TPISR: IT-Sicherheit in der US-Autoindustrie
Von effizienter Mechanik bis hin zu digitalen Assistenz- und Sicherheitsfeatures stecken in modernen Fahrzeugen mehr und mehr Innovationen. Um technische Details und Baupläne zu schützen, selbst wenn diese an Zulieferer weitergegeben werden, hat die US-Autoindustrie unter Leitung der Automotive Industry Action Group (AIAG) Anforderungen an die IT-Sicherheit von Drittunternehmen definiert. Der TPISR-Standard soll Cyberattacken und Datendiebstahl in der Lieferkette von Automotive-Konzernen verhindern. Wir verraten, welche Anforderungen TPISR an zuliefernde Unternehmen stellt, und wie IAM-Software Ihnen beim Erreichen von TPISR-Compliance helfen kann.
TPISR – Was ist das?
Moderne Autos sind ein Wunderwerk der Technik, das sich aus bis zu 30.000 Einzelteilen zusammensetzt. Da es für Hersteller unmöglich wäre, all diese Komponenten selbst anzufertigen, arbeiten Auto-Firmen mit verschiedenen Zulieferern zusammen, die bestimmte Teile für sie produzieren. Das ist allerdings mit einigen Herausforderungen verbunden. Während Drittfirmen auf Entwürfe und technische Informationen zugreifen müssen, um Komponenten genau nach Maß anfertigen zu können, ist der Schutz eben dieser Daten für Hersteller entscheidend, um im globalen Automarkt erfolgreich bleiben zu können.
Damit Fahrzeug-Hersteller geschützte Informationen wie diese mit Drittunternehmen teilen können, ohne sich um digitale Bedrohungen wie Datendiebstahl und Ransomware sorgen zu müssen, hat die Automotive Industry Action Group (AIAG), der vor allem große US-Produzenten angehören, einen Cybersecurity-Standard für Zulieferer veröffentlicht. TPISR, kurz für Third-Party Information Security Requirements, definiert Mindestanforderungen an die IT-Sicherheit von Firmen, die geschützte Informationen von Autofirmen erhalten, diese speichern und verarbeiten.
TPISR erfüllt damit eine ähnliche Rolle für US-Firmen wie TISAX in der deutschen Autoindustrie. Die Erstellung eines einheitlichen Frameworks hat in beiden Fällen zwei große Vorteile für alle beteiligten Unternehmen:
Fahrzeughersteller, sogenannte Original Equipment Manufacturers oder OEMs, können sich sicher sein, dass ihre Daten auch in der Lieferkette ausreichend geschützt sind.
Zulieferer müssen ihre IT-Sicherheit nur einmal zertifizieren, um mit allen Firmen zusammenarbeiten zu können, die TPISR bzw. TISAX verwenden.
Durch Industriespionage und Markenrechtsverletzungen entsteht nicht nur ein enormer wirtschaftlicher Schaden für die Industrie, gefälschte Ersatzteile können auch zum Sicherheitsrisiko für Fahrer und Passagiere werden, da diese oft grobe Mängel aufweisen.
Welche Firmen verwenden TPISR?
Der TPISR-Standard wurde 2018 von der AIAG veröffentlicht, die ursprünglich von den drei größten Auto-Firmen der US gegründet wurde: Ford, Chrysler und General Motors. Inzwischen ist die AIAG jedoch auf mehr als 4.000 Mitglieder weltweit angewachsen, darunter etwa Hersteller wie GM, Ford, Fiat Chrysler, Honda und Toyota, sowie Zulieferer der ersten Ebene wie Delphi, Lear und Magna. Unter Zulieferern der ersten Ebene (Tier-1-Supplier) versteht man Firmen, die direkt an OEMs (Original Equipment Manufacturers) liefern.
Obwohl Drittfirmen dringend angeraten wird, die Mindestanforderungen von TPISR umzusetzen, ist der Standard aktuell nicht verpflichtend. Die genauen Bedingungen für eine Zusammenarbeit sind damit von einzelnen Herstellern abhängig, denen es frei steht auf TPISR zurückzugreifen oder noch striktere Sicherheitsmaßnahmen zu verlangen.
Für wen gilt TPISR?
Nach Definition der AIAG sind Third-Party-Suppliers, also Drittfirmen, all jene Unternehmen, die Informationen von Fahrzeugherstellern außerhalb des internen Netzwerks des jeweiligen OEMs speichern, verarbeiten oder weitergeben. Dazu zählen also prinzipiell fast alle Betriebe, die auf digitalem Weg mit Automotive-Konzernen kommunizieren.
