TISAX
Nachweis gelebter
Informationssicherheit
in der Automobilbranche
TISAX® steht für Trusted Information Security Assessment Exchange und ist der führende Standard für Informationssicherheit in der deutschen Automobilbranche, der sicherstellen soll, dass die zwischen Zulieferern und Automobilherstellern ausgetauschten Daten festgelegten Sicherheitsanforderungen entsprechen.
Basierend auf den Anforderungen der ISO 27001, wurde TISAX® speziell auf die Bedürfnisse der Automobilindustrie zugeschnitten. Im Kern geht es darum, ein effektives Informationssicherheits-Managementsystem (ISMS) zu etablieren, und so sensible Daten und Informationen zu schützen. Dies umfasst nicht nur IT-Sicherheit, sondern auch den Schutz von Prototypen und die Einhaltung von Datenschutzbestimmungen. Unternehmen, die mit deutschen Automobilherstellern zusammenarbeiten möchten, müssen in der Regel eine TISAX-Bewertung durchlaufen.
Dabei handelt es sich nicht um einen Zertifizierungsprozess im klassischen Sinne, sondern eher um eine Bewertung des Sicherheitsniveaus. Die Ergebnisse werden über eine zentrale Plattform der ENX-Association mit anderen teilnehmenden Unternehmen geteilt. Dadurch wird die Einheitlichkeit der Anforderungen zwischen allen Teilnehmern gewährleistet und ein erteiltes TISAX®-Label kann bei verschiedenen Geschäftspartnern in der Branche als Nachweis verwendet werden. Die Pflicht zur individuellen Zertifizierung für jeden einzelnen Geschäftspartner entfällt dadurch. Mit Erhalt des TISAX®-Labels hat das Unternehmen nachgewiesen, dass sein überprüftes ISMS einen klar definierten Anforderungskatalog erfüllt und die Daten seiner Kunden und Partner bestmöglich geschützt sind.
Je nach Anforderungen der Geschäftspartner können verschiedene Bewertungsziele und Schutzniveaus vom Unternehmen gewählt und angestrebt werden. Diese reichen von grundlegenden Sicherheitsanforderungen bis hin zu sehr hohen Schutzbedarfen für besonders sensible Informationen. Stets beginnt der TISAX®-Bewertungsprozess mit einer Selbsteinschätzung des Unternehmens anhand des VDA ISA-Katalogs. Anschließend führt ein unabhängiger, akkreditierter Prüfdienstleister eine Bewertung durch. Je nach angestrebtem Schutzniveau kann dies eine Dokumentenprüfung oder auch eine Vor-Ort-Prüfung beinhalten.
| Prüfmethode | Assessment-Level 2 | Assessment-Level 3 |
|---|---|---|
| Selbsteinschätzung gemäß ISA Katalog | Ja | Ja |
| Nachweise | Plausibilitätsprüfung | Eingehende Prüfung |
| Interviews | Als Webkonferenz | Persönlich, vor Ort |
| Vor Ort Prüfung | Auf Ihren Wunsch | Ja |
TISAX® unterscheidet zwischen drei Schutzklassen und Bewertungsstufen. Level 1 (normaler Schutzbedarf), Level 2 (hoher Schutzbedarf), Level 3 (sehr hoher Schutzbedarf). Level 1 erfordert lediglich eine Selbsteinschätzung des Unternehmens auf Grundlage des VDA-ISA-Fragenkatalogs und hat aufgrund der reinen Selbst-Auditierung keine wirkliche Aussagekraft und daher kaum praktische Relevanz. Für Level 2 und 3 ist ein aktives Informationssicherheits-Managementsystem (ISMS) erforderlich. Der Hauptunterschied zwischen diesen beiden Stufen liegt in der Prüfungsintensität, wobei Level 3 deutlich strengere und umfangreichere Vor-Ort-Kontrollen vorsieht.
Ein wesentlicher Vorteil von TISAX® ist die Standardisierung und Vereinfachung von Sicherheitsbewertungen in der Automobilbranche. Statt für jeden Kunden separate Audits durchführen zu müssen, können Unternehmen ihre TISAX®-Bewertungsergebnisse mit mehreren Partnern teilen. Dies spart Zeit und Kosten und schafft ein einheitliches Verständnis von Informationssicherheit in der Branche.
Die Implementierung von TISAX® kann für Unternehmen durchaus herausfordernd sein. Es erfordert oft umfangreiche Anpassungen in Prozessen und IT-Systemen sowie Schulungen für Mitarbeiter. Der Aufwand lohnt sich jedoch, da TISAX® nicht nur die Zusammenarbeit mit Automobilherstellern ermöglicht, sondern auch generell zu einer Verbesserung der Informationssicherheit im Unternehmen führt.
Als langjährige Berater namhafter Unternehmen in der Automobilindustrie verstehen wir die speziellen Anforderungen der IT Sicherheit in diesem Umfeld und begleiten Sie auf dem Weg zur erfolgreichen Auditierung.
Gemeinsam in 5 Schritten zum erfolgreichen TISAX®-Audit
1. ISMS erstellen
Wir unterstützen Sie beim Aufbau Ihres Information Security Management Systems (ISMS), falls Sie noch keines haben.
Unser erfahrenes Team begleitet Sie durch den gesamten Prozess – von der Risikoanalyse über die Implementierung von Sicherheitsmaßnahmen bis zur Zertifizierung..
2. GAP-Analyse
Nach Ihrer Selbstbewertung vergleichen wir gemeinsam die Ergebnisse mit dem VDA ISA-Katalog, der als Audit-Grundlage dient.
Dabei identifizieren wir Abweichungen und beheben bei Bedarf Schwachstellen im bestehenden ISMS.
3. Prüfbereich definieren
Bei der gemeinsamen Definition des Prüfbereichs für TISAX® ist es entscheidend, alle relevanten Standorte, Prozesse und Informationsflüsse zu berücksichtigen. Der Prüfbereich muss die gesamte Wertschöpfungskette abdecken, die mit den zu schützenden Informationen in Berührung kommt. Eine sorgfältige Abgrenzung ist wichtig, um eine effektive und umfassende Bewertung der Informationssicherheit zu gewährleisten.
4. Audit und Nachbesserungen
Wir helfen bei der Wahl des ENX-akkreditierten Auditors für die TISAX®-Prüfung. Nach der Prüfung können bei Abweichungen Nachbesserungen erforderlich sein. Hauptabweichungen erfordern zwingende Behebung für das TISAX®-Label. Bei Nebenabweichungen erhält Ihr Unternehmen ein vorläufiges Label, muss aber Sicherheitslücken innerhalb 9 Monaten schließen. Auch in dieser Phase unterstützen Sie unsere erfahrenen Berater.
5. Re-Audit Unterstützung
Nach drei Jahren ist ein TISAX® Re-Audit erforderlich. Dieses ähnelt dem Erstaudit, konzentriert sich jedoch auf Veränderungen und Optimierungen.
Aufgrund dieser Fokussierung ist das Re-Audit oft anspruchsvoller. Wir stehen Ihnen dabei kompetent zur Seite und begleiten Sie durch den gesamten Prozess.
