Kontaktieren Sie uns jetzt
für Ihr individuelles Angebot

Oder buchen Sie hier direkt einen Termin

(089) 8967 551 000
userlane
Mateco
Demodesk
My Poster
Fressnapf-1
Kusmi Tea

Erlkönige, Autoshows und Enthüllungen: In der Automobilindustrie steckt hinter beinahe jeder Neu- oder Weiterentwicklung ein enormer Aufwand. Oft sind ganze Hundertschaften von Ingenieuren und Zulieferbetrieben beteiligt. Kein Wunder, dass Hersteller (OEMs) bei diesem Aufwand nur Zulieferern vertrauen, die höchste Informationssicherheitsstandards erfüllen. Garantiert wird dies in der Branche durch die sogenannte TISAX® Zertifizierung.

Das Wichtigste in Kürze

  • TISAX® steht für Trusted Information Security Assessment Exchange und definiert den Standard für Informationssicherheits-Management Systeme (ISMS) in der Automobilindustrie.
  • Grundlage für TISAX® ist die Norm ISO 27001 für zertifizierte Managementsysteme für Informationssicherheit.
  • TISAX® ist ein Prüf- und Austauschmechanismus der ENX Association, des europäischen Verbands der Automobilindustrie.
  • Die ENX schafft mit TISAX® bei allen Teilnehmern einheitliche Standards im Hinblick auf die Informationssicherheit, den Prototypen- und den Datenschutz.
  • Unternehmen sollten ein TISAX® Assessment frühzeitig planen und vorbereiten, denn bis zum erfolgreichen Abschluss des Assessments dauert es circa ein Jahr.

 

In diesem Beitrag

 

Was ist TISAX® und wofür steht das Wort?

TISAX® steht für Trusted Information Security Assessment Exchange. Dahinter verbirgt sich ein Informationssicherheitsstandard, der exklusiv für die Anforderungen der Automobilindustrie entwickelt wurde. Der Anstoß dazu kam ursprünglich vom VDA, dem Verband der Deutschen Automobilindustrie. Inzwischen gilt der Standard längst europaweit. So ist TISAX® seit dem Jahr 2000 eine eingetragene Marke der ENX Association, des Verbands der europäischen Automobilindustrie.  

Die ENX Association ist mit der Durchführung des TISAX®-Verfahrens betraut. Es basiert auf einem ISA-Fragebogen des VDA (VDA-ISA). ISA steht für Information Security Assessment. Dabei handelt es sich, anders als bei der Auditierung von Managementsystemen für Informationssicherheit (ISMS) gemäß ISO 27001, in erster Linie um ein Self-Assessment.

 

Wie hängen TISAX® und ISO 27001 zusammen?

Beide Standards beschreiben die Anforderungen an den Aufbau, die Umsetzung und den Betrieb von Informationssicherheits-Managementsystemen (ISMS). Die Grundlagen sind in der ISO 27001 definiert. TISAX® basiert darauf. Die Anforderungen von ISO 27001 und TISAX® sind in puncto Informationssicherheit daher nahezu identisch. Ergänzend kommen beim TISAX® Anforderungskatalog allerdings noch optionale Bereiche speziell für den Prototypenschutz und den Datenschutz hinzu. Man könnte also sagen, dass ein ISMS nach TISAX® eine für die Automobilindustrie optimierte Ausbaustufe darstellt, die mindestens die Standards der ISO 27001 erfüllt und – je nach Reifegrad der Umsetzung –, weit darüber hinausgehen kann.

Mehr dazu, wie die ISO 27001 und TISAX® zusammenhängen und welche Relevanz die Normen für Unternehmen haben finden Sie in diesem Artikel

 

Wer benötigt eine TISAX® Zertifizierung und welche Anforderungen sind zu erfüllen?

