TISAX Zertifizierung – Anforderungen, Level u. Kosten
Schneller, besser, hochtechnisiert: Die Automobilbranche boomt. Um die hohen Standards im gesamten Planungs- und Produktionsprozess gewährleisten zu können, arbeiten Hersteller eng mit ihren Lieferanten zusammen und beziehen diese häufig sogar in die Entwicklung von Bauteilen und Modellen mit ein. Zu diesem Zweck geben sie hochsensible Daten weiter, deren Verlust oder Missbrauch kaum absehbare wirtschaftliche und finanzielle Folgen hätte.
Aus diesem Grund hat der Verband der Automobilindustrie (VDA) mit TISAX einen Standard für Informations- und Cybersicherheit geschaffen, der speziell an die Anforderungen der Automobilbranche angepasst ist. Wir schauen uns an, was TISAX von ISO 27001 als zugrundeliegender Norm unterscheidet und welche Anforderungen Unternehmen erfüllen müssen, um die TISAX-Zertifizierung zu erhalten.
TISAX-Zertifizierung für Automobilindustrie
Natürlich haben Hersteller von ihren Zulieferern und anderen beteiligten Dienstleistern schon vor TISAX regelmäßig den Nachweis darüber verlangt, dass die ihnen zur Verfügung gestellten Daten durch ein geeignetes ISMS (Information Security Management System) geschützt werden. Entsprechende Prüfungen wurden schon damals auf der Grundlage des Anforderungskataloges Information Security Assessment (ISA) durchgeführt, den der Verband der Automobilindustrie (VDA) in Zusammenarbeit mit der ENX Association entwickelt hat.
Das Problem: Der Hersteller musste jeden Dienstleister einzeln überprüfen. Und Lieferanten mussten jedem Auftraggeber die Prüfung gestatten, wenn sie weiterhin Aufträge erhalten wollten. Was fehlte, waren ein standardisierter Prozess sowie ein transparenter und unternehmensübergreifender Austausch der Prüfungsergebnisse.
Branchenstandard für Informations- und Cybersicherheit
Beides wurde Anfang 2017 mit TISAX, dem Trusted Information Security Assessment Exchange, etabliert. Die ENX Association agiert in diesem System als Governance-Organisation. Seither verlangen viele Automobilhersteller und Zulieferer der deutschen Automobilindustrie von ihren Geschäftspartnern eine bestehende TISAX-Zertifizierung.
Achtung! Ausländische Zulieferer können sich derzeit zwar nach TISAX zertifizieren lassen, aber die TISAX-Zertifizierung ist keine international anerkannte ISO-Norm. Einige US-Autofirmen setzen auf einen eigenen Standard namens TPISR.
TISAX – Prüf- und Austauschmechanismus
TISAX bietet der Automobilbranche deutlich mehr als “nur” Maßnahmenempfehlungen bezüglich Informationssicherheit. Registrierte Teilnehmer können über eine eigens entwickelte Online-Plattform namens TISAX Exchange Prüfungsergebnisse austauschen und der definierte Standard sorgt für eine gemeinsame Anerkennung dieser Ergebnisse zwischen allen Teilnehmern.
Indem Sie Ihre Ergebnisse auf der Plattform freischalten, teilen Sie nicht nur Ihren direkten Geschäftspartnern, sondern sämtlichen teilnehmenden Unternehmen mit, dass ihre Informationssicherheit TISAX-konform ist.
TISAX vs. ISO 27001
Der Anforderungskatalog für die TISAX-Zertifizierung (VDA ISA) ist von der internationalen Norm für Informationssicherheit ISO 27001 abgeleitet. Der VDA und die ENX Association haben die Anforderungen jedoch um zusätzliche Bereiche erweitert, die speziell für die Automobilbranche wichtig sind.
Diese Bereiche umfassen u.a. die Einbindung von Partnern in die eigene IT-Infrastruktur, Datenschutz und Prototypenschutz. Weitere Unterschiede bestehen hinsichtlich des definierten Geltungsbereichs (Scope), des Prüfprozesses und der Qualifizierung der empfohlenen Maßnahmen.
