Penetrationstest zwecks TISAX Zertifizierung

TISAX fordert die Durchführung von Penetrationstests durch externe IT-Sicherheitsexperten. Hierbei können wir Ihnen schnell und zuverlässig helfen.

DSecured führt effiziente Penetrationstests Ihrer IT-Systeme durch - hierbei setzen wir sowohl auf manuelle als auch automatisierte Methoden ein. Der finale Bericht verschafft Ihnen einen klaren Überblick über die Sicherheit Ihrer Systeme.

Damian Strobel

Damian Strobel

Gründer und CEO

Die Automobilbranche war schon immer ein interessantes Ziel für Angreifer verschiedener Couleur.

Für wen ist TISAX relevant?

TISAX ist in Deutschland primär innerhalb der Automobilbranche bekannt. Es basiert auf dem Branchenstandard VDA-ISA und ist im Grunde für jedes Unternehmen relevant, das vorhat mit Automobilkonzernen und/oder deren Zulieferern zusammenzuarbeiten. Ebenso wie bei VDA-ISA ist das Ziel hier das IT-Sicherheitsniveau im gesamten Unternehmen zu erfassen und kontinuierlich zu erhöhen. Im Vergleich zu ISA ist TISAX in einigen Bereichen etwas spezifischer - so wird beispielsweise explizit das Durchführen von Penetrationstests gefordert.

Der Auditor arbeitet mit dem Unternehmen einen von VDA bzw. ENX Association (Entwickler von TISAX) erstellten Frageboxen durch. Dieser ist HIER (VDA) bzw. HIER (ENX TISAX) zu finden.

Sind Penetrationstests in TISAX verpflichtend?

Ja. Das Instrument "Penetrationstests" wird im verlinkten Fragebogen bei zwei Punkten explizit genannt:

"Inwieweit werden IT-Systeme und -Dienste technisch überprüft (System- und Dienst-Audit)?"
Hierbei gibt es Soll-Anforderungen, die erfüllt werden müssen. Hat man Systeme mit hohem Schutzbedarf, heißt es:

"Für kritische IT-Systeme oder -Dienste wurden zusätzliche Anforderungen an das System- oder Dienst-Audit identifiziert, die erfüllt werden (z. B. dienstspezifische Tests und Werkzeuge und/oder Penetrationstests, risikobasierte Zeitintervalle)"

Sind regelmäßige Penetrationstests im Rahmen von TISAX notwendig?

Auch hier lautet die Antwort: Ja.

Im Frageboxen wird die folgende Frage gestellt: "Inwieweit wird Informationssicherheit bei neuen oder weiterentwickelten IT-Systemen berücksichtigt?"
Bei Systemen mit sehr hohem Schutzbedarf lautet hier die Anforderungen:

  • Die Sicherheit von für einen bestimmten Zweck speziell entwickelter Software oder von in erheblichem Umfang maßgeschneiderter Software wird geprüft (z. B. Penetrationstests)
  • – während der Inbetriebnahme
  • – im Falle wesentlicher Änderungen
  • – oder in regelmäßigen Abständen

Warum sollte DSecured Ihren TISAX Pentest durchführen?

Erfahrenes Team

Profitieren Sie von unserem erfahrenen Team aus Bug Bounty Huntern und ethischen Hackern, die bereits zahlreiche erfolgreiche Penetrationstests durchgeführt haben - auch innerhalb der Automobilbranche.

Herausragender Bericht

Ohne nachvollziehbaren und verständlichen Bericht, der konkrete Empfehlungen bietet, ist eine Zertifizierung nach TISAX/VDA/ISA schwer machbar. Wir liefern Ihnen genau das.

Maximale Kreativität

Einen Schwachstellenscanner laufen lassen können Sie auch selbst. Wir setzen auf maximale Kreativität und manuelle Tests, um auch die verstecktesten Schwachstellen zu finden.

Effektive Risikominimierung

Schützen Sie Ihr Unternehmen durch gezielte Tests, die potentielle Sicherheitsrisiken minimieren und Ihre IT-Infrastruktur absichern. Blackhats und Cyberkriminelle lassen in der Regel nicht lange auf sich warten und nutzen jede Schwäche aus.

Maßgeschneiderte Kommunikation

Wir passen unsere Kommunikation an Ihre Bedürfnisse an, sei es durch regelmäßige Updates, ausführliche Besprechungen oder verständliche Erklärungen. Hierbei ist egal, ob per WhatsApp, Signal oder Slack. Sie entscheiden!

Langfristige Partnerschaft

Setzen Sie auf eine langfristige Zusammenarbeit, die nicht nur einmalige Tests, sondern kontinuierliche Sicherheitsoptimierungen und Unterstützung bietet. Wir können jede Perspektive einnehmen und sind Ihr Partner in Sachen Sicherheit.

Einige Unternehmen, denen wir bisher helfen konnten

Grab
PayPal
BMW
Goldman Sachs
Starbucks
ATT
TikTok
Hilton

Weitere Fragen samt Antworten zum Thema
"Penetrationstest zwecks TISAX Zertifizierung"

Wie lang dauert ein Penetrationstest zwecks TISAX Zertifizierung?

Es kommt auf das Zielsystem an - eine pauschale Antwort lässt sich nicht geben. In einigen Fällen dauert ein Test 2-3 Tage in anderen 2-3 Wochen.

Mit welchen Ergebnissen kann ich nach einem Penetrationstest zwecks TISAX Zertifizierung rechnen?

Sie bekommen einen Bericht in PDF-Form, der eine Zusammenfassung für das Management sowie einen technischen Teil enthält. Letzteres erlaubt es Ihren Entwicklern die gefundenen Schwachstellen zu beheben. Diese sind außerdem nach Kritikalität geordnet. Bei Bedarf können wir auch eine Präsentation halten.

Wie wird die Sicherheit meiner Daten während des Penetrationstests zwecks TISAX Zertifizierung gewährleistet?

Sofern möglich fordern wir vom Auftraggeber Test/Demo-Systeme auf isolierten Servern, die gefahrlos getestet werden können. In diesen Test-Systemen befinden sich keine sensiblen/echten Daten.

Welche Vorteile bietet ein manueller Sicherheitstest für meine TISAX Compliance?

Die Kreativität eines echten Angreifers kann keine Software schlagen, das war so und bleibt so. Der Vorteil ist ganz klar - manuelle Tests finden Schwachstellen, die automatisierte Tools übersehen.

Wie oft sollte eine detaillierte Sicherheitsüberprüfung für TISAX durchgeführt werden?

Die allgemeine Empfehlung lautet "jährlich". Je nach Schutzbedarf laut TISAX sind Penetrationstests allerdings auch zu Beginn und bei größeren Anpassungen an einer Software/einem Dienst vorzunehmen.

Kann DSecured uns auch nach dem Penetrationstest weiterhin unterstützen?

Sicherlich - wir bieten weitere Dienstleistungen an, um die IT-Sicherheit Ihres Unternehmens zu optimieren.

Kontaktieren Sie DSecured

Angebot anfordern