Gesetzlich vorgeschrieben ist eine TISAX® Zertifizierung nicht. Kein Unternehmen kann dazu verpflichtet werden, ein TISAX®-konformes ISMS einzuführen und dies im Rahmen eines TISAX® Assessments auch nachzuweisen. Einerseits. Andererseits ist ein TISAX®-Nachweis praktisch Pflicht und für alle Unternehmen unverzichtbar, die in der Automobilbranche und als Zulieferer oder Partner für Automobilhersteller tätig sein wollen. Ohne TISAX®-Nachweis wird eine Zusammenarbeit mit den großen OEMs nicht zustande kommen.

Zu den TISAX® Anforderungen: Diese entsprechen im Wesentlichen denen der ISO 27001. Je nach angestrebtem TISAX® Level kommen allerdings zusätzliche Anforderungen hinzu. Insbesondere für den branchenspezifischen Prototypenschutz sowie für den Datenschutz.

 

Wie viele TISAX® Level gibt es im TISAX® Assessment?

TISAX® arbeitet mit drei unterschiedlich hohen Schutzniveaus, entsprechend viele TISAX® Level gibt es. Diese werden aufsteigend im Hinblick auf die Anforderungen als Level 1, Level 2 und Level 3 bezeichnet.

Gut zu wissen: Die TISAX®-Grundprüfung umfasst standardmäßig die Informationssicherheit – in Analogie zur ISO 27001. Diese Basis müssen alle Unternehmen umsetzen, die eine TISAX®-Zertifizierung erlangen möchten. Die Prüfbereiche „Prototypenschutz“ und „Datenschutz“ sind dagegen nur optional zu absolvieren. Ausschlaggebend sind die TISAX®-Erwartungen der OEMs, mit denen das jeweilige Unternehmen kooperieren möchte.  

Der Prüfumfang und -aufwand steigt von Level zu Level (vgl. Abb.). Beispiel Grundprüfung: In Level 1 genügt eine Selbstauskunft (Self Assessment) die durch den TISAX® Fragenkatalog abgewickelt wird. Ab TISAX® Level 2 schaltet sich ein bei der ENX Association akkreditierter Prüfdienstleister ein. Dieser sichtet die Selbstauskunft, führt eine Plausibilitätsprüfung durch und kann remote, z.B. per Telefon, Nachfragen stellen. Level 3 geht noch einen Schritt weiter: Auf dem höchsten Schutzniveau werden die Self Assessments vom Prüfdienstleister vor Ort verifiziert.

 

 

Welche Vorteile hat eine TISAX® Zertifizierung?

Aus Sicht der Automobilindustrie und ihrer wichtigsten Akteure bietet der TISAX®-Standard gleich mehrere Vorteile. Der wichtigste: Es ist damit eine branchenweit verbindliche Norm für die Informationssicherheit gegeben. Als Branchenstandard genießt TISAX® bei allen teilnehmenden Unternehmen zudem ein sehr hohes Vertrauen. Dies verhindert teure und aufwendige Mehrfachprüfungen und erleichtert die Zusammenarbeit. Wer als Zulieferer seine TISAX®-Konformität nachgewiesen hat, wird in der Automobilindustrie als potenzieller Partner anerkannt.

Für geprüfte Unternehmen ist TISAX® ein klarer Wettbewerbsvorteil und die Voraussetzung, um überhaupt mit einem der großen OEMs ins Geschäft zu kommen. Die TISAX®-Zulassung ist daher auch für das Marketing von hohem Wert und von zentraler Bedeutung.

 

Bekommen Teilnehmer nach dem TISAX® Assessment ein TISAX®-Zertifikat?

Nein, ein solches Zertifikat gibt es nicht. TISAX® ist kein Zertifizierungsprozess, sondern ein Prüf- und Austauschmechanismus, bei dem am Ende eine Art Gutachten erstellt wird. In diesem sind dann die Ergebnisse der Informationssicherheitsüberprüfung zusammenfasst. Auch wenn es somit kein offizielles Zertifikat für TISAX® gibt, spricht man dennoch von einer TISAX® Zertifizierung. 

