TISAX erklärt – Was Unternehmen wissen sollten

TISAX steht für "Trusted Information Security Assessment Exchange" und ist eine Initiative des Verbands der Automobilindustrie (VDA). Es ermöglicht Unternehmen in der Automobilindustrie, ein einheitliches Level der Informationssicherheit nachzuweisen. Das TISAX-Label dient als Nachweis für die Einhaltung spezifischer Sicherheitsstandards und Anforderungen bezüglich des Umgangs mit sensiblen Informationen.

Das TISAX-Assessment ist ein Verfahren, das sicherstellt, dass Unternehmen den VDA-Anforderungen an Informationssicherheit gerecht werden. Dieses Assessment ermöglicht es den Unternehmen, das TISAX-Label zu erhalten, welches zeigt, dass sie den Prozess erfolgreich durchlaufen haben. Das TISAX-Assessment wird von akkreditierten Prüfdienstleistern durchgeführt.

TISAX selbst ist technisch gesehen kein Zertifikat im traditionellen Sinne, wie man es etwa von ISO-Zertifizierungen kennt. Es ist vielmehr ein Standard für Informationssicherheits-Assessments, der von der Automobilindustrie speziell für ihre Anforderungen entwickelt wurde. Unternehmen, die ein TISAX-Assessment erfolgreich durchlaufen, erhalten kein "Zertifikat" im klassischen Sinne, sondern ein sogenanntes "TISAX-Label" oder eine "Assessment-Bestätigung".

Dieses TISAX-Label zeigt an, dass das Unternehmen die spezifischen Sicherheitsanforderungen, die im Rahmen des Verfahrens festgelegt sind, erfüllt. Das Ergebnis des TISAX-Assessments und das Label sind über eine Plattform zugänglich, die von der ENX Association verwaltet wird. Diese Plattform ermöglicht es teilnehmenden Unternehmen und registrierten Organisationen, die Gültigkeit und den Status der TISAX-Labels einzusehen.

Die Gültigkeit eines Labels ist in der Regel auf drei Jahre beschränkt, nach denen eine erneute Bewertung erforderlich ist, um die Konformität mit den TISAX-Standards zu bestätigen. Dieser Ansatz stellt sicher, dass die Informationssicherheit kontinuierlich aufrechterhalten und verbessert wird.

Die ENX (European Network Exchange) Association ist eine Organisation, die sich auf die Bereitstellung sicherer Netzwerk- und Informationsdienste für die Automobilindustrie konzentriert. Sie wurde von führenden Automobilherstellern und Zulieferern ins Leben gerufen, um eine sichere und effiziente Kommunikation und Datenübertragung zwischen den beteiligten Unternehmen zu gewährleisten.

ENX unterstützt dabei nicht nur die Automobilindustrie, sondern auch deren Zulieferer durch ein speziell entwickeltes Netzwerk, das hohe einheitliche Sicherheitsstandards und eine starke Leistungsfähigkeit bietet. Die Hauptziele der ENX Association sind die Vereinfachung der IT-Kommunikation innerhalb der Branche, die Senkung der Kommunikationskosten und die Erhöhung der Informationssicherheit.

Die Entstehung von TISAX ist eng mit dem Bedarf der Automobilindustrie verbunden, ein einheitliches und verlässliches Niveau der Informationssicherheit über ihre gesamte Lieferkette hinweg sicherzustellen. Hier sind einige Schlüsselfaktoren, die zur Entwicklung beigetragen haben:

1. Wachsende Bedeutung von Informationssicherheit: In der global vernetzten Wirtschaft, insbesondere in der Automobilindustrie, wo Innovationen und Wettbewerbsvorteile stark von vertraulichen Daten abhängen, ist der Schutz solcher Informationen entscheidend. Dazu zählen Design-Dokumente, strategische Pläne und personenbezogene Daten.

2. Notwendigkeit für Standardisierung: Vor TISAX gab es keine einheitliche Vorgehensweise zur Bewertung der Informationssicherheit innerhalb der Automobilindustrie. Jeder Automobilhersteller hatte möglicherweise eigene Anforderungen und Prüfprozesse, was für Zulieferer zu einem hohen administrativen Aufwand und zu Mehrfachaudits führte.

3. Reduzierung von Redundanzen: Die Vielzahl individueller Audits und unterschiedlicher Sicherheitsstandards führte zu Ineffizienzen und hohen Kosten für Zulieferer, die oft multiple Audits von verschiedenen Automobilherstellern über sich ergehen lassen mussten. TISAX zielt darauf ab, diesen Aufwand durch ein gemeinsames Audit-Verfahren zu reduzieren.

