TISAX® ist ein unternehmensübergreifendes Prüf- und Austauschverfahren für Informationssicherheit in der Automobilindustrie und ist die Abkürzung für „Trusted Information Security Assessment Exchange“. Dabei geht es um den Schutz der Daten durch die Gewährleistung der Integrität und Verfügbarkeit. Der Schutz bezieht sich auf den Entwicklungs- und Herstellungsprozess sowie auf den Betrieb von Fahrzeugen. Auf der Grundlage der DIN EN/ISO 27001 Norm wurde durch den Verband der Automobilindustrie e.V. (VDA) ein Anforderungs- und Prüfkatalog für den Automobilindustrie entwickelt. Die ENX-Organisation ist für dieses Prüfsystem die überwachende Instanz und erteilt Prüfdienstleistern eine Zulassung.
Anfragen zu einem TISAX® Label resultieren meist aus einem Lieferantenverhältnis zu einem Tier 1 Lieferant (Modul- und System-Zulieferer) oder OEM (Original Equipment Manufacturer = Erstausrüster, Hersteller von Komponenten) in der Automobilindustrie. Die Hersteller möchten mit diesem Label bzw. „Zertifikat“ nach Möglichkeit eigene Audits bei Ihren Zulieferern vermeiden und durch die Implementierung der geforderten Maßnahmen bei diesen den Schutz der eigenen Entwicklungs- oder Prototypendaten sicherstellen.
Eine Zertifizierung nach TISAX® bietet Ihnen die folgenden Vorteile:
- Mit einer TISAX® Zertifizierung schaffen Sie ein einheitliches Niveau an Informationssicherheits-Regelungen in Ihrer Organisation.
- Ihre Beschäftigten werden sensibilisiert und tragen dadurch maßgeblich zur Sicherheit in Ihrer Organisation bei.
- Ihr Bewertungsergebnis wird unter allen TISAX®-Teilnehmern anerkannt.
- Unnötige, zeitaufwendige Mehrfachüberprüfungen in Ihrer Organisation werden vermieden.
- Ihr Assessment zur TISAX®-Zertifizierung erfolgt nur alle drei Jahre.
Die TISAX®-Zertifizierung basiert auf dem sogenannten VDA-ISA („Information Security Assessment“) Fragenkatalog zur Informationssicherheitsbewertung oder auch Self-Assessment, welcher aktuell in der Version 6.0 vorliegt. Die Bewertung der Umsetzung der darin enthaltenen Anforderungen im Unternehmen erfolgt auf dem Reifegradmodell, zwischen 0 – „kein Prozess vorhanden“ und 5 – „Prozess wird laufend auf Basis von Kennzahlen optimiert“.
Das Verfahren beginnt mit der Registrierung des Unternehmens auf der ENX-Homepage und der Auswahl des akkreditierten Prüfdienstleisters. Im Rahmen des Registrierungsprozesses muss auch das angestrebte TISAX® Label festgelegt werden. Hierbei sind die jeweiligen Kundenanforderungen zu berücksichtigen. Die Wahl besteht zwischen Informationssicherheits-, Prototypen- und Datenschutz-Labeln. Eine umfangreiche Erklärung des TISAX® Verfahren und zur Anmeldung findet sich im Teilnehmerhandbuch auf der ENX-Homepage.
Der im Folgenden beginnende Aufbau eines Informationssicherheitsmanagementsystems (ISMS) startet in den Unternehmen mit einer IST Aufnahme der gegebenenfalls vorhandenen Dokumentation zu den Anforderungen aus dem TISAX® Self-Assessment und Festlegung eines Projektteams. Aus dem Ergebnis der IST Aufnahmen ergeben sich die noch zu entwickelnden Prozess zur Vervollständigung des Managementsystems. Dazu gehören unter anderem der Aufbau und die Organisation des ISMS, der physischen Sicherheit, des Business Continuity Managements, des Identity & Access Managements und vieles mehr.
