In der Automobilindustrie werden täglich große Mengen an sensiblen Daten verarbeitet. Dazu gehören Kundendaten, technische Daten und Geschäftsgeheimnisse. Um diese Daten vor unbefugtem Zugriff, Veränderung oder Zerstörung zu schützen, ist eine effektive Informationssicherheitsstrategie unerlässlich.
Um die Informationssicherheit in der Automobilindustrie zu verbessern, wurde das Trusted Information Security Assessment Exchange (TISAX®) exklusiv für die Anforderungen in der Branche entwickelt.
In diesem Beitrag:
-
Die größten Herausforderungen beim Umsetzen der TISAX®-Anforderungen
-
Wichtigste Praxis-Tipps zum Erfüllen der TISAX®-Anforderungen
Was ist TISAX®?
TISAX® ist ein Prüf- und Austauschverfahren für Informationssicherheit, mit dem Unternehmen in der Automobilindustrie ihre Informationssicherheit bewerten und zertifizieren lassen können.
Der Anstoß dazu kam ursprünglich vom VDA, dem Verband der Deutschen Automobilindustrie. Inzwischen gilt der Standard längst europaweit. So ist TISAX® seit dem Jahr 2000 eine eingetragene Marke der ENX Association, des Verbands der europäischen Automobilindustrie.
Das Prüfverfahren basiert auf einem ISA-Fragebogen des VDA (VDA-ISA), der eine Reihe von Anforderungen an die Informationssicherheit in der Automobilindustrie definiert. ISA steht für Information Security Assessment.
Wie läuft der Zertifizierungsprozess nach TISAX® ab?
Der erste Schritt zur Zertifizierung nach TISAX® ist die Registrierung bei der ENX. Die ENX Association ist die zentrale Plattform für die Durchführung und Verwaltung von TISAX-Assessments. Nach der Registrierung erhalten Unternehmen den Fragenkatalog nach TISAX®. Dieser enthält alle Anforderungen, die ein Unternehmen erfüllen muss, um eine Zertifizierung nach TISAX® zu erhalten.
Im nächsten Schritt führen Unternehmen ein Selbstbewertungsverfahren durch. Dabei überprüfen sie, ob sie die Anforderungen des Fragenkatalogs erfüllen.
Nach Abschluss des Selbstbewertungsverfahrens wählen Unternehmen einen akkreditierten Prüfdienstleister aus. Der Prüfdienstleister führt eine Prüfung der Informationssicherheits-Maßnahmen des Unternehmens durch. Die Prüfung erfolgt je nach angestrebtem Level entweder vor Ort oder auf remote Basis von Dokumenten.
Der Prozess dauert in der Regel 6 Monate bis zu einem Jahr. Am Ende der Prüfung erstellt der Prüfdienstleister einen Bericht über die Ergebnisse. Wenn das Unternehmen die Anforderungen erfüllt, vergibt der Prüfdienstleister ein Label nach TISAX. Das Label bestätigt das Informationssicherheitsniveau des Unternehmens.
Der Ablauf des Prozesses auf einen Blick:
- Unternehmen registrieren sich auf der TISAX®-Plattform und beauftragen einen Auditor.
- Erstes Assessment auf Grundlage des VDA-ISA-Fragebogens.
- Erstellen Sie einen Maßnahmenplan und prüfen Sie, wo Verbesserungen notwendig sind.
- Umsetzung der Maßnahmen.
- Der Auditor prüft die Nachweise.
Wie Sie ermitteln, ob Sie Anforderungen an TISAX® erfüllen
Wer als Automobilzulieferer tätig sein und mit den großen OEMs zusammenarbeiten will, muss die TISAX® Anforderungen erfüllen. TISAX® ist der Prüf- und Austauschmechanismus der Automobilindustrie zum Nachweis der speziell geforderten Informationssichert im Unternehmen. TISAX® steht für Trusted Information Security Assessment Exchange. Die wichtigsten Fragen und Antworten zu den TISAX® Anforderungen haben wir hier für Sie zusammengestellt.
