In der Automobilindustrie ist die Informationssicherheit von entscheidender Bedeutung. Um die Sicherheit der von ihnen verarbeiteten Daten zu gewährleisten, haben sich die Automobilhersteller und Zulieferer auf den TISAX®-Standard geeinigt. TISAX® steht für Trusted Information Security Assessment Exchange und ist ein internationaler Standard für die Bewertung der Informationssicherheit von Unternehmen, die mit der Automobilindustrie zusammenarbeiten. 

Der TISAX®-Standard besteht aus drei Assessment-Levels: Level 1, Level 2 und Level 3. Level 1 ist eine Selbstbewertung, Level 2 ist in der Regel ein remote durchgeführtes Audit und Level 3 ist ein on-site Audit. 

Was ist TISAX®?

TISAX® ist ein Prüf- und Austauschmechanismus für die Informationssicherheit in der Automobilindustrie und ist ein wichtiges Instrument für Unternehmen der Automobilindustrie, um ihre Informationssicherheit zu verbessern und ihre Compliance mit den Anforderungen der Automobilindustrie sicherzustellen.

Er basiert auf dem VDA-ISA-Anforderungskatalog, der die Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) und die datenschutzrechtlichen Anforderungen an Zulieferer in der Automobilindustrie definiert.

Die Zertifizierung nach TISAX® wurde von der ENX Association, dem Zusammenschluss der europäischen Automobilhersteller, -hersteller und -verbände, entwickelt. Seit 2000 ist das Label eingetragene Marke der ENX. Seitdem hat sich der Standard in ganz Europa etabliert. Die Zertifizierung nach TISAX® ist freiwillig, wird aber von vielen Automobilherstellern als Voraussetzung für Geschäftsbeziehungen mit Zulieferern gefordert.

TISAX® definiert die Pflichtanforderungen an ein Informationssicherheits-Managementsystem (ISMS). Bei einem Assessment nach TISAX® werden die Informationssicherheitsmaßnahmen eines Unternehmens anhand des VDA-ISA-Anforderungskatalogs geprüft. Das Assessment kann entweder vor Ort oder auf Basis von Dokumenten erfolgen.

Assessment Level nach TISAX®

Um verschiedene Anforderungen der Automobilindustrie an die Informationssicherheit von Zulieferern zu berücksichtigen, gibt es bei TISAX® verschiedene Prüfziele. Die Prüfziele werden in Levels eingeteilt: Je höher das Level, desto anspruchsvoller sind die Anforderungen.

Unternehmen können sich zwischen Level 1, 2 und 3 entscheiden: TISAX® besteht aus drei Schutzklassen und Bewertungsstufen. Unternehmen müssen bei jeder erforderlichen Kontrolle einen Reifegrad von 3 oder höher erreichen, um ein Audit nach TISAX® zu bestehen.

• Level 1 bedeutet Schutzbedarf “normal”: Das Assessment kann vom Unternehmen selbst durchgeführt werden und erfordert zunächst nur eine Selbsteinschätzung des Unternehmens auf Grundlage des VDA-ISA-Fragenkatalogs. In der Umsetzung ist dieses Level aber gerade deswegen nicht relevant: Da die Maßnahmen nur durch das Unternehmen selbst geprüft werden, gibt es keine objektive Instanz, die die Prüfergebnisse bestätigt. Level 1 ist daher rein theoretischer Natur und nicht praxisnah.
  
  
• Level 2 bedeutet Schutzbedarf “hoch”: Auch für dieses Level wird als erstes eine Selbsteinschätzung auf Grundlage des VDA-ISA-Fragenkatalogs durchgeführt. Aber beim Assessment Level 2 nach TISAX® werden die Ergebnisse durch einen akkreditierten TISAX® Auditor geprüft und bestätigt. Die Prüfung basiert auf der Dokumentation des Unternehmens und wird in der Regel durch Telefon-Interviews und Plausibilitätstprüfungen remote ergänzt.
  
  
• Level 3 bedeutet Schutzbedarf “sehr hoch”: Level 3 nach TISAX® ist das höchste Schutzniveau für die Informationssicherheit, das Unternehmen in der Automobilindustrie erreichen können. Für die meisten Prüfziele wird Level 3 vorausgesetzt. Das Zertifizierungsverfahren nach TISAX® entspricht dem von Level 2, mit einer Ausnahme: Zum Assessment Level 3 nach TISAX® gehören grundsätzlich auch Vor-Ort-Begehungen und Live-Interviews, die ein Auditor durchführt. So beurteilt ein akkreditierter Prüfer den Reifegrad des ISMS vor Ort an allen Standorten des Unternehmens.

