intro TISAX erklärt – Was Unternehmen wissen sollten

TISAX erklärt – Was Unternehmen wissen sollten

Fünf Buchstaben mit großer Bedeutung. Die Automobilindustrie setzt eigene Standards für Informationssicherheit. Wir erklären, was es damit auf sich hat.

Was bedeutet TISAX?

TISAX steht für "Trusted Information Security Assessment Exchange" und ist eine Initiative des Verbands der Automobilindustrie (VDA). Es ermöglicht Unternehmen in der Automobilindustrie, ein einheitliches Level der Informationssicherheit nachzuweisen. Das TISAX-Label dient als Nachweis für die Einhaltung spezifischer Sicherheitsstandards und Anforderungen bezüglich des Umgangs mit sensiblen Informationen.

Was ist das TISAX-Assessment?

Das TISAX-Assessment ist ein Verfahren, das sicherstellt, dass Unternehmen den VDA-Anforderungen an Informationssicherheit gerecht werden. Dieses Assessment ermöglicht es den Unternehmen, das TISAX-Label zu erhalten, welches zeigt, dass sie den Prozess erfolgreich durchlaufen haben. Das TISAX-Assessment wird von akkreditierten Prüfdienstleistern durchgeführt.

Ist TISAX ein Zertifikat?

TISAX selbst ist technisch gesehen kein Zertifikat im traditionellen Sinne, wie man es etwa von ISO-Zertifizierungen kennt. Es ist vielmehr ein Standard für Informationssicherheits-Assessments, der von der Automobilindustrie speziell für ihre Anforderungen entwickelt wurde. Unternehmen, die ein TISAX-Assessment erfolgreich durchlaufen, erhalten kein "Zertifikat" im klassischen Sinne, sondern ein sogenanntes "TISAX-Label" oder eine "Assessment-Bestätigung".

Dieses TISAX-Label zeigt an, dass das Unternehmen die spezifischen Sicherheitsanforderungen, die im Rahmen des Verfahrens festgelegt sind, erfüllt. Das Ergebnis des TISAX-Assessments und das Label sind über eine Plattform zugänglich, die von der ENX Association verwaltet wird. Diese Plattform ermöglicht es teilnehmenden Unternehmen und registrierten Organisationen, die Gültigkeit und den Status der TISAX-Labels einzusehen.

Die Gültigkeit eines Labels ist in der Regel auf drei Jahre beschränkt, nach denen eine erneute Bewertung erforderlich ist, um die Konformität mit den TISAX-Standards zu bestätigen. Dieser Ansatz stellt sicher, dass die Informationssicherheit kontinuierlich aufrechterhalten und verbessert wird.

Die ENX Association

Die ENX (European Network Exchange) Association ist eine Organisation, die sich auf die Bereitstellung sicherer Netzwerk- und Informationsdienste für die Automobilindustrie konzentriert. Sie wurde von führenden Automobilherstellern und Zulieferern ins Leben gerufen, um eine sichere und effiziente Kommunikation und Datenübertragung zwischen den beteiligten Unternehmen zu gewährleisten.

ENX unterstützt dabei nicht nur die Automobilindustrie, sondern auch deren Zulieferer durch ein speziell entwickeltes Netzwerk, das hohe einheitliche Sicherheitsstandards und eine starke Leistungsfähigkeit bietet. Die Hauptziele der ENX Association sind die Vereinfachung der IT-Kommunikation innerhalb der Branche, die Senkung der Kommunikationskosten und die Erhöhung der Informationssicherheit.

Warum gibt es TISAX?

Die Entstehung von TISAX ist eng mit dem Bedarf der Automobilindustrie verbunden, ein einheitliches und verlässliches Niveau der Informationssicherheit über ihre gesamte Lieferkette hinweg sicherzustellen. Hier sind einige Schlüsselfaktoren, die zur Entwicklung beigetragen haben:

1. Wachsende Bedeutung von Informationssicherheit: In der global vernetzten Wirtschaft, insbesondere in der Automobilindustrie, wo Innovationen und Wettbewerbsvorteile stark von vertraulichen Daten abhängen, ist der Schutz solcher Informationen entscheidend. Dazu zählen Design-Dokumente, strategische Pläne und personenbezogene Daten.

2. Notwendigkeit für Standardisierung: Vor TISAX gab es keine einheitliche Vorgehensweise zur Bewertung der Informationssicherheit innerhalb der Automobilindustrie. Jeder Automobilhersteller hatte möglicherweise eigene Anforderungen und Prüfprozesse, was für Zulieferer zu einem hohen administrativen Aufwand und zu Mehrfachaudits führte.

3. Reduzierung von Redundanzen: Die Vielzahl individueller Audits und unterschiedlicher Sicherheitsstandards führte zu Ineffizienzen und hohen Kosten für Zulieferer, die oft multiple Audits von verschiedenen Automobilherstellern über sich ergehen lassen mussten. TISAX zielt darauf ab, diesen Aufwand durch ein gemeinsames Audit-Verfahren zu reduzieren.