Damit Unternehmen auch ohne Zertifikat mit ihrer TISAX®-Konformität werben können, gibt es von der ENX Association ein sogenanntes TISAX®-Label (vgl. Abb.). Dieses Label dürfen Unternehmen führen, nachdem sie das TISAX® Assessment erfolgreich absolviert haben. Das Label dokumentiert dies mit dem Hinweis: „Result available“.

Der Hintergrund: Die ENX Association unterhält eine Datenbank, die alle TISAX®-konformen Unternehmen verzeichnet. Teilnehmer am TISAX®-Verfahren, und dazu gehören auch die großen OEMs, haben Zugriff auf diese Datenbank und können darin sofort überprüfen, ob ein Zulieferer oder potenzieller Partner die Anforderungen erfüllt.

*TISAX® is a registered trademark of the ENX Association.

 

Übrigens: Auch bei der Zertifizierung nach ISO 27001 gibt es Unterschiede bei den Zertifizierungen. Hier unterscheidet man zwischen Konformität und einer akkreditierten bzw. nicht-akkreditierten Zertifizierung. Mehr dazu hier.

 

Wie läuft ein TISAX® Assessment in der Praxis ab?

Im ersten Schritt müssen sich interessierte Unternehmen bei der ENX für das TISAX® Assessment registrieren. Daraufhin bekommen sie den TISAX®-Fragenkatalog, führen das Self-Assessment durch und wählen einen akkreditierten Prüfdienstleister aus. Dieser prüft die Selbstauskunft auf Plausibilität und führt gegebenenfalls noch Remote- oder Vor-Ort-Stichproben durch. Werden dabei noch Schwächen festgestellt, beginnt ein iterativer Optimierungsprozess, an dessen Ende im Idealfall eine TISAX® Zertifizierung und der Eintrag in die Datenbank stehen.

 

Welche Kosten müssen Unternehmen für ein TISAX® Assessment einplanen?

Diese Frage lässt sich pauschal nicht beantworten. Hier gilt der Satz: Es kommt immer darauf an. Welches TISAX® Level will ein Unternehmen beispielsweise erfüllen? Ist bereits ein ISMS installiert und erfüllt dieses im besten Fall schon alle Anforderungen gemäß ISO 27001? Oder steht noch viel Grundlagenarbeit an, bevor mit einer Implementierung überhaupt begonnen werden kann?

 

TISAX® Beratung

Sicher ist: Ein erfahrender Servicepartner wie DataGuard kann bei der Vorbereitung und Durchführung des TISAX® Assessments wertvolle Hilfe leisten, den Prozess beschleunigen und letztlich viele Kosten sparen. Der Aufwand sollte aber nicht unterschätzt werden – auch und gerade nicht im Hinblick auf die Zeitschiene. Erfahrungsgemäß benötigen TISAX® Assessments regelmäßig Vorlaufzeiten von rund einem Jahr. Wer als Zulieferer von seinen Kunden mit TISAX®-Anforderungen konfrontiert wird, sollte also möglichst zeitnah handeln, um langfristig im Geschäft zu bleiben.

Zurück zur Übersicht

Jetzt noch mehr herausholen.

Wohin soll Ihre Reise heute noch gehen?

1. Wir unterstützen Sie, ihre Ziele erfolgreich umzusetzen

Sie sind sich unsicher, wie Sie Datenschutz und Informationssicherheit am besten umsetzen? Wir begleiten Sie gern auf dem Weg, die richtigen Entscheidungen in diesen Bereichen zu treffen. Doch der nächste Schritt liegt nun an Ihnen. Nutzen Sie gern unsere kostenfreien Inhalte, um sich weiter zu informieren, oder nehmen Sie einfach direkt Kontakt zu uns auf. Wir freuen uns auf Sie! 

Hier kostenloses Erstgespräch vereinbaren

3. Kontaktieren Sie uns

Bereits mehr als 1.500 Unternehmen vertrauen auf unseren Service. Zögern auch Sie nicht und treten Sie mit uns in Kontakt!

close