Kontaktieren Sie uns jetzt
für Ihr individuelles Angebot

Oder buchen Sie hier direkt einen Termin

(089) 8967 551 000
userlane
Mateco
Demodesk
My Poster
Fressnapf-1
Kusmi Tea

Ein Informationssicherheits-Managementsystem (Information Security Management System, ISMS) gehört für immer mehr Unternehmen inzwischen zur Grundausstattung. Kein Wunder, denn Wissen und Information zählen zu den wichtigsten unternehmerischen Assets. Zugleich sind diese Assets mehr denn je bedroht: Durch menschliches Fehlverhalten, Cybercrime und zunehmende Naturgefahren. Audits nach ISO 27001 oder TISAX® erhöhen und dokumentieren die Resilienz gegenüber diesen Risiken. Doch wer braucht eigentliche welches Audit und worin liegen die Unterschiede?

Das Wichtigste in Kürze

  • Der internationale Standard ISO 27001 und der TISAX®-Mechanismus definieren Anforderungen an Informationssicherheits-Managementsysteme (ISMS) von Unternehmen.
  • Die ISO 27001 gilt generell und für alle Unternehmen, TISAX® definiert Anforderungen speziell für Zulieferer in der Automobilindustrie.
  • TISAX® wurde abgeleitet von der ISO 27001. Die beiden Standards existieren aber komplett unabhängig voneinander. Auch im Hinblick auf die Audits und Zertifizierungen gibt es keine gegenseitigen Abhängigkeiten.
  • Wichtig: Ein Zertifikat erhalten Unternehmen nur für das Erfüllen der ISO 27001-Anforderungen. Für die TISAX®-Konformität gibt es keine Zertifikate. Auch darf mit der erfolgreichen TISAX®-Auditierung öffentlich nicht geworben werden. Das Ergebnis eines TISAX®-Audits ist nur für andere TISAX®-Teilnehmer einsehbar.
  • Beide Normen ergänzen sich, sodass das Erfüllen der Vorgaben beider Standards für Zulieferer unbedingt empfehlenswert ist.

 

In diesem Beitrag

 

Was wird nach ISO 27001 auditiert und was nach TISAX®?

Beide Normen definieren, welche Anforderungen ein Informationssicherheits-Managementsystem (ISMS) zu erfüllen hat. Ganz allgemein betrachtet, geht es in beiden Fällen also um ein und dieselbe Sache. Hinter der allgemeingültigen ISO 27001 steht die International Organization for Standardization, kurz ISO. Der Branchenstandard TISAX® (Trusted Information Security Assessment Exchange) definiert Anforderungen speziell für Zulieferer in der Automobilindustrie und wird international verantwortet von der privatwirtschaftlich organisierten ENX Association sowie vom Verband der Automobilindustrie (VDA) in Deutschland.

Der Hauptunterschied zwischen der ISO 27001 und TISAX® – wenn man es so generisch betrachten und auf den Punkt bringen möchte – ist der Scope des jeweiligen Standards, sprich sein Anwendungs- bzw. Geltungsbereich.

Welchen Scope deckt die ISO 27001 ab, welchen TISAX®?

Bei einer Zertifizierung nach ISO 27001 können Unternehmen den Scope im vorgegebenen Rahmen selbst festlegen. Die Norm beschreibt generelle Anforderungen an die Einführung, Umsetzung, den Betrieb, die Überwachung, Kontrolle, Kontinuität und kontinuierliche Verbesserung des ISMS, überlässt die Auswahl des Anwendungsbereichs aber den Anwendern selbst. Heißt konkret: Es ist für Unternehmen durchaus möglich, einen bestimmten Standort, einzelne Produktlinien oder Services nach ISO 27001 zertifizieren zu lassen, oder das Gesamtunternehmen. Letzteres ist aber nicht zwingend.

Anders sieht es bei TISAX® aus. Hier stehen immer das jeweilige Gesamtunternehmen und seine Informationssicherheitsprozesse auf dem Prüfstand. Noch ein wichtiger Unterschied: Gemeinhin wird zwar sowohl bei der ISO 27001 als auch bei TISAX® von einer „Zertifizierung“ gesprochen, eine TISAX®-Zertifizierung gibt es genau genommen jedoch gar nicht. TISAX® ist vielmehr eine Plattform, hinter der die Verbände der europäischen Automobilhersteller stehen. Unternehmen, die als Zulieferer für die Branche arbeiten möchten, müssen sich bei dieser Plattform anmelden und die TISAX®-Anforderungen erfüllen. Wer zum Kreis der TISAX®-Teilnehmer gehört und die Vorgaben in welchem Umfang erfüllt, soll nach dem Willen der Automobilindustrie eine vorrangig brancheninterne Information bleiben. Aus diesem Grund dürfen Unternehmen öffentlich auch nicht damit werben, dass sie die TISAX®-Anforderungen erfüllen.

