Informationssicherheit ist in der Automobilindustrie ein Muss. Um sensible Daten zu schützen, haben sich die Automobilhersteller und Zulieferer auf den TISAX®-Standard geeinigt. TISAX® steht für Trusted Information Security Assessment Exchange und ist ein internationaler Standard für die Bewertung der Informationssicherheit von Unternehmen, die mit der Automobilindustrie zusammenarbeiten.

Der TISAX®-Standard besteht aus drei Assessment-Levels: Level 1, Level 2 und Level 3. Level 1 basiert auf einer Selbsteinschätzung, Level 2 umfasst in der Regel ein remote durchgeführtes Audit und Level 3, um das es hier gehen soll, ist ein on-site Audit.

Was ist TISAX®?

TISAX® ist ein Prüf- und Austauschmechanismus für die Informationssicherheit in der Automobilindustrie. TISAX® hilft Unternehmen dabei, ihre Informationssicherheit zu verbessern und ihre Compliance mit den Anforderungen der Automobilindustrie sicherzustellen.

Die Zertifizierung nach TISAX® wurde von der ENX Association, dem Zusammenschluss der europäischen Automobilhersteller, -hersteller und -verbände, etabliert. Sie basiert auf dem VDA-ISA-Anforderungskatalog, der die Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) und die datenschutzrechtlichen Anforderungen an Zulieferer in der Automobilindustrie definiert.

Seit 2000 ist das Label eingetragene Marke der ENX. Seitdem hat sich der Standard in ganz Europa etabliert. Die Zertifizierung nach TISAX® ist freiwillig, wird aber von vielen Automobilherstellern als Voraussetzung für Geschäftsbeziehungen mit Zulieferern gefordert.

Assessment Level nach TISAX®

Um verschiedene Anforderungen der Automobilindustrie an die Informationssicherheit von Zulieferern zu berücksichtigen, gibt es bei TISAX® verschiedene Prüfziele. Die Prüfziele werden in Levels eingeteilt: Je höher das Level, desto anspruchsvoller sind die Anforderungen.

Unternehmen können sich zwischen Level 1, 2 und 3 entscheiden: TISAX® besteht aus drei Schutzklassen und Bewertungsstufen. Unternehmen müssen bei jeder erforderlichen Kontrolle einen Reifegrad von 3 oder höher erreichen, um ein Audit nach TISAX® zu bestehen.

• AL 1 bedeutet Schutzbedarf “normal”: Das Assessment kann vom Unternehmen selbst durchgeführt werden und erfordert zunächst nur eine Selbsteinschätzung des Unternehmens auf Grundlage des VDA-ISA-Fragenkatalogs. In der Umsetzung ist dieses Level aber gerade deswegen nicht relevant: Da die Maßnahmen nur durch das Unternehmen selbst geprüft werden, gibt es keine objektive Instanz, die die Prüfergebnisse bestätigt. Level 1 ist daher rein theoretischer Natur und nicht praxisnah.
  
  
• AL 2 bedeutet Schutzbedarf “hoch”: Auch für dieses Level wird als erstes eine Selbsteinschätzung auf Grundlage des VDA-ISA-Fragenkatalogs durchgeführt. Aber beim Assessment Level 2 nach TISAX® werden die Ergebnisse durch einen akkreditierten TISAX® Auditor geprüft und bestätigt. Die Prüfung basiert auf der Dokumentation des Unternehmens und wird in der Regel durch Telefon-Interviews und Plausibilitätstprüfungen remote ergänzt. Wenn Sie Nachweise haben, die Sie nicht an den Prüfdienstleister schicken möchten, können Sie eine Vor-Ort-Prüfung beantragen. So kann der Prüfdienstleister dennoch Ihre „for your eyes only“-Nachweise überprüfen.
  
  
• AL 3 bedeutet Schutzbedarf “sehr hoch”: Level 3 nach TISAX® ist das höchste Level für die Informationssicherheit, das Unternehmen in der Automobilindustrie erreichen können. Das Zertifizierungsverfahren nach TISAX® entspricht dem von Level 2, mit einer Ausnahme: Zum Assessment Level 3 nach TISAX® gehören grundsätzlich auch Vor-Ort-Begehungen und Live-Interviews, die ein Auditor durchführt. Zudem werden Dokumente und Nachweise geprüft, die örtlichen Gegebenheiten betrachtet, die Durchführung von Prozessen beobachtet und ungeplante Interviews mit Prozessbeteiligten durchgeführt. So beurteilt ein akkreditierter Prüfer den Reifegrad des ISMS vor Ort an allen Standorten des Unternehmens. 

