de en
Nexia Ebner Stolz

Branchen

Trusted Information Security Assessment Exchange (TISAX) - Informationssicherheit in der Automobilindustrie

Der „Trusted Information Security Assessment Exchange” (TISAX) ist ein von Automo-bilherstellern hinsichtlich seiner Umsetzung durch die Automobilzulieferer eingeforderter Branchenstandard zur Schaffung von Informationssicherheit in der Automobilindustrie.

Hin­ter­grund

Der „Trus­ted Infor­ma­tion Secu­rity Assess­ment Exchange” (TISAX) ist ein von allen deut­schen (und teil­weise auch inter­na­tio­na­len) Auto­mo­bil­her­s­tel­lern nicht nur aner­kann­ter, son­dern auch hin­sicht­lich sei­ner Umset­zung, durch die Auto­mo­bil­zu­lie­fe­rer ein­ge­for­derte Bran­chen­stan­dard, zur Schaf­fung von Infor­ma­ti­ons­si­cher­heit in der Auto­mo­bil­in­du­s­trie. Inhalt­lich basiert der TISAX-Stan­dard auf dem Fra­gen­ka­ta­log zur Infor­ma­ti­ons­si­cher­heit des Ver­bands der Auto­mo­bil­in­du­s­trie (VDA Infor­ma­tion Secu­rity Assess­ment/VDA-ISA), der zur Selb­st­ein­schät­zung der Auto­mo­bil­zu­lie­fe­rer dient. Ins­ge­s­amt stellt TISAX höhere Anfor­de­run­gen an das interne Kon­troll­sys­tem (IKS) des geprüf­ten Unter­neh­mens als bis­her übli­che Bran­chen­stan­dards, wie z. B. der ISO 27001 oder spe­zi­fi­sche Prü­fun­gen des Ori­gi­nal Equip­ment Manu­fac­tu­rers (OEM).

Ver­öf­f­ent­li­chende und pfle­gende Orga­ni­sa­tion des TISAX-Stan­dards ist die ENX Asso­cia­tion (ENX). Die ENX ist ein maß­geb­lich durch den VDA gegrün­de­ter Ver­ein und die ein­zige TISAX-Akk­re­di­tie­rungs­s­telle.

Not­wen­dig­keit und Ziele

Ziel des TISAX-Stan­dards ist die Ein­füh­rung eines gemein­sa­men und ein­heit­li­chen Levels an Infor­ma­ti­ons­si­cher­heit in der Auto­mo­bil­in­du­s­trie. Zwi­schen den Unter­neh­men der Bran­che sol­len die fol­gen­den Ziele erreicht wer­den:

  • Schaf­fen von Ver­g­leich­bar­keit;
  • Schaf­fen von Ver­trauen;
  • Reduk­tion von Infor­ma­ti­ons­si­cher­heits­ri­si­ken;
  • Vor­an­t­rei­ben der Digi­ta­li­sie­rung.

Von ihren Zulie­fe­rern ent­lang der Auto­mo­tive-Lie­fer­kette, ver­lan­gen die ver­schie­de­nen deut­schen OEMs, zuneh­mend die Kon­for­mi­tät gemäß TISAX. Dies betrifft sämt­li­che Unter­neh­men, von denen der OEM Leis­tun­gen in Anspruch nimmt, wel­che in Ver­bin­dung mit den Fer­ti­gungs- und Ent­wick­lung­s­pro­zes­sen von Auto­mo­bi­len ste­hen. Uner­heb­lich ist, ob der Zulie­fe­rer Zugriff auf Sys­teme oder Daten des OEM hat. Betrof­fen sind neben Zulie­fe­rern tech­ni­scher Bau­teile, auch Bera­tungs­un­ter­neh­men, Soft­wa­re­di­enst­leis­ter/-her­s­tel­ler und sons­tige Dienst­leis­ter, wie z. B. Bild­be­ar­bei­ter, die Wer­be­ma­te­ria­lien neuer Fahr­zeug­mo­delle ers­tel­len. Ins­be­son­dere diese Unter­neh­men stellt der Auf­bau gänz­lich neuer Infor­ma­ti­ons­si­cher­heits­struk­tu­ren vor große Her­aus­for­de­run­gen.

Inhalte

Die Inhalte des TISAX-Stan­dards leh­nen sich zu einem gro­ßen Teil an die Kon­trol­len aus dem Anhang A des ISO-27001-Stan­dards an. Dar­über hin­aus bein­hal­tet TISAX Kon­trol­len zu Spe­zial­the­men der Auto­mo­bil­in­du­s­trie (z. B. Pro­to­ty­pen­schutz, Anbin­dung von Dritt­un­ter­neh­men):

  • Infor­ma­ti­ons­si­cher­heit;
  • Anbin­dung Drit­ter (Lie­fe­r­an­ten­ma­na­ge­ment);
  • Daten­schutz;
  • Pro­to­ty­pen­schutz.