4. Initiative des VDA: Der Verband der Automobilindustrie (VDA) erkannte diese Herausforderungen und initiierte TISAX, um einen standardisierten Rahmen zu schaffen. Dieser Rahmen basiert auf den VDA ISA (Information Security Assessment) Anforderungen, die wiederum auf der internationalen Norm ISO/IEC 27001 aufbauen, angepasst an die spezifischen Bedürfnisse der Automobilindustrie.

Zusammengefasst wurde TISAX entwickelt, um eine konsistente, sichere und effiziente Weise zu bieten, die Informationssicherheit innerhalb der Lieferketten der Automobilindustrie zu bewerten und zu verifizieren. Dies fördert nicht nur den Schutz kritischer Informationen, sondern erleichtert auch die Zusammenarbeit zwischen Automobilherstellern und ihren Zulieferern.

Wer benötigt ein TISAX-Label?

Das TISAX-Label ist meist für Unternehmen erforderlich, die in der Automobilindustrie tätig sind und Zugang zu sensiblen Informationen der OEMs (Original Equipment Manufacturers) haben. 

Es ist besonders wichtig für:

Zulieferer und Dienstleister der Automobilindustrie: Diese Unternehmen müssen oft spezifische Sicherheitsanforderungen erfüllen, um Geschäftsbeziehungen mit großen Automobilherstellern aufrechtzuerhalten. Das Label zeigt, dass sie die erforderlichen Sicherheitsstandards einhalten.

Internationale Partner und Subunternehmer: Da die Automobilindustrie global agiert, ist es wichtig, dass auch internationale Partner und Subunternehmer die gleichen Sicherheitsstandards erfüllen. Ein Label hilft dabei, diese Einheitlichkeit zu gewährleisten.

Ist TISAX ein nationaler Standard?

TISAX ist zwar eine Initiative des deutschen Verbands der Automobilindustrie, aber das Label hat eine internationale Bedeutung und Reichweite. Die Automobilindustrie ist global vernetzt, und viele der großen Automobilhersteller sowie ihre Zulieferer operieren international. Daher gilt das TISAX-Label nicht nur in Deutschland, sondern weltweit. Automobilhersteller und Zulieferer aus verschiedenen Ländern erkennen das Label als vertrauenswürdigen Nachweis für Informationssicherheit an.

Was wird geprüft?

Das TISAX-Assessment prüft eine Reihe von Sicherheitsaspekten, die speziell auf die Bedürfnisse der Automobilindustrie zugeschnitten sind. Es basiert auf dem VDA ISA (Information Security Assessment) Katalog, der wiederum an die international anerkannte Norm ISO/IEC 27001 angelehnt ist. 

Abhängig davon, welche Art von Informationen bzw. Daten beim Zulieferer verarbeitet werden, werden Prüfziele festgelegt. Diese bestimmten die Anforderungen, die von einem Informationssicherheitsmanagementsystem erfüllt werden müssen. Prüfziele sind verschiedenen Assessment-Level zugeordnet.

Welche Assessment-Level gibt es?

Es gibt drei Assessment-Level, die jeweils unterschiedliche Anforderungen an die Informationssicherheit in Unternehmen stellen. Diese Level sind darauf ausgerichtet, unterschiedlichen Schutzbedarfen gerecht zu werden:

Assessment-Level 1 (AL1) - Standard Informationsschutz 

Dieses Level ist für Unternehmen gedacht, die grundlegende Anforderungen an die Informationssicherheit erfüllen müssen. Es wird typischerweise für weniger kritische Daten verwendet und beinhaltet eine Selbsteinschätzung (Self-Assessment) durch das Unternehmen, die nicht durch einen externen Prüfdienstleister validiert wird.

Assessment-Level 2 (AL2) - Hoher Schutzbedarf

Für Unternehmen, die mit vertraulichen Informationen arbeiten, ist Level 2 vorgesehen. Hierbei erfolgt eine detailliertere Prüfung durch einen akkreditierten Prüfdienstleister. Dieser Level erfordert eine genauere Untersuchung der implementierten Sicherheitsmaßnahmen und -prozesse.

Assessment-Level 3 (AL3) - Sehr hoher Schutzbedarf

Dieser Level richtet sich an Unternehmen, die mit besonders schützenswerten oder geheimen Informationen umgehen. Level 3 erfordert die strengsten Sicherheitsmaßnahmen und die umfassendste Prüfung durch einen akkreditierten Prüfdienstleister. 

Die Wahl des Levels hängt nicht nur von der Art der Informationen ab, mit denen das Unternehmen arbeitet, sondern zusätzlich von den spezifischen Anforderungen ihrer Kunden oder Partner in der Automobilindustrie. Jedes Level reflektiert ein höheres Maß an Vertraulichkeit und Sicherheit, das von den teilnehmenden Unternehmen gefordert wird.