Bauen ISO 27001 und TISAX® aufeinander auf?

TISAX® existiert seit 2017 und wurde als Anforderungs- und Prüfkatalog für die Informationssicherheit bei Zulieferbetrieben der Automobilindustrie aus der ISO 27001 abgeleitet. Der TISAX®-Fragebogen, das so genannte „Information Security Self-Assessment“, und die einzelnen Kontrollbereiche gehen also direkt auf die ISO-Norm zurück. Allerdings entwickeln sich die beiden Standards mit jeder neuen TISAX®-Version weiter auseinander. Inzwischen sind wir bei Version 5 des Self-Assessments – die Gemeinsamkeiten sind hier auf den ersten Blick nicht mehr ganz so offenkundig, eine enge Verwandtschaft bleibt jedoch klar erkennbar.

Tipp: Der aktuelle TISAX®-Fragebogen kann auf der Website des VDA eingesehen werden und steht dort zum Download bereit.

 

Setzt TISAX® eine Zertifizierung nach ISO 27001 voraus bzw. ist es möglich, beide Zertifizierungen in ein und demselben Auditdurchgang zu erledigen?

Formal gibt es keine Verbindung und daher auch keine Abhängigkeiten zwischen der ISO 27001 und TISAX®. Die Standards sind völlig unabhängig voneinander. Unternehmen können also die TISAX®-Kriterien erfüllen und zugleich nach ISO 27001 zertifiziert sein oder nur einen der beiden Standards erfüllen. Dennoch lassen sich Synergien nutzen: Wer ein ISO 27001-Audit mit unternehmensweitem Scope bereits erfolgreich durchlaufen hat, für den wird TISAX® keine allzu große Herausforderung mehr sein.

Trotz aller Ähnlichkeiten ist eine kombinierte Auditierung nicht möglich. Der Grund: Die Audit-Perspektiven sind grundverschieden. Bei der ISO 27001 betrachten die Auditoren die Risiken und sämtliche Maßnahmen für die Informationssicherheit aus Unternehmensperspektive. Bei TISAX® ist die Sicht eine andere: TISAX® zielt auf eine sichere Zulieferkette für den OEM ab, der von seinem Lieferanten einen TISAX®-konformen Managementprozess erwartet. Im Mittelpunkt steht also die Perspektive des Endkunden.

TISAX® oder ISO 27001 – welcher Standard ist schwieriger zu erfüllen?

Diese Frage lässt sich nicht eindeutig beantworten. Die Schwierigkeitsgrade und Herausforderungen sind individuell zu betrachten. Grundsätzlich folgen beide Auditierungen aber dem gleichen Prüfschema. Es wird immer abgefragt: Welche Maßnahmen ergreift ein Unternehmen nach eigener Aussage, wie sind die Maßnahmen umgesetzt und welche Nachweise belegen dies? Verantwortlich für alle drei Bereiche ist übrigens das Management eines Unternehmens. Informationssicherheit ist in jedem Fall eine Managementaufgabe – ganz gleich, ob nach ISO 27001 oder TISAX®.

Unterschiede gibt es dennoch. Während bei einem TISAX®-Audit ausschließlich das Management und allenfalls noch der Informationssicherheitsbeauftragte befragt werden, können die Auditoren bei einer ISO 27001-Prüfung auch die Mitarbeiter zu einzelnen Maßnahmen und Prozessen befragen. Der Aufwand für die interne Vorbereitung der Belegschaft ist daher etwas höher. Hinzu kommt, dass ein ISO 27001-Audit im Vergleich zu TISAX® ein breiteres Spektrum an Informationssicherheitsprozessen umfasst. Dafür gehen die Audit-Fragen weniger in die Tiefe. Wird eine Maßnahme nachweislich umgesetzt, gibt es einen Okay-Haken. Beim TISAX®-Audit werden dagegen auch die Reifegrade der Umsetzung berücksichtigt.

Übrigens: Um bei der Auditierung nach TISAX® und/oder ISO 27001 den Überblick zu behalten, haben wir bei DataGuard zwei praktische Checklisten entworfen. In diesen Schritt-für-Schritt-Leitfäden für das jeweilige Audit erfahren Sie, was die notwendigen Arbeitsergebnisse für jeden Schritt sind. Hier geht’s zu den Downloads:

 

Steht der Datenschutz bei TISAX® stärker im Fokus als bei der ISO 27001?

