Wie TISAX-konformes Access Management die Automotive-Lieferkette schützt

Wie TISAX-konformes Access Management
die Automotive-Lieferkette schützt
Die Automobilbranche durchläuft einen dynamischen und bisweilen disruptiven Wandel: Im Zuge der Digitalisierung halten immer mehr Software-Dienste, elektronische Steuersysteme und APIs in den Fahrzeugen Einzug. Die eng vernetzte, oft intransparente Lieferkette, über die die Anwendungen bereitgestellt werden, bietet allerdings unzählige Ansatzpunkte für Attacken. Um den wachsenden Angriffsflächen gerecht zu werden, hat die Automobilindustrie 2017 das Prüf- und Austauschverfahren TISAX entwickelt – ein international anerkanntes Zertifikat, mit dem Zulieferer ihren OEMs gegenüber die Einhaltung angemessener Security-Standards dokumentieren können. Ein zentrales Element ist dabei ein starkes Privileged Access Management (PAM), das kritische Accounts schützt und die Weichen für eine cyber-resiliente Lieferkette stellt.

In Zukunft werden autonome Fahrzeuge und Transportsysteme weltweit die Stadtbilder prägen: Durch die intelligente Konsolidierung unterschiedlichster elektronischer Systeme werden Autos in der Lage sein, miteinander zu kommunizieren, eigenständige Entscheidungen zu treffen und souverän auf unbekannte Gefahrensituationen zu reagieren. Das Innovationspotenzial dieser Technologie ist praktisch grenzenlos – ebenso wie der mögliche Schaden im Falle einer Kompromittierung der entsprechenden IT-Systeme.

Mit Blick auf das enorme Schadenspotenzial von Cyberattacken hat die Automobilbranche 2017 TISAX ins Leben gerufen. Das von der französischen Governance-Organisation ENX Association vergebene Zertifikat definiert Mindeststandards für die sichere Informationsverarbeitung, den Prototypenschutz und den Datenschutz in Automobilunternehmen – und ermöglicht es der Branche als Prüf- und Austauschverfahren, den Reifegrad der Informationssicherheit bei potenziellen Partnern, Dienstleistern und Lieferanten zu prüfen.

Unbefugte Zugriffe auf privilegierte Accounts verhindern
Ein zentraler Aspekt ist dabei das sichere Handling von Identitäten und Zugriffen: In den eng verzahnten Lieferketten der Automobilindustrie ist die Einbindung externer Partner in eigene Systeme oder Prozesse gelebte Praxis – stellt aber gleichzeitig einen Risikofaktor dar, den es genau im Auge zu behalten gilt. Immerhin benötigt jeder angebundene Partner für seine kollaborativen Zugriffe passgenaue, häufig mit weitreichenden Zugriffsrechten ausgestattete digitale Identitäten. Und die können, wenn sie von einem Angreifer kompromittiert werden, ein Sicherheitsrisiko darstellen.

Bedenkt man drüber hinaus, dass neben den Partner-Accounts auch die Zahl privilegierter Mitarbeiter-, Maschinen- und Kunden-Konten rasant steigt, wird schnell klar, wie wichtig ein konsistentes Identity Management für die Automobilbranche ist – und welche Bedeutung einer systematischen Strategie für die Zugriffsverwaltung dieser Accounts zukommt.

Minimale Rechte für einen befristeten Zeitrahmen
Grundlage jedes Privileged Account Managements ist das so genannte Least-Privilege-Prinzip, das sicherstellt, dass authentifizierten Identitäten stets nur ein Mindestmaß an Privilegien zugestanden wird. Dieses sollte gerade ausreichen, um die zugewiesene Aufgabe zu erledigen und obendrein zeitlich begrenzt, also nicht dauerhaft, vergeben werden. Auf diese Weise legen die Unternehmen einen wichtigen Grundstein, um gefährliche laterale Bewegungen im Netzwerk zu verhindern und die Angriffsfläche signifikant zu reduzieren.

Maßnahmen moderner PAM-Strategien
Wie Unternehmen den Schutz ihrer privilegierten Accounts angehen, hat sich in den vergangenen Jahren allerdings nachhaltig verändert: An die Stelle punktueller, manuell gemanagter Projekte treten heute immer öfter automatisierte Next-Generation-Lösungen. Ganzheitlich und programmatisch aufgelegt, erweitern diese PAM-Initiativen das robuste Fundament des Least-Privilege-Prinzip sukzessive um weitere Komponenten: Diese reichen von der zentralisierten Kennwortverwaltung über das Sitzungsmanagement mit flexiblen Authentifizierungsoptionen bis hin zum umfassenden Monitoring und zur Privileged Access Governance.

Noch deutlich strenger sollten die Auflagen beim Zugriff auf die kritischsten hochrangigen Tier0- oder Tier1-Ressourcen sein – etwa den Domänencontroller. Der privilegierte Zugriff auf diese Kronjuwelen muss im Idealfall in einer isolierten Umgebung erfolgen und durch eine robuste Multi-Faktor-Authentifizierung geschützt werden. Dasselbe gilt auch für Zugriffe auf IDs von SaaS-Admins und privilegierten Geschäftsbenutzern.

