblen Daten ungeschützt und für alle Mitarbeiter zugänglich sind, zeigt der Datenrisiko-Report 2019: So können in jedem zweiten Unternehmen (53 Prozent) alle Mitarbeiter auf mehr als 1.000 sensible Dateien zugreifen und bei fast ebenso vielen (51 Prozent) unterliegen mehr als 100.000 Ordner keiner Zugriffsbeschränkung. Ein Blick auf die Daten des produzierenden Gewerbes (u.a. wurden hier auch Automobil-Zulieferer untersucht), zeigt, dass zwar nur 1 Prozent der analysierten Dateien sensible Informationen enthalten, von diesen aber 21 Prozent für jeden Mitarbeiter zugänglich sind. Im Durchschnitt sind dies über 20.000 offen zugängliche sensible Dateien!

    Die Daten in den Griff bekommen

    In den TISAX-Anforderungen werden genau diese Probleme auch adressiert, etwa in den Kapiteln 8 (Inventarverzeichnis, Klassifizierung von Informationen) und 9 (Zugangskontrolle).

    Um sensible Daten schützen zu können, muss man sie zunächst als solche identifizieren und wissen, wo sie gespeichert sind. Dies klingt zwar banal, ist aber in der Realität durchaus oftmals eine Herausforderung. Insofern ist ein Inventarverzeichnis eine wichtige Grundlage, auf der sich weitere Maßnahmen aufbauen lassen. Dabei sind „Information-Assets“ sämtliche Elemente mit Informationscharakter, wie z. B. Dokumente, Bilder oder Dateien. TISAX fordert, dass jedem dieser Assets ein Verantwortlicher zugeordnet wird. Hier setzt das Prinzip der Datenverantwortlichen (data owner) an: Diese gehören nicht der IT, sondern den entsprechenden Fachabteilungen an und sind damit in der Lage, präzise zu entscheiden, welcher Mitarbeiter auf welche Dateien zugreifen muss und folgen damit dem „need-to-know“-Ansatz. Auf diese Weise wird sichergestellt, dass nur diejenigen Mitarbeiter, die für ihre Arbeit tatsächlich Zugriff benötigen, ihn auch erhalten. Auf diese Weise wird auch die Anforderung hinsichtlich des Zugriffs auf Informationen und Applikationen (9.5) erfüllt. Dabei sollte sichergestellt werden, dass die Berechtigungen regelmäßig überprüft werden: Ist der Mitarbeiter nach wie vor in dieser Abteilung und benötigt entsprechenden Zugriff? Haben sich die Aufgaben verändert? Ein data owner mit Einblick in die Abläufe kann diese Fragen präzise beantworten und entsprechend gegebenenfalls Änderungen anstoßen. Bei hohem Schutzbedarf muss eine Festlegung zur expliziten Genehmigung der Nutzung eines Information-Assets definiert sein. Analog zum Datenverantwortlichen müssen hier zusätzliche Genehmiger (authorizers) definiert werden.

    Ein Inventarverzeichnis ist nicht statisch. Ständig werden Daten erstellt, kopiert und verändert. Nutzer kommen hinzu und gehen wieder. Deshalb muss der gesamte Datenlebenszyklus einbezogen und mittels Audittrails nachvollzogen und überprüft werden können.

    Neben der Inventarisierung muss auch die Klassifizierung automatisiert erfolgen. Eine manuelle Einstufung ist angesichts der reinen Datenmenge schlicht und einfach nicht zu realisieren. Hierbei kann man auf bereits erstellte und auf die jeweilige Branche bzw. das entsprechende Umfeld zugeschnittene Suchmuster zurückgreifen. Darüber hinaus sollte die eingesetzte Lösung auch in der Lage sein, eigene Suchmuster zu definieren.