Ja, das trifft durchaus zu. Denn in der ISO 27001 findet sich explizit zum Datenschutz nur ein kurzer Absatz. TISAX® beschreibt die Datenschutzanforderungen dagegen ausführlich in einem seiner drei Kriterienkataloge. Zum Hintergrund: Es gibt bei TISAX® einen Kriterienkatalog mit Fokus auf die allgemeine Informationssicherheit, einen zum Prototypenschutz und einen dritten zum Datenschutz. Das Besondere: Für das TISAX®-Audit bei einem Zulieferer legt der OEM fest, welche Kriterienkataloge im Mittelpunkt stehen sollen. Je nach Auswahl wird dann auch noch der erforderliche Reifegrad im Hinblick auf die Umsetzung festgelegt. Das Spektrum der Assessment-Level reicht von 1 für „normal“ bis 3 für „sehr hoch“. Sprich: Wird mit Fokus auf den TISAX®-Kriterienkatalog „Datenschutz“ ein Level-3-Assessment durchgeführt, sind die Anforderungen ungleich höher als bei einem ISO 27001-Audit. In der Regel werden Level-3-Assessments durchgeführt – das sind intensive Vor-Ort-Prüfungen.

Ist ein ISO 27001-Zertifikat für Automobilzulieferer mit erfolgreichem TISAX®-Audit überhaupt noch erstrebenswert?

Das ist es definitiv! Schon allein für die Außendarstellung. Unternehmen dürfen ihr ISO 27001-Zertifikat beispielsweise auf der eigenen Website veröffentlichen, um ihre Informationssicherheit zu belegen und sich damit auf dem Markt zu positionieren. Bei einer erfolgreichen TISAX®-Auditierung sieht das anders aus, wie zuvor gesagt.

Andererseits braucht ein Automobilzulieferer nicht zwingend eine ISO 27001-Zertifizierung, um in der Branche ein Bestandteil einer Lieferkette zu werden. Entscheidend ist die TISAX®-Prüfung. Ausnahmen bestätigen jedoch auch hier die Regel – und so gibt es durchaus OEM, die über TISAX® hinaus zusätzlich ein ISO 27001-Zertifikat von ihren Zulieferern erwarten.

Wer auditiert die Unternehmen eigentlich, sind für beide Standards die gleichen Stellen zuständig?

Es gibt zwar Prüfdienstleister, die Audits nach beiden Standards durchführen, grundsätzlich sind die Verantwortlichkeiten aber komplett getrennt. So wird das akkreditierte Prüfergebnis für TISAX®-Auditierungen ausschließlich von der ENX Association verantwortet. Diese benennt ihrerseits Prüfdienstleister, die zur Durchführung von Audits berechtigt sind. Aktuell gibt es für TISAX® weltweit 14 zugelassene Prüfdienstleister.

Bei der ISO 27001 sind die Verantwortlichkeiten analog strukturiert. National laufen die Fäden bei der DAkkS zusammen, der Deutschen Akkreditierungsstelle. Diese hat deutschlandweit aktuell rund 50 Prüfdienstleister für die Durchführung von Auditierung von Informationssicherheit zugelassen – darunter sind zum Beispiel einige TÜV-Organisationen, aber auch etliche andere Prüfunternehmen.

Expertengespräch buchen

Fazit: Sind ISO 27001- und TISAX®-Auditierung eine klare Doppelempfehlung?

Nicht grundsätzlich und für alle Unternehmen. Generell ist jedoch die Zertifizierung nach ISO 27001 zu empfehlen. Diese sollten heute alle Unternehmen vorweisen können, um in puncto Informationssicherheit auf der sicheren Seite zu sein. Entsprechend hoch ist marktweit auch die Nachfrage nach entsprechenden Beratungsservices und ISO 27001-Zertifizierungen.

Anders sieht es für Unternehmen aus, die ausschließlich oder auch als Automobilzulieferer tätig sind. Für diese Betriebe sprechen wir bei DataGuard eine klare Doppelempfehlung aus: Sie sollten als Fundament des eigenen ISMS sämtliche Anforderungen gemäß ISO 27001 erfüllen und entsprechend zertifiziert sein. Die Auditierung nach TISAX® kommt für Automobilzulieferer dann on-top.

Jetzt noch mehr herausholen.

Wohin soll Ihre Reise heute noch gehen?

1. Wir unterstützen Sie, ihre Ziele erfolgreich umzusetzen

Sie sind sich unsicher, wie Sie Datenschutz und Informationssicherheit am besten umsetzen? Wir begleiten Sie gern auf dem Weg, die richtigen Entscheidungen in diesen Bereichen zu treffen. Doch der nächste Schritt liegt nun an Ihnen. Nutzen Sie gern unsere kostenfreien Inhalte, um sich weiter zu informieren, oder nehmen Sie einfach direkt Kontakt zu uns auf. Wir freuen uns auf Sie! 

Hier kostenloses Erstgespräch vereinbaren

3. Kontaktieren Sie uns

Bereits mehr als 1.500 Unternehmen vertrauen auf unseren Service. Zögern auch Sie nicht und treten Sie mit uns in Kontakt!

close