Begleitend zum Aufbau des Management Systems erfolgt die Konzeption der Sensibilisierungsmaßnahmen für die Mitarbeitenden und weitere Zielgruppen, wie zum Beispiel Administratoren, Mitarbeitende in Prototypenbereichen oder Mitarbeitende mit Zugriff auf Kundennetzwerke. Wie in vielen anderen Managementsystemen ist die Etablierung der Prozesse und Richtlinien durch interne Audits zu bewerten und gegebenenfalls eine Optimierung in die Wege zu leiten.
Je nach gewähltem TISAX® Label erfolgt das Assessment durch den Prüfdienstleister in unterschiedlicher Form. Assessment-Level 1 ist eine reine Selbsteinschätzung und wird offiziell wenig verwendet. Bei Assessment-Level 2 überprüfen Prüfdienstleister die eingereichte Selbsteinschätzung auf Plausibilität, was in der Regel online durchgeführt wird. Bei einer Prüfung im Assessment-Level 3 werden die relevanten Anforderungen umfassend vor Ort überprüft. Nach Abschluss des Assessments wird das TISAX-Label im ENX-Portal zur Verfügung gestellt und kann mit den eigenen Kunden geteilt werden.
Zusammengefasst strukturiert sich ein TISAX® Einführungsprojekt in die folgenden Schritte:
Ein zentrales Element des ISMS ist das Risikomanagement. Ein möglicher Ansatz zum Aufbau eines Risikomanagements ist beispielsweise der BSI-Standard 200-3. Ein Bestandteil dieser Methode ist die Zusammenstellung elementarer Gefährdungen, die eine gute Basis für den Aufbau darstellt. Bei der Wahl des Verfahrens sollten im Vorfeld aber branchenspezifische oder gesetzliche Anforderungen geprüft werden. Ziel des Risikomanagements ist es, mögliche Sicherheitsvorfälle zu identifizieren und Maßnahmen vorzubereiten, um die Auswirkungen zu minimieren. Hierzu nutzen wir eine vorbereitete Methodik, um Sie beim Aufbau optimal zu unterstützen.
Aus der Erfahrung vieler Projekte heraus, kommt es bei Themen wie der Umsetzung der physischen Sicherheit oder dem Berechtigungsmanagement oftmals zu aufwendigen Prozessänderungen oder Investitionen. Das betrifft beispielsweise Zutrittssysteme, Sichtschutz oder Einbruchmeldeanlagen in sensiblen Bereichen. Ebenso ist die Einführung eines umfassenden Notfallmanagements nicht zu unterschätzen. Auch hier bietet das BSI mit dem Standard 200-4 einen hilfreichen Ansatz. Um den Zeitplan des Projektes nicht zu gefährden, sollten solche Themen daher möglichst frühzeitig bearbeitet werden.
Unternehmen mit einer TISAX®-Zertifizierung haben einen klaren Wettbewerbsvorteil gegenüber Mitbewerbern, die keine Zertifizierung vorweisen können. Dies kann dazu beitragen, neue Kunden zu gewinnen und bestehende Kunden langfristig zu binden.
Aber auch ohne Zertifizierung kann die Einführung eines ISMS oder einzelner Bestandteile daraus zur Sicherstellung der Vertraulichkeit, Verfügbarkeit oder Integrität ihrer Unternehmensinformationen von Bedeutung sein. Exemplarisch dafür ist etwa die Reduzierung des Risikos möglicher Systemausfälle oder die Sensibilisierung Ihrer Beschäftigten hinsichtlich der Gefahren von Cyberangriffen. Der strukturierte Aufbau des TISAX® VDA ISA Self-Assessment hilft dabei, die Anforderungen an die Informationssicherheit praxisnah zu verstehen und effizient in die eigenen Prozesse zu integrieren. Ein ISMS ist ebenso bei der Umsetzung von gesetzlichen Anforderungen der Europäischen-Datenschutzgrundverordnung (DSGVO) in Bezug auf die Sicherheit der Verarbeitung personenbezogener Daten gem. Art. 32 DSGVO hilfreich.
Haben Sie offene Fragen zum Aufbau eines ISMS oder zum Zertifizierungsverfahren? Dann wenden Sie sich gerne an uns.
Bildquelle: Foto von Karl Abuid auf Unsplash // TISAX® ist eine eingetragene Marke der ENX®-Association.