Nähere Informationen über die Rolle von Identity Access Management in der Autoindustrie und wie IAM dabei hilft, Compliance-Anforderungen zu erfüllen, finden Sie in unserer Übersicht zum Thema Access Management in der Automobilindustrie.
TISAX vs. ISO 27001 – Geltungsbereich
Der Geltungsbereich, auch Scope genannt, legt fest, für welche Bereiche eines Unternehmens Sicherheitsrichtlinien gelten. Entsprechend bestimmt der Geltungsbereich, welche IT-Systeme und Unternehmensbereiche im Zuge der Zertifizierung überprüft werden. Während Unternehmen diesen Scope bei der Zertifizierung gemäß ISO 27001 weitgehend selbst bestimmen können, gibt die ENX Association einen Standard-Scope vor.
Dieser gilt als Grundlage für eine TISAX-Prüfung und wird von allen Teilnehmern akzeptiert. Unter bestimmten Umständen kann der Umfang der Prüfung angepasst werden (z.B. wenn der Erstausrüster einen erweiterten Geltungsbereich verlangt). Unternehmen, die sich nach TISAX zertifizieren lassen möchten, müssen sämtliche Mitarbeiter, die mit sensiblen Informationen aus der jeweiligen Automobilbranche in Berührung kommen, in den Prüf-Scope aufnehmen.
ISO 27001: Anforderungen an das Access Management
In unserem Whitepaper erfahren Sie alles über die ISO Vorbereitung, wichtige Dokumente und die Vorgaben an das Identity und Access Management.
TISAX vs. ISO 27001 – Prüfprozess
Sowohl die TISAX- als auch die ISO-27001-Zertifizierung startet mit einer Selbsteinschätzung, bevor die Einhaltung der Vorgaben von einem externen Prüfer durch Interviews bzw. Audits kontrolliert wird.
Der Unterschied liegt darin, dass das beantragende Unternehmen bei TISAX zwischen mehreren Levels der Zertifizierung wählen kann, während der Ablauf bei ISO 27001 fest vorgegeben ist. Zudem müssen im TISAX-Prüfprozess sämtliche Schwachstellen noch während des Prüfprozesses behoben werden, damit das Unternehmen das TISAX Label bzw. Zertifikat erhält.
TISAX Assessment Level (AL) | Prüfprozess |
---|---|
Level 1 | Nur Selbsteinschätzung zur internen Orientierung, keine offizielle Zertifizierung |
Level 2 | Selbsteinschätzung, Plausibilitätsprüfung durch externen Auditor, Remote-Interview |
Level 3 | Selbsteinschätzung, eingehende vor-Ort Prüfung durch externen Auditor |
TISAX vs. ISO 27001 – Maturity Level
Der TISAX-Prüfkatalog greift auf die in der ISO 27001 festgelegten Maßnahmen (Controls) zurück. Für eine erfolgreiche TISAX-Zertifizierung muss ein Unternehmen in der Umsetzung dieser Maßnahmen sowie den Prozessen dahinter jedoch einen bestimmten “Reifegrad” (Maturity Level) erreichen.
Die in TISAX definierten Reifegrade reichen von 0 (unvollständig) bis 5 (optimierend). Um die Zertifizierung zu bestehen, muss ein Zielreifegrad von 3 erreicht werden. Höhere Werte bei einzelnen Anforderungen gleichen ein niedrigeres Ergebnis nicht aus, sondern werden auf 3 abgerundet.
0 – unvollständig: Es gibt keinen Prozess, es wird keinem Prozess gefolgt oder der Prozess ist nicht geeignet das Ziel zu erreichen.
1 – durchgeführt: Es wird einem nicht oder unvollständig dokumentierten Prozess gefolgt (“informeller Prozess”) und es existieren Indizien, dass er sein Ziel erreicht.
2 – gesteuert: Es wird einem Prozess gefolgt, der seine Ziele erreicht. Prozessdokumentation und Prozessdurchführungsnachweise sind vorhanden.
3 – etabliert: Es wird einem Standardprozess gefolgt, der in das Gesamtsystem integriert ist. Abhängigkeiten zu anderen Prozessen sind dokumentiert und geeignete Schnittstellen geschaffen. Es existieren Nachweise, dass der Prozess über einen längeren Zeitraum nachhaltig und aktiv genutzt wurde.