Anforderungen für eine Zertifizierung nach TISAX®
Die TISAX® Anforderungen sind vergleichbar mit denen der ISO 27001. Im Kern müssen teilnehmende Unternehmen nachweisen, dass sie über ein etabliertes und zuverlässig funktionierendes Informationssicherheits-Managementsystem (ISMS) gemäß ISO 27001 verfügen. Es ist tatsächlich so, dass der für TISAX® maßgebliche VDA-ISA Fragenkatalog – dieser wird herausgegeben von der ENX-Association, dem Dachverband der europäischen Automobilindustrie – keine weiteren Hinweise darauf gibt, wie das ISMS aufgebaut sein muss. Es wird schlicht wird vorausgesetzt.
Dennoch gibt es im Hinblick auf die TISAX® Anforderungen durchaus Unterschiede zur ISO 27001. Diese hängen von den angestrebten Prüfzielen und den damit verbundenen Assessment nach TISAX® Leveln ab.
Erforderliche und empfohlene Anforderungen an die Zertifizierung nach TISAX®
Es sind acht Prüfziele mit jeweils speziellen Anforderungen definiert: zwei für die Informationssicherheit, vier zum Thema Prototypenschutz und Schutz von Testfahrzeugen sowie weitere zwei im Bereich Datenschutz.
Nr. | Prüfziel | Geltende Anforderungen |
1. | Umgang mit Informationen mit hohem Schutzbedarf |
Alle Anforderungen aus dem Kriterienkatalog "Informationssicherheit" (Spalten "Anforderungen (muss)" und "Anforderungen (sollte)") Außerdem die zusätzlichen Anforderungen in der Spalte "Zusatzanforderungen bei hohem Schutzbedarf" (sofern zutreffend) |
2. | Umgang mit Informationen mit sehr hohem Schutzbedarf |
Alle Anforderungen aus dem Kriterienkatalog "Informationssicherheit" (Spalten "Anforderungen (muss)" und "Anforderungen (sollte)") Außerdem die zusätzlichen Anforderungen in den Spalten "Zusatzanforderungen bei hohem Schutzbedarf" und "Zusatzanforderungen bei sehr hohem Schutzbedarf" (sofern zutreffend) |
3. | Schutz von Prototypenbauteilen und -Komponenten |
Alle Anforderungen, die für das Prüfziel "Umgang mit Informationen mit hohem Schutzbedarf" gelten Außerdem die Anforderungen in den folgenden Kapiteln des Anforderungskatalogs "Prototypenschutz":
|
4. | Schutz von Prototypenfahrzeugen |
Alle Anforderungen, die für das Prüfziel "Umgang mit Informationen mit hohem Schutzbedarf" gelten Außerdem die Anforderungen in den folgenden Kapiteln des Anforderungskatalogs "Prototypenschutz":
Außerdem die zusätzlichen Anforderungen in der Spalte "Zusatzanforderungen bei als schutzbedürftig klassifizierten Fahrzeugen" (sofern zutreffend) |
5. | Umgang mit Erprobungsfahrzeugen |
Alle Anforderungen, die für das Prüfziel "Umgang mit Informationen mit hohem Schutzbedarf" gelten Außerdem die Anforderungen in den folgenden Kapiteln des Anforderungskatalogs "Prototypenschutz":
|
6. | Schutz von Prototypen während der Veranstaltungen und Film- Fotoshootings |
Alle Anforderungen, die für das Prüfziel "Umgang mit Informationen mit hohem Schutzbedarf" gelten Außerdem die Anforderungen in den folgenden Kapiteln des Anforderungskatalogs "Prototypenschutz":
|
7. | Datenschutz |
Alle Anforderungen, die für das Prüfziel "Umgang mit Informationen mit hohem Schutzbedarf" gelten Alle Anforderungen aus dem Kriterienkatalog "Datenschutz" |
8. | Datenschutz mit besonderen Kategorien personenbezogener Daten |
Alle Anforderungen, die für das Prüfziel "Umgang mit Informationen mit sehr hohem Schutzbedarf" gelten Alle Anforderungen aus dem Kriterienkatalog "Datenschutz" |
TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.
Erfüllung der TISAX® Anforderungen
Das geschieht im Rahmen des Assessments. Um die Zertifizierung nach TISAX® zu erhalten, müssen Unternehmen nachweisen, dass sie über ein geeignetes ISMS verfügen und die geforderten Standards und Prozesse einhalten. Der Nachweis erfolgt je nach Prüfziel, damit verbundenem Schutzbedarf und dem davon wiederum abhängigen Assessment Level durch ein Self-Assessment gemäß VDA-ISA Fragenkatalog, das Vorlegen entsprechender Dokumentationen und Nachweise sowie gegebenenfalls mithilfe von Interviews und Vor-Ort-Überprüfungen durch den ausgewählten Prüfdienstleister (Auditor).
