Informationssicherheit ist vor allem in der Automobilindustrie ein entscheidender Erfolgsfaktor: So ist gerade in der Wertschöpfungskette in allen Bereichen der Zusammenarbeit die Integrität der Daten essenziell, etwa beim Austausch von Konstruktionsdaten in Entwicklungsprozessen, zur Gewährleistung der Funktionssicherheit von Fertigungsprozessen oder auch beim automatisierten Datenaustausch vernetzter Produktionssysteme.
Mit der zunehmenden Vernetzung und Digitalisierung steigen aber auch die Herausforderungen:
Automobilhersteller haben verständlicherweise ein Interesse daran, ihre Daten und Informationen zu schützen, die sie für die Produkt- und Prozessentwicklung vorhalten bzw. in ihrer Lieferkette bereitstellen, schließlich ist dieses geistige Eigentum einer ihrer wertvollsten Assets. Dabei muss zudem auch die Integrität der Daten stets sichergestellt sein, da ihre Verletzung gerade im Automotive-Sektor enorme Auswirkungen haben kann.
Vor diesem Hintergrund haben die OEMs gemeinsam mit dem Verband der Automobilindustrie (VDA) ein eigenes System für Informationssicherheit entwickelt: Trusted Information Security Assessment Exchange (TISAX). Die Zertifizierung wurde 2017 eingeführt und basiert auf der bis dahin verbreiteten internationalen Norm ISO/IEC 27001, die nun aber um Bereiche wie Prototypenschutz, Auftragsverarbeitung oder Verbindungen zu externen Unternehmen erweitert wurde.
Der Zertifizierungsprozess umfasst sieben Schritte:
Die Grundlage der Überprüfung bildet dabei das Information Security Assessment in der aktuelle Version 4.0. Es umfasst 108 Elemente in 18 Kapiteln, von Information Security Policies über Human Resources Security, Access Control und Kryptographie bis hin zur physischen Sicherheit und Supplier Relationships. Die Ergebnisse der Überprüfung sind maximal drei Jahre gültig und werden von den deutschen OEMs akzeptiert.
Im Hinblick auf die Informationssicherheit stellen vor allem unstrukturierte Daten eine große Herausforderung dar, also Daten, die außerhalb von geschlossenen Systemen wie Datenbanken gespeichert werden. Und diese Daten finden sich nahezu überall verstreut in den Unternehmenssystemen, etwa auf diversen File- und Mail-Servern. Und diese Art Daten wird immer umfangreicher: Laut den Analysten von IDG nehmen unstrukturierte Daten jährlich um 62 Prozent zu – bis 2022 werden 93 Prozent der Dateien als unstrukturierte Daten vorliegen. Aber nicht nur das Volumen sollte einen aufmerken lassen: Diese Dateien bergen in aller Regel die wertvollsten (und dadurch höchst gefährdeten) Informationen eines Unternehmens: von Mitarbeiter- und Kundendaten über Produktions- und Strategiepläne bis zu geistigem Eigentum. Deshalb ist es essenziell für Unternehmen, genau zu wissen, wo welche Daten gespeichert sind, wer darauf Zugriff hat und wer darauf Zugriff haben sollte.
Inwieweit diese oftmals sensiblen Daten ungeschützt und für alle Mitarbeiter zugänglich sind, zeigt der Datenrisiko-Report 2019: So können in jedem zweiten Unternehmen (53 Prozent) alle Mitarbeiter auf mehr als 1.000 sensible Dateien zugreifen und bei fast ebenso vielen (51 Prozent) unterliegen mehr als 100.000 Ordner keiner Zugriffsbeschränkung. Ein Blick auf die Daten des produzierenden Gewerbes (u.a. wurden hier auch Automobil-Zulieferer untersucht), zeigt, dass zwar nur 1 Prozent der analysierten Dateien sensible Informationen enthalten, von diesen aber 21 Prozent für jeden Mitarbeiter zugänglich sind. Im Durchschnitt sind dies über 20.000 offen zugängliche sensible Dateien!
In den TISAX-Anforderungen werden genau diese Probleme auch adressiert, etwa in den Kapiteln 8 (Inventarverzeichnis, Klassifizierung von Informationen) und 9 (Zugangskontrolle).