Ver­fügt ein Zulie­fe­rer bereits über eine gül­tige ISO 27001-Zer­ti­fi­zie­rung, kann diese eine gute Grund­lage für TISAX dar­s­tel­len. Sie ist aller­dings auf­grund der wei­ter­ge­hen­den Anfor­de­run­gen von TISAX und der Vor­ga­ben zum Anwen­dungs­be­reich kein Garant für eine erfolg­rei­che Ver­gabe von TISAX-Labels. Der Anwen­dungs­be­reich, also der Bereich des Unter­neh­mens, für den das Infor­ma­ti­ons­si­cher­heits­sys­tem Anwen­dung fin­det (sog. Scope, wel­cher Geschäft­s­pro­zesse, Anwen­dun­gen und Infra­struk­tur­ob­jekte umfasst), ist nach ISO 27001 freier gestalt­bar. Bei TISAX exis­tie­ren hier erheb­li­che Vor­ga­ben. Die Über­schnei­dung des ISO 27001-Scopes mit TISAX ent­schei­det über den Umfang der Wie­der­ver­wert­bar­keit und damit über den Mehr­auf­wand.

Vor dem Hin­ter­grund der ges­tie­ge­nen Erwar­tun­gen der OEMs sowie der Unter­scheide zwi­schen den bei­den Stan­dards (z. B. erfolgt bei TISAX im Gegen­satz zu ISO 27001 eine Beur­tei­lung des Rei­fe­gra­des des IKS) ist eine Zer­ti­fi­zie­rung nach ISO 27001 oft nicht mehr aus­rei­chend. Es ist zu beach­ten, dass eine bestan­dene ISO 27001-Zer­ti­fi­zie­rung nicht auto­ma­tisch einen Teil des TISAX-Audits abdeckt. Ana­log dazu erwächst aus ver­ge­be­nen TISAX-Zer­ti­fi­ka­ten nicht auto­ma­tisch eine ISO-27001-Zer­ti­fi­zie­rung.

Dar­stel­lung eines TISAX-Pro­jek­tes

Es ist zu beach­ten, dass abhän­gig vom Rei­fe­grad des im Unter­neh­men vor­han­de­nen Infor­ma­ti­ons­si­cher­heits­ma­na­ge­ment­sys­tems (ISMS) nicht zwangs­läu­fig alle der nach­fol­gend beschrie­be­nen Schritte not­wen­dig sein kön­nen.

  1. Ent­schei­dung für TISAX
    In der Regel erhal­ten Zulie­fe­rer einen Brief von ihrem OEM, in dem die­ser die Kon­for­mi­tät nach TISAX for­dert. Alter­na­tiv steht einem Unter­neh­men auch eine frei­wil­lige Imp­le­men­tie­rung offen.

  2. Vor­be­rei­tung des Audits
    Der betrof­fene Bereich und der Umfang des ISMS müs­sen fest­ge­legt wer­den (z. B. die betrof­fe­nen Nie­der­las­sun­gen). Das vom OEM gefor­derte TISAX-Kon­troll­set darf dabei nicht ver­än­dert wer­den.

  3. Imp­le­men­tie­rung des ISMS
    In die­sem Schritt wird ein funk­tio­nie­ren­des und TISAX-kon­for­mes ISMS imp­le­men­tiert oder ein vor­han­de­nes ISMS ent­sp­re­chend ver­bes­sert. Erfah­rungs­ge­mäß fällt in die­sem Schritt der größte interne und externe Auf­wand an.

  4. Audit
    Im Rah­men des Audits, prüft der von der Zer­ti­fi­zie­rungs­s­telle beauf­tragte Prü­fer das ISMS des Unter­neh­mens anhand des VDA-ISA-Fra­gen­ka­ta­logs und iden­ti­fi­ziert ggf. Abwei­chun­gen.

  5. Fol­low-Up (Nach­ar­bei­ten und Nach­prü­fung)
    Maxi­mal neun Monate kön­nen zur Behe­bung von Abwei­chun­gen genutzt wer­den. Inn­er­halb des Fol­low-Up-Zei­traums kann der Prü­fer mehr­mals zu soge­nann­ten Fol­low-Up-Prü­fun­gen hin­zu­ge­zo­gen wer­den.

  6. Ver­gabe der Labels
    Es erfolgt die Ver­gabe der TISAX-Labels durch den Prüf­di­enst­leis­ter. Im TISAX-Sprach­ge­brauch wer­den Zer­ti­fi­kate offi­zi­ell „Labels“ genannt.

  7. Gül­tig­keits­dauer der Zer­ti­fi­zie­rung
    Die TISAX-Labels gel­ten für drei Jahre. Sog. Über­wa­chung­sau­dits, wie z. B. bei einer ISO 27001-Zer­ti­fi­zie­rung, sind nicht vor­ge­se­hen. Es besteht das Risiko, dass das imp­le­men­tierte IKS nicht kon­ti­nu­ier­lich ein­ge­hal­ten und ver­bes­sert wird. Nach Ablauf die­ses Zei­traums wird ein Re-Audit not­wen­dig

Ablauf eines TISAX-Projektes

Prüf­me­tho­dik - Rei­fe­grade

Im Rah­men der TISAX-Prü­fung wird der Rei­fe­grad von vor­han­de­nen ISMS beur­teilt. Die Beur­tei­lung erfolgt anhand jeder ein­zel­nen Kon­trolle inn­er­halb der ver­schie­de­nen Domains des VDA-ISA. Der Rei­fe­grad wird im Rah­men der Vor­be­rei­tung des Audits durch das Unter­neh­men selbst beur­teilt, sowie im Rah­men des Audits durch den TISAX-Prü­fer geprüft.
 
