Informationssicherheit in der Automobilindustrie: Boxcryptor und die TISAX-Zertifizierung
Philipp Wittek Technical Sales Manager bei Boxcryptor
Philipp Wittek | Technical Sales Manager
@Philipp2406
Monday, November 23, 2020

Informationssicherheit in der Automobilindustrie: Boxcryptor und die TISAX-Zertifizierung

2017 hat die deutsche Automobilindustrie TISAX (Trusted Information Security Assessment Exchange) definiert, ein Zertifizierungsverfahren für Datenschutz in der Automobilbranche und ihre Zulieferer. TISAX basiert auf der DAV ISA und dient als branchenweiter Sicherheitsstandard und einheitliche Prüfungsgrundlage. TISAX kann in vier Bereiche untergliedert werden:

  • Informationssicherheit
  • Anbindung Dritter
  • Prototypenschutz
  • Datenschutz

In diesem Artikel geben wir Ihnen einen Überblick, wie Ihnen der Einsatz von Boxcryptor im Bereich der Informationssicherheit und des Datenschutzes dabei helfen kann, Ihr Unternehmen TISAX-konform zu machen.

Inhalt

Informationssicherheit

Globalisierung, internationale Vernetzung und Cloud-Anwendungen – Fortschritte, die unser Leben oft leichter machen, bergen auch leider viele Risiken. So werden beispielsweise Unternehmen und Institutionen immer wieder Opfer von Hackerangriffen bei denen sensible Daten in die Hände von Unbefugten gelangen. Aus diesem Grund wertet TISAX Datensicherheit als wichtiges Thema und macht Informationssicherheit zum Hauptbestandteil der Zertifizierung. Wie Unternehmen die Anforderungen von TISAX erfüllen wollen, darüber müssen sich diese vor der Erstprüfung ,unter Umständen auch nochmal während dem Maßnahmenplan oder spätestens vor der Follow-up-Prüfung Gedanken machen. Die Cloud-Verschlüsselungslösung Boxcryptor ist eine geeignete, technisch und organisatorische Lösung um Ihr Unternehmen TISAX konform zu machen. Gerade im Bereich der Informationssicherheit können wir Ihnen in vielen Punkten helfen.

Kryptografische Verfahren bei Boxcryptor

TISAX fordert unter anderem eine Überprüfung, ob das genutzte kryptografische Verfahren ausreichend Schutz für sensible Daten bietet. Unsere Antwort: Ja, Boxcryptor verschlüsselt Ihre Daten mithilfe einer Kombination des AES-256-Verschlüsselungsstandards (einer der meistverbreiteten und sichersten Verschlüsselungsstandards) und von RSA-4096-Verschlüsselung. Dies sind Verschlüsselungsstandards, die mit der aktuell verfügbaren Rechenleistung nicht zu knacken sind. Mit einem modernen Supercomputer einen 128 Bit langen AES Schlüssel zu knacken, dauert länger als das angenommene Alter des Universums. Bis heute ist für keine der AES-Varianten ein erfolgreicher Angriff bekannt. Damit entspricht das von Boxcryptor angewendete kryptografische Verfahren den TISAX-Anforderungen.

Was bedeutet dies für Sie? Boxcryptor ist eine SaaS-Verschlüsselungslösung, die auf Cloudspeicher wie beispielsweise OneDrive, Dropbox oder Microsoft Teams spezialisiert ist. Allerdings lassen sich mit unserer Software auch klassische Dateispeicher wie Netzwerklaufwerke, USB-Massenspeicher oder Fileserver verschlüsseln.

Bei einem möglichen Cyberangriff auf einen Speicher, den Sie mit Boxcryptor schützen, können nur die verschlüsselten Daten entwendet werden. Diese sind für die Angreifer unbrauchbar, da sie die enthaltenen Informationen nicht lesen können. Diesen Schutz gewährleisten wir auch dann noch, wenn ein Mitarbeiter oder eine Mitarbeiterin das Passwort vergisst oder das Unternehmen verlässt.