Assessment Level 3 nach TISAX®: Die Königsklasse der Informationssicherheit

Wichtige Fakten:
Assessment Level 3 nach TISAX®

• bedeutet Schutzbedarf “sehr hoch”
  
  
• basiert auf einer Selbsteinschätzung des Unternehmens
  
  
• wird von einem unabhängigen Auditor geprüft
  
  
• in der Regel findet die Prüfung vor Ort statt

Assessment Level 3 nach TISAX® ist das höchste Assessment Level nach TISAX®. Es stellt die höchsten Anforderungen an die Informationssicherheit des Unternehmens.

Unternehmen, die das Assessment Level 3 erfüllen, verfügen über ein exzellentes Informationssicherheits-Managementsystem. Sie haben alle relevanten Prozesse und Maßnahmen implementiert, um die Sicherheit ihrer sensiblen Daten zu gewährleisten.

Voraussetzungen für das Assessment Level 3 nach TISAX®

Um an einem TISAX® Assessment Level 3 teilzunehmen, müssen Unternehmen die folgenden Voraussetzungen erfüllen:

• Grundsätzlich kann sich jedes Unternehmen für das Assessment nach TISAX® registrieren. Es gilt aber: Insbesondere für Unternehmen in der Automobilindustrie und Zulieferer für Automobilhersteller ist ein Label sinnvoll. Denn sie verarbeiten häufig sensible Daten von Automobilherstellern. OEMs fordern deswegen häufig von ihren Zulieferern entsprechende Nachweise.
  
  
• Unternehmen müssen ein Informationssicherheits-Managementsystem (ISMS) implementieren, das die Anforderungen der Automobilindustrie erfüllt. Dieses ISMS kann auf der ISO 27001 basieren, muss aber an die spezifischen Kriterien von TISAX® angepasst werden.
  
  
• Selbstbewertung nach TISAX®: Das Unternehmen muss eine Selbstbewertung nach TISAX® durchgeführt und die Ergebnisse dokumentiert haben.

Neben den allgemeinen Voraussetzungen für Assessment Level 3 müssen Unternehmen, die sich für das höchste Assessment Level qualifizieren wollen, die folgenden zusätzlichen Anforderungen erfüllen:

• Nachweisbarkeit: Das Unternehmen muss nachweisen können, dass die Anforderungen des VDA-ISA-Anforderungskatalogs für Assessment Level 3 nach TISAX® erfüllt werden.
  
  
• Kontinuierliche Verbesserung: Das Unternehmen sollte ein Programm zur kontinuierlichen Verbesserung der Informationssicherheit implementiert haben.

Ablauf des Assessment Level 3 nach TISAX®

Der Prozess zur Zertifizierung nach TISAX® läuft schrittweise ab und basiert auf einem standardisierten Fragebogen der VDA. Auf dieser Grundlage werden Maßnahmen entwickelt und Prozesse optimiert, bis die Konformität nach TISAX® von einem Prüfer abgenommen wird.

Das Ziel eines Assessments nach TISAX® ist die Listung des Unternehmens auf der TISAX®-Plattform. Unternehmen, die in der Liste als geprüft erscheinen wollen, registrieren sich zunächst und beauftragen dann einen akkreditierten Prüfdienstleister, der die Informationssicherheit im Unternehmen bewertet.

Die Prüfung für das Level 3 nach TISAX® findet als Vor-Ort-Begehung statt. Um die Wirksamkeit und den Reifegrad des tatsächlich umgesetzten ISMS beurteilen zu können, führt der Auditor grundsätzlich Vor-Ort-Begehungen und Live-Interviews durch – und zwar nicht nur in der Firmenzentrale, sondern potenziell an jedem Standort eines Unternehmens.

Das Assessment besteht zum einen aus einer grundlegenden Bewertung der Informationssicherheit. Zusätzlich können weitere Module wie Prototypenschutz und Datenschutz geprüft werden.

War die Prüfung erfolgreich, erstellt die ENX ein entsprechendes Label nach TISAX® in ihrer Datenbank, das alle Interessierten einsehen können. Das Label ist unter allen VDA-Mitgliedern und wichtigen Herstellern wie z.B. BMW, Audi oder Volkswagen anerkannt und meistens gefordert. Der Bericht über das Label und die erreichte Schutzklasse kann von den jeweiligen Unternehmen an entsprechende Kunden, die den Status nach TISAX® abfragen, weitergegeben werden.

Die Schritte im Überblick:

1. Registrieren auf der TISAX®-Plattform
   
   
2. Beauftragen eines akkreditierten Auditors
   
   
3. Selbsteinschätzung auf Grundlage des VDA-ISA-Fragebogens
   
   
4. Erstellen eines Maßnahmenplans zur Verbesserung der Informationssicherheit
   
   
5. Umsetzen der Optimierungsmaßnahmen
   
   
6. Assessment durch einen akkreditierten Auditor

Wie lange ist ein Zertifikat nach TISAX® gültig?