    Mit „Zugangskontrolle“ assoziieren die meisten IT-Verantwortlichen insbesondere Systeme wie PAM oder 2FA. Dabei sollte in diesem Zusammenhang aber auch ein effektives Monitoring nicht vergessen werden. Insbesondere bei sensiblen Dateien und bei hohem Schutzbedarf muss ein dauerhaftes Monitoring der Zugriffe auf Unregelmäßigkeiten erfolgen. Durch einen auswertbaren Audittrail der Benutzerzugriffe auf Fileserver, Sharepoint, Domain Controller, Office 365 oder NAS Systeme kann so nachgewiesen werden, wer wann auf welche Dateien zugegriffen hat. Unregelmäßigkeiten und abnormales Nutzerverhalten lassen sich zudem über eine intelligente Überwachung des Nutzerverhaltens (UBA) erkennen und automatisiert stoppen.

     

    Aufgrund der Vielzahl und Heterogenität der Anforderungen (von physischer Sicherheit bis hin zu Business-Continuity-Management) wird deutlich, dass es nicht die eine Lösung geben kann, die zur TISAX-Konformität führt. Die Unternehmen müssen genau prüfen, welche Aspekte in ihrer spezifischen Umgebung besonders wichtig und dringend sind bzw. wo Nachholbedarf besteht, und dort ansetzen. Gerade die mittelständischen Zulieferer sind hier gefragt und müssen aktiv werden, denn die Marktdurchdringung setzt sich immer weiter fort und kommt nach Meinung von Branchenkennern gerade bei Tier-2-Supplieren an. Angesichts zunehmender Cyberherausforderungen auch für den Mittelstand ist es aber ohnehin höchste Zeit, in IT- und Informationssicherheit zu investieren.

    Autor: Klaus Nemelka, Technical Evangelist bei Varonis Systems

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    Michael Buckbee
    Michael Buckbee

    Michael hat als Systemadministrator und Softwareentwickler für Startups im Silicon Valley, die US Navy und alles dazwischen gearbeitet.

    Testen Sie Varonis gratis.
    Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
    Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
    Ohne Bedingungen und Auflagen
    Erste Schritte Vorschau des Beispielreports
    Keep reading
    hinter-dem-varonis-rebranding
    Hinter dem Varonis-Rebranding
    hinter-dem-varonis-rebranding
    Courtney Bernard
    20. Februar 2024
    Entdecken Sie die Strategie, die hinter dem Rebranding von Varonis steht – mit einem Übergang zu einem Heldenarchetyp und der Einführung von Protector 22814.
    cybersecurity-trends-2024:-was-sie-wissen-müssen
    Cybersecurity-Trends 2024: Was Sie wissen müssen
    cybersecurity-trends-2024:-was-sie-wissen-müssen
    Lexi Croisdale
    16. Januar 2024
    Erfahren Sie mehr über Datensicherheitsmanagement, KI-Sicherheitsrisiken, Änderungen bei der Compliance und mehr, um Ihre Cybersecurity-Strategie für 2024 vorzubereiten.
    das-war-2023 – so-wird-2024
    Das war 2023 – so wird 2024
    das-war-2023 – so-wird-2024
    Sebastian Mehle
    13. Dezember 2023
    Im Kielwasser der massiven Verbreitung von WannaCry im letzten Monat sorgt gerade eine neue Variante von Ransomware für massive Störungen, dieses Mal unter der Bezeichnung „NotPetya“. Fast den gesamten Morgen...
    podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
    Podcast-Empfehlung: Alles, was Sie zu Data Security Posture Management
    podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
    Sebastian Mehle
    8. Dezember 2023
    Im Gespräch mit Oliver Schonschek, News-Analyst bei Insider Research, hatte ich die Möglichkeit, das Konzept Data Security Posture Management zu erklären und zu zeigen, wie es sich in der Praxis umsetzen lässt. Dabei stand zunächst die Frage im Raum, ob und inwieweit wir unsere bisherigen Security-Konzepte neu denken müssen. Werden durch DSPM bewährte Praktiken wie Endpoint-Sicherheit, Firewalls und ähnliches gar obsolet?