Hintergrund
Der „Trusted Information Security Assessment Exchange” (TISAX) ist ein von allen deutschen (und teilweise auch internationalen) Automobilherstellern nicht nur anerkannter, sondern auch hinsichtlich seiner Umsetzung, durch die Automobilzulieferer eingeforderte Branchenstandard, zur Schaffung von Informationssicherheit in der Automobilindustrie. Inhaltlich basiert der TISAX-Standard auf dem Fragenkatalog zur Informationssicherheit des Verbands der Automobilindustrie (VDA Information Security Assessment/VDA-ISA), der zur Selbsteinschätzung der Automobilzulieferer dient. Insgesamt stellt TISAX höhere Anforderungen an das interne Kontrollsystem (IKS) des geprüften Unternehmens als bisher übliche Branchenstandards, wie z. B. der ISO 27001 oder spezifische Prüfungen des Original Equipment Manufacturers (OEM).
Veröffentlichende und pflegende Organisation des TISAX-Standards ist die ENX Association (ENX). Die ENX ist ein maßgeblich durch den VDA gegründeter Verein und die einzige TISAX-Akkreditierungsstelle.
Notwendigkeit und Ziele
Ziel des TISAX-Standards ist die Einführung eines gemeinsamen und einheitlichen Levels an Informationssicherheit in der Automobilindustrie. Zwischen den Unternehmen der Branche sollen die folgenden Ziele erreicht werden:
- Schaffen von Vergleichbarkeit;
- Schaffen von Vertrauen;
- Reduktion von Informationssicherheitsrisiken;
- Vorantreiben der Digitalisierung.
Von ihren Zulieferern entlang der Automotive-Lieferkette, verlangen die verschiedenen deutschen OEMs, zunehmend die Konformität gemäß TISAX. Dies betrifft sämtliche Unternehmen, von denen der OEM Leistungen in Anspruch nimmt, welche in Verbindung mit den Fertigungs- und Entwicklungsprozessen von Automobilen stehen. Unerheblich ist, ob der Zulieferer Zugriff auf Systeme oder Daten des OEM hat. Betroffen sind neben Zulieferern technischer Bauteile, auch Beratungsunternehmen, Softwaredienstleister/-hersteller und sonstige Dienstleister, wie z. B. Bildbearbeiter, die Werbematerialien neuer Fahrzeugmodelle erstellen. Insbesondere diese Unternehmen stellt der Aufbau gänzlich neuer Informationssicherheitsstrukturen vor große Herausforderungen.
Inhalte
Die Inhalte des TISAX-Standards lehnen sich zu einem großen Teil an die Kontrollen aus dem Anhang A des ISO-27001-Standards an. Darüber hinaus beinhaltet TISAX Kontrollen zu Spezialthemen der Automobilindustrie (z. B. Prototypenschutz, Anbindung von Drittunternehmen):
- Informationssicherheit;
- Anbindung Dritter (Lieferantenmanagement);
- Datenschutz;
- Prototypenschutz.
Verfügt ein Zulieferer bereits über eine gültige ISO 27001-Zertifizierung, kann diese eine gute Grundlage für TISAX darstellen. Sie ist allerdings aufgrund der weitergehenden Anforderungen von TISAX und der Vorgaben zum Anwendungsbereich kein Garant für eine erfolgreiche Vergabe von TISAX-Labels. Der Anwendungsbereich, also der Bereich des Unternehmens, für den das Informationssicherheitssystem Anwendung findet (sog. Scope, welcher Geschäftsprozesse, Anwendungen und Infrastrukturobjekte umfasst), ist nach ISO 27001 freier gestaltbar. Bei TISAX existieren hier erhebliche Vorgaben. Die Überschneidung des ISO 27001-Scopes mit TISAX entscheidet über den Umfang der Wiederverwertbarkeit und damit über den Mehraufwand.
Vor dem Hintergrund der gestiegenen Erwartungen der OEMs sowie der Unterscheide zwischen den beiden Standards (z. B. erfolgt bei TISAX im Gegensatz zu ISO 27001 eine Beurteilung des Reifegrades des IKS) ist eine Zertifizierung nach ISO 27001 oft nicht mehr ausreichend. Es ist zu beachten, dass eine bestandene ISO 27001-Zertifizierung nicht automatisch einen Teil des TISAX-Audits abdeckt. Analog dazu erwächst aus vergebenen TISAX-Zertifikaten nicht automatisch eine ISO-27001-Zertifizierung.
Darstellung eines TISAX-Projektes
Es ist zu beachten, dass abhängig vom Reifegrad des im Unternehmen vorhandenen Informationssicherheitsmanagementsystems (ISMS) nicht zwangsläufig alle der nachfolgend beschriebenen Schritte notwendig sein können.