4. Initiative des VDA: Der Verband der Automobilindustrie (VDA) erkannte diese Herausforderungen und initiierte TISAX, um einen standardisierten Rahmen zu schaffen. Dieser Rahmen basiert auf den VDA ISA (Information Security Assessment) Anforderungen, die wiederum auf der internationalen Norm ISO/IEC 27001 aufbauen, angepasst an die spezifischen Bedürfnisse der Automobilindustrie.

Zusammengefasst wurde TISAX entwickelt, um eine konsistente, sichere und effiziente Weise zu bieten, die Informationssicherheit innerhalb der Lieferketten der Automobilindustrie zu bewerten und zu verifizieren. Dies fördert nicht nur den Schutz kritischer Informationen, sondern erleichtert auch die Zusammenarbeit zwischen Automobilherstellern und ihren Zulieferern.

Das TISAX-Label ist meist für Unternehmen erforderlich, die in der Automobilindustrie tätig sind und Zugang zu sensiblen Informationen der OEMs (Original Equipment Manufacturers) haben. 

Es ist besonders wichtig für:

Zulieferer und Dienstleister der Automobilindustrie: Diese Unternehmen müssen oft spezifische Sicherheitsanforderungen erfüllen, um Geschäftsbeziehungen mit großen Automobilherstellern aufrechtzuerhalten. Das Label zeigt, dass sie die erforderlichen Sicherheitsstandards einhalten.

Internationale Partner und Subunternehmer: Da die Automobilindustrie global agiert, ist es wichtig, dass auch internationale Partner und Subunternehmer die gleichen Sicherheitsstandards erfüllen. Ein Label hilft dabei, diese Einheitlichkeit zu gewährleisten.

TISAX ist zwar eine Initiative des deutschen Verbands der Automobilindustrie, aber das Label hat eine internationale Bedeutung und Reichweite. Die Automobilindustrie ist global vernetzt, und viele der großen Automobilhersteller sowie ihre Zulieferer operieren international. Daher gilt das TISAX-Label nicht nur in Deutschland, sondern weltweit. Automobilhersteller und Zulieferer aus verschiedenen Ländern erkennen das Label als vertrauenswürdigen Nachweis für Informationssicherheit an.

Das TISAX-Assessment prüft eine Reihe von Sicherheitsaspekten, die speziell auf die Bedürfnisse der Automobilindustrie zugeschnitten sind. Es basiert auf dem VDA ISA (Information Security Assessment) Katalog, der wiederum an die international anerkannte Norm ISO/IEC 27001 angelehnt ist. 

Abhängig davon, welche Art von Informationen bzw. Daten beim Zulieferer verarbeitet werden, werden Prüfziele festgelegt. Diese bestimmten die Anforderungen, die von einem Informationssicherheitsmanagementsystem erfüllt werden müssen. Prüfziele sind verschiedenen Assessment-Level zugeordnet.

Schritt 1 Registrierung und Aufbau:

Registrierung als Teilnehmer: Interessierte Unternehmen müssen sich zunächst als Teilnehmer unter Angabe aller relevanten Informationen auf dem ENX Portal registrieren.

Auswahl der Prüfziele: Die Prüfziele für die TISAX-Bewertung werden basierend auf den spezifischen Geschäftsanforderungen und identifizierten Risiken ausgewählt. Wichtig ist die Festlegung der relevanten Bereiche des ISMS, die bewertet werden sollen, wie beispielsweise Datenverarbeitung oder Prototypenentwicklung. 

Aufbau eines ISMS: Ein Informationssicherheitsmanagementsystem (ISMS) ist entscheidend für das TISAX-Assessment. Das ISMS muss gemäß den spezifischen Anforderungen aufgebaut werden. Organisationen sollten sich im Vorfeld mit der VDA ISA Checkliste vertraut machen.

Schritt 2 Prüfung:

Selbsteinschätzung: Nach Implementierung des ISMS führt das Unternehmen eine Selbsteinschätzung durch. Dabei werden die vorhandenen Dokumentationen überprüft und interne Audits durchgeführt, um die Einhaltung der festgelegten Sicherheitsrichtlinien und -kontrollen zu gewährleisten. Die Ergebnisse dieser Audits helfen dabei, Bereiche zu identifizieren, die vor dem externen TISAX-Assessment verbessert werden müssen.

Bestellung eines Auditors: Die Auswahl eines akkreditierten TISAX-Auditors ist ein kritischer Schritt im Prozess. Unternehmen müssen eine von der ENX Association akkreditierte Prüfstelle wählen. Der mit dem Auditor festgelegte Audit-Termin sollte genügend Spielraum für letzte Vorbereitungen bieten, basierend auf den Ergebnissen der Selbstbewertung und den festgelegten Prüfzielen.