02. Mai 2022

CIS bietet TISAX-Level-2-Assessments an

Vermehrte Ransomware-Attacken in der Automotive-Branche

Die Automotive-Branche fordert aufgrund der gestiegenen Gefahren für die Informationssicherheit von ihren Lieferanten immer öfters TISAX-Assessments ein, die in drei Schutzklassen (Level) unterteilt werden. Davon betroffen sind auch viele der rund 900 österreichischen Kfz-Zulieferer. Ransomware-Angriffe sind laut „Branchenlagebild Automotive“ des deutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI) derzeit die größte operative Bedrohung der Cyber-Sicherheit. Die CIS - Certification & Information Security Services GmbH reagiert darauf und bietet neben Level-3- jetzt auch Level-2-Assessements an. Die entsprechende Zulassung dafür hat sie bereits durch die ENX Association erhalten.

PKW sind längst zu fahrenden Hochleistungsrechnern mutiert. Bevorzugte Ziele von Cyberkriminellen sind sowohl die einzelnen Fahrzeuge und deren IT als auch die Schwachstellen von Unternehmen in der Supply Chain.

„Die Automotive-Branche ist aufgrund der komplexen Zulieferpyramide besonders eng verzahnt. Entsprechend groß ist die Gefahr einer Kettenreaktion im Fall eines Cyberangriffs“,

erklärt Christoph Schuh-Wendl, TISAX-Manager und Netzwerkpartner der CIS - Certification & Information Security Services GmbH. Seit Ausbruch des Russland-Ukraine-Konflikts ist die Sensibilität dafür weiter gestiegen.

So sind für Entwicklungslieferanten in der Branche faktisch keine Angebotslegungen möglich, wenn man nicht über die jeweils vorgeschriebenen Zertifikate und Labels verfügt. Während Zertifizierungen nach IATF 16949 (Qualität), ISO 14001 (Umwelt) oder Arbeitssicherheit (45001) längst zu den Standardanforderungen in der Automotive-Branche gehören, werden in letzter Zeit vermehrt auch TISAX-Assessments verlangt.

 

Neu: TISAX-Level-2 für Entwickler in der Automotive-Branche

TISAX (Trusted Information Security Assessment Exchange) ist ein branchenspezifischer Austauschmechanismus im Bereich der Informationssicherheit. „Alle Unternehmen müssen sich anfangs auf der sogenannten ENX-Plattform der Automobilhersteller registrieren und sich dann einem Assessment unterziehen. Nach Vorliegen der Prüfergebnisse sind die erteilten Prüflabels dann von allen bestehenden und auch potenziell neuen Geschäftspartnern auf der Plattform einsehbar, sofern man diese Informationen mit ihnen teilt“, erklärt Schuh-Wendl. Zu Beginn hatten die Automobilkonzerne (im Branchenjargon OEM genannt) TISAX nur von ihren direkten Zulieferern (Tier‑1) eingefordert, nun erfasst der Trend auch die nachgelagerte Zulieferkette (Tier-2). Bei Tier-2-Lieferanten handelt es sich um Unternehmen, die beispielsweise Kfz-Originalteile nicht direkt an OEM, sondern an Kfz-Komponentenhersteller (Tier-1) liefern.

Sind Unternehmen also in irgendeiner Form in die Fahrzeug-Entwicklung involviert, werden in der Regel Level-2-Assessments gefordert – angefangen von Software-Entwicklern bis hin zu den Konstruktionsbüros oder auch Entsorgungsunternehmen. „Jedes achtlos weggeworfene Stück Papier kann zum Sicherheitsrisiko werden. Besondere Schwerpunkte im Prüfkatalog liegen in den Bereichen Vertraulichkeit (Industriespionage), Verfügbarkeit, Cybersecurity sowie der Integrität und Awareness von Mitarbeitern und Lieferanten“, betont Schuh-Wendl.

 

Beliebte Masche der Cyberkriminellen

Eine häufige Vorgangsweise der Kriminellen beschreibt das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) in ihrem aktuellen „Branchenlagebild Automotive“: „Cybercrime-Gruppierungen leiten vor der Verschlüsselung sensible Daten aus, beispielsweise Informationen über Prototypen. Diese werden dann auszugsweise veröffentlicht, um den Druck auf das Opfer zu erhöhen. Üblicherweise erfolgt eine Bekanntgabe des Opfers auf der jeweiligen Webseite der Täter mit dem Hinweis, wie viele und welche Daten abgeflossen sind.“

Klaus Veselko, Geschäftsführer der CIS - Certification & Information Security Services GmbH ist überzeugt, dass die Sicherheitsanforderungen in Zukunft noch steigen werden:

„Durch die Transformation Richtung E-Mobilität wird die Digitalisierung in der Automobilindustrie zügig voranschreiten. Das erhöht in weiterer Folge auch die Sicherheitsanforderungen an die Entwickler. Einem Trend, dem wir mit dem neu angebotenen Level-2-Assessment Rechnung tragen.“

Nachdem das Unternehmen bereits über eine Zulassung für Level‑3 verfügt, wurde die CIS nun auch für Level-2 durch die ENX Association zugelassen und ist daher ab sofort zum Assessment von Unternehmen in diesem Bereich berechtigt.

Weitere News & Events

Immer topaktuell informiert

23. Mai 2022

ISO 27701: Frequently asked questions

Ihre Fragen – unsere Antworten rund um Datenschutz & Informationssicherheit

Mehr erfahren
08. Mrz 2022

Risiko-Minimierung für Cloud Services

ISO 27017 minimiert Risiken für Cloud Services

Mehr erfahren
07. Mrz 2022

Der Mehrwert eines Datenschutz­managementsystems

Gastkommentar von Bernhard Bachofner, Chief Technology Officer (CTO) der Fiegl & Spielberger Gruppe zur DSGVO, Datenschutz und dem Nutzen von Zertifizierungen

Mehr erfahren
17. Feb 2022

ISO 27002:2022 – was Sie jetzt wissen müssen!

Startschuss für die neue Norm

Mehr erfahren
08. Feb 2022

Ausblick und Status Quo in puncto „Safer Internet“

Roundtable anlässlich des Safer Internet Day

Mehr erfahren
01. Feb 2022

Österreichs beste Chief Information Security Officer gesucht

„CISO of the Year“: Bewerbungen bis 18. März 2022 möglich

Mehr erfahren
27. Jan 2022

Österreichische Datenschutzbehörde bestätigt Schrems II – Nutzung von Google Analytics illegal?

Europäischer Datenschutztag

Mehr erfahren
11. Jan 2022

NIS-Gesetz: Systemrelevanten Unternehmen drohen Strafen bei nicht zeitgerechter Umsetzung

Experte Klaus Veselko warnt

Mehr erfahren
20. Sep 2022

Event: CIS Compliance Summit 2022

Security | Privacy | Continuity

Mehr erfahren
30. Nov 2021

Wir machen Sie fit für die Zukunft der Digitalisierung!

Warum wir gerade jetzt Information Security Manager benötigen

Mehr erfahren
25. Nov 2021

Mit einer ISO 27001-Zertifizierung den nächsten Gipfel stürmen

Nutzen Sie Managementsysteme für Ihre Ziele!

Mehr erfahren
25. Nov 2021

Cyberkriminalität im Gesundheitswesen kann jeden treffen!

Medizinische Einrichtungen geraten immer stärker in den Fokus

Mehr erfahren
+43 732 34 23 22