Die Ergebnisse des Assessments nach TISAX® sind für einen Zeitraum von drei Jahren gültig. Das gilt für Level 1, 2 und 3 nach TISAX®. Nach diesem Zeitraum muss das Assessment wiederholt und das Label erneuert werden.

Level 3 nach TISAX® Anforderungen:

Welche Anforderungen müssen Unternehmen erfüllen, um eine Zertifizierung nach TISAX® zu erhalten? Für eine Zertifizierung nach TISAX® wird evaluiert, ob Ihr Unternehmen die von der ENX Association festgelegten Informationssicherheits- und Prototypenschutz- und Datenschutzanforderungen erfüllt.

Die grundlegende Voraussetzung, um ein Label nach TISAX® zu erhalten, ist ein aktives Informationssicherheits-Managementsystem (ISMS).

Informationssicherheit, Datenschutz und Prototypenschutz: Die Zertifizierung nach TISAX® wird vergeben, wenn ein Unternehmen die Anforderungen von TISAX® sowie je nach angestrebtem Schutzniveau die darüberhinausgehenden Anforderungen an den Schutz von Daten und Prototypen erfüllt. So werden die verschiedenen Anforderungen der Automobilhersteller berücksichtigt und das Label spezifisch an die Bedürfnisse der Industrie angepasst.

Bildquelle: Screenshot Zertifizierung nach TISAX®: Informationswerte effektiv schützen (dataguard.de) 

Ein wichtiges Stichwort ist Standardisierung: Unternehmensinterne Prozessabläufe und Dokumentationen müssen für eine erfolgreiche Zertifizierung standardisiert sein. Für eine erfolgreiche Zertifizierung sollten die wichtigsten Anforderungen am besten schon vor der Anmeldung zur Prüfung erfüllt sein.

Ein Überblick über die wichtigsten Anforderungen:

Informationssicherheits-Politik: Unternehmen sollten eine Informationssicherheits-Politik etabliert haben, die von Mitarbeitenden verstanden und umgesetzt wird.

Risikomanagement: Damit Unternehmen Risiken möglichst frühzeitig erkennen und behandeln, sollten regelmäßige Kontrollen durchgeführt und nach Sicherheitslücken gesucht werden.

Prozess-Dokumentationen: Sicherheitsrelevante Prozesse müssen dokumentiert sein.

Incident-Response-Plan: Sicherheitsvorfälle müssen schnell behandelt werden. Verantwortliche sollten in der Lage sein, auf entsprechende Vorfälle schnell und angemessen reagieren zu können.

Schulungen und Awareness-Programme: Mitarbeitende sollten regelmäßig geschult werden, um ein Bewusstsein für Informationssicherheit zu etablieren und zu erhalten.

Was kostet das Assessment Level 3 nach TISAX®

Die Vorbereitung und die Zertifizierung nach TISAX® kosten Zeit und Geld. Unternehmen sollten daher rechtzeitig Kosten kalkulieren und sicherstellen, dass sie nicht nur die finanziellen Mittel, sondern auch ausreichend Kapazitäten für den Prozess bereitstellen können.

Die Kostenfrage zur Zertifizierung nach TISAX® lässt sich nicht pauschal beantworten. Wie bei den meisten Optimierungsprozessen gilt: Je komplexer die Unternehmensstrukturen und Anforderungen, desto aufwendiger ist die Vorbereitung. Die Kosten variieren nach Bedarf und Grad der Umsetzung. Dabei beeinflussen Projektdauer, Verfügbarkeit eigener Ressourcen und Umfang der Infrastruktur die Kostenschätzung.

Zu den wichtigsten Kosten, die kalkuliert werden müssen, gehören:

• Kosten für den Auditor Kosten für die Implementierung von Informationssicherheitsmaßnahmen
  
  
• Kosten für Schulungen
  
  
• Kosten für die Dokumentation
  
  
• Kosten für die Aufrechterhaltung der Zertifizierung

Damit Sie die Kosten für ein Assessment Level 3 nach TISAX® ermitteln können, müssen Sie verschiedene Faktoren beachten:

• Welche spezifischen Kosten erfordert Level 3 nach TISAX®?
  
  
• Ist bereits ein ISMS aktiv und inwiefern erfüllt es die Anforderungen gemäß Level 3 nach TISAX®?
  
  
• Wie viele Ressourcen können Sie in die Umsetzung des Projekts investieren?