Unternehmen verwenden je nach Ziele und Branche unterschiedliche Normen, um ihr Informationssicherheits-Managementsystems (ISMS) zu betreiben. Einer der bekannteste ist ISO 27001, der international anerkannt ist. Es gibt jedoch auch einen Standard, der speziell für die Automobilindustrie entwickelt wurde: TISAX. Dieser Artikel erläutert den Ursprung dieses Standards und beleuchtet die Schritte, die unternommen werden müssen, um diese Zertifizierung zu erhalten.
Der Inhalt im Überblick
Was bedeutet TISAX?
Das Akronym TISAX steht für Trusted Information Security Exchange. Es handelt sich um einen von der Automobilindustrie entwickelten Standard, der einen Audit- und Austauschmechanismus für die Informationssicherheit von Unternehmen beschreibt und eine gemeinsame Anerkennung von Auditergebnissen zwischen den Teilnehmern ermöglicht. Das Ziel von TISAX ist es daher, die Informationssicherheit in Unternehmen der Automobilbranche zu überprüfen und zu erhöhen.
Wie ist TISAX entstanden?
Der Verband der Automobilindustrie (VDA) schuf eine „Informationssicherheitsbewertung“ (ISA: Information Security Assessment) und ein akzeptiertes Kontroll- und Austauschmodell. Dies wurde unter dem Markennamen TISAX zu einem Standard für die Automobilindustrie.
Dieser Standard gibt Hinweise darauf, wie die wachsenden Sicherheitsanforderungen zwischen OEMs (Original Equipment Manufacturer) und ihren Zulieferern bei der Verarbeitung vertraulicher Informationen erfüllt werden können.
TISAX wird jedoch vom ENX (European Network Exchange) verwaltet. Dieser Verband wurde im Jahr 2000 von einer Gruppe europäischer Automobilherstellern, Automobilzulieferern und Automobilverbänden (z.B. BMW, Magna, GALIA) gegründet.
ENX gewährleistet eine standardisierte Auswertung und eine kontrollierte Qualität der Ergebnisse und ist somit eine neutrale Steuerungs- und Eskalationsinstanz. Das Teilnehmerhandbuch dient zur Orientierung über den gesamten Prozess hinweg (Registrierung; Prüfung; Austausch) und enthält weitere Informationen zu den Mitgliedern.
Welche Vorteile hat TISAX?
Der Standard bietet unter anderem folgende Vorteile:
- Einrichtung eines ISMS, das zum Schutz der Informationen des Unternehmens und seiner Partner beiträgt.
- Fähigkeit zur Überwachung und Reaktion auf Bedrohungen.
- Erhöhung des Vertrauens von Partnern und zukünftigen Kunden, was einen Wettbewerbsvorteil bietet.
- Die Testkriterien berücksichtigen die Anforderungen der Automobilindustrie.
- Verhinderung von Industriespionage und Produktionsausfällen.
- Hohe Qualität der Tests und Einheitlichkeit der Ergebnisse.
- Standardisierung der Test- und Berichtsverfahren.
- Vermeidung von Doppel- und Mehrfachtests.
- Zeit- und Kostenersparnis, da die Bewertungen der Informationssicherheit unternehmensübergreifend anerkannt werden.
- Möglichkeit bei Bedarf zusätzlich zu dem TISAX-Label eine Zertifizierung von Informationssicherheitsmanagementsystemen nach ISO 27001 zu erhalten.
Wer benötigt eine TISAX Zertifizierung?
Unternehmen werden in der Regel durch die Anforderungen ihrer Geschäftspartner oder durch staatliche Vorschriften motiviert, ein ISMS einzuführen und zu zertifizieren. Die TISAX Zertifizierung betrifft sowohl die Akteure der Automobilindustrie als auch ihre Partner, mit denen sie wichtige Informationen austauschen.
Automobilhersteller fordern die an ihrer Wertschöpfungskette beteiligten Unternehmen auf, die Informationssicherheit gemäß den Anforderungen des Information Security Assessment (ISA) zu gewährleisten und sich zertifizieren zu lassen. Dies geschieht, weil sie über vertrauliche Informationen verfügen und diese mit ihren Lieferanten oder Partnern teilen möchten, um eine Wertschöpfung zu erzielen.
Die geteilten Informationen sind ein wichtiger Teil dieser Wertschöpfung. Daher möchten sie diese schützen. Und die Automobilhersteller wollen sicher sein, dass ihre Partner die Informationen mit der gleichen Sorgfalt verwenden. Daher verlangen sie mittels Zertifikaten den Nachweis, dass ihre Informationen tatsächlich in sicheren Händen sind.
