TISAX (Trusted Information Security Assessment Exchange) ist der branchenspezifische Sicherheitsstandard der Automobilindustrie \u2013 entwickelt vom VDA und betrieben durch die ENX Association. Er stellt sicher, dass Unternehmen nachweislich ein hohes Niveau an Informationssicherheit erf\u00fcllen und dieses vertrauensw\u00fcrdig mit Partnern teilen k\u00f6nnen.<\/p>\n\n\n\n
Im Rahmen von TISAX ist die regelm\u00e4\u00dfige Durchf\u00fchrung von Penetrationstests ein zentraler Bestandteil des technischen Sicherheitsnachweises. Sie dienen dazu, die Wirksamkeit der implementierten Schutzma\u00dfnahmen praktisch zu \u00fcberpr\u00fcfen und Sicherheitsl\u00fccken fr\u00fchzeitig zu erkennen. So wird sichergestellt, dass Unternehmen nicht nur Richtlinien erf\u00fcllen, sondern ihre Systeme tats\u00e4chlich gegen reale Angriffe abgesichert sind. Grunds\u00e4tzlich gilt: Es sind System- und Dienstaudits verbindlich durchzuf\u00fchren, im Voraus zu planen und mit allen Beteiligten abzustimmen. Ihre Ergebnisse m\u00fcssen nachvollziehbar dokumentiert, dem Management berichtet und f\u00fcr die Ableitung geeigneter Ma\u00dfnahmen genutzt werden. Zus\u00e4tzlich sollten System- und Dienstaudits regelm\u00e4\u00dfig und risikobewusst geplant sowie von qualifiziertem Fachpersonal mit geeigneten Werkzeugen durchgef\u00fchrt werden \u2013 sowohl aus dem internen Netzwerk als auch vom Internet aus. Nach Abschluss ist zeitnah ein Auditbericht zu erstellen. Auch wenn ein Penetrationstest hilft, diese Anforderungen umzusetzen, kommt die konkrete Forderung danach erst bei den Zusatzanforderungen bei hohem Schutzbedarf:<\/p>\n\n\n\n F\u00fcr kritische IT-Systeme oder -Dienste wurden zus\u00e4tzliche Anforderungen an das System- oder Dienst-Audit identifiziert, die erf\u00fcllt werden (z. B. dienstspezifische Tests und Werkzeuge und\/oder Penetrationstests, risikobasierte Zeitintervalle)<\/p>\n<\/blockquote>\n\n\n\n Die n\u00e4chste Erw\u00e4hnung findet im Punkt 5.3.1 <\/strong>Inwieweit wird Informationssicherheit bei neuen oder weiterentwickelten IT-Systemen ber\u00fccksichtigt?<\/em> statt.<\/p>\n\n\n\n Grunds\u00e4tzlich gilt: Bei Planung, Entwicklung, Beschaffung und \u00c4nderung von IT-Systemen m\u00fcssen die Anforderungen an die Informationssicherheit stets ermittelt, ber\u00fccksichtigt und in Sicherheits-Abnahmetests \u00fcberpr\u00fcft werden. Lastenhefte sollten Sicherheitsvorgaben, bew\u00e4hrte Verfahren und Ausfallsicherheit enthalten und vor dem produktiven Einsatz gepr\u00fcft werden. Der Einsatz produktiver Daten zu Testzwecken ist zu vermeiden oder durch gleichwertige Schutzma\u00dfnahmen abzusichern. Bei den Zusatzanforderungen bei sehr hohem Schutzbedarf wird dann wieder auf einen Penetrationstest referenziert:<\/p>\n\n\n\n Die Sicherheit von f\u00fcr einen bestimmten Zweck speziell entwickelter Software oder von in erheblichem Umfang ma\u00dfgeschneiderter Software wird gepr\u00fcft (z. B. Penetrationstests), w\u00e4hrend der Inbetriebnahme, im Falle wesentlicher \u00c4nderungen und in regelm\u00e4\u00dfigen Abst\u00e4nden.<\/p>\n<\/blockquote>\n\n\n\n Die Anforderungen an einen Penetrationstest sind zur Erf\u00fcllung von 5.2.6 vergleichsweise unspezifisch. Wird keine eigene Softwareentwicklung betrieben \u2013 weder intern noch im Auftrag \u2013 beschr\u00e4nkt sich der Test in der Regel auf einen externen Penetrationstest zur \u00dcberpr\u00fcfung \u00f6ffentlich erreichbarer Dienste (z. B. der Website) sowie auf die Analyse des internen Netzwerks. Bei klassischen IT-Landschaften liegt der Fokus dabei meist auf dem Active Directory, der Firewall und den intern erreichbaren Systemen. TISAX (Trusted Information Security Assessment Exchange) ist der branchenspezifische Sicherheitsstandard der Automobilindustrie \u2013 entwickelt vom VDA und betrieben durch die ENX Association. Er stellt sicher, dass Unternehmen nachweislich ein hohes Niveau an Informationssicherheit erf\u00fcllen und dieses vertrauensw\u00fcrdig mit Partnern teilen k\u00f6nnen. Im Rahmen von TISAX ist die regelm\u00e4\u00dfige Durchf\u00fchrung von Penetrationstests ein zentraler Bestandteil des … [Read more…]<\/a><\/span><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[23],"tags":[],"class_list":{"0":"entry","1":"post","2":"publish","3":"author-psauer","4":"post-3909","6":"format-standard","7":"category-pentest"},"_links":{"self":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/3909","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/comments?post=3909"}],"version-history":[{"count":10,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/3909\/revisions"}],"predecessor-version":[{"id":3921,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/3909\/revisions\/3921"}],"wp:attachment":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/media?parent=3909"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/categories?post=3909"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/tags?post=3909"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
Im Katalog Information Security Assessment 6.0.2 (ISA6 DE 6.0.2) des VDA werden an zwei Stellen die Durchf\u00fchrung von Penetrationstest gefordert. Das erste mal im Punkt 5.2.6<\/strong> Inwieweit werden IT-Systeme und -Dienste technisch \u00fcberpr\u00fcft (System- und Dienst-Audit)?<\/em><\/p>\n\n\n\n\n
\n
Die Durchf\u00fchrung erweiteter Pentests wie z.B. inklusive Social Engineering, Phishing, physische Sicherheits\u00fcberpr\u00fcfungen oder DDoS-Tests sind im \u00fcberschaubaren Normalfall in der Regel nicht erforderlich.<\/p>\n\n","protected":false},"excerpt":{"rendered":"