Risk Management

Als Boxcryptor-Administrator und -Administratorin haben Sie Zugriff auf den Firmenschlüssel/ Master Key. Mit diesem behalten Sie volle Kontrolle über all Ihre Firmendaten. Sie können mit dem Master Key auf alle Dateien zugreifen, die von Mitarbeitern und Mitarbeiterinnen Ihres Unternehmens erstellt wurden, ohne dass Sie Kenntnis über die jeweiligen Passwörter haben müssen. Mit aktiviertem Master Key haben Sie so auch noch Zugriff auf die Daten, wenn jemand sein bzw. ihr Passwort vergisst oder das Unternehmen verlässt. In letzteren Fall haben Sie auch die Möglichkeit das Benutzerkonto zu deaktivieren oder zu löschen.

Umgang mit kryptografischen Schlüsseln

Im Rahmen des TISAX wird auch ein Nutzungskonzept für Kryptografie gefordert. Darunter fällt unter anderem auch der Aspekt des Verfahrens für den kompletten Lebenszyklus der kryptografischen Schlüssel. Bei Boxcryptor ist das Vorgehen wie folgt:

Erzeugung von Schlüsseln: Zunächst wird die Datei durch einen AES Algorithmus verschlüsselt. Der daraus resultierende AES-Schlüssel wird anschließend an die Datei angehängt, welcher wiederum mit einem RSA Public Key verschlüsselt wird. Um diese verschlüsselten Keys wieder entschlüsseln zu können wird der private Schlüssel benötigt. Jeder Benutzer erhält bei Einrichtung des Benutzerkontos einen eigenen Schlüssel, der an die Datei (mittels Zugriffsberechtigung) angehängt wird.

Speicherung der Schlüssel: Gespeichert werden die Schlüssel der Boxcryptor-Nutzer verschlüsselt auf unseren Servern. Sie sind mit dem persönlichen Passwort gesichert, welches wir nicht kennen, nicht speichern und zu keinem Zeitpunkt an unsere Server schicken. So übernehmen wir zwar die Speicherung für Sie, haben allerdings niemals die Möglichkeit Ihre unverschlüsselten Schlüssel einzusehen, wodurch wir unser Zero-Knowledge-Versprechen einhalten. Beim Single-Sign-On, welches wir für Kunden mit Boxcryptor-Enterprise-Lizenzen anbieten, werden die Schlüssel über ein Key Management Service (KMS) durch das Unternehmen verwaltet. Boxcryptor unterstützt on-premise-, sowie Cloudlösungen.

Archivierung der Schlüssel: Durch einen Export der Schlüssel können Sie diese in Ihrem IT-System archivieren.

Abruf der Schlüssel: Die Schlüssel werden automatisch von unserer Software abgerufen.

Verteilung der Schlüssel: Jedem Nutzer bzw. jeder Nutzerin, jeder Gruppe und jedem Dokument werden Automatische Schlüssel zugewiesen.

Deaktivierung der Schlüssel: Die Schlüssel werden nicht von Boxcryptor oder der Secomba GmbH deaktiviert. Allerdings können Nutzerkonten durch den Administrator oder die Administratorin deaktiviert werden. In diesem Fall werden die privaten Schlüssel automatisch deaktiviert. Sollten Sie zu einem späteren Zeitpunkt das Nutzerkonto wieder aktivieren, werden somit ebenfalls die Schlüssel wieder aktiviert.

Erneuern von Schlüsseln: Schlüsseln können erneuert werden, indem das Passwort des Benutzerkontos geändert wird. In diesem Zuge wird auch ein neues Schlüsselpaar erstellt.

Löschen von Schlüsseln: Weder Boxcryptor noch die Secomba GmbH selbst nehmen die Löschung von Schlüsseln vor. Private Schlüssel können allerdings gelöscht werden, indem das Benutzerkonto durch den Administrator oder die Administratorin gelöscht wird.

Sicherheit in Ausnahmesituationen

TISAX sieht unter anderem folgende Ausnahmesituationen vor: Naturkatastrophen, physische Angriffe, Unfälle und Cyberangriffe. Im schlimmsten Fall können sich hierdurch unbefugte Dritte Zugriff zu sensiblen Informationen verschaffen. Durch Boxcryptor können solche Schäden minimiert werden.

