MRIS for TISAX® 2027 · ISA Modul Information Security

Wirken Ihre Controls noch, wenn der Angreifer eine KI ist?

MRIS bewertet die 45 Controls des TISAX®-Fragenkatalogs ISA 2027 – 324 einzelne Anforderungen – gegen GenAI-beschleunigte Angriffe und benennt für jede Lücke konkrete Härtungsmaßnahmen aus dem MHC-Katalog.

Kostenlos · CC BY 4.0 · Keine Registrierung · Für CISOs und ISMS-Verantwortliche TISAX®-pflichtiger Organisationen

Warum „Mythos“?

Mythos (Anthropic) war das erste KI-Frontier-Modell, dessen Fähigkeiten in Angreiferhand die Sicherheitslage grundlegend verändert haben. MRIS nutzt es als Referenz-Bedrohungsmodell: Jedes Control wird daran gemessen, ob es einem Angreifer mit Mythos-Fähigkeiten standhält.

Was sich verändert hat

Vier Bedrohungsverschiebungen als Prüfraster

Geduld

Angreifergeduld

KI-Angreifer arbeiten beliebig lange, parallel und ermüdungsfrei an einem Ziel.

Zeit

Zeitkompression

Vom ersten Zugriff bis zum Schaden vergehen Minuten, nicht Tage.

Aggregation

Aggregationsresistenz

Fragmentierte Einzelschritte bleiben unter jeder Melde- und Erkennungsschwelle.

Akteur

Fähigkeitsentkopplung

Angriffsfähigkeit hängt nicht mehr an der Ressourcenstärke des Akteurs.

1
Bewerten45 Controls (324 Anforderungen) gegen das Bedrohungsmodell
2
EinstufenVier Kategorien, 72 Einzelbefunde in 8 Mustern
3
Härten10 MHC und 6 Einzelmaßnahmen schließen die Lücken
Risikoeinstufung

Vier Kategorien. Ein klares Urteil pro Control.

Jedes der 45 Controls des ISA-2027-Moduls Information Security wird gegen die GenAI-Bedrohungslage bewertet – auf Ebene der 324 einzelnen Anforderungen. Bewertet wird der Anforderungswortlaut, nicht die Umsetzung einer konkreten Organisation.

45Controls gesamt
Einordnung: 58 % der Controls verlieren einen Teil ihrer Schutzwirkung – meist, weil Formulierungen wie „regelmäßig“ keinen anlassbezogenen Reaktionsmechanismus vorschreiben. Nur ein Control (4.1.2, reiner Passwortfaktor) verliert die Kernwirkung vollständig.
Kompensierende Maßnahmen

Control auswählen – flankierende Härtung sehen

Wählen Sie eines der 31 Controls mit Befund. MRIS zeigt die zugeordneten Mythos-Härtungs-Controls (MHC) bzw. Einzelmaßnahmen, mit denen Sie die Lücke schließen.

Wählen Sie links ein Control aus,
um die passenden MHC zu sehen.

Zuordnungen gemäß MRIS for TISAX® 2027, Anhang (72 Einzelbefunde über 31 Controls).

Hebelwirkung

Wenige Maßnahmen tragen viele Lücken

Anzahl der Einzelbefunde (von 72), die jedes MHC trägt. Priorisierung beginnt bei der größten Wirkungsbreite. MHC-16 ist eine originäre Ergänzung ohne TISAX®-Befund.

Einordnung

Was MRIS leistet – und was bewusst nicht

MRIS leistet

  • +Wirksamkeitsbewertung aller 45 Controls (324 Anforderungen) des ISA-2027-IS-Moduls
  • +Lückenanalyse zu NIST CSF 2.0, C5:2026, DORA, CRA, NIS2 und ISA/IEC 62443-2-1
  • +Umsetzungsleitlinie zu 10 MHC mit Reifegrad-Pfaden und Audit-Nachweisen
  • +Threat Priority Score und P0/P1/P2-Roadmap zur Priorisierung

MRIS leistet bewusst nicht

  • Kein Bestandteil des offiziellen TISAX®-Prüfprozesses, nicht von ENX autorisiert
  • Kein Ersatz für eine TISAX®-Reifegradbewertung durch akkreditierte Prüfdienstleister
  • Keine Bewertung der Umsetzung einer konkreten Organisation – bewertet wird der Wortlaut
  • Prototype Protection und Data Protection sind nicht Teil der Analyse
Bewertet gegen
TISAX® ISA 2027NIST CSF 2.0BSI C5:2026DORACRANIS2-RL/DVOISA/IEC 62443-2-1OWASP ASI
Download

Beide Dokumente. Kostenlos.

Teil I · Analyse

MRIS for TISAX® 2027 – Analyse und Lückenbewertung

Bewertung aller 324 Anforderungen, 8 Muster-Cluster, Lückenanalyse gegen 6 Vergleichsrahmen.

PDF · Juli 2026 · CC BY 4.0
Herunterladen
Teil II · Implementation Guide

MRIS TISAX® 2027 Implementation Guide v1.0

Umsetzungsleitlinie zu den 10 MHC: Reifegrad-Pfade, Audit-Nachweise, Threat Priority Score und P0/P1/P2-Roadmap.

PDF · Juli 2026 · CC BY 4.0
Herunterladen
Hinweis zur Nutzung

Die MRIS-Publikationen sind Arbeitshilfen (CC BY 4.0, © 2026 Richard Peddi). TISAX® ist eine eingetragene Marke der ENX Association; die ENX Association administriert TISAX® im Auftrag des VDA. Diese Analyse ist eine unabhängige, privat erstellte Arbeit ohne Verbindung zu ENX Association oder VDA – weder Bestandteil des offiziellen TISAX®-Prüfprozesses noch von ENX autorisiert, und kein Ersatz für eine Reifegradbewertung durch einen akkreditierten Prüfdienstleister. Keine Rechts- oder Zertifizierungsberatung; Anwendung in eigener Verantwortung.