Um sensible Daten schützen zu können, muss man sie zunächst als solche identifizieren und wissen, wo sie gespeichert sind. Dies klingt zwar banal, ist aber in der Realität durchaus oftmals eine Herausforderung. Insofern ist ein Inventarverzeichnis eine wichtige Grundlage, auf der sich weitere Maßnahmen aufbauen lassen. Dabei sind „Information-Assets“ sämtliche Elemente mit Informationscharakter, wie z. B. Dokumente, Bilder oder Dateien. TISAX fordert, dass jedem dieser Assets ein Verantwortlicher zugeordnet wird. Hier setzt das Prinzip der Datenverantwortlichen (data owner) an: Diese gehören nicht der IT, sondern den entsprechenden Fachabteilungen an und sind damit in der Lage, präzise zu entscheiden, welcher Mitarbeiter auf welche Dateien zugreifen muss und folgen damit dem „need-to-know“-Ansatz. Auf diese Weise wird sichergestellt, dass nur diejenigen Mitarbeiter, die für ihre Arbeit tatsächlich Zugriff benötigen, ihn auch erhalten. Auf diese Weise wird auch die Anforderung hinsichtlich des Zugriffs auf Informationen und Applikationen (9.5) erfüllt. Dabei sollte sichergestellt werden, dass die Berechtigungen regelmäßig überprüft werden: Ist der Mitarbeiter nach wie vor in dieser Abteilung und benötigt entsprechenden Zugriff? Haben sich die Aufgaben verändert? Ein data owner mit Einblick in die Abläufe kann diese Fragen präzise beantworten und entsprechend gegebenenfalls Änderungen anstoßen. Bei hohem Schutzbedarf muss eine Festlegung zur expliziten Genehmigung der Nutzung eines Information-Assets definiert sein. Analog zum Datenverantwortlichen müssen hier zusätzliche Genehmiger (authorizers) definiert werden.
Ein Inventarverzeichnis ist nicht statisch. Ständig werden Daten erstellt, kopiert und verändert. Nutzer kommen hinzu und gehen wieder. Deshalb muss der gesamte Datenlebenszyklus einbezogen und mittels Audittrails nachvollzogen und überprüft werden können.
Neben der Inventarisierung muss auch die Klassifizierung automatisiert erfolgen. Eine manuelle Einstufung ist angesichts der reinen Datenmenge schlicht und einfach nicht zu realisieren. Hierbei kann man auf bereits erstellte und auf die jeweilige Branche bzw. das entsprechende Umfeld zugeschnittene Suchmuster zurückgreifen. Darüber hinaus sollte die eingesetzte Lösung auch in der Lage sein, eigene Suchmuster zu definieren.
Mit „Zugangskontrolle“ assoziieren die meisten IT-Verantwortlichen insbesondere Systeme wie PAM oder 2FA. Dabei sollte in diesem Zusammenhang aber auch ein effektives Monitoring nicht vergessen werden. Insbesondere bei sensiblen Dateien und bei hohem Schutzbedarf muss ein dauerhaftes Monitoring der Zugriffe auf Unregelmäßigkeiten erfolgen. Durch einen auswertbaren Audittrail der Benutzerzugriffe auf Fileserver, Sharepoint, Domain Controller, Office 365 oder NAS Systeme kann so nachgewiesen werden, wer wann auf welche Dateien zugegriffen hat. Unregelmäßigkeiten und abnormales Nutzerverhalten lassen sich zudem über eine intelligente Überwachung des Nutzerverhaltens (UBA) erkennen und automatisiert stoppen.
Aufgrund der Vielzahl und Heterogenität der Anforderungen (von physischer Sicherheit bis hin zu Business-Continuity-Management) wird deutlich, dass es nicht die eine Lösung geben kann, die zur TISAX-Konformität führt. Die Unternehmen müssen genau prüfen, welche Aspekte in ihrer spezifischen Umgebung besonders wichtig und dringend sind bzw. wo Nachholbedarf besteht, und dort ansetzen. Gerade die mittelständischen Zulieferer sind hier gefragt und müssen aktiv werden, denn die Marktdurchdringung setzt sich immer weiter fort und kommt nach Meinung von Branchenkennern gerade bei Tier-2-Supplieren an. Angesichts zunehmender Cyberherausforderungen auch für den Mittelstand ist es aber ohnehin höchste Zeit, in IT- und Informationssicherheit zu investieren.
Autor: Klaus Nemelka, Technical Evangelist bei Varonis Systems