IT-Sicherheit: So geht Vertrauen in der Automobilbranche
Hat mein Lieferant, hat mein Dienstleister das Thema IT-Sicherheit im Griff? Eine berechtigte Frage in der stark vernetzten Automobilbranche: Ohne Cloud und externen Zugriff geht es nicht mehr. TISAX (Trusted Information Security Assessment Exchange) schafft Vertrauen in die IT-Sicherheit innerhalb der Branche: TISAX-konforme Unternehmen erfüllen die geforderten IT-Sicherheitsanforderungen. Dazu gehören auch Rechenzentren für Microsoft Azure, Office 365 und Dynamics 365 – sichere Cloud-Angebote für die gesamte Industrie.
Vernetzte und autonome Fahrzeuge, Cloud-basierte Dienste und mobile Arbeitsplätze, digitale Kommunikation zwischen OEM und Zulieferer: In der Automobilbranche sind IT-Systeme unabdingbar, Herausforderungen rund ums autonome Fahren sind ohne Cloud-Unterstützung kaum zu stemmen.
Um die stetig zunehmende Vernetzung auf sprichwörtlich sichere Füße zu stellen, haben der VDA (Verband der Automobilindustrie) und die Governance-Organisation ENX Association mit TISAX einen Standard entwickelt, der IT-Sicherheitsmaßnahmen unternehmensübergreifend bewertet. TISAX ist von der ISO 27001 abgeleitet und an die Besonderheiten der Branche angepasst worden. So erfasst TISAX optional auch den Schutz von Prototypen (physisch und digital), die Zusammenarbeit mit Drittanbietern oder den Umgang mit Sicherheitspannen.
Letzte Woche, am 14. November 2018, war es dann soweit: Unabhängige Prüfer haben das TISAX-Assessment für die Rechenzentren der Microsoft Azure, Office 365 und Dynamics 365 Dienste abgeschlossen. Ergebnis: Unternehmen aus dem Automobilsektor können ohne zusätzliche Prüfungen diesen Cloud-Angeboten vertrauen und ihre Aufgaben so effizienter bewältigen. Zudem können Automobilhersteller vertrauensvoll Daten mit Zulieferern austauschen, die ihren Mitarbeitern moderne Arbeitsplätze auf Basis der Cloud-Dienste von Office 365 bieten. Continental beispielsweise setzt bereits auf Office 365.
Für Microsoft war es eine Selbstverständlichkeit, den Standard zu erfüllen. Schließlich halten die Cloud-Angebote von Microsoft seit jeher verschiedenste internationale und branchenspezifische Vorgaben ein, darunter die Datenschutz-Grundverordnung (DSGVO), ISO 27001, HIPAA, FedRAMP, SOC 1 und SOC 2 sowie länderspezifische Standards wie Australia IRAP, UK G-Cloud und Singapore MTCS. Eine vollständige Auflistung findet sich im Microsoft Trustcenter.
Hier sehen Sie den Umfang des TISAX Assessments:
- Die Cloud-Rechenzentren in Nord- (Region Dublin, Irland) und Westeuropa (Region Amsterdam, Niederlande) sind auf die Vorgaben des Assessment Level (AL) „3“ geprüft. AL3 bezieht sich auf Daten mit sehr hohem Schutzbedarf, beispielsweise als „streng vertraulich“ oder „geheim“ klassifizierte Daten. Das bedeutet, dass beispielsweise ressourcenhungrige Anwendungen wie Crashtest- und Strömungs-Simulationen sowie die zur Entwicklung autonomer Fahrzeuge notwendigen KI (Künstliche Intelligenz)-Systeme in der beinahe unbegrenzt leistungsfähigen Cloud laufen können.
- Zusätzlich zu den obigen Rechenzentren sind ausgewählte Cloud-Rechenzentren in Frankreich, Großbritannien, USA, Kanada, Korea, Japan, Australien sowie ausgewählte Regionen in Asien auf das Assessment Level „2“ geprüft. AL2 bezieht sich auf Daten mit hohem Schutzbedarf, beispielsweise als „vertraulich“ klassifizierte Daten.
Automobilhersteller können dank der Einhaltung der TISAX-Vorgaben auch auf Azure setzen, um ihre Fahrzeuge zu vernetzen und so Teil des Internets der Dinge werden zu lassen. Beispiele hierfür sind die VW Automotive Cloud, BMW Connected Drive oder das Flottenmanagement bei Daimler Trucks North America.
Der TISAX zugrunde liegende Anforderungskatalog findet sich auf der Website des VDA. Details zur Konformität der Microsoft-Angebote finden registrierte Branchenvertreter auf dem Portal der Governance-Organisation ENX Association. Microsoft hat die Participant-ID PGKYK0. Die Informationen zum Scope „Microsoft Corp. EU – AL3“ finden sich unter der Scope-ID SY869K, die Angaben zum Scope „Microsoft Corp. WORLD – AL2“ unter der Scope-ID S08NT9.