Geschäftsgeheimnisse, Entwicklungs- und Betriebsinformationen sind hoch sensible Unternehmenswerte, an die besondere Schutzanforderungen gestellt werden.

Das Prüf- und Austauschverfahren „TISAX“ bietet eine Möglichkeit, die Umsetzung definierter Schutzmechanismen mit einem Reifegradmodell und somit den professionellen Umgang mit sensiblen Informationen im Rahmen einer Zertifizierung offiziell zu dokumentieren.

VDA - Information Security Assessment

In der Automobilindustrie ist der Verband der Automobilindustrie (VDA) zu dem Thema Informationssicherheit bereits seit vielen Jahren aktiv. Bereits im Jahre 2005 veröffentlichte er Empfehlungen zu Anforderungen speziell für Unternehmen der Automobilindustrie. Gedacht als vollständiger Leitfaden entstand ein „Information Security Assessment“ (ISA), dass sich in Form eines Fragebogens stark an den Normen ISO/IEC 27001 und ISO/IEC 27002 anlehnt, jedoch branchenorientiert angepasst wurde. Der Arbeitskreis Informationssicherheit des VDA hat den Fragebogen kontinuierlich gemäß den Veränderungen der Branche weiterentwickelt. Vier verschiedene Themenbereiche („Informationssicherheit“, „Anbindung Dritter“, „Datenschutz“ und „Prototypenschutz“) mit Fragestellungen aus Sicht der KFZ-Hersteller (OEM) decken umfassend Sicherheitsaspekte der Informationsverarbeitung, in fünf verschiedenen Abstufungen gemäß der Anforderungen des Schutzbedarfs, ab.

Ansprechpartner Dr. Frank Hülsberg

Governance, Risk, Compliance & Technology

Treten Sie mit uns in Kontakt
Ansprechpartner Helmut Brechtken Treten Sie mit uns in Kontakt

Als besonderes zusätzliches Merkmal beinhaltet der Fragebogen in der aktuellen Version ein Reifegradmodel, das auf sechs verschiedenen Stufen die Implementierungsreife und Qualität vorgegebener Sicherheitsprozesse bewertet.

Solch eine Möglichkeit, die Reifegrade einheitlich zu bewerten und zu vergleichen ist in anderen Rahmenwerken eher eingeschränkt durchführbar. So legt ein Unternehmen zum Beispiel bei einem ISMS gemäß ISO/IEC 27001 den eigenen Schutzbedarf (somit die Schutzziele) und die Wirksamkeitsmessung der Schutzmaßnahmen individuell selbst fest. In Verbindung mit der Definition eines eingeschränkten oder verkleinerten Anwendungsbereichs für das ISMS (zum Beispiel nur für die IT des Bürobereichs, ohne Entwicklungs- und Produktions-IT) kann somit eine Zertifizierung mit begrenzten zur Verfügung stehenden Ressourcen bereits angestrebt werden.

Um in diesem Falle ein ISMS im Hinblick auf Umfang und Reifegrad klar zu bewerten zu können ist die Einsicht auf das alleinstehende ISO/IEC 27001 Zertifikat nicht ausreichend. Es sind tiefere Einblicke und Bewertungen notwendig, um auch aus Sicht der OEM bewerten zu können, ob alle Bereiche in dem zu bewertenden ISMS den eigenen Schutzanforderungen entsprechen.

ENX und TISAX

Aus Sicht des VDA war hier ein unabhängiges Branchennetzwerk notwendig, um eine gemeinsame Basis und Verständnis für Informationssicherheit innerhalb der Automobilindustrie zu schaffen, die den sicheren Austausch von Entwicklungs-, Produktionssteuerungs- und Logistikdaten gewährleisten sollte. Zu diesem Zweck wurde bereits im Jahr 2000 die European Network Exchange (ENX) Association unter Leitung des VDA gegründet. Die ENX ist heute, als Non-Profit-Organisation, ein Zusammenschluss europäischer Automobilhersteller, -Zulieferer und Verbände. Sie betreibt ein unabhängiges Prüf- und Austauschverfahren unter der Bezeichnung TISAX (Trusted Information Security Assessment eXchange). Die Basis von TISAX ist das VDA ISA, das von externen Zertifizierungsgesellschaften offiziell bewertet werden kann. Ziel ist die Schaffung eines branchenspezifischen Sicherheitsstandards mit einer neutralen Instanz zur Bewertung zwischen allen Beteiligten der Branche.

Mit der externen Bewertung einer Zertifizierungsgesellschaft können sogenannte „TISAX Label“ für vorab ausgewählte Themenbereiche (siehe oben) in zwei unterschiedlichen Schutzbedarfsklassen („hoch“ und „sehr hoch“) erworben werden.
Die erworbenen Labels werden seitens der ENX in einer für alle Mitglieder einsehbaren Datenbank veröffentlicht. Somit ist ein klares Lagebild bezüglich des Schutzniveaus für sensible Information für alle TISAX Mitglieder jederzeit einsehbar.

Warum ist eine TISAX Zertifizierung sinnvoll?

Der Schutzbedarf für Entwicklungs-, Produktionssteuerungs- und Logistikdaten wird angesichts der stetig wachsenden Bedrohungen im Cyber-Umfeld definitiv steigen. Dies belegen zahlreiche Studien mit gemessenen Kennzahlen. Die Vergangenheit hat gezeigt, dass native ISO/IEC 27001 Zertifizierungen den OEM nicht die gewünschte Erkenntnis über die Schutzmechanismen der Vertragspartner dargelegt haben. Mit TISAX ist nun ein Verfahren geschaffen, das im Interesse der OEM Schutzmaßnahmen einschließlich der implementierten Reifegrade klar beschreibt und offenlegt.

Wie kann Warth & Klein Grant Thornton Sie unterstützen?

Im Team von GRCT profitieren von unserer professionellen Beratung zu sämtlichen notwendigen Schritten auf dem Weg zum Erwerb der gewünschten TISAX Labels. Wir haben Erfahrung bei der Implementierung der notwendigen ISMS Prozesse einschließlich der Überwachung der geforderten Maßnahmen gemäß des Reifegradmodels.

Mit unserem erfahrenen Team, bestehend aus

  • ISO/IEC 27001 Lead Auditoren mit Prüfverfahrenskompetenz für § 8a (3) BSIG,
  • CISSP und ITIL V3-Experten,
  • Experten für Cyber Incident Response,
  • Datenschutzbeauftragten (DSB) und
  • Penetrationstestern

bieten wir Ihnen umfangreiche Möglichkeiten, Ihr TISAX ausgerichtetes ISMS bedarfsgerecht und effizient zu implementieren und Sie durch den Zertifizierungsprozess zu führen.

Informationssicherheits-Managementsysteme TISAX Flyer
Download als PDF