TISAX-Vorbereitung

Überprüfen Sie doch mal, ob wir das alles haben. Bitte bis gestern.” So oder so ähnlich klingt es, wenn die Aufforderung zur TISAX-Zertifizierung beim IT-Admin landet. Wie es danach weitergeht, hängt von den Prozessen im Unternehmen ab. Folgen diese einem etablierten ISMS, kann er hinter einen Großteil des VDA-ISA-Fragenkataloges das erste Häkchen setzen. Ist dies aber nicht der Fall, stehen dem Unternehmen arbeits- und investitionsintensive Monate bevor.

Wir schauen uns an, warum eine Software für Berechtigungsmanagement wichtiger Bestandteil eines solchen Informationssicherheitsmanagementsystems (ISMS) ist, und welche Anforderungen des TISAX-Fragenkataloges Sie mit der Implementierung von tenfold abdecken.

Inhalte (verbergen)

TISAX-Vorbereitung: Worauf Unternehmen achten müssen

TISAX® steht für Trusted Information Security Assessment Exchange und ist der Branchenstandard für Informationssicherheit in der Automobilindustrie. Das Audit zur Zertifizierung basiert auf dem Anforderungskataloges Information Security Assessment (ISA), den der VDA in Zusammenarbeit mit der ENX Association entwickelt hat.

Hersteller und Zulieferer, die sich nach TISAX zertifizieren lassen, erbringen damit offiziell den Nachweis, dass die mit ihnen geteilten sensiblen Informationen (z.B. über neue Prototypen oder Kundendaten) zuverlässig geschützt werden.

Das TISAX®-Assessment setzt sich aus den vier Teilbereichen Informationssicherheit, Datensicherheit, Prototypenschutz und Einbindung Dritter zusammen.

Was wird beim TISAX Audit geprüft?

Die Informationssicherheit ist das Hauptmodul, das bei jedem Assessment geprüft wird. Die drei Sondermodule werden dem Assessment je nach Bedarf hinzugefügt. Über die verschiedenen TISAX-Level, die ein Unternehmen erreichen kann, können Sie sich hier informieren.

Das Modul Informationssicherheit basiert auf ISO 27001

ISO 27001 ist die international anerkannte Norm für Informationssicherheit. Sie fordert von Unternehmen die Implementierung eines ISMS (Information Security Management System). Das bedeutet, dass IT-Sicherheit geplant, implementiert, überwachtgeprüft und laufend verbessert werden muss. Die Verantwortung dafür, Ziele zu setzen und deren Erreichung im Rahmen interner Audits regelmäßig zu überprüfen, trägt das Management.

Das Hauptmodul der TISAX-Prüfung, die Informationssicherheit, basiert im Wesentlichen auf den in der ISO 27001 definierten Maßnahmen und der VDA-ISA-Fragenkatalog referenziert auch ausdrücklich auf die ISO-Norm. Dennoch sind die Anforderungen nicht deckungsgleich.

Muss für TISAX eine ISO-27001-Zertifizierung vorliegen?

Obwohl die Fragen zum Bereich Informationssicherheit im Wesentlichen auf der ISO-Norm beruhen, können Unternehmen sich nach TISAX® zertifizieren lassen, ohne eine ISO-27001-Zertifizierung zu haben. Die beiden Standards sind hierarchisch unabhängig. Eine bestehende ISO-27001-Zertifizierung hat auf Ihr TISAX-Assessment nur insofern einen Einfluss, als dass beide Regelwerke eine ähnliche Abdeckung haben. Mit bestehender ISO-Zertifizierung ist es also wahrscheinlich, dass Ihr Unternehmen auch einen Großteil der TISAX-Anforderungen erfüllt.

Was fordert TISAX, was ISO nicht fordert?

Die ISO 27001 und TISAX® sind zwei unterschiedliche Konzepte. Das TISAX-Modul Informationssicherheit baut auf der ISO-Norm auf, weil diese das international  anerkannte Regelwerk für Informationssicherheit ist, und der Schutz sensibler Daten in der Automobilbranche eine sehr wichtige Rolle spielt.

Die Fragen, die der Auditee beantworten muss, sind jedoch nicht deckungsgleich. Darüber hinaus formuliert TISAX einen anderen Geltungsbereich (Scope) als die ISO 27001 und der Auditee muss in der Umsetzung der Maßnahmen einen gewissen Reifegrad erreichen. Diese detaillierte Qualifizierung ist bei der ISO 27001 nicht gegeben.

Access Management als Teil des ISMS

Das Besondere an Sicherheitszertifizierungen ist, dass sie keine konkreten Maßnahmen vorschreiben, sondern Ziele vorgeben. Das bedeutet, dass sie einen Standard XY voraussetzen, aber dem Auditee nicht vorschreiben, wie dieser Standard zu erreichen ist. Sicherheitszertifizierungen sind demnach ergebnisoffen: Wie das Unternehmen das Ziel erreicht, ist für eine erfolgreiche Zertifizierung nicht maßgeblich.

