TISAX® Vehicle Cyber Security (VCS) erklärt: Bedeutung, Status und Anforderungen für die Automobilindustrie
Cybersicherheit ist in der Automobilindustrie, in der digitale Technologien, Vernetzung und automatisiertes Fahren immer wichtiger werden, von zentraler Bedeutung.
TISAX (Trusted Information Security Assessment Exchange) ist eine Initiative des Verbands der Automobilindustrie (VDA), die sich auf den Schutz von Informationen und Daten innerhalb der Infrastrukturen von Unternehmen konzentriert. Mit der Einführung von TISAX VCS (Vehicle Cyber Security) erweitert sich der Anwendungsbereich deutlich.
Dieser Glossarbeitrag gibt einen Überblick über TISAX VCS und die damit verbundenen Änderungen für Unternehmen. Er richtet sich an Firmen, die an der Entwicklung, Produktion oder Wartung von elektrischen und elektronischen Systemen für Straßenfahrzeuge beteiligt sind.
Herausforderungen und Bedeutung: Warum ist VCS im Automotive Sektor notwendig?
Die zunehmende Digitalisierung von Fahrzeugsystemen, inbesondere automatisiertes Fahren und Konnektivität, führen zu erhöhten Anforderungen an die Cybersicherheit in der Automobilindustrie. Vernetzte Fahrzeuge und elektrische und elektronische (E/E) Systeme bieten zahlreiche Angriffsflächen für Cyberattacken.
Betroffen sind nicht nur die Fahrzeugsteuerungssysteme selbst, sondern auch die Schnittstellen zu externen Datenquellen und -services. Tief integrierte Lieferketten erfordern von den verschiedenen Partnern eine nachhaltige Umsetzung der Fahrzeugsicherheit (Vehicle Cyber Security, VCS). bei den verschiedenen Partnern. Dies umfasst ein angemessenes Risikomanagement und Governance aus Sicht der Kundinnen und Kunden.
Der Bedarf an Zertifizierungen wächst, die bisher hauptsächlich durch proprietäre ISO/SAE 21434-Zertifizierungen von einzelnen Auditunternehmen erfüllt werden können. Dies zeigt den dringenden Bedarf für standardisierte Informationssicherheits-Maßnahmen in der Automobilbranche. Vehicle Cyber Security (VCS) soll Fahrzeuge und ihre Nutzenden vor Manipulationen schützen. Zugleich gewährleistet sie die Integrität und Vertraulichkeit der übertragenen Informationen.
Welche Anforderungen stellt VCS?
Die Anforderungen an ein Cyber Security Management System (CSMS), das VCS unterliegt, sind durch die ISO/SAE 21434 definiert.
Diese internationale Norm spezifiziert Prozesse und Maßnahmen, die sicherstellen, dass Cybersecurity-Risiken während des gesamten Lebenszyklus eines Fahrzeugs – von der Entwicklung über die Produktion bis zu Updates während der Nutzung – bewertet und beherrscht werden. Es muss Anforderungen in den folgenden Bereichen erfüllen:
TISAX VCS: Erweiterte Sicherheitsanforderungen in der Fahrzeugbranche
Die ENX Association entwickelt in enger Abstimmung mit dem VDA mit TISAX VCS eine wesentliche Erweiterung der Informationssicherheitsanforderungen, die sich speziell auf den Schutz der manipulationsfreien Nutzung von Fahrzeugen fokussiert.
Während sich das TISAX-Label bisher vor allem auf den Schutz von Daten und Informationen innerhalb der unternehmenseigenen Infrastruktur konzentrierte, ist das Ziel von TISAX VCS, die Schutzverantwortung auf die Produkte der Hersteller und Lieferanten auszuweiten. Geplant ist hierfür ein zusätzliches Label einzuführen, das über die Plattform der ENX ausgetauscht wird.