Boxcryptor verschlüsselt Ihre Dokumente auf dem Gerät, also bevor sie in die Cloud hochgeladen werden. Unsere Ende-zu-Ende-Verschlüsselung mit Zero-Knowledge-Standard stellt sicher, dass keine unautorisierten Personen Zugriff auf Ihre Daten haben. Das gilt nicht nur für potenzielle Angreifer, sondern auch für den Cloud-Anbieter, unautorisierte Mitarbeiter und Mitarbeiterinnen Ihres Unternehmens und auch für uns als Anbieter der Verschlüsselungslösung. Aus diesem Grund ist auch kein Controller-zu-Controller-Vertrag mit Boxcryptor notwendig. Die einzigen personenbezogenen Daten, die von uns erhoben werden sind: Vorname, Nachname und E-Mail-Adresse. So ist, zum Beispiel auch im Bezug auf die DS-GVO, mit der Secomba GmbH kein Auftragsdatenverarbeitungsvertrag notwendig.

Für Ausnahmesituationen sollte laut TISAX unter anderem ein Backup erstellt werden. Eine Wiederherstellung der verschlüsselten Daten ist auch dann noch möglich, wenn der Boxcryptor Server nicht mehr vorhanden ist oder die Secomba GmbH nicht mehr existiert. Boxcryptor bietet für diesen Fall die Möglichkeit die Nutzerschlüssel zu exportieren. Wenn die Schlüssel des Administrators exportiert werden, wird auch der Firmenschlüssel/Master Key exportiert. Mit diesem besteht die Möglichkeit alle Daten Ihres Unternehmens – auch ohne die Verbindung zum Boxcryptor-Server – zu entschlüsseln. Konkret sind folgende Komponenten dafür notwendig:

  • (Verschlüsselte) physische Daten
  • Boxcryptor Client
  • Exportierte Nutzerschlüssel des Admins
  • Passwort des Boxcryptor-Admin-Nutzeraccounts
  • Passwort des Firmenschlüssels/ Master Keys des Admins

Ebenfalls stellt die Secomba GmbH auf Github einen Single File Decryptor bereit, welcher mit frei verfügbarem Quellcode die Entschlüsselung von mit Boxcryptor verschlüsselten Dateien auch ohne nativem Boxcryptor Client ermöglicht.

Zugriffsberechtigungen vergeben und managen

Um das TISAX-Audit zu bestehen, ist es wichtig, dass nur berechtigte Nutzer und Nutzerinnen Zugriff auf die Daten des Unternehmens haben und Sie den Benutzerkonten Zugriffsrechte zuweisen können. Mit Boxcryptor können Sie diese, der einzelnen Mitarbeiter und Mitarbeiterinnen einfach selbst verwalten. Jeder Mitarbeiter und jede Mitarbeiterin bekommt ein eigenes Benutzerkonto, welches ihm oder ihr persönlich zugewiesen ist. Über dieses ist der Zugriff auf verschiedene unternehmenseigenen Daten möglich.

Ein Beispiel: Die Marketing-Abteilung kann ihre Dateien einsehen und bearbeiten, hat aber keinen Zugriff auf die Daten der Personalabteilung und die Mitarbeiter und Mitarbeiterinnen der Personalabteilung keinen Zugriff auf die Daten der Geschäftsführung, es sei denn Ihnen wurde der Zugriff explizit zugewiesen.

Sicherung des Zugangs der Benutzer zu den IT-Netzwerkdiensten

Das TISAX fordert eine starke Authentifizierung bei der Anmeldung privilegierter Nutzerkonten. Dieser Anforderung wird unter anderem die Zwei-Faktor-Authentifizierung gerecht, welche auch bei Boxcryptor eingerichtet werden kann. Dabei müssen die Nutzer und Nutzerinnen bei jedem Login auf einem zweiten Gerät, beispielsweise dem Smartphone, ihre Identität bestätigen.

