TISAX® - Neue Labels
Wie agil der Verband der Automobilindustrie (VDA) und sein Information Security Assessment (ISA) ist, zeigt sich in seinen neusten Änderungen. In einer Zeit voller Krisen wird es zunehmend wichtiger, dass Lieferketten nicht nur vertraulich arbeiten, sondern auch verfügbar sind. Beinahe täglich kommen Meldungen über die Nachrichtenticker, dass wieder eine Firma einem Verschlüsselungstrojaner (Ransomware) zum Opfer gefallen ist.
Ransomware Angriffe gehören zum Alltag deutscher Unternehmen. Gerade letzte Woche wurde die Firmengruppe Continental verschlüsselt. Diese Trojaner zielen dabei darauf ab, die Verfügbarkeit und Vertraulichkeit von Dienstleistungen und Geschäftsprozessen einzuschränken. Bei einem Angriff werden Daten entwendet, was bedeutet, dass das Schutzziel Vertraulichkeit gebrochen wird, da nicht autorisierte Personen die Daten entwenden und lesen können. Die Verfügbarkeit wird dadurch gefährdet, dass die Daten nach dem Stehlen verschlüsselt werden und so dem Unternehmen nicht mehr zur Verfügung stehen.
Die ENX, die Dachorganisation des TISAX-Assessments, hat nun Vorkehrungen getroffen, um Unternehmen im Bereich der Serienproduktion besser zu schützen. Dazu wurde der VDA ISA Anforderungskatalog an die neusten Gegebenheiten angepasst, um das Informationssicherheitsmanagementsystem präventiv statt reaktiv auf Ransomware Angriffe vorzubereiten.
Ob im Unternehmen „vertrauliche Informationen“ (AL2) oder „streng vertrauliche Informationen“ Daten (AL3) verarbeitet wurden, bestimmt nach wie vor, nach welchem Assessmentlevel das Unternehmen im Bereich Vertraulichkeit geprüft wird. Neu ist die Aufteilung der Anforderungen in separierte Labels, wie im folgenden Bild zu sehen ist:

https://enx.com/de-de/news/new-tisax-labels-for-availability/
Die ENX erklärt, dass die neuen Labels der Verfügbarkeit eine Untermenge der bereits vorhandenen Labels sind. Im Klartext bedeutet, dass das alle aktuell zertifizierten Unternehmen die Labels der Verfügbarkeit schon eingeschlossen haben.
Für Unternehmen der Serienproduktion, die neu geprüft werden, könnten sich hier allerdings Vorteile ergeben, da Sie eventuell nicht mit vertraulichen Daten arbeiten, sondern "nur" verfügbar sein müssen.
Im aktuellen Anforderungskatalog wurden viele Anforderungen mit (C,I,A) gekennzeichnet, dies ist ein Hinweis darauf, welche Anforderungen zukünftig beim neuen Label eine Rolle spielen werden und geprüft werden.
Die aktuellen Prüfdienstleister beginnen aktuell mit den Vorbereitungen der neuen Prüfungen und Prüfziele. Ab sofort sind die neuen Auswahlmöglichkeiten für Prüfungen im nächsten Jahr im ENX Portal freigeschaltet. Einmal mehr beweist die ENX, damit Sie wesentlich agiler ist als die Starre ISO 27001. Unsere Meinung ist, dass dies ein klares Qualitätsmerkmal ist.
Gerne halten wir Sie weiter über Änderungen auf dem Laufenden.
Ihr Team 2Pro