Review: Automobilforum Frankfurt

Am 27. Juni 2019 fand im Airport Hilton Hotel das Automobilforum Frankfurt der DNV GL zu den Themen Informationssicherheit und TISAX statt. Ich habe mich dort mal umgesehen.

Nach über 10 Jahren Abstinenz, fand das Automobilforum 2019 wieder in Frankfurt statt. Grund für die Wiederaufnahme der Veranstaltung war die erhöhte Nachfrage aus dem Automobilsektor zum Thema Informationssicherheit und TISAX. Der Teilnehmerkreis setzte sich dementsprechend zusammen aus den IT-Leitern und Security-Verantwortlichen der Automobilbranche, den Experten der IT-Dienstleister sowie selbstständigen IT-Sicherheits-Beratern.

Ausgerichtet wird das, ab nun wieder jährlich stattfindende, Automobilforum von der DNV GL , die sich mit über 15.000 Mitarbeitern als Zertifizierer, Trainer und Ausbilder auf die Schwerpunkte Sicherheit, Umwelt und Arbeitsschutz in der Industrie fokussiert.

Auf der Veranstaltung vorgestellt wurden u.a. die Normen ISO9001 / IATF 16949, TISAX, ISO26262 und COSAX:

  • ISO9001 / IATF 16949: Die Norm IATF 16949 vereint existierende allgemeine Forderungen an Qualitätsmanagementsysteme der (meist nordamerikanischen und europäischen) Automobilindustrie. Sie wurden gemeinsam von den IATF-Mitgliedern entwickelt und basierend auf der EN ISO 9001 veröffentlicht.
  • TISAX (ISO27001): „TISAX“ (Trusted Information Security Assessment Exchange) ist ein neuer, wechselseitig anerkannter Prüfungsstandard für Informationssicherheit in der Automobilbranche. Der VDA (Verband der Automobilindustrie) hat mit Beginn 2017 TISAX als verbindlichen Prüfungsstandard für alle TISAX registrierten Unternehmen definiert. Basis ist die ISO27001 Norm.
  • ISO26262: Die ISO 26262 („Road vehicles – Functional safety“) ist eine ISO-Norm für sicherheitsrelevante elektrische/elektronische Systeme in Kraftfahrzeugen. Die ISO 26262 definiert ein Vorgehensmodell zusammen mit geforderten Aktivitäten und Arbeitsprodukten („work products“) sowie anzuwendenden Methoden in Entwicklung und Produktion.
  • COSAX: Corporate Sustainability Assessment Exchange ist ein Auditierungs-/Vor-Ort-Überprüfungsprotokoll im Bereich Corporate Social Responsibility (CSR), welches 2019 in die Pilotphase gehen wird. Hierbei geht es um das Thema Nachhaltigkeit und unternehmerische Gesellschaftsverantwortung über global vernetzte Lieferketten.

Allgemeine Fakten zu TISAX

Der Volkswagenkonzern verlangt von seinen Zulieferern eine TISAX-Zertifizierung, wenn diese Zugang zum KVS-System (Abkürzung für Konstruktionsdaten Verwaltungs-System) haben. Das KVS-System (eine browserbasierte B2B-Plattform) wird von der Entwicklung und Planung sowie Einkauf und Qualitätssicherung weltweit innerhalb des gesamten VOLKSWAGEN-Konzerns (VW, AUDI, SEAT, SKODA, …) und von mehr als 750 externen Partnerfirmen eingesetzt. Auch der BMW-Konzern kontaktierte in den letzten Monaten vermehrt Zulieferer, eine TISAX-Zertifizierung durchzuführen. Ebenso gibt es Gerüchte, dass auch zukünftig Versicherer, welche in der Verarbeitungskette sind, eine TISAX Zertifizierung durchführen müssen.

