TISAX®: Anforderungen, Kosten & Ablauf der Zertifizierung erklärt
Mit TISAX® hat der Verband der deutschen Automobilindustrie einen einheitlichen Standard für Informationssicherheit geschaffen. Zulieferer und Dienstleister brauchen somit nur eine Zertifizierung, um ihre IT-Sicherheit gegenüber alle teilnehmenden Herstellern nachzuweisen.
TISAX® ist eine eingetragene Marke der ENX Association. tenfold steht in keiner geschäftlichen Beziehung mit der ENX Association. Die Nennung von TISAX® dient rein informativen Zwecken. Die Nennung der Marke impliziert keine Aussage des Markeninhabers über die Eignung der angebotenen Leistungen.
Was ist TISAX®?
TISAX® (Trusted Information Security Assessment Exchange) ist ein Standard für Informationssicherheit in der Automobilbranche. Um Sicherheit in der Lieferkette zu gewährleisten, weisen Zulieferer und Dienstleister durch die TISAX®-Zertifizierung nach, dass sie sensible Daten wie Bauteile, Prototypen und technische Spezifikationen angemessen schützen.
TISAX® baut auf der Norm ISO 27001 auf, die Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) definiert. Bei einem ISMS handelt es sich um ein lebendes Dokument, das Regeln, Prozesse, Sicherheitsmaßnahmen und Verantwortlichkeiten festlegt, um Informationssicherheit auf allen Ebenen einer Organisation zu verankern.
Zusätzlich zu den Anforderungen von ISO 27001 setzt TISAX® jedoch auch eigene Vorgaben an Datenschutz und Prototypenschutz.
Wichtige Ressourcen für die TISAX®-Zertifizierung:
Ist TISAX® verpflichtend?
TISAX ist keine gesetzliche Vorschrift, allerdings ist die Zertifizierung für die Zusammenarbeit mit führenden Autoherstellern notwendig. Für betroffene Zulieferer und Dienstleister führt also kein Weg an TISAX® vorbei.
TISAX®: Wichtige Begriffe erklärt
Für die Vorbereitung auf TISAX® ist es wichtig, grundlegende Begriffe zu kennen und zu verstehen. Dazu zählen:
Prüfziel: Nicht jede Anforderung ist für jeden Zulieferer relevant. Das Prüfziel bestimmt, nach welchen Abschnitten des Kriterienkatalogs ein Unternehmen geprüft wird, zum Beispiel Zugriff auf vertrauliche Informationen oder Schutz von Prototypenfahrzeugen.
Label: Je nach gewähltem Prüfziel erhalten Firmen das entsprechende Label zum Nachweis des bestandenen Audits. Insgesamt existieren 10 verschiedene Labels, etwa Confidential oder Proto Vehicles.
Assessment Level: Das Assessment Level hängt mit dem gewählten Prüfziel zusammen und bestimmt den Ablauf des Audit-Prozesses. Level 1 ist eine Selbsteinschätzung, die in offiziellen Audits nicht verwendet wird. Bei Level 2 finden Remote-Interviews und ein Dokumenten-Audit statt. Level 3 setzt eine Überprüfung vor Ort voraus.
Prüf-Scope: Der Prüf-Scope bestimmt, welche Unternehmensbereiche geprüft werden. Für die TISAX®-Zertifizierung ist der Scope fest vorgegeben und muss alle Prozesse, Verfahren und Ressourcen abdecken, die für die Erfüllung der Schutz- und Prüfziele relevant sind. Allerdings kann ein Zulieferer mehrere Scopes festlegen, wenn z.B. verschiedene Labels an verschiedenen Standorten angestrebt werden.
Reifegrad: Der Reifegrad misst auf einer Skala von null bis fünf, ob Anforderungen aus dem Kriterienkatalog erfüllt werden. TISAX® hat einen Ziel-Reifegrad von drei (etabliert).
