Automotive VORFAHRT FÜR TISAX-KOMPETENZEN

Die Automobilhersteller setzen nicht nur vielfältige Komponenten von Zulieferern ein, sondern sie entwickeln auch gemeinsam mit ihnen Produkte. Deshalb ist vor allem bei Fragen des Prototypenschutzes ein Schutz der überlassenen oder ausgetauschten Daten von enormer Bedeutung und alle Beteiligten der Wertschöpfungskette müssen über ein gleich hohes IT-Sicherheitsniveau verfügen.

TISAXHierfür wurde unter dem Dach des Verbandes der Automobilindustrie (VDA) das Trusted Information Security Assessment Exchange-Modell (TISAX) als gemeinsamer Prüf- und Austauschstandard entwickelt, der auf dem internationalen Standard ISO 27001 basiert. Er kam bisher auch schon im Rahmen von Prüfungen bei Lieferanten und Dienstleistern zum Einsatz, die sensible Informationen aus den jeweiligen Unternehmen verarbeiten. Zulieferer oder Dienstleister für die Automobilindustrie, die am TISAX-Verfahren teilnehmen, müssen den Nachweis über die Sicherheit der ihnen überlassenen Informationen künftig nur noch einmal alle drei Jahre erbringen. Dies beseitigt das bisherige Problem, dass sich Lieferanten bzw. Dienstleister vielfach von ihren Kunden in der Automobilindustrie überprüfen lassen mussten. Die Überwachung der TISAX-Assessments und Zulassung der TISAX-Prüfdienstleister obliegt der ENX Association (European Network Exchange Association), ein Zusammenschluss europäischer Automobilhersteller, Zulieferer und vier nationaler Automobilverbände.

SCHNELLER ZUM ZIEL MIT DEM CHARISMA-FRAMEWORK

Der Nachweis eines erfolgreich durchgeführten TISAX-Assessments ist inzwischen oft Bestandteil von Lieferantenverträgen in der Automobilindustrie, um ein Höchstmaß an Sicherheit in der Zusammenarbeit zu gewährleisten. Hinzu kommt, dass die Sicherheitsanforderungen durch IoT-Lösungen (Internet of Things) und das autonome Fahren weiter steigen werden.

Deshalb spricht viel für die Einführung eines Informationssicherheits-Managementsystems (ISMS) unter Berücksichtigung der TISAX-Anforderungen. Denn es bewirkt eine deutliche und nachhaltige Risikominimierung für das eigene Unternehmen, zumal es eine Risikoanalyse und einen Risikobehandlungsplan einschließt und die umgesetzten Sicherheitsmaßnahmen aufgrund des durchgeführten Assessments nachgewiesen werden. Es erzeugt aber auch eine Kosten- und Aufwandsreduzierung, da das Assessment-Ergebnis in der Branche anerkannt wird und dadurch mehrfache Prüfungen, Audits und Nachweise vermeidet. Zudem entstehen bei Ausschreibungen und Vertragsverhandlungen Vorteile. Zentraler Bestandteil einer TISAX-konformen Lösung ist ein anerkanntes ISMS zur Dokumentation und Steuerung der sicherheitsrelevanten Prozesse. Gleichzeitig bedarf es eines technischen Security-Managements und müssen die DSGVO-Anforderungen berücksichtigt werden. Die Experten von CARMAO unterstützen Automotive-Zulieferer und -Dienstleister im gesamten Prozess bis zum Assessment unter Nutzung des eigenen Frameworks. Dies kann eine Erstberatung ebenso sein wie eine TISAX-orientierte IT-Sicherheitsanalyse oder die fachliche Begleitung bis zum Audit. Auch spezifische Schulungen gehören optional zum Angebot.

Unsere Experten verfügen hierfür über umfassende Erfahrungen in der Implementierung von Managementsystemen unter Berücksichtigung der gängigen Normen, Vorgaben und Gesetze. Dies gilt auch für die Automobilbranche, daher profitieren Kunden von den breiten Kompetenzen und Best Practices der CARMAO in der Realisierung von ISO 27001-Projekten unter Berücksichtigung der TISAX-Anforderungen. Dies schließt ein tiefes Erfahrungswissen hinsichtlich der Vorbereitung erfolgreicher TISAX-Assessments inklusive des Prototypenschutzes ein.

Initiates file downloadDownload TISAX-Flyer (PDF)

Informieren Sie sich auch zu Ihrer Branche im Opens external link in new windowBUSINESS INFORMATION RISK INDEX der CISO Alliance

Finanzdienstleistungen Bankenaufsichtlichen Anforderungen an die IT (BAIT)

Im Frühjahr 2017 hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die  „Bankenaufsichtlichen Anforderungen an die IT“ (BAIT) herausgegeben. Diese konkretisieren die IT-spezifischen Ausprägungen der Mindestanforderungen an das Risikomanagement (MaRisk).

Zentrales Ziel der BAIT ist es, dem Management der Institute einen flexiblen und praxisnahen Rahmen für die Ausgestaltung der Informationstechnik der Kreditinstitute, insbesondere auch für das Management der IT-Ressourcen und für das IT-Risikomanagement vorzugeben. Dabei sind die Anforderungen prinzipienorientiert gestellt und sind nach Regelungstiefe und -umfang nicht abschließender Natur.