Kriterien für die Anforderungen
Maßgeblich für das Assessment ist der VDA-ISA Fragenkatalog. Er wird sowohl für das Self-Assessment herangezogen als auch für Überprüfungen durch den Auditor. Beim VDA-ISA Fragenkatalog handelt es sich um ein strukturiertes Excel-Dokument mit 300 Fragen. Für jeden Prüfbereich sind darin sämtliche Teilzeile sowie die zugehörigen Kontrollfragen definiert. Zu jedem Teilziel finden sich im Excel-Dokument vier Anforderungsspalten, um die Anforderungen gemäß der unterschiedlich hohen Schutzbedarfe abzubilden. Im Überblick:
- Spalte 1 beschreibt die Muss-Anforderungen
- Spalte 2 beschreibt die Soll-Anforderungen
- Spalte 3 enthält Zusatzanforderungen bei hohem Schutzbedarf
- Spalte 4 enthält Zusatzanforderungen bei sehr hohem Schutzbedarf
Ob Ihr ISMS die Anforderungen erfüllt oder nicht, hängt auch davon ab, mit welchem Reifegrad der Auditor die Umsetzung für ein Teilziel bewertet. Es gibt sechs Reifegrade. Die Skala reicht von 0 für „unvollständig“ bis 5 für „optimierend“ im Sinne von „wird fortlaufend weiter verbessert“. Der Durchschnitt aller Teilergebnisse ergibt am Ende den Reifegrad des ISMS. Für die Zertifizierung nach TISAX® muss mindestens Reifegrad 3 erreicht werden.
Reifegrad | In einem Wort | Beschreibung |
0 | Unvollständig | Es gibt keinen Prozess, es wird keinem Prozess gefolgt oder der Prozess ist nicht geeignet, um das Ziel zu erreichen |
1 | Durchgeführt | Es wird einem nicht oder unvollständig dokumentierten Prozess gefolgt ("informeller Prozess") und es existieren Indizien, dass er sein Ziel erreicht. |
2 | Gesteuert | Es wird einem Prozess gefolgt der seine Ziele erreicht. Prozessdokumentation und Prozessdurchführungsnachweise sind vorhanden. |
3 | Etabliert | Es wird einem Standardprozess gefolgt, der in das Gesamtsystem integriert ist. Abhängigkeiten zu anderen Prozessen sind dokumentiert und geeignete Schnittstellen geschaffen. Es existieren Nachweise, dass der Prozess über einen längeren Zeitraum nachhaltig und aktiv genutzt wurde. |
4 | Vorhersagbar | Es wird einem etablierten Prozess gefolgt. Die Wirksamkeit des Prozesses wird durch Erheben von Kennzahlen kontinuierlich überwacht. Es sind Grenzwerte definiert, bei denen der Prozess als nicht hinreichend wirksam angesehen wird und angepasst werden muss. (Key Performance Indicators) |
5 | Optimierend | Es wird einem vorhersagbaren Prozess gefolgt, bei dem die kontinuierliche Verbesserung wesentliches Ziel ist. Die Verbesserung wird von dedizierten Ressourcen aktiv vorangetrieben. |
Sind die TISAX® Anforderungen an einen Konzern die gleichen wie an einen Kleinstbetrieb?
So wie die TISAX® Anforderungen im VDA-ISA Fragenkatalog formuliert sind, gelten sie für die theoretische Umsetzung in einem fiktionalen Durchschnittsunternehmen unbekannter Größe. Wir haben es hier also mit einer hoch standardisierten Prüfanleitung zu tun, die nicht in Stein gemeißelt ist, sondern vom Auditor je nach Art, Größe und Struktur eines Unternehmens ausgelegt werden soll. Deshalb heißt es im TISAX® Handbuch ausdrücklich: „Der Prüfdienstleister muss immer das Ziel gegen die einzigartige Umsetzung in Ihrem Unternehmen abwägen. Was für das durchschnittliche Unternehmen angemessen ist, kann in Ihrer speziellen Situation nicht ausreichend sein.“
Was passiert, wenn die Anforderungen nicht erfüllt werden?