Ablauf der Zertifizierung nach TISAX®
Die TISAX® Zertifizierung läuft in mehreren Stufen ab, beginnend mit der Registrierung durch das ENX-Portal und dem Erstgespräch mit einem Prüfdienstleister, bis hin zum Audit in zwei Phasen und dem finalen Ergebnis. Der Prüfprozess selbst kann in wenigen Monaten abgeschlossen werden. Wichtiger ist jedoch die Frage, wie lange die Umsetzung der Sicherheitsmaßnahmen dauert. Hier ist die Ausgangslage sehr verschieden, je nach Organisation.
Der Schritt-für-Schritt Ablauf der TISAX® Zertifizierung:
Vorbereitung: Recherche der TISAX® Anforderungen, Aufbau eines ISMS, Auswahl von Prüfzielen
Registrierung: Anmeldung zu TISAX® über das ENX Portal
Wahl eines Prüfdienstleisters: Auswahl und Beauftragung eines Prüfdienstleisters, Kick-Off Meeting, Vereinbarung der weiteren Termine
Stufe 1 Audit: Kontrolle des abgegebenen Self-Assessment auf Plausibilität und Vollständigkeit
Stufe 2 Audit: Intensive Kontrolle, Interviews, Begehung von Räumlichkeiten (je nach Assessment Level)
Optimierung: Maßnahmenplan zur Korrektur von Abweichungen, bei Bedarf Follow-Up Prüfung
Assessment: Finaler Bericht, Teilen der Ergebnisse über TISAX® Exchange Plattform
Häufige Fragen
Für die Vorbereitung auf TISAX® haben Unternehmen beliebig viel Zeit. Durch die Registrierung, die Auswahl eines Dienstleisters oder ein Kick-Off Meeting entstehen keinerlei Fristen. Je nach Stand Ihres ISMS kann die Vorbereitung unterschiedlich lange dauern. Erst bei erfolgter Prüfung beginnt eine Frist von 9 Monaten, innerhalb derer sämtliche Abweichungen korrigiert werden müssen.
Die TISAX® Zertifizierung ist für maximal drei Jahre gültig. Der Zeitraum beginnt mit Abschluss der ersten Prüfung. Müssen anschließend Abweichungen beseitigt werden, verkürzt sich also die Dauer der Gültigkeit. Anders als bei ISO 27001 werden bei TISAX® keine jährlichen Kontroll-Audits durchgeführt.
Die Kosten von TISAX setzen sich aus dem Audit selbst, etwaigen Beratungsleistungen im Vorfeld sowie dem Aufbau eines konformen ISMS zusammen. Die Prüfung selbst macht dabei den geringsten Teil aus. Die Umsetzung der notwendigen Sicherheitsmaßnahmen ist meist mit dem größten Aufwand verbunden. Je nach Komplexität der eigenen IT können die Kosten von 10.000€ bis zu 200.000€ reichen. Firmen, die bereits eine Zertifizierung nach ISO 27001 nachweisen können, haben durch die Ähnlichkeit der Standards dabei einen Startvorteil.
Wer alle Anforderungen von TISAX® erfüllt, erhält das Gesamtergebnis konform. Das gilt auch, falls der Prüfer Verbesserungspotenzial oder kleinere Beobachtungen vermerkt. Bei kleineren Abweichungen von den Anforderungen (Nebenabweichung) kann ein temporäres TISAX® Label vergeben werden. Bei groben Abweichungen (Hauptabweichung) müssen diese erst korrigiert werden, indem dem Prüfer ein Maßnahmenplan zur Behebung vorgelegt wird.
Das Teilen von Prüfergebnissen erfolgt allein über die Austauschplattform TISAX® Exchange. Hier können Sie anderen Teilnehmern in mehreren Stufen Zugriff auf die Ergebnisse Ihres Audits geben, von dem Gesamtergebnis bis hin zu den Reifegraden in einzelnen Teilbereichen. Die Veröffentlichung außerhalb der Exchange-Plattform ist nicht erlaubt. Geschäftspartner müssen sich also selbst registrieren, um Ergebnisse einsehen zu können.