Ziel der ISO 27001 und des Moduls “Informationssicherheit” der TISAX-Zertifizierung ist es, dass die IT-Sicherheit in einem Unternehmen geplant, überwachtgeprüft und laufend verbessert wird. Dies setzt im wesentlichen drei Dinge voraus: standardisierte Prozesse, automatisierte Workflows und revisionssichere Reports.


Aus diesem Grund entscheiden sich viele Unternehmen dafür, als ersten Schritt auf dem Weg zu einem effektiven Information Security Management System eine professionelle Benutzerverwaltung zu implementieren.

Starten Sie Bottom up

Sie können kein Soufflé backen, wenn Ihnen grundlegende Küchen-Skills fehlen. Und genauso wenig können Sie ein ausgereiftes Konzept für Informationssicherheit und Risikomanagement umsetzen, solange die Sicherheitslücken in den alltäglichen Arbeitsabläufen nicht geschlossen sind. In den meisten Unternehmen fallen diese Lücken erst auf, wenn jemand von außen die Prozesse unter die Lupe nimmt. Das können Sie besser! Schaffen Sie Ordnung an der Basis und kümmern Sie sich dann um die nächste Ebene.

TISAX-Vorbereitung

TISAX-Vorbereitung mit Access Management

Bei der TISAX-Zertifizierung geht es in erster Linie darum, zu beweisen, dass die Ihnen anvertrauten sensiblen Informationen sicher verwaltet werden. Sie müssen also sicherstellen, dass die Daten zuverlässig sowohl vor externen als auch vor (unbefugten) internen Zugriffen geschützt werden. Der schnellste Weg, dies zu erreichen, führt über ein professionelles Access Management System (Berechtigungsmanagement).

In den meisten Unternehmen, die bislang ohne Berechtigungsmanagement- oder IAM-Software gearbeitet haben, herrscht eine unklare Berechtigungssituation. Niemand weiß genau, welcher Mitarbeiter auf welche Daten Zugriff hat, und noch weniger Menschen wissen, wer ihm oder ihr diese Zugriffe wann erteilt hat.

Was leistet tenfold?

tenfold bringt Ordnung ins Chaos, indem die Software Prozesse, die bisher manuell abliefen, standardisiert und anschließend in Workflows automatisiert.

Die Vergabe von Zugriffsrechten wird an die jeweilige Fachabteilung gebunden (Data Owner) und ein automatisierter Rezertifizierungs-Prozess stellt sicher, dass es im gesamten Unternehmen keine veralteten und/oder falschen Berechtigungen mehr gibt. Ein zentrales und revisionssicheres Reporting sorgt dafür, dass Sie sämtliche Berechtigungen für alle verwendeten Systeme, Programme und Anwendungen auf einen Blick sehen können.

[GRATIS WHITEPAPER] Best Practices im Berechtigungsmanagement in Microsoft® Umgebungen

Wie man mit Berechtigungen in Microsoft® Umgebungen am besten umgeht, lesen Sie in unserem Whitepaper.

Zum Download

[GRATIS WHITEPAPER] Best Practices im Berechtigungsmanagement in Microsoft® Umgebungen

Wie man mit Berechtigungen in Microsoft® Umgebungen am besten umgeht, lesen Sie in unserem Whitepaper.

Zum Download

TISAX-Anforderungen: Was deckt tenfold ab?

Selbstverständlich reicht es für eine umfassende TISAX-Vorbereitung nicht aus, eine Software für Berechtigungsmanagement zu implementieren. Sie schaffen hiermit jedoch eine stabile Basis, auf der sie aufbauen können.

tenfold schließt vor allem jene Sicherheitslücken, die durch die manuelle Berechtigungsvergabe und durch die Arbeit mit verschiedenen, nicht zentralisierten Systemen, Programmen und Anwendungen entstehen. Im Folgenden schauen wir uns an, welche Anforderungen aus dem TISAX-Fragenkatalog tenfold konkret erfüllt.

Identity und Access Management (VDA ISA Baustein 4)

Im VDA-ISA-Katalog gibt es einen eigenen Abschnitt für den Bereich Identity und Access Management. Den vollständigen Katalog können Sie hier downloaden. Bei den durch tenfold abgedeckten Vorgaben handelt es sich im Wesentlichen um die Abschnitte 4.1 und 4.2 des Bausteins Identity und Access Management:

Frage: Inwieweit ist der Umgang mit Identifikationsmitteln gemanagt?

Ziel: Um die Berechtigung für den physischen Zutritt wie auch elektronischen Zugang zu prüfen, werden oft Identifikationsmittel wie Schlüssel, Sichtausweise oder kryptographische Tokens verwendet. Die Schutzmerkmale sind nur dann verlässlich, wenn der Umgang mit solchen Identifikationsmitteln adäquat gehandhabt wird.