4 – vorhersagbar: Es wird einem etablierten Prozess gefolgt. Die Wirksamkeit des Prozesses wird durch Erheben von Kennzahlen (Key Performance Indicators bzw. KPIs) kontinuierlich überwacht. Es sind Grenzwerte definiert, bei denen der Prozess als nicht hinreichend wirksam angesehen wird und angepasst werden muss.
5 – optimierend: Es wird einem vorhersagbaren Prozess gefolgt, bei dem die kontinuierliche Verbesserung wesentliches Ziel ist. Die Verbesserung wird von dedizierten Ressourcen aktiv vorangetrieben.
TISAX Zertifizierung
Die Zertifizierung nach TISAX wird auf der Grundlage des VDA Information Security Assessment (VDA ISA) durchgeführt. Der VDA ISA wird bereits von 2.500 Unternehmen in 40 Ländern als gemeinsame Prüfungsgrundlage genutzt. Für die Prüfung haben Unternehmen die Wahl zwischen drei verschiedenen Assessment-Levels.
Mit der Durchführung der Prüfung beauftragen Sie einen von der ENX-Association genehmigten unabhängigen Prüfungsdienstleister. Die ENX-Association überwacht die Qualität der Durchführung sowie der Prüfergebnisse und stellt die Einhaltung der Audit Provider Criteria and Assessment Requirements (TISAX ACAR) im Sinne aller Teilnehmer sicher.
TISAX Anforderungen
Um eine TISAX-Zertifizierung zu erhalten, müssen Unternehmen die Anforderungen erfüllen, die im VDA-ISA-Prüfungskatalog festgelegt sind. Die Umsetzung der Anforderungen wird nach einem Reifegradmodell bewertet, wobei 3 als Ziel-Reifegrad gilt. Der Anforderungskatalog für TISAX besteht aus drei Modulen:
Informationssicherheit
Prototypenschutz
Datenschutz
Abhängig davon, welche dieser Bereiche ein Unternehmen als relevant betrachtet, lässt sich TISAX in insgesamt 8 verschiedene Prüfziele mit unterschiedlichen Kriterien unterteilen. Mindestanforderung für die TISAX-Zertifizierung ist das Prüfziel Umgang mit Informationen mit hohem Schutzbedarf, welches in allen weiteren Prüfzielen enthalten ist. Je nach gewähltem Ziel ist zudem ein bestimmter Assessment Level (AL) vorgeschrieben.
Unternehmen, die ein Prüfziel erfolgreich nachweisen, erhalten nach abgeschlossener Zertifizierung das zugehörige TISAX-Label. Die Begriffe Prüfziel und Label werden daher oft synonym verwendet. Je nach Art der Zusammenarbeit und geteilten Daten verlangen Hersteller unterschiedliche TISAX-Labels von Zulieferern.
TISAX Prüfziel (bzw. Label) | Anforderungen | Assessment Level (AL) |
---|---|---|
Umgang mit Informationen mit hohem Schutzbedarf (Info High) | Anforderungen Informationssicherheit (sollte, muss u. hoher Schutzbedarf) | Level 2 |
Umgang mit Informationen mit sehr hohem Schutzbedarf (Info Very High) | Anforderungen Informationssicherheit (sollte, muss, hoher u. sehr hoher Schutzbedarf) | Level 3 |
Schutz von Prototypenbauteilen und Komponenten (Proto Parts) | Anforderungen Informationssicherheit (sollte, muss u. hoher Schutzbedarf), plus Prototypenschutz 8.1, 8.2 u. 8.3 | Level 3 |
Schutz von Prototypenfahrzeugen (Proto Vehicles) | Anforderungen Informationssicherheit (sollte, muss u. hoher Schutzbedarf), Prototypenschutz 8.1, 8.2, 8.3 u. Zusatzanforderungen für schutzbedürftige Fahrzeuge | Level 3 |
Umgang mit Erprobungsfahrzeugen (Test Vehicles) | Anforderungen Informationssicherheit (sollte, muss u. hoher Schutzbedarf), plus Prototypenschutz 8.2, 8.3 u. 8.4 | Level 3 |
Schutz von Prototypen während Veranstaltungen und Film- und Fotoshootings (Events + Shootings) | Anforderungen Informationssicherheit (sollte, muss u. hoher Schutzbedarf), plus Prototypenschutz 8.2, 8.3 u. 8.5 | Level 3 |
Datenschutz (Data) | Anforderungen Informationssicherheit (sollte, muss u. hoher Schutzbedarf), plus Kriterienkatalog Datenschutz | Level 2 |
Datenschutz bei besonderen Kategorien personenbezogener Daten (Special Data) | Anforderungen Informationssicherheit (sollte, muss, hoher u. sehr hoher Schutzbedarf) plus Kriterienkatalog Datenschutz | Level 3 |
Achtung: Das Label für hohe Informationssicherheit (Info High) wird zukünftig in zwei Bereiche aufgeteilt: Vertraulichkeit (Confidential) und Verfügbarkeit (High Availability). Ebenso wird aus Info Very High künftig Very High Availability bzw. Strictly Confidential. Durch diese Aufteilung reagiert ENX auf die Zunahme von Bedrohungen wie Ransomware, die nicht nur die Vertraulichkeit von Daten, sondern auch deren Verfügbarkeit für das Unternehmen gefährden. Mehr Informationen zu den neuen TISAX Labels.