Im Rahmen der TISAX® Zertifizierung müssen Zulieferer auch sicherstellen, dass ihre eigenen Kooperationspartner und Auftragnehmer ein angemessenes Sicherheitsniveau beibehalten. Dazu müssen Risikobewertungen durchgeführt und vertragliche Vereinbarungen an sie weitergegeben werden – vorausgesetzt die betroffenen Firmen sind für die IT-Sicherheit relevant. Tier 2 bzw. Tier 3 Zulieferer brauchen daher auch immer öfter eine TISAX® Zertifizierung.
Anforderungen von TISAX®
Für eine Zertifizierung nach TISAX® muss ein Unternehmen ein ISO-konformes ISMS aufbauen sowie zusätzliche Industrie-spezifische Anforderungen erfüllen. Die Anforderungen von TISAX® setzen sich also aus den Anforderungen von ISO 27001 plus eigenen Vorgaben für den Schutz von Daten und Prototypen zusammen.
Die TISAX® Anforderungen bestehen also aus:
ISO 27001 Anforderungen
Organisatorische Sicherheit
Personelle Sicherheit
Physische Sicherheit
Technische Sicherheit
Management-Verantwortung
Kontinuierliche Verbesserung
TISAX®-spezifischen Anforderungen
Datenschutz
Prototypenschutz
Umgang mit Fahrzeugen & Bauteilen
Vertraulichkeitsverpflichtung
Schutz auf Veranstaltungen
Dabei ist es das Ziel von TISAX®, sämtliche Risiken für Integrität, Verfügbarkeit und Vertraulichkeit von Informationen zu managen. Dazu zählen neben Datenlecks und Cyberangriffen also auch der physische Zugriff durch Unbefugte oder Insider Threats innerhalb der Organisation.
ISO 27001: Access Governance Anforderungen
Erfahren Sie alles über die Vorgaben für ISO-konformes Identity & Access Management.
TISAX® Prüfziele
Die genauen Anforderungen für die TISAX® Zertifizierung sind im Kriterienkatalog Information Security Assessment (VDA ISA) dokumentiert. Welche Teilbereiche eine Organisation erfüllen muss, hängt vom gewählten Prüfziel ab. Insgesamt stehen 10 Prüfziele zur Auswahl.
| Prüfziel | Anforderungen | Assessment Level (AL) |
|---|---|---|
| Confidential | Kriterienkatalog Informationssicherheit: sollte, muss und hoher Schutzbedarf (falls mit C markiert) | Level 2 |
| Strictly confidential | Kriterienkatalog Informationssicherheit: sollte, muss, hoher und sehr hoher Schutzbedarf (falls mit C markiert) | Level 3 |
| High availability | Kriterienkatalog Informationssicherheit: sollte, muss und hoher Schutzbedarf (falls mit A markiert) | Level 2 |
| Very high availability | Kriterienkatalog Informationssicherheit: sollte, muss, hoher und sehr hoher Schutzbedarf (falls mit A markiert) | Level 3 |
| Proto Parts | Kriterienkatalog Prototypenschutz: sollte und muss aus Abschnitt 8.1, 8.2 und 8.3 | Level 3 |
| Proto vehicles | Kriterienkatalog Prototypenschutz: sollte, muss und Zusatzanforderungen aus 8.1, 8.2 und 8.3 | Level 3 |
| Test vehicles | Kriterienkatalog Prototypenschutz: sollte und muss aus Abschnitt 8.2, 8.3 und 8.4 | Level 2 |
| Proto events | Kriterienkatalog Prototypenschutz: sollte und muss aus Abschnitt 8.2, 8.3 und 8.5 | Level 2 |
| Data | Kriterienkatalog Informationssicherheit: sollte, muss und hoher Schutzbedarf (falls mit C markiert) Plus Kriterienkatalog Datenschutz | Level 2 |
| Special Data | Kriterienkatalog Informationssicherheit: sollte, muss, hoher und sehr hoher Schutzbedarf (falls mit C markiert) Plus Kriterienkatalog Datenschutz | Level 3 |
TISAX® Reifegrad
Um eine Anforderung zu erfüllen, muss die Organisation für die jeweilige Vorgabe einen Mindest-Reifegrad von 3 erreichen. Das Reifegrad-Modell misst, wie erfolgreich Anforderungen implementiert wurden auf einer Skala von 0 bis 5.
