Branchen & Märkte

Automotive

Vorfahrt für TISAX-Kompetenzen

VORTEILE EINES TISAX-ASSESMENTS

Automobilhersteller setzen nicht nur vielfältige Komponenten von Zulieferern ein, sondern sie entwickeln auch gemeinsam mit ihnen Produkte. Deshalb ist vor allem bei Fragen des Prototypenschutzes ein Schutz der überlassenen oder ausgetauschten Daten von enormer Bedeutung und alle Beteiligten der Wertschöpfungskette müssen über ein gleich hohes IT-Sicherheitsniveau verfügen.

Hierfür wurde unter dem Dach des Verbandes der Automobilindustrie (VDA) das auf dem internationalen Standard ISO 27001 basierende Trusted Information Security Assessment Exchange-Modell (TISAX) als gemeinsamer Prüf- und Austauschstandard entwickelt. Er kommt u.a. im Rahmen von Prüfungen bei Lieferanten und Dienstleistern zum Einsatz, die sensible Informationen verarbeiten. Wer am TISAX-Verfahren teilnimmt, muss den Nachweis über die Sicherheit der überlassenen Informationen künftig nur noch einmal alle drei Jahre erbringen und nicht mehr für jeden Kunden einzeln.

Die Überwachung der TISAX-Assessments und Zulassung der TISAX-Prüfdienstleister obliegt der ENX Association (European Network Exchange Association), ein Zusammenschluss europäischer Automobilhersteller, Zulieferer und vier nationaler Automobilverbände.

SCHNELLER ZUM ZIEL MIT DEM CHARISMA-FRAMEWORK

Der Nachweis eines erfolgreich durchgeführten TISAX-Assessments ist oft Bestandteil von Lieferantenverträgen in der Automobilindustrie, um ein Höchstmaß an Sicherheit in der Zusammenarbeit zu gewährleisten. Hinzu kommt, dass die Sicherheitsanforderungen durch IoT-Lösungen (Internet of Things) und das autonome Fahren weiter steigen werden. Deshalb spricht viel für die Einführung eines Informationssicherheits-Managementsystems (ISMS) unter Berücksichtigung der TISAX-Anforderungen.

Denn es bewirkt eine deutliche und nachhaltige Risikominimierung für das eigene Unternehmen, zumal es eine Risikoanalyse und einen Risikobehandlungsplan einschließt und die umgesetzten Sicherheitsmaßnahmen aufgrund des durchgeführten Assessments nachgewiesen werden. Es erzeugt aber auch eine Kosten- und Aufwandsreduzierung, da das Assessment-Ergebnis in der Branche anerkannt wird und dadurch mehrfache Prüfungen, Audits und Nachweise vermeidet. Zudem entstehen Vorteile bei Ausschreibungen und Vertragsverhandlungen.

Zentraler Bestandteil einer TISAX-konformen Lösung ist ein anerkanntes ISMS zur Dokumentation und Steuerung der sicherheitsrelevanten Prozesse. Gleichzeitig bedarf es eines technischen Security-Managements und müssen die DSGVO-Anforderungen berücksichtigt werden.

Die Experten von CARMAO unterstützen Automotive-Zulieferer und -Dienstleister im gesamten Prozess bis zum Assessment unter Nutzung des eigenen Frameworks CHARISMA. Dies kann eine Erstberatung ebenso sein wie eine TISAX-orientierte IT-Sicherheitsanalyse oder die fachliche Begleitung bis zum Audit. Auch spezifische Schulungen gehören zum Angebot.

Unsere Experten verfügen sowohl über umfassende Erfahrungen in der Implementierung von Managementsystemen – auch in der Automobilbranche – als auch bei der Vorbereitung erfolgreicher TISAX-Assessments inklusive des Prototypenschutzes .

Informationssicherheits-beauftragte

Jedes Kreditinstitut muss die Position des Informationssicherheitsbeauftragten besetzen, so dass dieser Stelle eine zentrale Bedeutung zukommt.

Gerne stehen die Experten der CARMAO als externe Informationssicherheitsbeauftragte zur Verfügung. Sprechen Sie uns an.

Regulatorische Vorschriften

Die regulatorischen Vorschriften bestehen aus den folgenden acht Themenbereichen mit detaillierten Anforderungen an die IT und IT-Organisation von Kreditinstituten:

  • IT Strategie
  • IT Governance
  • Informationsrisiko-management
  • Informationssicherheits-management
  • Benutzerberechtigungs-management
  • IT-Projekte, Anwendungsentwicklung (inkl. durch Endbenutzer in den Fachbereichen)
  • IT-Betrieb (inkl. Datensicherung)
  • Auslagerung und sonstiger Fremdbezug von IT-Dienstleistungen

Finanzdienstleistungen

Bankenaufsichtliche Anforderungen an die IT (BAIT)

Im Frühjahr 2017 hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die  „Bankenaufsichtlichen Anforderungen an die IT“ (BAIT) herausgegeben. Diese konkretisieren die IT-spezifischen Ausprägungen der Mindestanforderungen an das Risikomanagement (MaRisk).