Mit dieser Erweiterung beziehen sich die Schutzmaßnahmen nicht nur wie bisher auf das Verhalten der Mitarbeitenden und den Schutz vor unberechtigtem Zugang in Produktionsumgebungen, sondern auch auf die Risiken durch Cyberattacken. Dies bedeutet, dass neben einem bestehenden Informationssicherheitsmanagementsystem (ISMS), nun auch ein verstärktes Cybersecurity Management System (CSMS) implementiert werden muss.
Eine Projektgruppe der ENX, bestehend aus Expertinnen und Experten von Fahrzeugherstellern, Zulieferern und E/E-Komponenten-Engineering-Dienstleistern, hat die Machbarkeit eines spezifischen Vehicle Cyber Security-Audits untersucht. Das Ziel war, ein robustes Audit-System zu entwickeln, das die speziellen Anforderungen der Cybersicherheit in der Automobilbranche und den wachsenden Bedarf an Zertifizierungen effektiv abdeckt. Dazu hat die Gruppe ein minimales tragfähiges Prüfungsschema erarbeitet. Dieser Ansatz wurde dann in sechs Pilotprüfungen überprüft.
Der Pilotansatz wurde gewählt, um die Vorgehensweise zu validieren und zuverlässige Ergebnisse bei der Prüfung von Cybersicherheitsmanagementsystemen zu gewährleisten. Das Hauptziel des Projekts war es, eine Mindestanforderung für Informationssicherheits-Audits zu definieren, die speziell auf Risiken und Bedrohungen in der Fahrzeugelektronik zugeschnitten ist.
Was ist der aktuelle Stand von TISAX VCS?
Die Resultate der Machbarkeitsstudie führten zu der Empfehlung, das VCS-Audit dauerhaft in den TISAX-Auditrahmen zu integrieren. Es richtet sich an Automobilzulieferer, die elektrische und elektronische Systeme für Fahrzeuge entwickeln, produzieren oder warten.
Es bietet standardisierte CSMS-Audits, indem es die ISO/PAS 5112 im Kontext der ISO/SAE 21434 umsetzt und den bestehenden und etablierten Audit-Rahmen der ENX Association (TISAX) nutzt. TISAX VCS befindet aktuell in einer Pilot-Phase, an der Unternehmen freiwillig teilnehmen können und die Prüfung und Umsetzbarkeit der Anforderungen getestet werden. Die Ausrollung soll bald erfolgen.
Was ist der Unterschied zwischen TISAX und VCS?
TISAX bezieht sich auf ein zertifiziertes Informationssicherheitsmanagementsystem (ISMS), das den Anforderungen des ISA-Katalogs entspricht und infrastrukturelle und prozessorientierte Anforderungen an Unternehmen hat, während VCS ein zertifiziertes Cyber Security Management System (CSMS) darstellt, das die Anforderungen des VCS Audit Criteria Catalogue (VCSA) erfüllt und eher die technisch sichere Entwicklung von elektrischen und elektronischen (E/E) Systemen betrifft.
Verantwortlichkeiten und Herausforderungen bei der Implementierung von TISAX VCS
Die Verantwortung für die Einhaltung der VCS-Anforderungen teilen sich mehrere Akteure innerhalb der Automobilindustrie, von den Original Equipment Manufacturers (OEMs), die die Typengenehmigungen von den zuständigen Behörden benötigen, bis hin zu den Zulieferern, die diese Anforderungen unterstützen müssen.
Die Implementierung eines umfassenden CSMS stellt Unternehmen vor große Herausforderungen, nicht nur technischer, sondern auch organisatorischer Art. Die erforderlichen Sicherheitsmaßnahmen müssen tief in den Entwicklungs- und Produktionsprozessen verankert sein, um effektiv vor potenziellen Bedrohungen zu schützen.
Was ändert sich durch TISAX VCS für Unternehmen?
Während TISAX die gesamte Organisation und Infrastruktur eines Unternehmens umfasst, sind die TISAX VCS Anforderungen sehr prozessorientiert. In jedem Entwicklungsschritt gibt es Anforderungen zur Umsetzung der Cybersecurity.