Schutz von Dateien während der Übertragung

Wenn Dateien über ein öffentliches oder privates Netzwerk übertragen werden, können die Informationen bei mangelhaftem Schutz von Dritten mitgelesen und verändert werden. Boxcryptor verschlüsselt Ihre Daten auf Ihrem Gerät, bevor diese mit der Cloud synchronisiert werden. Auch beim Herunterladen der Dateien aus der Cloud werden die Daten erst auf Ihrem Gerät entschlüsselt. Daher kann es nicht zu Einsicht oder Bearbeitungen der Inhalte Ihrer Dateien durch unberechtigte Dritte kommen.

Schutz von personenbezogenen Daten

Personenbezogene Daten werden bei TISAX explizit als besonders sensibel aufgelistet. Daher bedürfen sie besonders hohem Schutz. Wie alle Daten, die Sie mit Boxcryptor in der Cloud verschlüsseln, sind auch personenbezogene Daten umfassend geschützt.

Technische und Organisatorische Maßnahmen (TOM)

Der Abschnitt „Datenschutz“ basiert hauptsächlich auf der Datenschutz Grundverordnung der Europäischen Union. Lesen Sie hierzu auch unseren Blogartikel zu diesem Thema.

Anforderungen des TISAX sind unter anderem die Implementierung angemessener Schutzmaßnahmen, um den unberechtigten Zugriff auf personenbezogene Daten zu minimieren. Die DS-GVO sieht für diesen Zweck sogenannte TOMs vor. Als TOM qualifiziert sich nur eine Maßnahme, „durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden“ (DS-GVO, S.53).

Dies bedeutet also, dass sobald Sie sicherstellen können, dass unbefugte Dritte niemals Zugriff auf Ihre Daten haben, sind sie ausreichend geschützt. Dies gilt auch wenn im schlimmsten Fall unbefugt Zugriff auf Ihre Daten genommen wurde. Wie Sie bereits wissen, ist dies genau das, worauf wir spezialisiert sind: Niemand außer autorisierten Unternehmenszugehörigen hat Zugriff auf die sensiblen Daten, da diese verschlüsselt werden, bevor sie mit der Cloud synchronisiert werden. Mit der Implementierung von Boxcryptor können Sie also sicherstellen, dass die Verarbeitung personenbezogener Daten regelkonform erfolgt und interne Prozesse bzw. Arbeitsabläufe gemäß der jeweils aktuell gültigen Datenschutzbestimmungen ablaufen.

Fazit

Boxcryptor ist eine geeignete, technische und organisatorische Lösung, um Ihr Unternehmen TISAX-konform zu machen. Durch unsere starke Ende-zu-Ende Verschlüsselung für Ihre Daten, kommen Sie nicht nur dem Erhalt des Labels im Bereich der Informationssicherheit und des Datenschutzes ein Stück näher, sondern schützen auch Ihre sensiblen Daten selbst im Falle eines Cyberangriffes.

Boxcryptor arbeitet nach dem Zero-Knowledge-Prinzip. Wir erheben ausschließlich die Daten, die zur Erstellung eines Accounts notwendig sind, wie Name und E-Mail-Adresse. Auf den Inhalt der mit Boxcryptor verschlüsselten Dateien haben wir keinerlei Zugriff. Lesen Sie dazu mehr in unserem Artikel Zero-Knowledge-Cloud: So bleiben Ihre Daten in der Cloud sicher und privat.

Um Boxcryptor in Ihrem Unternehmen einsetzen zu können, müssen Sie weder einen Controller-zu-Controller Vertrag noch einen Auftragsdatenverarbeitungsvertrag mit der Secomba GmbH schließen. Gerne unterstützen wir Sie bei der Einrichtung von Boxcryptor in Ihrem Unternehmen.

Kontaktieren Sie unser Sales-Team!

Für weitere Informationen, wie Sie Boxcryptor in Ihrem Unternehmen anwenden können, steht unser kompetentes Sales-Team Ihnen gerne jeder Zeit zur Verfügung. Bitte zögern Sie nicht, uns zu kontaktieren.

Sales-Team kontaktieren
Beitrag teilen