Im Idealfall stellt der Auditor nach einer TISAX® Überprüfung die Konformität Ihres ISMS fest. Die TISAX® Anforderungen werden im geforderten Umfang erfüllt. Sollte dies nicht der Fall sein, hat der Auditor entweder eine oder mehrere Haupt- beziehungsweise Nebenabweichungen ermittelt. Bei einem Prüfergebnis mit Nebenabweichungen kann der Prüfer ein vorläufiges TISAX® Label erteilen, es gilt eingeschränkt solange, bis sämtliche Nebenabweichungen beseitigt sind.
Anders sieht es aus, wenn der Prüfer eine oder mehrere Hauptabweichungen von den TISAX® Anforderungen feststellt. In diesen Fällen erhalten Sie das angestrebte TISAX® Label erst dann, wenn alle Schwachstellen und Probleme beseitigt sind. Dafür müssen Sie geeignete Kompensations- und Abhilfemaßnahmen entwickeln und diese dem Auditor vorlegen. Genehmigt er die vorgeschlagenen Maßnahmen, müssen diese erfolgreich umgesetzt werden. Je nach Einschätzung des Auditors kann dieser das Prüfergebnis dann von „hauptabweichend“ auf „nebenabweichend“ umdeklarieren und ein vorläufiges TISAX® Label erteilen. Solange dies nicht geschehen ist, kann Ihr Unternehmen im Automobilsektor keine Geschäfte tätigen.
Die größten Herausforderungen beim Umsetzen der TISAX® Anforderungen
Die größten Herausforderungen liegen in der Organisation und dauerhaften Bereitstellung der nötigen Ressourcen. Ein ISMS-Aufbauprojekt gemäß TISAX® Anforderungen wird nur dann erfolgreich sein, wenn alle involviert sind, die an den geforderten Prozessen verantwortlich mitwirken. Und das sind je nach Unternehmen ziemlich viele Akteure und Abteilungen. Um deren Teilhabe zu managen und die richtigen Entscheidungen zur richtigen Zeit treffen zu können, muss ein TISAX® Projekt sehr strukturiert ablaufen und intern gut kommuniziert werden. Ein zweiter wichtiger Punkt ist die Stetigkeit. Ein ISMS gemäß TISAX® aufzubauen und im täglichen Betrieb zu etablieren, erfordert kontinuierliche Arbeit und in allen relevanten Bereichen entsprechende Ressourcen. Diese müssen dauerhaft bereitgestellt werden. Das Thema TISAX® darf nach dem Audit nicht abgehakt und ins Archiv verschoben werden.
Können kleine Unternehmen die TISAX® Anforderungen überhaupt erfüllen?
Definitiv ja. Der VDA-ISA Fragenkatalog ist so geschrieben, dass auch kleine und kleinste Unternehmen damit arbeiten können. Die TISAX® Anforderungen sind als Richtlinien zu verstehen, die nicht eins zu eins, sondern so umzusetzen sind, dass die angestrebten Prüfziele und der gewünschte Schutzbedarf in angemessener Wiese und hinreichendem Ausmaß erreicht werden. Ob und wann dies der Fall ist, das beurteilen die Prüfdienstleister für jedes Unternehmen individuell. Der Aufbau eines ISMS ist aber, genau wie das Audit selbst, immer mit Aufwand und Kosten verbunden. Insbesondere Kleinstbetriebe sollten daher abwägen, ob der Aufwand und die mit einer Zertifizierung nach TISAX® verbundenen Chancen in einem wirtschaftlich sinnvollen Verhältnis stehen.
Wichtige Praxis-Tipps zum Erfüllen der TISAX®-Anforderungen
Tipp 1 betrifft das Projektmanagement. Sowohl bei der Vorbereitung auf ein TISAX® Audit als auch für das kontinuierliche Erfüllen der TISAX® Anforderungen im laufenden Betrieb ist das Projektmanagement essenziell. Unternehmen sollten Aufbau, Struktur und Organisation ihres ISMS sorgsam planen und sehr systematisch angehen. Tipp 2 lautet: Haben Sie dabei insbesondere das Ressourcenthema im Auge. Denn um die TISAX® Anforderungen zu erfüllen, müssen im Unternehmen viele Parteien aus unterschiedlichen Abteilungen involviert werden – am besten frühzeitig und in vorhergeplantem Umfang auch dauerhaft. Denn ein ISMS gemäß TISAX® ist weder zeitlich begrenzt noch ein reines IT-Projekt. Dessen sollten sich Interessenten bewusst sein und sich im TISAX® Projekt entsprechend aufstellen. Dabei unterstützen die ISMS- und TISAX®-Experten von DataGuard gerne.