Reifegrad 0, Unvollständig: Es gibt keinen Prozess, es wird keinem Prozess gefolgt oder der Prozess ist nicht geeignet, um das Ziel zu erreichen.
Reifegrad 1, Durchgeführt: Es wird einem nicht oder unvollständig dokumentierten Prozess gefolgt (“informeller Prozess”) und es gibt Anzeichen, dass er sein Ziel erreicht.
Reifegrad 2, Gesteuert: Es wird einem Prozess gefolgt, der seine Ziele erreicht. Prozessdokumentation und Prozessdurchführungsnachweise sind vorhanden.
Reifegrad 3, Etabliert: Es wird einem Standardprozess gefolgt, der in das Gesamtsystem integriert ist. Abhängigkeiten von anderen Prozessen sind dokumentiert und geeignete Schnittstellen geschaffen. Es existieren Nachweise, dass der Prozess über einen längeren Zeitraum nachhaltig und aktiv genutzt wurde.
Reifegrad 4, Vorhersagbar: Es wird einem etablierten Prozess gefolgt. Die Wirksamkeit des Prozesses wird durch Erheben von Kennzahlen kontinuierlich überwacht. Es sind Grenzwerte definiert, bei denen der Prozess als nicht hinreichend wirksam angesehen wird und angepasst werden muss.
Reifegrad 5, Optimierend: Es wird einem vorhersagbaren Prozess gefolgt, bei dem die kontinuierliche Verbesserung ein wesentliches Ziel ist. Die Verbesserung wird von dedizierten Ressourcen aktiv vorangetrieben.
TISAX® Anforderungen: Umfassende IT-Sicherheit
Für eine erfolgreiche TISAX® Zertifizierung, brauchen Unternehmen ganzheitlichen Schutz vor IT-Bedrohungen. Die Anforderungen von TISAX® reichen von der Abwehr von Malware über Schwachstellenmanagement, Netzwerksegmentierung und Verschlüsselung bis hin zur Wiederherstellung im Notfall.
Firmen müssen also ein breites Spektrum an IT-Anforderungen abdecken. Viele dieser Vorgaben setzen den Einsatz geeigneter Security-Lösungen voraus, da automatische Prozesse die konsequente Einhaltung der TISAX® Anforderungen gewährleisten.
Identity Governance als TISAX® Kriterium
Neben vielen weiteren Security-Themen ist auch die Verwaltung von Identitäten und Berechtigungen ein Bestandteil der TISAX® Zertifizierung. Organisationen müssen sicherstellen, dass nur berechtigte Personen Zugriff auf sensible Informationen wie Fahrzeug- und Bauteildaten haben.
Die entsprechenden Anforderungen sind im Kriterienkatalog von TISAX® (herausgegeben von VDA) unter Punkt 4: Identitäts- und Zugriffsverwaltung zu finden. Wichtige Fragen, die Firmen hier beantworten müssen, sind etwa:
Wie werden Benutzerkonten eingerichtet, geändert, gesperrt und gelöscht?
Werden Benutzerkonten in regelmäßigen Abständen überprüft?
Wie wird der Zugang von Benutzern zu IT-Systemen gesichert?
Wie werden Zugriffsrechte vergeben und verwaltet?
Der Einsatz einer Identity Governance Lösung erleichtert die Einhaltung der entsprechenden Vorgaben, da Benutzerkonten und Zugriffsrechte zentral und automatisch verwaltet werden.
Wie hilft Identity Governance bei der Vorbereitung auf TISAX®?
Identity Governance & Administration (IGA) bietet verschiedene Features, die Organisationen bei der Erfüllung der Anforderungen der TISAX® Zertifizierung helfen:
User Lifecycle Management automatisiert das On- und Offboarding und weist Benutzern alle für ihre Position vorgesehenen Konten und Rechte zu.
Zentrales Reporting erlaubt es, Berechtigungen in allen IT-Systemen zentral nachzuvollziehen und jederzeit im Blick zu behalten.
Access Reviews ermöglichen die regelmäßige Kontrolle bestehender Berechtigungen und sorgen langfristig für korrekte Zugriffsrechte.