Assessment Level 2 nach TISAX®

Wichtige Fakten:

Assessment Level 2 nach TISAX®

• bedeutet Schutzbedarf “hoch”
  
  
• basiert auf einer Selbsteinschätzung des Unternehmens
  
  
• wird von einem externen Auditor geprüft
  
  
• in der Regel findet die Prüfung remote statt

Das Assessment Level 2 nach TISAX® bietet einen guten Kompromiss zwischen Aufwand für eine Zertifizierung und Nutzen: Das Assessment Level 2 nach TISAX® basiert wie auch Level 1 auf einer Selbsteinschätzung anhand des VDA-ISA-Fragenkatalogs des Unternehmens. Der Unterschied: Ein externer Prüfer verifiziert die Selbsteinschätzung - in der Regel remote. Dazu wird der Auditor ein Telefoninterview sowie umfassende Nachweis- und Plausibilitätsprüfungen durchführen. Grundlage des Assessments ist vor allem die Aktenlage.

Voraussetzungen für Assessment Level 2 nach TISAX®

Um an einem TISAX Assessment Level 2 teilnehmen zu können, müssen Unternehmen die folgenden Voraussetzungen erfüllen: 

• Jedes Unternehmen kann am Assessment nach TISAX® teilnehmen. Normalerweise nehmen Unternehmen aber nur dann teil, wenn sie in der Automobilindustrie tätig sind und ein OEM entsprechende Anforderungen stellt.
   
• Unternehmen müssen ihr eigenes Informationssicherheits-Managementsystem (ISMS) (das Ähnlichkeiten mit ISO 27001 aufweisen kann) aufbauen und auf die spezifischen Kriterien von TISAX® zuschneiden. 
  
  
• Sie müssen eine Selbstbewertung nach TISAX durchgeführt und die Ergebnisse dokumentiert haben. 

Ablauf des Assessment Level 2 nach TISAX® 

Der Prozess zur Zertifizierung nach TISAX® läuft schrittweise ab und basiert auf einem standardisierten Fragebogen der VDA. Auf dieser Grundlage werden Maßnahmen entwickelt und Prozesse optimiert, bis die Konformität nach TISAX® von einem Prüfer abgenommen wird.  

Der Prozess läuft in folgenden Schritten ab: 

1. Unternehmen registrieren sich auf der TISAX®-Plattform und beauftragen einen Auditor
   
   
2. Selbsteinschätzung auf Grundlage des VDA-ISA-Fragebogens
   
   
3. Es wird ein Maßnahmenplan erstellt und geprüft, wo Verbesserungen notwendig sind
   
   
4. Die Maßnahmen werden umgesetzt Assessment durch einen akkreditierten Auditor

Selbstbewertung

In der ersten Phase erstellt das Unternehmen eine Selbstbewertung. Die Selbsteinschätzung erfolgt auf Grundlage des VDA-ISA-Fragenkatalogs. Dazu muss das Unternehmen die Anforderungen des TISAX®-Standards anhand seiner eigenen Informationssicherheitsorganisation und -prozesse bewerten.

Die Selbstbewertung wird von einem externen Auditor überprüft. 

Remote-Audit

In der zweiten Phase führt der externe Auditor ein Remote-Audit durch. Dazu prüft er die Dokumente und Nachweise, die das Unternehmen in der Selbstbewertung eingereicht hat. 

Das Remote-Audit erfolgt in der Regel in Form von Telefon-Interviews und beinhaltet Dokumentations- und Plausibilitätsprüfungen. Die Verifizierung der Selbsteinschätzung erfolgt meistens auf Grundlage der Aktenlage.  

Level 2 nach TISAX® Anforderungen:

Welche Anforderungen müssen Unternehmen erfüllen, um eine Zertifizierung nach TISAX® zu erhalten? Die erste Voraussetzung, um die Zertifizierung erfolgreich zu bestehen, ist ein aktives Informationssicherheits-Managementsystem (ISMS).  

Die Zertifizierung nach TISAX® wird vergeben, wenn ein Unternehmen die Anforderungen von TISAX® sowie die darüber hinausgehenden Anforderungen an den Schutz von Daten (AL 2) und Prototypen (AL 3) erfüllt. 

Auch unternehmensinterne Prozessabläufe und Dokumentationen müssen für eine erfolgreiche Zertifizierung standardisiert sein. Die wichtigsten Anforderungen sollten am besten schon vor Anmeldung zur Zertifizierung im eigenen Unternehmen gegeben sein. 

Ein Überblick über die wichtigsten Anforderungen: 

Informationssicherheits-Politik: Es muss eine Informationssicherheits-Politik etabliert sein, die von Mitarbeitenden verstanden und umgesetzt wird. 

Risikomanagement: Regelmäßige Kontrollen sollten durchgeführt werden, um Risiken für die Informationssicherheit möglichst frühzeitig zu erkennen und zu behandeln. 

Prozess-Dokumentationen: Sicherheitsrelevante Prozesse müssen dokumentiert sein. 