Schlüsselkomponente Passwortmanagement
Ein wichtiger Baustein jeder PAM-Strategie ist auch das Passwortmanagement: Immerhin gehen 80 Prozent der Cyberangriffe laut Gartner und Forrester unmittelbar auf gestohlene Anmeldedaten zurück. Automatische Passwortwechsel für Netzwerkkonten und die Speicherung kritischer Zugangsdaten in sicheren Vaults sollten daher für jedes Automobilunternehmen und deren Lieferanten zum PAM-Grundbaukasten gehören. Dies gilt vor allem für Infrastruktur-Accounts, DevOps-Zugangsdaten oder SSH-Schlüsselpaare. Im Idealfall sollte die Cyber-Resilienz überdies regelmäßig bei Red-Team-Übungen geschärft und durch umfangreiche Auditierungs- und Reporting-Maßnahmen flankiert werden.

Wahl und Integration der richtigen Lösung
Das Angebot an ausgereiften PAM-Lösungen auf dem Markt ist vergleichsweise breit, und die Auswahl des richtigen Herstellers hängt von einer Reihe von Faktoren ab: Von entscheidender Bedeutung ist beispielsweise die Architektur des bestehenden Netzwerkes – ob Cloud-native, hybrid oder On-Premises, ob Brownfield oder Greenfield. Ausgehend von dieser ersten grundsätzlichen Weichenstellung gilt es dann, aus der Vielzahl verfügbarer Lösungen diejenige auszuwählen, die sich am besten in den vorhandenen Technologie-Stack einfügt und den Anforderungen der Stakeholder optimal gerecht wird.

Security-Teams, die sich neu in das Thema PAM einfinden müssen, sind mit dieser Entscheidungsfindung in der Regel überfordert. Dann sind erfahrene Consultants und Systemintegratoren gefragt: Aufsetzend auf tiefe Marktkenntnisse und langjährige Projekterfahrung helfen sie dem internen Team, das breite Angebot herstellerunabhängig zu bewerten und eine geeignete Lösung zu finden. Darüber hinaus entwickeln sie gemeinsam mit dem Kunden eine langfristig tragfähige, strategische Vision – und legen so das Fundament für eine resiliente Lösung, die alle Anforderungen an eine TISAX-konforme Informationssicherheit erfüllt.

Privileged Access Management mit iC Consult
Als ausgemachter Spezialist für alle Fragen des Identity- & Access-Managements hat iC Consult in der Automobilindustrie bereits eine Vielzahl anspruchsvoller Projekte für namhafte Kunden umgesetzt – von BMW über Mercedes bis Porsche. Das Beratungsunternehmen ist sowohl nach TISAX als auch nach ISO 9001 (Qualitätsmanagement) und ISO 27001 (Informationssicherheit) zertifiziert und steht damit für höchste fachliche Kompetenz und nachhaltige Lösungen.

Wie wir Sie am besten bei Ihren PAM-Projekten unterstützen können? Lassen Sie uns bei einem kostenlosen Pre-Workshop starten! Dort erhalten Sie einen umfassenden Überblick über den aktuellen Reifegrad ihrer IAM-Infrastruktur und definieren gemeinsam mit unseren Experten die PAM-Anforderungen Ihres Unternehmens. Hierzu gehört die Festlegung von Key Priorities und Business Goals sowie – im Falle von Brownfield-Szenarien – eine detaillierte Gap-Analyse.

Im Anschluss an den Workshop können Sie dann zwischen drei flexiblen Komplettpaketen für die PAM-Einführung wählen. Alle drei umfassen High-Level-Empfehlungen für Ihr individuelles Projekt, ein Readiness-Assessement, eine PAM-Roadmap inklusive Transformations- und Zeitplan, eine TCO Kalkulation für einen Zeitraum zwischen drei und fünf Jahren, Implementierungspläne und individuelle Workshops. Alternativ können Sie sich aber auch für eine maßgeschneiderte Lösung entscheiden, bei der wir jeden Schritt an die Anforderungen Ihres Unternehmens anpassen.

Klingt interessant? Unser PAM-Team steht Ihnen jederzeit unter pam-journey@ic-consult.com oder auf ic-consult.com/de/pam-journey/ für alle Rückfragen zur Verfügung!

Wortweiser: TISAX
TISAX – ein Projekt, das 2017 von der Automobilindustrie angestoßen wurde – ermöglicht es Automobilanbietern als Prüf- und Austauschverfahren, den Reifegrad der Cybersecurity bei Partnern und Lieferanten zu prüfen und über die gesamte Supply Chain hinweg die Einhaltung verbindlicher Mindeststandards zu gewährleisten. Die Bewertung erfolgt anhand eines weitgehend an der ISO 27001 angelehnten Fragebogens. Mehr und mehr große OEM-Hersteller machen die TISAX-Zertifizierung heute zur Bedingung der Zusammenarbeit – das Thema steht bei Zulieferern also ganz oben auf der Agenda.