Organisatorische Anforderungen hingegen wie z.B. Schulungen spielen eine kleinere Rolle und konzentrieren sich sehr auf den Entwicklungsbereich einer Firma. Mit dem Anforderungskatalog zu TISAX VCS ändert sich unter anderem Folgendes für teilnehmende Unternehmen:
- Richtlinien und Verfahren zu Cybersecurity müssen in einem Cybersecurity-Managementsystem (CSMS) organisiert werden, was einen definierten Prozess zur Anwendbarkeit der VCSA-Controls beinhaltet.
- Alle Richtlinien und Verfahren zum CSMS und zur Cybersecurity müssen unabhängig von externen Prüfdienstleistern regelmäßig in internen Audits überprüft und ggfl. angepasst werden .
- Dafür müssen Verantwortliche zur Organisation und Pflege des CSMS und aller relevanten Prozesse festgelegt werden.
- Aufgabe dieser Vernantwortlichen ist es auch, die Beteiligten mit regelmäßig durch Cybersecurity-Trainings zu sensibilisieren.
- Zusätzlich müssen vor Projektstart, sowie ständig während der Projektphasen umfangreiche Risikobewertungen, inkl. Behebungs- und Kommunikationsstrategien erkannter Risiken an alle Beteiligte definiert werden.
- In Entwicklungs- und Produktionsprojekten bekommt die Sicherstellung der Cybersecurity mit einem eigenen Plan zur Cybersecurity-Umsetzung, sowie eigener Anforderungen innerhalb der Projektphasen einen sehr hohen Stellenwert (Projektumsetzung nach PDCA mit besonderer Berücksichtigung der Cybersecurity in allen Prozessschritten).
- Risiken, Schwachstellen oder Sicherheitsvorfälle müssen beschrieben und Prozesse definiert werden.
- Auch die Cybersecurity in der eigenen Lieferkette muss sichergestellt und gesteuert werden.
Bedeutung von Informationssicherheit für TISAX VCS
Die Rolle der Informationssicherheit im Rahmen der TISAX VCS Zertifizierung ist nicht zu unterschätzen. Informationssicherheit dient als Basis, um die Vertraulichkeit, Integrität und Verfügbarkeit von kritischen Daten zu gewährleisten. Die effektive Implementierung von Sicherheitsmaßnahmen und -protokollen ist entscheidend, um gegen potenzielle Cyberbedrohungen gewappnet zu sein und Compliance-Anforderungen zu erfüllen. Unternehmen, die diese Standards einhalten, demonstrieren nicht nur ihre Fähigkeit, kritische Informationen zu schützen, sondern stärken auch das Vertrauen bei Kunden und Partnern.
Daher ist es durchaus ratsam durch die thematische Verwandtheit von einer Informationssicherheitszertifizierung und einem bestehenden ISMS ein CSMS aufzubauen und zu etablieren.
Zukunft von TISAX VCS und seine Bedeutung für die Automobilindustrie
Die ständige Weiterentwicklung von Informationssicherheits-Zertifizierungen wie TISAX VCS ist essenziell, um mit den dynamischen Veränderungen in der Technologie und den Bedrohungslandschaften Schritt zu halten. Für Unternehmen der Automobilindustrie wird es zunehmend wichtiger, nicht nur in die Sicherheit ihrer Daten, sondern auch in die Sicherheit ihrer Produkte zu investieren.
Durch die Einführung und Einhaltung von TISAX VCS können Unternehmen nicht nur regulatorischen Anforderungen gerecht werden, sondern auch das Vertrauen ihrer Kundinnen und Kunden stärken und sich als verantwortungsbewusste Akteure am Markt positionieren.
Die kontinuierliche Verbesserung und Anpassung von TISAX VCS wird dazu beitragen, die Resilienz der Automobilindustrie gegenüber Cyberbedrohungen zu erhöhen und eine sichere Nutzung der zunehmend vernetzten und automatisierten Fahrzeugsysteme zu gewährleisten. Indem Unternehmen die Informationssicherheits-Anforderungen der ENX und VDA erfüllen, können sie sicherstellen, dass ihre Cybersecurity-Maßnahmen auf dem neuesten Stand der Technik sind und einen umfassenden Schutz bieten.