Das TiSAX (Trusted Information Security Assessment Exchange) ist ein Prüf- und Austauschmechanismus für die Informationssicherheit von Unternehmen und ermöglicht eine gemeinsame Anerkennung von Prüfergebnissen zwischen den Teilnehmerinnen und Teilnehmern. Es basiert auf dem VDA ISA‑Katalog und liefert ein wiederverwendbares Assessment‑Ergebnis, das Auftraggebern die Sicherheitsreife von Dienstleistern signalisiert. TiSAX ist dabei ein Assessment‑Label und kein klassisches Zertifikat.

Im Kick‑Off‑Termin mit dem Prüfdienstleister wurden die organisatorischen Grundlagen des Assessments gelegt: Vorstellung der Auditmethodik, Festlegung des Scopes sowie Abstimmung des zeitlichen Ablaufs inkl. Meilensteinen für Self‑Assessment, Remote‑Audit und Nachbereitung.

Auf Basis des VDA‑ISA‑Fragenkatalogs erfolgte eine Selbsteinschätzung (Self‑Assessment). Diese Einschätzung dient der Identifikation von Abweichungen gegenüber der geforderten Controls und erzeugt ein detailliertes Nachweisverzeichnis. Der Prüfdienstleister führte anschließend eine Plausibilitätsprüfung dieser Selbsteinschätzung durch und legte den Umfang für das Remote-Assessment fest.

Für das Remote‑Assessment ist die Qualität und Auditierbarkeit der Nachweise entscheidend. Hier erleichterte die bereits vorhandene ISO‑27001‑Zertifizierung der BDO Cyber Security GmbH die Vorbereitung erheblich. Viele Prozesse, Dokumente und Verantwortlichkeiten waren bereits formalisiert und auditfähig. Allerdings empfiehlt sich ein gezieltes Mapping zwischen ISO‑27001‑Kontrollen und VDA‑ISA‑Anforderungen, um fehlende, spezifische Nachweise zu identifizieren (z. B. physische Zutrittsregelungen, branchenspezifische Anforderungen).

Das TiSAX Assessment-Label Level 2 erleichtert der BDO Cyber Security GmbH ihre Services auch an Kundinnen und Kunden aus dem Automotive‑Bereich anzubieten, da es häufig eine Anforderung für die Durchführung von Projekten im Automobilbereich ist.

Mit unserer Expertise unterstützen wir Sie dabei, Embedded Devices und IoT‑Ökosysteme ganzheitlich zu prüfen und potenzielle Einfallstore zu identifizieren. Kernprüfbereiche im IoT‑Penetrationstest sind unter anderem:

  • Anwenderschnittstellen: Prüfung von Touch‑Displays, Mikrofonen, Kameras, versteckten Konfigurationsbereichen und zugehörigen Steueranwendungen.
  • Funkschnittstellen: Detaillierte Analyse von Wi‑Fi, Bluetooth/BLE, ZigBee, LoRaWAN, Mobilfunk (2G–5G), RFID/NFC auf Abhör‑, Manipulations‑ und weitere Risiken.
  • Physische Schnittstellen: Tests an Ethernet, USB, OBD‑II u. ä. zur Ermittlung direkter Zugriffswege auf Firmware und Daten.
  • On‑Board/Debugging: Prüfung von Bussystemen (SPI, I²C), Debug‑Schnittstellen (JTAG, UART) sowie Authentifizierungs‑/Verschlüsselungsmechanismen.
  • Speicher & Firmware: Firmware‑Analysen, Prüfung von Update‑Mechanismen (lokal & OTA), Auslesen von Speichermodulen und Identifikation sensibler Inhalte.

Unser hochmodernes Hardware‑Testlabor unterstützt unsere Spezialisten zusätzlich bei der Durchführung der Penetrationstests.

Dieser Artikel wurde verfasst von