Lösung in tenfold: Über das interne Berechtigungswesen von tenfold können die unterschiedlichen operativen und kontrollierenden Instanzen abgebildet werden. Mitarbeiter werden in tenfold erfasst und über ihr tenfold-Benutzerkonto eindeutig identifiziert. Der elektronische Zugang zu sämtlichen Ressourcen wird ausschließlich über tenfold gesteuert und dokumentiert.

Für das Management des physischen Zutritts gibt es in tenfold direkt keine Funktion. Mithilfe einer Schnittstelle ist es allerdings möglich, physische Zutrittssysteme über Berechtigungsprofile zu steuern. Dadurch wird der physische Zutritt bei einem Abteilungswechsel automatisch angepasst. Aktuell ist es z.B. möglich, tenfold über das PKE SMS Plugin mit dem Schließsystem von PKE zu integrieren, um den physischen Zutritt der Mitarbeiter zu managen.

Frage: Inwieweit wird der Zugang von Benutzern zu Netzwerkdiensten, IT-Systemen und IT-Anwendungen gesichert?

Ziel: Der Zugang zu IT-Systemen soll nur sicher identifizierten (authentifizierten) Benutzern möglich sein. Dafür wird die Identität eines Benutzers durch geeignete Verfahren sicher festgestellt.

Lösung in tenfold: Sämtliche Mitarbeiter werden in tenfold erfasst. Durch die Synchronisierung mit dem Active Directory sorgt die Software dafür, dass jedem Mitarbeiter EIN Benutzerkonto zugeordnet ist, in dem sämtliche Zugänge und Berechtigungen verwaltet werden. Der Benutzer ist über sein tenfold-Benutzerkonto also eindeutig identifiziert. Der elektronische Zugang zu sämtlichen Ressourcen wird ausschließlich über tenfold gesteuert und dokumentiert. Mithilfe von Berechtigungsprofilen wird sichergestellt, dass ausschließlich (vom Data Owner) autorisierte Mitarbeiter Zugang zu IT-Systemen haben. Fällt diese Autorisierung weg (z.B. aufgrund eines Abteilungswechsels), werden automatisch sämtliche Zugangsberechtigungen entzogen.

Frage: Inwieweit werden Benutzerkonten und Anmeldeinformationen sicher verwaltet und angewandt?

Ziel: Der Zugang zu Informationen und IT-Systemen erfolgt über validierte Benutzerkonten, welche einer Person zugeordnet sind. Es ist wichtig, dass Anmeldeinformationen geschützt werden sowie eine Nachvollziehbarkeit von Transaktionen und Zugriffen sichergestellt ist.

Lösung in tenfold:

Mitarbeiter werden in tenfold erfasst. Der Datensatz für einen Mitarbeiter umfasst einen konfigurierbaren Umfang an Attributen. Darüber hinaus kann tenfold diese Attribute auch automatisch aus anderen Systemen, z.B. der Personalmanagement-Software, übernehmen.

Frage: Inwieweit werden Zugriffsberechtigungen vergeben und gemanagt?

Ziel: Das Management von Zugriffsberechtigungen dient dazu, dass nur berechtigte (autorisierte) Benutzer Zugriff auf Informationen und IT-Anwendungen haben. Zu diesem Zweck werden den Benutzerkonten Zugriffsrechte zugewiesen.

Lösung in tenfold: In tenfold können Profile erzeugt werden, die systemübergreifend Berechtigungen beinhalten. Die Zuordnung der Profile zu Benutzern kann automatisch über deren Organisationseinheit erfolgen. Zusätzliche Berechtigungen können über Self Service angefordert werden und müssen in einem Workflow vom Verantwortlichen (Data Owner) genehmigt werden.

Berechtigungen, die der Benutzer über Standardprofile erhalten hat, werden beim Abteilungswechsel automatisch mit wählbarer Übergangsfrist entfernt. Ebenso werden neue Berechtigungen über entsprechende Profile automatisch zugeordnet. Zusätzlich vergebene Berechtigungen werden im Rahmen der regelmäßigen Rezertifizierung kontrolliert und bei Bedarf entfernt.

Die Einhaltung des POLP (Least Privilege-Prinzip) ist eines der Hauptziele von tenfold. Dieses Ziel wird über eine Vielzahl von Funktionen verfolgt: die automatische Anpassung von Berechtigungen über Profile, die transparente Darstellung von Berechtigungen in der Microsoft-Infrastruktur und nicht zuletzt über die Dokumentation und regelmäßige Kontrolle der Zugangsrechte.

tenfold testen

tenfold Download

Mit der tenfold-Testversion lernen Sie den vollen Funktionsumfang unserer Software kennen und erfahren, wie Sie Ihre Berechtigungen in Zukunft einfach und effizient managen können. Selbstverständlich ist dieser Test für Sie kostenlos und unverbindlich!

tenfold testen