Letztendlich ist es vom genauen Geschäftsverhältnis zwischen Zulieferer und OEM abhängig, ob eine TPISR-Zertifizierung vorausgesetzt wird oder nicht. Da es sich bei den meisten der Anforderungen jedoch ohnehin um Best Practices der IT-Sicherheit handelt, sind Firmen gut beraten, die entsprechenden Maßnahmen aus eigenem Interesse umzusetzen.
Vor dem Hintergrund immer neuer Hacker- und Ransomware-Angriffe sollten Grundlagen der Cybersecurity und eine Cyberversicherung Teil der Risikomanagement-Strategie jedes digital arbeitenden Unternehmens sein. Die Kosten, die im schlimmsten Fall ohne diese Vorkehrungen entstehen können, würden für viele Firmen das Aus bedeuten.
Weshalb Automobil-Firmen und -Zulieferer von Identity und Access Management profitieren und wie IAM beim Erfüllen von Compliance-Standards hilft, verrät unser Überblick Access Management in der Automobilbranche.
TPISR Anforderungen: Was Firmen wissen müssen
Zu den Anforderungen von TPISR zählen die physische und logische Zugangskontrolle zum Schutz sensibler Daten, sowie generelle Aufgaben um Informationssicherheit in einer Organisation zu etablieren (etwa die Aufklärung von Mitarbeitern und das Ernennen von Verantwortlichen). Während einige Abschnitte sehr allgemein gehalten sind, legen andere genaue Vorgaben fest. Insgesamt besteht der TPISR-Standard aus 9 Kapiteln, die jeweils verschiedene Teilabschnitte enthalten. Der grobe Aufbau mitsamt einigen Beispielen sieht so aus:
Informationssicherheitsmanagement: Mitarbeiterschulungen, Überwachung der Compliance, Risikomanagement
Logische Zugangskontrolle: Mindestanforderungen an Passwörter, Verschlüsselung von Daten, regelmäßige Rezertifizierung von Berechtigungen
Physische Zugangskontrolle: Absicherung gegen Diebstahl, Stromausfälle und Naturkatastrophen
Schwachstellen-Management: Antivirus-Software, regelmäßige Updates und Schwachstellen-Scans
Umgang mit Sicherheitsvorfällen: Dokumentation und Auswertung von Sicherheitsvorfällen, Benachrichtigung des OEM bei Bedarf
Datenspeicherung: sichere Handhabung von Speichermedien, Sicherung von Aufzeichnungen
Audits und Compliance: jährliche Kontrolle, Einhaltung anderer relevanter Normen wie SOX oder PCI DSS
Kommunikation: keine Verwendung geschützter Daten in Marketing-Materialien
Continuity-Management: Absicherung des laufenden Betriebs, sichere Daten-Backups
TPISR, NIST & ISO 27001: Was ist der Unterschied?
Obwohl TPISR speziell für die Auto-Industrie entworfen wurde, hat sich die AIAG dabei so weit wie möglich an existierenden Standards orientiert. So soll Firmen die Compliance erleichtert werden, da sie auf mehr Material zurückgreifen und auf bestehenden Zertifizierungen aufbauen können. Zu den verwandten Sicherheitsstandards zählen insbesondere die Norm ISO 27001 sowie zwei Veröffentlichungen des National Institute of Standards and Technology der USA: NIST 800-53 und NIST 800-171.
Das bedeutet, dass Organisationen, die sich bereits mit dem NIST Cybersecurity Framework auseinandergesetzt oder ein Informationssicherheitsmanagementsystem (ISMS) im Sinne von ISO 27001 etabliert haben, schon viele der Anforderungen von TPISR abdecken. Auch die Vorbereitung auf TISAX überschneidet sich in vielen Aspekten. Der Kriterien-Katalog für TPISR weist dabei explizit aus, welche Voraussetzungen welchen Abschnitten in ISO bzw. NIST Standards entsprechen.
Welche Bereiche zählen nicht zu TPISR?
Die Anforderungen an Drittfirmen dienen dazu, die Informationssicherheit innerhalb der Lieferkette der Automotive-Industrie zu gewährleisten. Sie decken jedoch nicht die IT-Sicherheit von Fahrzeugen selbst ab, welche durch die zunehmende Integration von digitalen Systemen potenziell angreifbar werden. Für die Absicherung vernetzter Fahrzeuge gibt es eigene Sicherheitsstandards wie UNECE WP.29, der sich z.B. mit sicheren over-the-air Updates befasst.
TPISR und IAM: Kritische Daten schützen
TPISR enthält physische und organisatorische Anforderungen an Zulieferer, sowie eine Vielzahl an technischen Vorgaben. IAM Software Lösungen decken zwar nicht alle betroffenen Bereiche ab (Themen wie Virenschutz, Verschlüsselung und Daten-Backups setzen meist eigene Tools voraus), aber Identity und Access Management stellt das Fundament für die Absicherung von kritischen Daten bereit.