Was sind die Vorteile einer Zertifizierung nach TISAX®?
Die Zertifizierung nach TISAX® ist ein freiwilliges Verfahren, das Unternehmen der Automobilindustrie durchführen können, um ihre Informationssicherheits-Maßnahmen nachzuweisen. Allerdings bietet die Zertifizierung nach TISAX® Unternehmen der Automobilindustrie einige Vorteile:
- Nachweis der Informationssicherheits-Maßnahmen: Die Zertifizierung nach TISAX® ist ein Nachweis dafür, dass ein Unternehmen die Anforderungen an die Informationssicherheit in der Automobilindustrie erfüllt. Dies ist für Kunden und Geschäftspartner ein wichtiges Entscheidungskriterium.
- Vertrauensbildung bei Kunden und Geschäftspartnern: Eine Zertifizierung nach TISAX® trägt dazu bei, das Vertrauen von Kunden und Geschäftspartnern in die Informationssicherheit eines Unternehmens zu stärken. Das wirkt sich positiv auf die Geschäftsbeziehungen aus.
- Verbesserung der Wettbewerbsposition: Unternehmen mit einer Zertifizierung nach TISAX® sind gegenüber Unternehmen ohne Zertifizierung im Vorteil. Dies liegt daran, dass sie als vertrauenswürdiger und zuverlässiger Partner wahrgenommen werden.
- Erfüllung von Kundenanforderungen: Viele Automobilhersteller verlangen von ihren Lieferanten und Dienstleistern eine Zertifizierung nach TISAX®. In diesem Fall ist die Zertifizierung eine Voraussetzung für den Geschäftsabschluss.
- Zusätzlich gilt natürlich: Eine Zertifizierung nach TISAX® trägt auch dazu bei, das informationssicherheitsniveau des Unternehmens zu verbessern. Das reduziert langfristig Risiken und verhindert Sicherheistvorfälle.
Wenn wir die TISAX® Anforderungen erfüllen, können wir das ISO 27001 Zertifikat dann nicht gleich mitmachen?
Das ist richtig und gilt auch umgekehrt. Eine der Kernanforderungen von TISAX® ist ja ein etabliertes ISMS gemäß ISO 27001. TISAX® setzt voraus, dass ein solches ISMS vorhanden ist. Zu beachten sind bei TISAX® lediglich noch ein paar speziell auf die Anforderungen der Automobilbranche abgestimmte Maßnahmen – insbesondere im Bereich des physischen Prototypenschutzes. Kurz: Es gibt bei den Zertifizierungen nach ISO 27001 und TISAX® starke Überschneidungen, sodass die beide Zertifizierungsprojekte parallel angegangen und im Paket gemanagt werden können, auch wenn dies den Aufwand sicherlich noch mal erhöht. Außerdem erfüllen Sie mit einer ISO 27001-Zertifizierung bereits bis zu 70% der Anforderungen der neuen NIS2-Richtlinie.
Fazit
Die TISAX® Anforderungen sind hoch. Beschrieben werden sie im VDA-ISA Fragenkatalog – nicht eins zu eins verbindlich, sondern generalisiert. Dies lässt den Prüfdienstleistern die nötigen Spielräume in der Auslegung, sodass prinzipiell jedes Unternehmen, unabhängig von seiner Größe und Organisation, die TISAX® Anforderungen erfüllen kann. Damit dies im Einzelfall zielsicher gelingt, stehen die Experten von DataGuard interessierten Unternehmen mit Rat und Tat zur Seite.
TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.
Sie planen sich nach TISAX® zertifizieren zu lassen?
Dann nutzen Sie unsere Checkliste zur Vorbereitung auf Ihr Assessment nach TISAX®.
Jetzt kostenlos herunterladen