TISAX sieht eine Ein­tei­lung anhand der fol­gen­den sechs Rei­fe­grade vor:

  • 0 - Unvoll­stän­dig: Ein Pro­zess ist nicht (voll­stän­dig) vor­han­den.
  • 1 - Durch­ge­führt: Es exis­tiert ein unkla­rer und/oder undo­ku­men­tier­ter Pro­zess, der aller­dings erwar­tungs­ge­mäße Ergeb­nisse lie­fert.
  • 2 - Gesteu­ert: Für den­sel­ben Zweck exis­tie­ren meh­rere Pro­zesse, die funk­ti­ons­fähig und doku­men­tiert sind sowie erwar­tungs­ge­mäße Ergeb­nisse lie­fern.
  • 3 - Eta­b­liert: Es exis­tiert ein ein­heit­li­cher und doku­men­tier­ter Pro­zess, der das erwar­tungs­ge­mäße Ergeb­nis lie­fert.
  • 4 - Vor­her­sag­bar: Der Pro­zess von Rei­fe­grad 3 wird zusätz­lich mit Hilfe von KPIs gemes­sen und beur­teilt.
  • 5 - Opti­mie­rend: Der Pro­zess von Rei­fe­grad 4 unter­liegt zusätz­lich einem kon­ti­nu­ier­li­chen Ver­bes­se­rung­s­pro­zess.

Die erreich­ten Rei­fe­grade je Kon­trolle, müs­sen wenigs­tens einem durch die ENX vor­ge­ge­be­nen Wert ent­sp­re­chen. Die­ser Wert liegt abhän­gig von der jewei­li­gen Kon­trolle zwi­schen Rei­fe­grad 2 und 4. Absch­lie­ßend wird der soge­nannte „Ziel­rei­fe­grad“ mit Hilfe eines Durch­schnitts­wer­tes gebil­det, wel­cher bei etwa 3 lie­gen muss, um TISAX-Labels erhal­ten zu kön­nen.

Prüf­me­tho­dik - Assess­ment Levels

Das Assess­ment Level legt den Här­te­grad der Prü­fung fest und wird als Prü­fung­s­an­for­de­rung in der Regel durch den OEM bestimmt. Der Här­te­grad rich­tet sich nach der Sen­si­ti­vi­tät und somit nach dem Schutz­be­darf der geprüf­ten Daten und Pro­zesse inn­er­halb des ISMS des Unter­neh­mens.

TISAX sieht eine Ein­tei­lung anhand der fol­gen­den drei Assess­ment Level vor:

  • Assess­ment Level 1 (nor­ma­ler Schutz­be­darf): Es fin­det eine Prü­fung des inter­nen Kon­troll­sys­tems (IKS) anhand des VDA-ISA zu unter­neh­mens­in­ter­nen Zwe­cken statt. Der externe Prü­fer kon­trol­liert die Voll­stän­dig­keit der Prü­fung, führt aber selbst keine Prü­fungs­hand­lun­gen durch. Das Assess­ment Level 1 ist nicht zer­ti­fi­zier­bar.
  • Assess­ment Level 2 (hoher Schutz­be­darf): Es fin­det eine Plau­si­bi­li­täts­prü­fung des IKS anhand des VDA-ISA durch den exter­nen Prü­fer statt. Bei einem posi­ti­ven Urteil erfolgt eine Zer­ti­fi­zie­rung.
  • Assess­ment Level 3 (sehr hoher Schutz­be­darf): Es fin­det eine Detail­prü­fung und Veri­fi­zie­rung des IKS anhand des VDA-ISA durch den exter­nen Prü­fer statt. Bei einem posi­ti­ven Urteil erfolgt eine Zer­ti­fi­zie­rung.

Die Ver­gabe von Labels erfolgt unter Aus­weis des geprüf­ten Assess­ment Levels.

Fazit

Ins­be­son­dere in den letz­ten sechs bis neun Mona­ten, hat TISAX deut­lich an Gewicht gewon­nen und stellt dabei Auto­mo­bil­zu­lie­fe­rer und -dienst­leis­ter vor große Her­aus­for­de­run­gen, die über bis­her übli­che Bran­chen­stan­dards hin­aus­ge­hen. Außer­ge­wöhn­lich ist neben der Härte der Anfor­de­run­gen auch die Breite, in wel­cher OEMs die Erfül­lung des Stan­dards vom Groß­teil ihrer Zulie­fe­rer ein­for­dern. Ins­be­son­dere klei­nere Unter­neh­men trifft dies hart. Daher lohnt es sich für betrof­fene Unter­neh­men, Rück­spra­che mit ihren OEMs zu hal­ten und Anfor­de­run­gen ggf. anzu­pas­sen.

nach oben