Zentrales Ziel der BAIT ist es, dem Management der Institute einen flexiblen und praxisnahen Rahmen für die Ausgestaltung der Informationstechnik der Kreditinstitute, insbesondere auch für das Management der IT-Ressourcen und für das IT-Risikomanagement vorzugeben. Dabei sind die Anforderungen prinzipienorientiert gestellt und nach Regelungstiefe und -umfang nicht abschließender Natur.

Neben den technischen Anforderungen an IT-Systeme und IT-Prozesse sind auch weitere Funktionen in den Kreditinstituten, die primär nicht der IT zugeordnet werden, von den Anforderungen der BAIT betroffen, wie z.B. das Risikomanagement, der Einkauf oder die Compliance- und Governance-Funktionen der Bank.

So fordert die Bankenaufsicht, dass folgende Funktionen qualitativ angemessen mit Personal ausgestattet sind:

  • Informationsrisikomanagement
  • Informationssicherheitsmanagement
  • IT-Betrieb
  • Anwendungsentwicklung

Dieses bedeutet, dass die Mitarbeiter in diesen Funktionen ihren Aufgaben entsprechend qualifiziert und weitergebildet sind.

Versicherungen

Versicherungsaufsichtlichen Anforderungen an die IT (VAIT)

Die VAIT ist –ebenso wie die BAIT für den Bankensektor– der zentrale Baustein der IT-Aufsicht über alle Versicherungsunternehmen und Pensionsfonds in Deutschland.

Ziel der VAIT ist es, insbesondere für das Management der IT-Ressourcen sowie das Informationsrisiko- und das Informationssicherheitsmanagement einen für die Geschäftsleitungen der Unternehmen verständlichen und flexiblen Rahmen zu schaffen. Sie sollen außerdem dazu beitragen, das IT-Risikobewusstsein in den Unternehmen und gegenüber deren IT-Dienstleistern zu erhöhen.

Die VAIT machen transparent, welche Erwartungen die BaFin in Bezug auf die Steuerung und Überwachung des IT-Betriebs an die Unternehmen hat, einschließlich des hierfür notwendigen Berechtigungsmanagements. Zudem regeln sie die Anforderungen an das IT-Projektmanagement und die Anwendungsentwicklung, was auch die individuelle Datenverarbeitung in den Fachbereichen umfasst. Insgesamt adressieren die VAIT all jene Themen, die die BaFin aufgrund der Erkenntnisse aus ihrer IT-Aufsichts- und -prüfungspraxis als besonders bedeutend ansieht.

Gesundheitswesen

Die Informationstechnologie hat sich im Bereich Healthcare zu einem wesentlichen Bestandteil entwickelt. Medizinisches Personal muss sich auf sichere Prozesse und Systeme verlassen können. So ist z.B. der Ausfall eines IT-gestützten Prozesses fatal: Gefährdung von Menschenleben, monetäre Defizite und erhebliche Reputationsverluste gehen in der Regel damit einher.

Im Gesundheitswesen spielen intelligente Produkte eine immer wichtigere Rolle. Diese zeichnen sich durch eine hohe Konnektivität aus. Patienten sind direkt mit Krankenhäusern, Ärzten, Versicherungen, Ämtern oder Laboren verbunden. Es gilt, mit gigantischen Datenmengen umzugehen, die in der Regel hochsensibel sind. Und wie heißt es: „Es ist nicht nur alles hackbar, es wird auch alles gehackt“. Im Gesundheitswesen geht es um Menschenleben – daher kommt der Informationssicherheit ein umso höherer Stellenwert zu.

Wir unterstützen Sie bei Healthcare-spezifischen Anforderungen im Bereich Informationssicherheit ebenso, wie in der Bereitstellung externer Datenschutzbeauftragter, der Überprüfung des IT-Notfallmanagements, interner Audits uvm.

Öffentliche Verwaltung

Die überwiegende Mehrzahl aller Verwaltungsprozesse in öffentlichen Verwaltungen wird heute elektronisch unterstützt. Damit hängt die Arbeitsfähigkeit jeder Verwaltung essentiell von der Sicherheit und Verfügbarkeit der dazu notwendigen Daten und IT-Infrastrukturen ab.

In wenigen Verwaltungen liegen IT-Sicherheitskonzepte vor bzw. sind IT-Sicherheitsbeauftragte benannt. Diese Situation wird der Bedeutung der Informationssicherheit für das Funktionieren einer modernen Verwaltung nicht gerecht.

Für öffentliche Verwaltungen ist ein angemessener Schutz ihrer Informations- und Kommunikationstechnik immer wichtiger. Mit dem IT Sicherheitsgesetz sind die vorhandenen Regelungen zur Informationssicherheit geordnet und eine Meldepflicht eingeführt worden.

Für Behörden wird die Einführung eines Informationssicherheits-Management-System (ISMS) zur Notwendigkeit, der Datenschutz muss sichergestellt sein, Compliance-Anforderungen gilt es zu beachten und vieles mehr …