Als zentrale Plattform für die Verwaltung von Benutzerkonten im Firmennetzwerk, in Microsoft-Cloud-Diensten und in Drittanwendungen wie SAP ERP, gibt tenfold Unternehmen Kontrolle über Berechtigungen und erleichtert das Absichern von sensiblen Daten im Sinne des Least-Privilege-Prinzips. Da tenfold sämtliche Änderungen an Zugriffsrechten selbstständig dokumentiert und auf Wunsch detaillierte Reports erzeugt, hilft die Software auch beim Nachweis der Compliance durch einen vollständigen Audit-Trail. Hier eine Übersicht über einige der TPISR-Kriterien, die tenfold abdeckt.
Laut TPISR müssen Zugriffsrechte auf ein notwendiges Minimum reduziert, regelmäßig überprüft und nach Ende des Bedarfs umgehend entfernt werden.
Die Umsetzung von rollenbasierter Zugriffsvergabe durch tenfold stellt sicher, dass Benutzer nur jene Rechte erhalten, die sie für ihre Position auch wirklich benötigen. Indem Privilegien Gruppen anstatt einzelnen Benutzern zugewiesen werden, kann tenfold sämtliche Berechtigungen automatisch anpassen, wenn Nutzer die Abteilung wechseln oder das Unternehmen verlassen. Diese Automatisierung des User Lifecycle Managements sorgt dafür, dass keine vergessenen Rechte oder Konten entstehen, die eine Sicherheitslücke und einen Compliance-Verstoß darstellen.
Darüber hinaus lassen sich in tenfold regelmäßige Intervalle für die Rezertifizierung von Berechtigungen definieren. Die zuständigen Mitarbeiter bzw. Data Owner werden nun durch automatische Benachrichtigungen dazu aufgefordert zu bestätigen, ob von ihnen vergebene Rechte noch benötigt werden. So lassen sich überflüssige Zugriffsrechte schnell und einfach entfernen.
Das tenfold Dashboard weißt automatisch auf Benutzerkonten ohne Passwortänderung hin. So können Sie sicherstellen, dass alle Benutzer- und Gerätekonten den Anforderungen der AIAG entsprechen. Das Dashboard fasst auch viele andere häufige Probleme mit dem Fileserver und Active Directory zusammen, die sich direkt in tenfold mit nur einem Klick beheben lassen.
Um das Passwortmanagement zu erleichtern und IT-Administratoren zu entlasten, bietet tenfold zudem die Möglichkeit, über eine Self-Service-Plattform das Active Directory Passwort zurückzusetzen. Dazu werden Angestellte auf eine externe Web-Oberfläche weitergeleitet, wo sie über vordefinierte Kontrollen ihre Identität nachweisen müssen.
Dank tenfold‘s Reporting-Feature ist es ein Leichtes, die Compliance mit TPISR nachzuweisen. Zur späteren Nachvollziehbarkeit dokumentiert tenfold alle Änderungen an Zugriffsrechten, etwa wann diese vergeben wurden, ob sie im Rahmen der Rezertifizierung erneuert oder entfernt wurden und, besonders wichtig, von wem.
Auf Wunsch generiert die Software übersichtliche Reports, die die aktuellen und vergangenen Berechtigungen von Nutzern zusammenfassen. Somit lässt sich auch im Nachhinein zeigen, dass der Zugang zu kritischen Daten erfolgreich eingeschränkt wurde. Sollte es zu einem Sicherheitsvorfall kommen, lässt sich so auch rekonstruieren, wer zu welchem Zeitpunkt Zugriff auf sensible Informationen hatte.
Effizienz, Sicherheit und Compliance – tenfold Access Management
Seine schnelle Installation, einfache Bedienung und eine Vielzahl vorgefertigter Plugins machen tenfold zur besten IAM-Lösung für mittelständische Unternehmen. Durch tenfold wird die Verwaltung von Benutzerkonten nicht nur effizienter, sondern auch sicherer. Die Automatisierung von Routine-Aufgaben reduziert den Verwaltungsaufwand und sorgt zugleich für die konsequente Einhaltung von Best Practices der IT-Sicherheit. Darüber hinaus hilft die Rezertifizierung von Berechtigungen und selbstständige Dokumentation sämtlicher Prozesse beim Nachweis der Compliance mit Sicherheitsstandards wie B3S, TISAX oder ISO 27001. Überzeugen Sie sich selbst und fordern Sie eine kostenlose Testversion an!
Identity und Access Management Software: Produkte im Vergleich
Finden Sie heraus, welche Kategorien von IAM Software am Markt erhältlich sind und welches Produkt optimal auf Ihre Bedürfnisse abgestimmt ist.