TISAX® steht für Trusted Information Security Assessment Exchange und beschreibt ein Verfahren für den sicheren Austausch der Ergebnisse eines erfolgreichen Assessments nach TISAX® in der Automobilbranche. Ganz gleich ob Entwicklung, Herstellung oder Vertrieb: Für Automobilhersteller ist die Wahrung der Informationssicherheit von größter Bedeutung. Entlang der gesamten Wertschöpfungskette arbeiten Hersteller mit einer Vielzahl unterschiedlichster Unternehmen zusammen. Um die Zusammenarbeit zu erleichtern, oder oftmals sogar erst möglich zu machen, ist es mitunter notwendig, vertrauliche Informationen weiterzuleiten. Zwar schließt ein OEM (Hersteller, Original Equipment Manufacturer) mit seinen Zulieferern stets ein NDA (Non Disclosure Agreement, Geheimhaltungserklärung). Doch was die Unternehmen miteinander vereinbaren, ist das eine. Mindestens genauso wichtig wie die Integrität der Teilnehmer ist der Bereich Cybersecurity.
Wertvolle Daten und Informationen müssen wirksam geschützt sein. Nur so kann ein Austausch entlang der Lieferkette stattfinden, ohne Manipulationen oder Diebstahl von Unternehmensinterna befürchten zu müssen. Nur ein robustes Informationssicherheitsmanagement ist in der Lage, Cyberangriffe zu verhindern und geistiges Eigentum zu sichern. Deshalb möchten Hersteller sicherstellen, dass ihre Partner und Zulieferer über ein hohes Informationssicherheitsniveau und Qualitätsmanagement verfügen und Datensicherheit ernst nehmen. Um einheitliche Anforderungen an die Datensicherheit zu garantieren, hat der Verband der Automobilindustrie (VDA) das Information Security Assessment (ISA) entwickelt.
ISA dient als Basis für:
- ein Self-Assessment zur Bestimmung des Zustandes der Informationssicherheit in der Organisation
- Audits durch interne Fachabteilungen
- die Prüfung nach TISAX®
TISAX® wurde auf Basis des ISA von der ENX Association, einem Zusammenschluss europäischer Automobilhersteller, -zulieferer und -verbände, entwickelt. Die Einhaltung der Anforderungen wird mit der sogenannten Label nach TISAX® bestätigt. Inoffiziell spricht man hier, wie bei der ISO 27001, auch von einer Zertifizierung nach TISAX®.
Die Erlangung des Labels nach TISAX®hat für Unternehmen gleich mehrere Wettbewerbsvorteile:
- Sie können nachweisen, dass sie strenge Anforderungen erfüllen und schaffen so Vertrauen bei ihren Kunden
- Sie wissen, dass ihre Daten, aber auch die des Vertragspartners geschützt sind und können so ihr Haftungsrisiko reduzieren
- Sie müssen weniger Nachweise erbringen und können Kundenanforderungen unmittelbar erfüllen. Dies spart Zeit und Geld.
Allerdings: Das Veröffentlichen der Ergebnisse des Assessments nach TISAX® ist nicht erlaubt.
Wie bekomme ich die Zertifizierung nach
TISAX®?
In der Regel beginnen Unternehmen mit dem Zertifizierungsprozess auf Basis einer konkreten Anfrage. Da der Prozess jedoch sehr zeitaufwendig ist, ist es empfehlenswert, sich proaktiv um die Zertifizierung nach TISAX® zu kümmern, um für potentielle Kunden gut aufgestellt zu sein. Die Zertifizierung kann von mehreren Stellen durchgeführt werden. Dies sind einmal klassische Prüforganisationen wie TÜV Nord, Süd oder Rheinland, Dekra oder DQS; aber auch Wirtschaftsprüfungsgesellschaften wie Ernst & Young oder KPMG.
Was beinhaltet der Fragenkatalog nach TISAX®?