- Entscheidung für TISAX
In der Regel erhalten Zulieferer einen Brief von ihrem OEM, in dem dieser die Konformität nach TISAX fordert. Alternativ steht einem Unternehmen auch eine freiwillige Implementierung offen. - Vorbereitung des Audits
Der betroffene Bereich und der Umfang des ISMS müssen festgelegt werden (z. B. die betroffenen Niederlassungen). Das vom OEM geforderte TISAX-Kontrollset darf dabei nicht verändert werden. - Implementierung des ISMS
In diesem Schritt wird ein funktionierendes und TISAX-konformes ISMS implementiert oder ein vorhandenes ISMS entsprechend verbessert. Erfahrungsgemäß fällt in diesem Schritt der größte interne und externe Aufwand an. - Audit
Im Rahmen des Audits, prüft der von der Zertifizierungsstelle beauftragte Prüfer das ISMS des Unternehmens anhand des VDA-ISA-Fragenkatalogs und identifiziert ggf. Abweichungen. - Follow-Up (Nacharbeiten und Nachprüfung)
Maximal neun Monate können zur Behebung von Abweichungen genutzt werden. Innerhalb des Follow-Up-Zeitraums kann der Prüfer mehrmals zu sogenannten Follow-Up-Prüfungen hinzugezogen werden. - Vergabe der Labels
Es erfolgt die Vergabe der TISAX-Labels durch den Prüfdienstleister. Im TISAX-Sprachgebrauch werden Zertifikate offiziell „Labels“ genannt. - Gültigkeitsdauer der Zertifizierung
Die TISAX-Labels gelten für drei Jahre. Sog. Überwachungsaudits, wie z. B. bei einer ISO 27001-Zertifizierung, sind nicht vorgesehen. Es besteht das Risiko, dass das implementierte IKS nicht kontinuierlich eingehalten und verbessert wird. Nach Ablauf dieses Zeitraums wird ein Re-Audit notwendig
Prüfmethodik - Reifegrade
Im Rahmen der TISAX-Prüfung wird der Reifegrad von vorhandenen ISMS beurteilt. Die Beurteilung erfolgt anhand jeder einzelnen Kontrolle innerhalb der verschiedenen Domains des VDA-ISA. Der Reifegrad wird im Rahmen der Vorbereitung des Audits durch das Unternehmen selbst beurteilt, sowie im Rahmen des Audits durch den TISAX-Prüfer geprüft.
TISAX sieht eine Einteilung anhand der folgenden sechs Reifegrade vor:
- 0 - Unvollständig: Ein Prozess ist nicht (vollständig) vorhanden.
- 1 - Durchgeführt: Es existiert ein unklarer und/oder undokumentierter Prozess, der allerdings erwartungsgemäße Ergebnisse liefert.
- 2 - Gesteuert: Für denselben Zweck existieren mehrere Prozesse, die funktionsfähig und dokumentiert sind sowie erwartungsgemäße Ergebnisse liefern.
- 3 - Etabliert: Es existiert ein einheitlicher und dokumentierter Prozess, der das erwartungsgemäße Ergebnis liefert.
- 4 - Vorhersagbar: Der Prozess von Reifegrad 3 wird zusätzlich mit Hilfe von KPIs gemessen und beurteilt.
- 5 - Optimierend: Der Prozess von Reifegrad 4 unterliegt zusätzlich einem kontinuierlichen Verbesserungsprozess.
Die erreichten Reifegrade je Kontrolle, müssen wenigstens einem durch die ENX vorgegebenen Wert entsprechen. Dieser Wert liegt abhängig von der jeweiligen Kontrolle zwischen Reifegrad 2 und 4. Abschließend wird der sogenannte „Zielreifegrad“ mit Hilfe eines Durchschnittswertes gebildet, welcher bei etwa 3 liegen muss, um TISAX-Labels erhalten zu können.
Prüfmethodik - Assessment Levels
Das Assessment Level legt den Härtegrad der Prüfung fest und wird als Prüfungsanforderung in der Regel durch den OEM bestimmt. Der Härtegrad richtet sich nach der Sensitivität und somit nach dem Schutzbedarf der geprüften Daten und Prozesse innerhalb des ISMS des Unternehmens.
TISAX sieht eine Einteilung anhand der folgenden drei Assessment Level vor:
- Assessment Level 1 (normaler Schutzbedarf): Es findet eine Prüfung des internen Kontrollsystems (IKS) anhand des VDA-ISA zu unternehmensinternen Zwecken statt. Der externe Prüfer kontrolliert die Vollständigkeit der Prüfung, führt aber selbst keine Prüfungshandlungen durch. Das Assessment Level 1 ist nicht zertifizierbar.
- Assessment Level 2 (hoher Schutzbedarf): Es findet eine Plausibilitätsprüfung des IKS anhand des VDA-ISA durch den externen Prüfer statt. Bei einem positiven Urteil erfolgt eine Zertifizierung.
- Assessment Level 3 (sehr hoher Schutzbedarf): Es findet eine Detailprüfung und Verifizierung des IKS anhand des VDA-ISA durch den externen Prüfer statt. Bei einem positiven Urteil erfolgt eine Zertifizierung.
Die Vergabe von Labels erfolgt unter Ausweis des geprüften Assessment Levels.
Fazit
Insbesondere in den letzten sechs bis neun Monaten, hat TISAX deutlich an Gewicht gewonnen und stellt dabei Automobilzulieferer und -dienstleister vor große Herausforderungen, die über bisher übliche Branchenstandards hinausgehen. Außergewöhnlich ist neben der Härte der Anforderungen auch die Breite, in welcher OEMs die Erfüllung des Standards vom Großteil ihrer Zulieferer einfordern. Insbesondere kleinere Unternehmen trifft dies hart. Daher lohnt es sich für betroffene Unternehmen, Rücksprache mit ihren OEMs zu halten und Anforderungen ggf. anzupassen.