Neuigkeiten aus dem Bereich ISO9001 / IATF 16949

In der neuesten Version, sind aktualisierte Querverweise und Schnittstellen zu TISAX, ISO26262 und COSAX zu finden:

  • 6.1.2.3 Notfallpläne: Hierbei wurden die Themenfelder Cyberangriffe und Versorgungssysteme (IT) ergänzend aufgenommen. Organisationen müssen sich mit der Möglichkeit von Cyberangriffen/Onlineattacken befassen, die dazu führen könnten, dass die Herstellungsprozesse und Logistikabläufe blockiert werden. Dies schließt auch sog. „Ransomware“ mit ein. Organisationen müssen sicherstellen, dass sie auf Cyberangriffe/Onlineattacke vorbereitet sind.
  • 8.1.2 Geheimhaltung: Das Unternehmen muss für die Entwicklung von Produkten/Projekten die Geheimhaltung sicherstellen.
  • 8.3.6.1 Bei Produkten mit integrierter Software muss die Organisation die Änderungsstände der Software und Hardware in den dokumentierten Informationen zur Änderung festhalten. (ISO 26262 Funktionale Sicherheit)
  • Weitere Verweise siehe: 4.1, 4.3.2, 4.4f, 5.1.1.1, 5.1.2, 5.3.1, 6., 6.1.2.2, 7.1.4, 8.3.2.3 und 8.4.1.2

Wie spielen ISO 27001 und TISAX zusammen?

Getrieben von den Anforderungen zur Realisierung vom “Autonomen Fahren”, der “Funktionalen Cybersicherheit von Automobilkomponenten” sowie dem “sicheren Austausch von Informationen”, im Zuge der Digitalisierung, entstehen neue IT-Sicherheitsstandards für den Automobilbereich. TISAX hat als Grundlage die etablierten VDA ISA Prüfungen und ist seit 2018 für Unternehmen des ENX Konsortiums (ENX Association) erforderlich.

TISAX (Trusted Information Security Assessment Exchange) ist ein von der Automobilindustrie definierter Standard für Informationssicherheit. ENX akkreditiert Partnerunternehmen zur Zertifizierung gemäß TISAX (TISAX ist seit 2018 bindend für die Mitglieder der ENX und deren Lieferanten). Basis für TISAX sind die IT-Sicherheits-anforderungen des Verbands der Automobilindustrie e. V. (kurz: VDA). Dieser Katalog ist als VDA/ISA bekannt und umfasst auch die Technischen Controls der ISO27001 (Anhang A). Prüfungen nach VDA/ISA, insbesondere bei Dienstleistern und Lieferanten, werden diese bisher in Eigenregie des jeweiligen Unternehmens durchgeführt. Die ENX Association agiert in dem neuen System als Governance-Organisation. Sie akkreditiert die Prüfdienstleister und überwacht die Qualität der Durchführung und der Assessment-Ergebnisse. So soll sichergestellt werden, dass sowohl die Resultate am Ende einer gewünschten Qualität und Objektivität entsprechen, als auch die Rechte und Pflichten der Teilnehmer gewahrt werden. [Quelle: DNV-GL]

Zusammenfassung

Wer eine ISO 27001-Zertifizierung oder -Ausrichtung im Unternehmen schon realisiert hat, kann viele Elemente zur TISAX-Zertifierung daraus nutzen. Erweiterungen müssen im Bereich Anbindung Dritter (Berater, Fremdarbeiter, Ingienurbüros), Datenschutz (Verarbeitungsprozesse DSGVO) und Prototypenschutz (Geheimhaltung neuer Modelle) bei Bedarf zusätzlich realisiert werden. Die DNV-GL plädiert für einen strukturierten Ansatz von Services zur Informations- und Funktionssicherheit:

  • Fortwährende, regelmäßige Überprüfung der IT-Infrastrukturen aller Unternehmen (einfache technische Überprüfung)
  • Zertifizierung gem. internationaler Standards von Unternehmen, die besonderen technischen Erfordernissen unterliegen (insbesondere durch Industrie 4.0 / Digitalisierung / funktionale Sicherheit)
  • Aufsetzen eines Systems zur Überprüfung der funktionalen Sicherheit von Systemen und Systemkomponenten (z.B. basierend auf ISO 26262)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

CAPTCHA *