Incident-Response-Plan: Verantwortliche sollten in der Lage sein, auf Sicherheitsvorfälle schnell und angemessen reagieren zu können. 

Schulungen und Awareness-Programme: Wissen und Bewusstsein für Informationssicherheit und Datenschutz müssen gegeben sein. 

Dauer des Assessment Level 2 nach TISAX®

Die TISAX®-Zertifizierung ist ein zeit- und ressourcenintensives Projekt. Um die Anforderungen zu verstehen und Maßnahmen umzusetzen, ist es wichtig, dass das Projektteam über ausreichende Kapazitäten verfügt. Je nach Komplexität des Unternehmens dauert der Prozess von drei Monaten bis zu einem Jahr. Abhängig von Größe und Infrastruktur des jeweiligen Unternehmens variiert auch der Aufwand für die Implementierung von notwendigen Prozessen. 

Kosten des Assessment Level 2 nach TISAX® 

Die TISAX®-Zertifizierung erfordert eine Investition von Zeit und Geld. Insbesondere KMUs sollten daher frühzeitig die Kosten kalkulieren und sicherstellen, dass sie die finanziellen Mittel dafür bereitstellen können. 

Pauschal lässt sich die Kostenfrage zur Zertifizierung nach TISAX® jedoch nicht beantworten. Je komplexer die Anforderungen sind, desto aufwendiger ist die Vorbereitung. Die Kosten variieren also, je nach Bedarf und Grad der Umsetzung. Sowohl die Projektdauer, der Einsatz eigener Ressourcen, der Umfang der bestehenden Infrastruktur als auch die Größe des eigenen Unternehmens beeinflussen die Kostenschätzung. 

Die Kosten für eine TISAX®-Zertifizierung hängen von verschiedenen Faktoren ab, darunter dem Schutzziel, der vorhandenen Infrastruktur und dem Aufwand für die Implementierung. 

Zu den wichtigsten Kostenblöcken gehören: 

• Gebühren für den Auditor
   
• Kosten für die Implementierung von Informationssicherheitsmaßnahmen
  
  
• Kosten für Schulungen
  
  
• Kosten für die Dokumentation
  
  
• Kosten für die Aufrechterhaltung der Zertifizierung 

Damit Sie die Kosten für eine Zertifizierung nach TISAX® ermitteln können, müssen Sie verschiedene Faktoren beachten:

• Welches Level nach TISAX® soll erreicht werden?
  
  
• Ist bereits ein ISMS aktiv und inwiefern erfüllt es die Anforderungen gemäß TISAX®?
  
  
• Wie viele Ressourcen können Sie in die Umsetzung eines Projekts investieren?

Damit Sie die Kosten für Ihr Unternehmen kalkulieren können, finden Sie auf diese Weise heraus, wie viel Grundlagenarbeit Sie noch leisten, bevor Sie mit der Implementierung beginnen können. 

Vorteile vom Assessment Level 2 nach TISAX® 

Eine TISAX®-Zertifizierung ist für Unternehmen ein Wettbewerbsvorteil, der sich langfristig auszahlt. Mit einer Zertifizierung nach TISAX® sind Unternehmen für die Zukunft gerüstet. Sie zeigen, dass Sie die Informationssicherheit ernst nehmen und die hohen Anforderungen der Automobilindustrie erfüllen. Das ist ein wichtiger Faktor für die erfolgreiche Zusammenarbeit mit OEMs und stärkt das Image als zuverlässiger Partner. 

Die Zertifizierung nach TISAX® ist für Zulieferer in der Automobilbranche mittlerweile unerlässlich; Sie zeigt, dass Unternehmen die hohen Anforderungen der Automobilindustrie an Informationssicherheit erfüllen und ein zuverlässiger Partner sind. 

Die Vorteile einer Zertifizierung nach TISAX® sind vielfältig: 

• Welches Level nach TISAX® soll erreicht werden?
  
  
• Ist bereits ein ISMS aktiv und inwiefern erfüllt es die Anforderungen gemäß TISAX®?
  
  
• Wie viele Ressourcen können Sie in die Umsetzung eines Projekts investieren?

Starten Sie noch heute Ihre TISAX®-Journey und profitieren Sie von den vielen Vorteilen.

Zertifizierung nach TISAX® leicht gemacht mit DataGuard  

Mit DataGuard haben Sie einen starken Partner an Ihrer Seite, der Sie auf dem Weg zur Zertifizierung nach TISAX® begleitet. Unsere Experten verfügen über das nötige Know-how und die Erfahrung, um Sie erfolgreich durch den Zertifizierungsprozess zu führen. 

Unser Beratungs- und Serviceportfolio umfasst alle Schritte der Zertifizierung, von der Ist-Analyse und der Erstellung eines Maßnahmenplans bis hin zur Begleitung des Audits.