TISAX-Zertifizierung – Ablauf
Registrierung: Unternehmen registriert sich für TISAX und gibt eine Selbsteinschätzung auf Basis des VDA-ISA-Fragenkataloges inkl. angestrebten Zertifikat-Levels ab.
TISAX-Prüfer wählen: Unternehmen wählt einen unabhängigen Prüfdienstleister aus.
Plausibilitäts- bzw. Erstprüfung: Dienstleister überprüft die Vollständigkeit der Selbstbewertung und der entsprechenden Nachweise.
Optimierung: Das Unternehmen beseitigt jene Schwachstellen, die sich im Zuge der Erstprüfung gezeigt haben.
Assessment: Unternehmen unterzieht sich dem TISAX-Assessment (Level 2: remote, Level 3: vor Ort).
Optimierung: Das Unternehmen beseitigt jene Schwachstellen, die sich im Zuge des TISAX-Assessments gezeigt haben.
Nachprüfung: Unternehmen muss beweisen, dass sämtliche im Zuge des Assessment festgestellten Schwachstellen beseitigt wurden.
Exchange: Unternehmen veröffentlicht Prüfergebnisse über TISAX Exchange (freiwillig).
Der Prüfdienstleister reicht das Ergebnis der letzten Überprüfung bei der ENX Association ein. Sofern noch geringe Abweichungen von den Kriterien bestehen (sog. Nebenabweichungen), erhält das Unternehmen nur ein vorläufiges TISAX-Label. Dieses ist zwar (zeitlich begrenzt) gültig, aber die dauerhafte Zertifizierung erfolgt erst, wenn die Abweichungen behoben wurden. Bei Hauptabweichungen wird die TISAX-Zertifizierung erst an dem Tag gültig, an dem die Abweichung nachweisbar behoben ist.
TISAX-Zertifizierung – Level
Welches Assessment-Level Ihr Unternehmen benötigt, hängt davon ab, welcher Schutzbedarf in Ihrem spezifischen Umfeld besteht (normal, hoch oder sehr hoch). Welchem Assessment-Level Sie Ihre Prozesse unterziehen möchten, entscheiden Sie grundsätzlich selbst. Die meisten Hersteller setzen für die Zusammenarbeit mit Zulieferern allerdings eine Zertifizierung auf einem bestimmten Level bzw. ein bestimmtes TISAX-Label voraus.
TISAX-Level 1 ist für Unternehmen mit normalen Schutzanforderungen gedacht. Der Auditee führt das Assessment in Form einer Selbstbewertung auf der Grundlage des VDA-ISA-Fragenkatalogs durch. Diese Selbsteinschätzung wird nicht überprüft und gilt nicht als TISAX-Zertifizierung.
TISAX-Level 2 ist für Unternehmen mit hohen Schutzanforderungen gedacht. Der Auditee führt eine vollständige Selbstbewertung auf der Grundlage des VDA-ISA durch. Der Audit-Provider überprüft (nach einem Eröffnungsgespräch) die Plausibilität dieser Selbsteinschätzung und die Vollständigkeit sämtlicher Nachweise. Das Level-2-Assessment selbst erfolgt in Form eines Remote-Interviews. Sind der Prototypenschutz und/oder die Einbindung Dritter ebenfalls Gegenstand der Prüfung, findet diese vor Ort statt.