Welche Schritte sind nötig, um ein TISAX-Label zu erhalten?
Der TISAX-Prozess beginnt meist damit, dass einer Ihrer Partner Sie auffordert, ein bestimmtes Niveau der Gewährleistung der Informationssicherheit zu erreichen. Dazu sind die folgenden Schritte zu befolgen:
- Schritt 1: Identifikation der Anforderungen Ihres Partners
Basierend auf den ausgetauschten Informationen entscheiden die Lieferanten/OEMs, welche TISAX-Anforderungen erfüllt werden müssen. Unter Umständen erhalten Sie bei Ihren Partnern eine DUNS-Nummer, die nähere Angaben zu den zu schützenden Dienstleistungen oder Produkten enthält. - Schritt 2: Anmeldung bzw. Registrierung bei ENX
Nachdem die Partneranforderungen klar sind, sollten Sie sich beim ENX registrieren. Die Prozesse zur Registrierung auf der Plattform sind im TISAX-Teilnehmerhandbuch beschrieben. Nach der Registrierung erhalten Sie eine Scope-ID. - Schritt 3: Auswahl der Prüfdienstleister
Die Wahl des Prüfdienstleisters bleibt Ihnen überlassen. Sie sollten nur einen von ENX zugelassenen Anbieter damit beauftragen, Ihr ISMS zu auditieren. Der Preis variiert aufgrund des Aufwands und Umfangs Ihres ISMS und Audits je nach Größe Ihres Unternehmens. - Schritt 4: Durchführung des TISAX-Assessments
Hier sollten Sie eine Selbsteinschätzung durchführen, indem Sie den VDA/ISA-Katalog ausfüllen, die identifizierten Schwachstellen beheben und mit Ihrem Prüfdienstleister festlegen, wann und wie Sie Ihr ISMS auditieren. - Schritt 5: Austausch der Prüfergebnisse
Nach einem erfolgreichen Audit sendet Ihr Prüfdienstleister die Ergebnisse an ENX, das Ihnen wiederum das Label aushändigt. Das Ergebnis wird daher auf der Austauschplattform veröffentlicht. Der Austausch dieser Zusammenfassungen ist nur für registrierte Teilnehmer möglich und erfolgt erst nachdem das geprüfte Unternehmen die Ergebnisse explizit für ein anfragendes Unternehmen veröffentlicht hat.
Das Zertifikat ist 3 Jahre gültig und jedes Jahr muss ein internes Audit stattfinden.
Gibt es ein Unterschied zwischen TISAX und ISO 27001?
TISAX leitet sich von der internationalen Norm ISO 27001 ab und nutzt die dort festgelegten Verfahren. Es handelt sich um eine Weiterentwicklung der ISO 27001, da sie zusätzliche Anforderungen enthält, die speziell auf die Bedürfnisse der Automobilindustrie zugeschnitten sind.
Es lassen sich jedoch folgende Unterschiede feststellen:
- Einer der Hauptunterschiede zwischen den beiden Standards besteht darin, dass bei TISAX ein bestimmter Reifegrad erreicht werden muss (verbindliche Anforderungen im Katalog), um das Label zu erhalten.
- Während TISAX eher in Europa verwendet wird, ist ISO 27001 ein international anerkannter Standard.
- ISO 27001 ist branchenunabhängig und TISAX ist spezifisch für die Automobilindustrie.
- Der VDA/ISA-Katalog kann kostenlos von der VDA-Website heruntergeladen werden, während die ISO 27001-Norm kostenpflichtig ist.
Wahl des geeigneten Standards für Ihr Managementsystem (ISMS)
Es gibt branchenunabhängige Standards (z.B. ISO 27001). Sie sind als universelle Lösungen konzipiert und berücksichtigen in der Regel nicht die spezifischen Bedürfnisse von Unternehmen in einem bestimmten Sektor. Kritische Infrastrukturen haben beispielsweise andere Verpflichtungen in Bezug auf die IT-Sicherheit als andere Unternehmen.
Die Wahl des Standards hängt daher von Ihrer Branche, den gesetzlichen Anforderungen oder die Erwartungen Ihrer Geschäftspartner ab. Unabhängig davon, auf welchen Standard Sie sich bei der Verwaltung Ihres ISMS stützen, das Wichtigste ist, dass Sie konkrete und praktische Maßnahmen ergreifen, um die IT-Sicherheit in Ihrem Unternehmen kontinuierlich zu verbessern. TISAX bietet der Automobilindustrie (und anderen) die Möglichkeit, einen gemeinsamen Standard zu nutzen, um Informationen mit einem gewissen Sicherheitsniveau austauschen zu können.