Die regulatorischen Vorschriften bestehen aus insgesamt acht Themenbereichen mit detaillierten erweiterten Anforderungen an die IT und die IT-Organisation der Kreditinstitute:

  • IT Strategie
  • IT Governance
  • Informationsrisikomanagement
  • Informationssicherheitsmanagement
  • Benutzerberechtigungsmanagement
  • IT-Projekte, Anwendungsentwicklung (inkl. durch Endbenutzer in den Fachbereichen)
  • IT-Betrieb (inkl. Datensicherung)
  • Auslagerung und sonstiger Fremdbezug von IT-Dienstleistungen

Neben den technischen Anforderungen an IT-Systeme und IT-Prozesse sind auch weitere Funktionen in den Kreditinstituten, die primär nicht der IT zugeordnet werden, von den Anforderungen der BAIT betroffen, wie z.B. das Risikomanagement, der Einkauf oder die Compliance- und Governance-Funktionen der Bank.

So fordert die Bankenaufsicht, dass folgende Funktionen qualitativ angemessen mit Personal ausgestattet sind:

  • Informationsrisikomanagement
  • Informationssicherheitsmanagement
  • IT-Betrieb
  • Anwendungsentwicklung

Dieses bedeutet, dass die Mitarbeiter in diesen Funktionen ihren Aufgaben entsprechend qualifiziert und weitergebildet sind.

Darüber hinaus kommt der Funktion des Informationssicherheitsbeauftragten eine besondere Bedeutung zu. Jedes Kreditinstitut hat die Funktion des Informationssicherheitsbeauftragten einzurichten.

Opens window for sending emailWir unterstützen Sie gerne - sprechen Sie uns an

Versicherungen Versicherungsaufsichtlichen Anforderungen an die IT (VAIT)

Die VAIT ist –ebenso wie die BAIT für den Bankensektor– der zentrale Baustein der IT-Aufsicht über alle Versicherungsunternehmen und Pensionsfonds in Deutschland.

Ziel der VAIT ist es, insbesondere für das Management der IT-Ressourcen sowie das Informationsrisiko- und das Informationssicherheitsmanagement einen für die Geschäftsleitungen der Unternehmen verständlichen und flexiblen Rahmen zu schaffen. Sie sollen außerdem dazu beitragen, das IT-Risikobewusstsein in den Unternehmen und gegenüber deren IT-Dienstleistern zu erhöhen.

Die VAIT machen transparent, welche Erwartungen die BaFin in Bezug auf die Steuerung und Überwachung des IT-Betriebs an die Unternehmen hat, einschließlich des hierfür notwendigen Berechtigungsmanagements. Zudem regeln sie die Anforderungen an das IT-Projektmanagement und die Anwendungsentwicklung, was auch die individuelle Datenverarbeitung in den Fachbereichen umfasst. Insgesamt adressieren die VAIT all jene Themen, die die BaFin aufgrund der Erkenntnisse aus ihrer IT-Aufsichts- und -prüfungspraxis als besonders bedeutend ansieht.

Opens window for sending emailWir unterstützen Sie gerne - sprechen Sie uns an

Healthcare Informationssicherheit im Gesundheitswesen

Die Informationstechnologie hat sich im Bereich Healthcare zu einem wesentlichen Bestandteil entwickelt. Medizinisches Personal muss sich auf sichere Prozesse und Systeme verlassen können. So ist z.B. der Ausfall eines IT-gestützten Prozesses fatal: Gefährdung von Menschenleben, monetäre Defizite und erhebliche Reputationsverluste gehen in der Regel damit einher.

Im Gesundheitswesen spielen intelligente Produkte eine immer wichtigere Rolle. Diese zeichnen sich durch eine hohe Konnektivität aus. Patienten sind direkt mit Krankenhäusern, Ärzten, Versicherungen, Ämtern oder Laboren verbunden. Es gilt, mit gigantischen Datenmengen umzugehen, die in der Regel hochsensibel sind. Und wie heißt es: "Es ist nicht nur alles hackbar, es wird auch alles gehackt". Im Gesundheitswesen geht es um Menschenleben - daher kommt der Informationssicherheit ein umso höherer Stellenwert zu.

Wir unterstützen Sie bei Healthcare-spezifischen Anforderungen im Bereich Informationssicherheit ebenso, wie in der Bereitstellung externer Datenschutzbeauftragter, der Überprüfung des IT-Notfallmanagements, interner Audits uvm.  ... Opens window for sending email sprechen Sie uns an

Öffentliche Verwaltung

Die überwiegende Mehrzahl aller Verwaltungsprozesse in öffentlichen Verwaltungen wird heute elektronisch unterstützt. Damit hängt die Arbeitsfähigkeit jeder Verwaltung essentiell von der Sicherheit und Verfügbarkeit der dazu notwendigen Daten und IT-Infrastrukturen ab.

In wenigen Verwaltungen liegen IT-Sicherheitskonzepte vor bzw. sind IT-Sicherheitsbeauftragte benannt. Diese Situation wird der Bedeutung der Informationssicherheit für das Funktionieren einer modernen Verwaltung nicht gerecht.

Für öffentliche Verwaltungen ist ein angemessener Schutz ihrer Informations- und Kommunikationstechnik immer wichtiger. Mit dem IT Sicherheitsgesetz sind die vorhandenen Regelungen zur Informationssicherheit geordnet und eine Meldepflicht eingeführt worden.

Für Behörden wird die Einführung eines  Informationssicherheits-Management-System (ISMS) zur Notwendigkeit, der Datenschutz muss sichergestellt sein, Compliance-Anforderungen gilt es zu beachten und vieles mehr ... Opens window for sending emailwir unterstützen Sie gerne - sprechen Sie uns an