TISAX-Level 3 ist für Unternehmen mit sehr hohen Schutzanforderungen gedacht. Der Ablauf ist identisch mit dem Level-2-Assessment (Selbsteinschätzung, Plausibilitäts- und Vollständigkeitsprüfung durch den Auditor), nur dass die Überprüfung vor Ort stattfindet. Die Wirksamkeit und der Reifegrad des ISMS wird mithilfe von Interviews vor Ort sowie der Begehung kritischer Bereiche und Räumlichkeiten verifiziert.
TISAX-Zertifizierung – Dauer
Von der Erstprüfung (erfolgt nach der Selbsteinschätzung) bis zum TISAX-konformen Prüfergebnis dürfen nicht mehr als neun Monate vergehen. Sämtliche Abweichungen und Schwachstellen, die während des Prüfprozesses identifiziert werden, müssen innerhalb dieser Zeit vom Unternehmen behoben werden. Wurden alle erforderlichen VDA-ISA-Anforderungen erfüllt, erhält das Unternehmen die TISAX-Zertifizierung. Diese ist drei Jahre lang gültig und es finden keine jährlichen Überwachungsaudits statt.
TISAX: Kosten der Zertifizierung
Mit welchen Kosten ein Unternehmen für die Zertifikation nach TISAX rechnen muss, ist von Fall zu Fall unterschiedlich. Fixkosten, die für jedes Unternehmen anfallen, sind u.a. die Kosten für den Prüfungsdienstleister sowie die Teilnahme am ENX-Netzwerk. Hier ist eine Preisliste auf der Website der Association verfügbar.
Darüber hinaus können durch notwendige Verbesserungen der Informationssicherheit Kosten entstehen. Betriebe, die bereits andere Zertifizierungen wie den BSI IT-Grundschutz oder das NIST Cybersecurity Framework abgeschlossen haben, sind hier deutlich im Vorteil. Insgesamt müssen Firmen für die TISAX-Zertifizierung selbst im einfachsten Fall mit Kosten von mehreren tausend Euro rechnen.
Wie die TISAX-Zertifizierung Kosten senkt
Trotz der Investitionen, die für die Zertifizierung nach TISAX erforderlich sind, hat die Standardisierung der Anforderungen dafür gesorgt, dass die Kosten sich in einem gut kalkulierbaren Rahmen bewegen. Während ein Unternehmen sich vor der Einführung des Branchenstandards in der Regel mehreren Überprüfungen durch mehrere Auftraggeber unterziehen und den abweichenden Anforderungen entsprechende Investitionen tätigen musste, ist heute nur noch eine einzige Zertifizierung notwendig.
Die Kosten für die Erneuerung des Zertifikats nach drei Jahren sind in der Regel nicht mehr so hoch, weil zu diesem Zeitpunkt bereits ein entsprechendes ISMS implementiert ist und allenfalls noch Optimierungen vorgenommen werden müssen.
Auf TISAX-Zertifizierung vorbereiten
Bei der TISAX-Zertifizierung geht es in erster Linie darum, zu beweisen, dass die Ihnen anvertrauten sensiblen Informationen sicher verwaltet werden. Sie müssen also sicherstellen, dass die Daten zuverlässig sowohl vor unbefugten externen Zugriffen, als auch vor Insider Threats wie beispielsweise Datendiebstahl durch Mitarbeiter geschützt werden. Der einfachste Weg, das zu garantieren, liegt in der Einführung einer Software für die automatische Berechtigungsverwaltung.
In den meisten Unternehmen, die bislang ohne Berechtigungsmanagement- oder IAM-Software arbeiten, herrscht eine unklare Berechtigungssituation. Niemand weiß genau, welcher Mitarbeiter auf welche Daten Zugriff hat, und noch weniger Menschen wissen, wer ihm oder ihr diese Zugriffe wann erteilt hat. Das Problem an diesem Chaos? Mangelnde Übersicht führt mit der Zeit zu Privilege Creep, der Ansammlung nicht benötigter Zugriffsrechte durch Mitarbeiter. Diese wiederum gefährden sensible Daten, wenn z.B. ein Konto infolge eines Phishing-Angriffs kompromittiert wird.
