Damian Strobel
Gründer und CEO
Die Automobilbranche war schon immer ein interessantes Ziel für Angreifer verschiedener Couleur.
Für wen ist TISAX relevant?
TISAX ist in Deutschland primär innerhalb der Automobilbranche bekannt. Es basiert auf dem Branchenstandard VDA-ISA und ist im Grunde für jedes Unternehmen relevant, das vorhat mit Automobilkonzernen und/oder deren Zulieferern zusammenzuarbeiten. Ebenso wie bei VDA-ISA ist das Ziel hier das IT-Sicherheitsniveau im gesamten Unternehmen zu erfassen und kontinuierlich zu erhöhen. Im Vergleich zu ISA ist TISAX in einigen Bereichen etwas spezifischer - so wird beispielsweise explizit das Durchführen von Penetrationstests gefordert.
Der Auditor arbeitet mit dem Unternehmen einen von VDA bzw. ENX Association (Entwickler von TISAX) erstellten Frageboxen durch. Dieser ist HIER (VDA) bzw. HIER (ENX TISAX) zu finden.
Sind Penetrationstests in TISAX verpflichtend?
Ja. Das Instrument "Penetrationstests" wird im verlinkten Fragebogen bei zwei Punkten explizit genannt:
"Inwieweit werden IT-Systeme und -Dienste technisch überprüft (System- und Dienst-Audit)?"
Hierbei gibt es Soll-Anforderungen, die erfüllt werden müssen. Hat man Systeme mit hohem Schutzbedarf, heißt es:
"Für kritische IT-Systeme oder -Dienste wurden zusätzliche Anforderungen an das System- oder Dienst-Audit identifiziert, die erfüllt werden (z. B. dienstspezifische Tests und Werkzeuge und/oder Penetrationstests, risikobasierte Zeitintervalle)"
Sind regelmäßige Penetrationstests im Rahmen von TISAX notwendig?
Auch hier lautet die Antwort: Ja.
Im Frageboxen wird die folgende Frage gestellt: "Inwieweit wird Informationssicherheit bei neuen oder weiterentwickelten IT-Systemen berücksichtigt?"
Bei Systemen mit sehr hohem Schutzbedarf lautet hier die Anforderungen:
- Die Sicherheit von für einen bestimmten Zweck speziell entwickelter Software oder von in erheblichem Umfang maßgeschneiderter Software wird geprüft (z. B. Penetrationstests)
- – während der Inbetriebnahme
- – im Falle wesentlicher Änderungen
- – oder in regelmäßigen Abständen
Warum sollte DSecured Ihren TISAX Pentest durchführen?
Erfahrenes Team
Profitieren Sie von unserem erfahrenen Team aus Bug Bounty Huntern und ethischen Hackern, die bereits zahlreiche erfolgreiche Penetrationstests durchgeführt haben - auch innerhalb der Automobilbranche.
Herausragender Bericht
Ohne nachvollziehbaren und verständlichen Bericht, der konkrete Empfehlungen bietet, ist eine Zertifizierung nach TISAX/VDA/ISA schwer machbar. Wir liefern Ihnen genau das.
Maximale Kreativität
Einen Schwachstellenscanner laufen lassen können Sie auch selbst. Wir setzen auf maximale Kreativität und manuelle Tests, um auch die verstecktesten Schwachstellen zu finden.
Effektive Risikominimierung
Schützen Sie Ihr Unternehmen durch gezielte Tests, die potentielle Sicherheitsrisiken minimieren und Ihre IT-Infrastruktur absichern. Blackhats und Cyberkriminelle lassen in der Regel nicht lange auf sich warten und nutzen jede Schwäche aus.
Maßgeschneiderte Kommunikation
Wir passen unsere Kommunikation an Ihre Bedürfnisse an, sei es durch regelmäßige Updates, ausführliche Besprechungen oder verständliche Erklärungen. Hierbei ist egal, ob per WhatsApp, Signal oder Slack. Sie entscheiden!
Langfristige Partnerschaft
Setzen Sie auf eine langfristige Zusammenarbeit, die nicht nur einmalige Tests, sondern kontinuierliche Sicherheitsoptimierungen und Unterstützung bietet. Wir können jede Perspektive einnehmen und sind Ihr Partner in Sachen Sicherheit.
Pentest: Dienstleistungen
Einige Unternehmen, denen wir bisher helfen konnten
Weitere Fragen samt Antworten zum Thema
"Penetrationstest zwecks TISAX Zertifizierung"
Wie lang dauert ein Penetrationstest zwecks TISAX Zertifizierung?
Es kommt auf das Zielsystem an - eine pauschale Antwort lässt sich nicht geben. In einigen Fällen dauert ein Test 2-3 Tage in anderen 2-3 Wochen.
Mit welchen Ergebnissen kann ich nach einem Penetrationstest zwecks TISAX Zertifizierung rechnen?
Sie bekommen einen Bericht in PDF-Form, der eine Zusammenfassung für das Management sowie einen technischen Teil enthält. Letzteres erlaubt es Ihren Entwicklern die gefundenen Schwachstellen zu beheben. Diese sind außerdem nach Kritikalität geordnet. Bei Bedarf können wir auch eine Präsentation halten.
Wie wird die Sicherheit meiner Daten während des Penetrationstests zwecks TISAX Zertifizierung gewährleistet?
Sofern möglich fordern wir vom Auftraggeber Test/Demo-Systeme auf isolierten Servern, die gefahrlos getestet werden können. In diesen Test-Systemen befinden sich keine sensiblen/echten Daten.
Welche Vorteile bietet ein manueller Sicherheitstest für meine TISAX Compliance?
Die Kreativität eines echten Angreifers kann keine Software schlagen, das war so und bleibt so. Der Vorteil ist ganz klar - manuelle Tests finden Schwachstellen, die automatisierte Tools übersehen.
Wie oft sollte eine detaillierte Sicherheitsüberprüfung für TISAX durchgeführt werden?
Die allgemeine Empfehlung lautet "jährlich". Je nach Schutzbedarf laut TISAX sind Penetrationstests allerdings auch zu Beginn und bei größeren Anpassungen an einer Software/einem Dienst vorzunehmen.
Kann DSecured uns auch nach dem Penetrationstest weiterhin unterstützen?
Sicherlich - wir bieten weitere Dienstleistungen an, um die IT-Sicherheit Ihres Unternehmens zu optimieren.
Angebot anfordern