Die Grundlage jeder Zertifizierung ist der VDA ISA Fragenkatalog. Er setzt sich zusammen aus den Bereichen Informationssicherheit, Datenschutz und Prototypenschutz. In der ersten Kategorie geht es um die Grundlage der Zertifizierung, in der ein Fragebogen aus 41 Maßnahmen abgefragt wird. Dies sind Fragen zu Richtlinien, Mitarbeitern, Business Continuity, Identitäts- und Zugriffsmanagement, IT-Sicherheit, der Beziehung zu Partnern und Zulieferern sowie Compliancefragen. Es ist jedoch nicht zwingend notwendig, alle Maßnahmen des Katalogs zu erfüllen. Diese ergeben sich aus den Anforderungen der Vertragspartner.
Im Bereich Datenschutz geht es um Zusatzanforderungen bei der Verarbeitung personenbezogener Daten im Rahmen der DSGVO. Hier werden lediglich vier Maßnahmen überprüft. Diese sind:
- Inwieweit ist die Umsetzung des Datenschutzes organisiert?
- Inwieweit werden organisatorische Maßnahmen getroffen, damit die Verarbeitung personenbezogener Daten gesetzeskonform erfolgt?
- Inwieweit wird sichergestellt, dass die internen Prozesse bzw. Arbeitsabläufe gemäß den jeweils aktuell gültigen Datenschutzbestimmungen ablaufen und dies regelmäßig einer Qualitätsprüfungunterzogen wird?
- Inwieweit sind die einschlägigen Verarbeitungen hinsichtlich datenschutzrechtlicher Zulässigkeit dokumentiert?
Der Bereich Prototypenschutz ist wiederum deutlich komplexer. Er enthält Zusatzanforderungen für Prototypen von Fahrzeugen, Komponenten oder Bauteilen. In dieser Kategorie werden 22 Maßnahmen aus folgenden Bereichen beurteilt:
- Physische und umgebungsbezogene Sicherheit
- Organisatorische Anforderungen
- Umgang mit Fahrzeugen, Komponenten und Bauteilen
- Anforderungen für Erprobungsfahrzeuge
- Anforderungen für Veranstaltungen und Shootings
Was kostet ein Assessment nach TISAX®?
Die Kosten der Zertifizierung nach TISAX® sind sehr hoch. Pro Manntag sind pro Prüfer mit ca. 1.200 EUR bis 1.500 EUR zu rechnen. Hinzu kommen Reise- und Übernachtungskosten. Da die Kosten je nach Zertifizierungsstelle variieren, ist es empfehlenswert, mehrere Angebote einzuholen. Wird die Zertifizierung nach TISAX® erteilt, ist das entsprechende Label nach TISAX® drei Jahre gültig.
Was beinhaltet das Handbuch nach TISAX®?
Um sich optimal auf die Auditierung vorzubereiten, hat die ENX Association das Handbuch nach TISAX® entwickelt. Es ist in Deutsch, Englisch, Französisch, Chinesisch und Spanisch verfügbar und dient als Hilfestellung auf dem Weg zum Label nach TISAX®. Von der Registrierung über die Zertifizierung bis zum Austausch mit dem Partner gibt das über 100-seitige Dokument einen sehr detaillierten Einblick in die konkreten Fragestellungen sowie den organisatorischen Ablauf. Es ist jedoch nicht als Hilfestellung zur Beantwortung der Fragestellungen zu verstehen.
Fazit
TISAX® ist ein bewährtes Verfahren, um die Sicherheit im Automobilbereich zu erhöhen. Die Zertifizierung garantiert, dass Vertragspartner bestimmte Anforderungskataloge, bzw. IT-Sicherheitskataloge erfüllen. Dies ist die Basis für ein hohes Schutzniveau sicherheitsrelevanter Bereiche: Und die Unternehmen können sicher sein, dass sie sich aufeinander verlassen können.
Zur optimalen Vorbereitung auf die Zertifizierung unterstützen wir Ihre Informationssicherheitsexperten gerne. Sprechen Sie uns an, unsere Berater freuen uns auf Ihre Kontaktaufnahme.
TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.
Eine Checkliste zum erfolgreichen Assessment nach TISAX®
In dieser Checkliste finden Sie praktische Schritt-für-Schritt Anweisungen zum Abschluss eines erfolgreichen Assessment nach TISAX®
Jetzt kostenlos herunterladen