Was leistet tenfold?
tenfold bringt Ordnung ins Chaos, indem die Software Prozesse, die bisher manuell abliefen, standardisiert und automatisiert. Durch das Festlegen von Standardrechten und die sogenannte rollenbasierte Berechtigungsvergabe erhält jeder User automatisch genau die Rechte, die er für seine Funktion benötigt. Das entlastet nicht nur Admins und erleichtert die Benutzerverwaltung im Unternehmen, sondern verhindert auch die Ansammlung überflüssiger Rechte und verwaister Konten.
Damit die transparente und sparsame Vergabe von IT-Berechtigungen – Experten sprechen von Least Privilege Access – langfristig gewährt bleibt, unterstützt tenfold Administratoren durch eine zentrales Reporting von Berechtigungen sowie die automatische Rezertifizierung von Rechten. So ist sichergestellt, dass es im gesamten Unternehmen keine veralteten und/oder falschen Berechtigungen mehr gibt.
Best Practices im Access Management in Microsoft Umgebungen
Dieses Whitepaper enthält eine detaillierte Anleitung zur korrekten Einstellung von Berechtigungsstrukturen mit technischen Detailinformationen.
TISAX-Anforderungen: Was deckt tenfold ab?
Selbstverständlich reicht es für eine umfassende TISAX-Vorbereitung nicht aus, eine Software für Berechtigungsmanagement zu implementieren. Sie schaffen hiermit jedoch eine stabile Basis, auf der sie aufbauen können.
tenfold schließt vor allem jene Sicherheitslücken, die durch die manuelle Berechtigungsvergabe und durch die Arbeit mit verschiedenen, nicht zentralisierten Systemen, Programmen und Anwendungen entstehen. Im Folgenden schauen wir uns an, welche Anforderungen aus dem TISAX-Fragenkatalog tenfold konkret erfüllt.
Im VDA-ISA-Katalog gibt es einen eigenen Abschnitt für den Bereich Identity und Access Management. Bei den durch tenfold abgedeckten Vorgaben handelt es sich im Wesentlichen um die Abschnitte 4.1 und 4.2 des Bausteins Identity und Access Management:
Frage: Inwieweit ist der Umgang mit Identifikationsmitteln gemanagt?
Ziel: Um die Berechtigung für den physischen Zutritt wie auch elektronischen Zugang zu prüfen, werden oft Identifikationsmittel wie Schlüssel, Sichtausweise oder kryptographische Tokens verwendet. Die Schutzmerkmale sind nur dann verlässlich, wenn der Umgang mit solchen Identifikationsmitteln adäquat gehandhabt wird.
Lösung in tenfold: Über das interne Berechtigungswesen von tenfold können die unterschiedlichen operativen und kontrollierenden Instanzen abgebildet werden. Mitarbeiter werden in tenfold erfasst und über ihr tenfold-Benutzerkonto eindeutig identifiziert. Der elektronische Zugang zu sämtlichen Ressourcen wird ausschließlich über tenfold gesteuert und dokumentiert.
Für das Management des physischen Zutritts gibt es in tenfold direkt keine Funktion. Mithilfe einer Schnittstelle ist es allerdings möglich, physische Zutrittssysteme über Berechtigungsprofile zu steuern. Dadurch wird der physische Zutritt bei einem Abteilungswechsel automatisch angepasst. Aktuell ist es z.B. möglich, tenfold über das PKE SMS Plugin mit dem Schließsystem von PKE zu integrieren, um den physischen Zutritt der Mitarbeiter zu managen.
Frage: Inwieweit wird der Zugang von Benutzern zu Netzwerkdiensten, IT-Systemen und IT-Anwendungen gesichert?
Ziel: Der Zugang zu IT-Systemen soll nur sicher identifizierten (authentifizierten) Benutzern möglich sein. Dafür wird die Identität eines Benutzers durch geeignete Verfahren sicher festgestellt.