Übersicht Assessment-Level TISAX

Wie sieht der Prozess zum TISAX-Label aus?

Schritt 1 Registrierung und Aufbau:

Registrierung als Teilnehmer: Interessierte Unternehmen müssen sich zunächst als Teilnehmer unter Angabe aller relevanten Informationen auf dem ENX Portal registrieren.

Auswahl der Prüfziele: Die Prüfziele für die TISAX-Bewertung werden basierend auf den spezifischen Geschäftsanforderungen und identifizierten Risiken ausgewählt. Wichtig ist die Festlegung der relevanten Bereiche des ISMS, die bewertet werden sollen, wie beispielsweise Datenverarbeitung oder Prototypenentwicklung. 

Aufbau eines ISMS: Ein Informationssicherheitsmanagementsystem (ISMS) ist entscheidend für das TISAX-Assessment. Das ISMS muss gemäß den spezifischen Anforderungen aufgebaut werden. Organisationen sollten sich im Vorfeld mit der VDA ISA Checkliste vertraut machen.

Schritt 2 Prüfung:

Selbsteinschätzung: Nach Implementierung des ISMS führt das Unternehmen eine Selbsteinschätzung durch. Dabei werden die vorhandenen Dokumentationen überprüft und interne Audits durchgeführt, um die Einhaltung der festgelegten Sicherheitsrichtlinien und -kontrollen zu gewährleisten. Die Ergebnisse dieser Audits helfen dabei, Bereiche zu identifizieren, die vor dem externen TISAX-Assessment verbessert werden müssen.

Bestellung eines Auditors: Die Auswahl eines akkreditierten TISAX-Auditors ist ein kritischer Schritt im Prozess. Unternehmen müssen eine von der ENX Association akkreditierte Prüfstelle wählen. Der mit dem Auditor festgelegte Audit-Termin sollte genügend Spielraum für letzte Vorbereitungen bieten, basierend auf den Ergebnissen der Selbstbewertung und den festgelegten Prüfzielen.

Was kostet ein TISAX-Assessment?

Die Kosten für ein Assessment variieren, abhängig von der Größe des Unternehmens, dem gewählten TISAX-Level und dem Umfang der erforderlichen Assessments. In der Regel können Unternehmen mit Kosten von einigen Tausend bis hin zu Zehntausenden Euro rechnen, einschließlich der Vorbereitung und der Durchführung des Assessments durch einen akkreditierten Prüfdienstleister.

Wie unterstützt eine ISMS-Software beim Assessment?

Die Software unterstützt bei der Implementierung eines Informationssicherheitsmanagementsystems (ISMS) gemäß den Anforderungen des TISAX-Katalogs. Durch einen klar strukturierten Prozess bauen Unternehmen ihr ISMS Schritt für Schritt gemäß des Anforderungskatalogs bzw. der Prüfziele auf.

Eine ISMS-Software schafft Übersichtlichkeit, reduziert die Komplexität und steigert die Effizienz Ihres ISMS. Aus dem Tool heraus lassen sich unkompliziert Prozesse anschieben und Aufgaben definieren.

Sie unterstützt mit ihren Funktionen dabei, dass das ISMS den TISAX-Anforderungen entspricht und Unternehmen optimal auf das Assessment vorbereitet sind.

Wie der Aufbau eines ISMS in der Praxis aussieht, erfahren Sie in unserem kostenlosen Webinar oder einer Live-Demo mit unseren Experten.

Mit Struktur zum ISMS – mit den Software-Lösungen von CONTECHNET

Sie haben die Wahl: Ob mit unserer On-Prem-Softwarelösung INDITOR® oder unserer SaaS-Lösung CONTECHNET Suite+ – mit unseren Lösungen bauen Sie ein prozessorientiertes ISMS für Ihr TISAX-Assessment auf. Und das in nur 15 Tagen.

Haben Sie Fragen zu unseren Software-Lösungen?

Sie haben eine konkrete Projektanfrage im Bereich der Informationssicherheit, IT-Notfallplanung oder Datenschutz? Senden Sie uns gerne eine Nachricht über unser Kontaktformular.

* Pflichtfelder bitte ausfüllen

Hinweise zum Umgang mit Ihren personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.



Liebe Grüße Marcel Schmidt - Teamleitung Vertriebsinnendienst

05101-99224 0 Liebe Grüße Marcel Schmidt - Teamleitung Vertriebsinnendienst

DORA-Katalog verfügbar
Rufen Sie uns an 05101-99224 0

Geschäftszeiten:
Montag-Freitag 08:00 - 17:00 Uhr

Schreiben Sie uns eine E-Mail mit Fragen oder Feedback.

Jetzt Kontakt aufnehmen