Lösung in tenfold: Sämtliche Mitarbeiter werden in tenfold erfasst. Durch die Synchronisierung mit dem Active Directory sorgt die Software dafür, dass jedem Mitarbeiter EIN Benutzerkonto zugeordnet ist, in dem sämtliche Zugänge und Berechtigungen verwaltet werden. Der Benutzer ist über sein tenfold-Benutzerkonto also eindeutig identifiziert.
Der elektronische Zugang zu sämtlichen Ressourcen wird ausschließlich über tenfold gesteuert und dokumentiert. Mithilfe von Berechtigungsprofilen wird sichergestellt, dass ausschließlich autorisierte Mitarbeiter Zugang zu IT-Systemen haben. Fällt diese Autorisierung weg (z.B. aufgrund eines Abteilungswechsels), sorgt das User Lifecycle Management von tenfold dafür, dass automatisch alle nicht mehr benötigten Zugangsberechtigungen entzogen werden.
Frage: Inwieweit werden Benutzerkonten und Anmeldeinformationen sicher verwaltet und angewandt?
Ziel: Der Zugang zu Informationen und IT-Systemen erfolgt über validierte Benutzerkonten, welche einer Person zugeordnet sind. Es ist wichtig, dass Anmeldeinformationen geschützt werden sowie eine Nachvollziehbarkeit von Transaktionen und Zugriffen sichergestellt ist.
Lösung in tenfold: Mitarbeiter werden in tenfold erfasst. Der Datensatz für einen Mitarbeiter umfasst einen konfigurierbaren Umfang an Attributen. Darüber hinaus kann tenfold diese Attribute auch automatisch aus anderen Systemen, z.B. der Personalmanagement-Software, übernehmen.
Frage: Inwieweit werden Zugriffsberechtigungen vergeben und gemanagt?
Ziel: Das Management von Zugriffsberechtigungen dient dazu, dass nur berechtigte (autorisierte) Benutzer Zugriff auf Informationen und IT-Anwendungen haben. Zu diesem Zweck werden den Benutzerkonten Zugriffsrechte zugewiesen.
Lösung in tenfold: In tenfold können Profile erzeugt werden, die systemübergreifend Berechtigungen für eine bestimmte Geschäftsrolle abbilden. Die Zuordnung von Benutzern zu Profilen erfolgt automatisch über deren Organisationseinheit. Zusätzliche Berechtigungen können über Self Service angefordert werden und müssen in einem Workflow vom Verantwortlichen (Data Owner) genehmigt werden.
Berechtigungen, die der Benutzer über Standardprofile erhalten hat, werden beim Abteilungswechsel automatisch mit wählbarer Übergangsfrist entfernt. Ebenso werden neue Berechtigungen über entsprechende Profile automatisch zugeordnet. Zusätzlich vergebene Berechtigungen werden im Rahmen der regelmäßigen Rezertifizierung kontrolliert und bei Bedarf entfernt.
Ziel: Um die Berechtigung für den physischen Zutritt wie auch elektronischen Zugang zu prüfen, werden oft Identifikationsmittel wie Schlüssel, Sichtausweise oder kryptographische Tokens verwendet. Die Schutzmerkmale sind nur dann verlässlich, wenn der Umgang mit solchen Identifikationsmitteln adäquat gehandhabt wird.
Lösung in tenfold: Über das interne Berechtigungswesen von tenfold können die unterschiedlichen operativen und kontrollierenden Instanzen abgebildet werden. Mitarbeiter werden in tenfold erfasst und über ihr tenfold-Benutzerkonto eindeutig identifiziert. Der elektronische Zugang zu sämtlichen Ressourcen wird ausschließlich über tenfold gesteuert und dokumentiert.
Für das Management des physischen Zutritts gibt es in tenfold direkt keine Funktion. Mithilfe einer Schnittstelle ist es allerdings möglich, physische Zutrittssysteme über Berechtigungsprofile zu steuern. Dadurch wird der physische Zutritt bei einem Abteilungswechsel automatisch angepasst. Aktuell ist es z.B. möglich, tenfold über das PKE SMS Plugin mit dem Schließsystem von PKE zu integrieren, um den physischen Zutritt der Mitarbeiter zu managen.
Was macht tenfold zur besten IAM Software für mittelständische Organisationen?