TISAX Zertifizierung – Alles zu Anforderungen, Ablauf und Kosten
Um sicherzustellen, dass Baupläne und technische Daten auch bei der Weitergabe an Zulieferer geschützt bleiben, verpflichten Autohersteller ihre Geschäftspartner mit dem TISAX-Standard zum Nachweis der Informationssicherheit. Welche Anforderungen TISAX an Zulieferer stellt, wie die TISAX Zertifizierung abläuft und mit welchen Kosten Firmen dabei rechnen müssen, erfahren Sie in unserem Beitrag.
Was ist TISAX?
TISAX (Trusted Information Security Assessment Exchange) ist eine Zertifizierung aus dem Automotive-Sektor, mit der Zulieferer und Dienstleister den Nachweis der IT-Sicherheit gegenüber Fahrzeugherstellern erbringen. Mit TISAX hat der Verband der Automobilindustrie eine einheitliche Compliance-Plattform geschaffen, so dass Zulieferer für die Zusammenarbeit mit unterschiedlichen Automobilfirmen nur mehr eine Zertifizierung erbringen müssen.
Inhaltlich basiert TISAX auf der Sicherheitsnorm ISO 27001 und definiert analog dazu Anforderungen an den Aufbau eines Informationssicherheitsmanagementsystems (ISMS). Darunter versteht man ein System, das Aufgaben und Verantwortlichkeiten rund um die Informationssicherheit in einer Organisation regelt. TISAX ergänzt ISO 27001 jedoch um zusätzliche Anforderungen im Bereich Datenschutz und Prototypenschutz.
Wichtige Ressourcen für die TISAX-Zertifizierung:
Während deutsche Autohersteller den TISAX-Standard verwenden, gibt es in anderen Regionen eigene Regelwerke wie z.B. TPISR in den USA.
Ist TISAX verpflichtend?
Eine TISAX-Zertifizierung ist zwar nicht gesetzlich vorgeschrieben, aber sie stellt eine Voraussetzung für Geschäftsbeziehungen mit den teilnehmenden Autoherstellern dar. Um Verträge zu gewinnen und Lieferverhältnisse aufrecht zu erhalten, ist TISAX für Zulieferer also unumgänglich.
Betrifft TISAX auch Tier 2 Zulieferer?
Ob auch Lieferanten auf tieferen Ebenen der Lieferkette bzw. Lieferpyramide (also die Zulieferer von Zulieferern) eine TISAX Zertifizierung brauchen, hängt letztlich davon ab, ob dies Teil der Verträge mit ihren unmittelbaren Geschäftspartnern ist. Grundsätzlich müssen Firmen im Rahmen der TISAX Zertifizierung sicherstellen, dass auch Kooperationspartner und Auftragnehmer “ein angemessenes Sicherheitsniveau beibehalten.”
Dazu müssen Firmen Risikobewertungen bezüglich der Informationssicherheit durchführen und vertragliche Vereinbarungen an Auftragnehmer und Partner weitergeben. Entsprechend brauchen auch Tier 2 und Tier 3 Zulieferer immer öfter eine TISAX Zertifizierung.
Was ist der Unterschied von TISAX und ISO 27001?
TISAX baut weitgehend auf der Norm ISO 27001 auf, unterscheidet sich jedoch durch zusätzliche Anforderungen und seinen Prüfungsprozess. Neben den Vorgaben an die Informationssicherheit umfasst TISAX zwei eigene Abschnitte zum Prototypenschutz und DSGVO-konformem Umgang mit personenbezogenen Daten. Anders als ISO 27001 gibt die TISAX Zertifizierung zudem einen Standard-Prüfscope vor, der alle für das Prüfziel relevante Unternehmensbereiche umfasst.
Unterschied TISAX vs. ISO 27001:
Zusatzanforderungen an Prototypenschutz
Zusatzanforderungen an Datenschutz
Vorgegebener Standard-Scope für Prüfungen
Bewertung über Reifegrad-Modell (Zielreifegrad 3)
Keine jährlichen Kontroll-Audits
ISO 27001: Anforderungen an das Access Management
In unserem Whitepaper erfahren Sie alles über die ISO Vorbereitung, wichtige Dokumente und die Vorgaben an das Identity und Access Management.
TISAX Level, Label und Prüfziele: Wichtige Begriffe
Um sich erfolgreich auf die TISAX Zertifizierung vorzubereiten, ist es wichtig, einige grundlegende Begriffe rund um die Norm zu kennen und ihre Unterschiede zu verstehen. Hier eine kurze Erklärung der wichtigsten Schlagwörter.
TISAX Prüfziel: Nicht jede TISAX Anforderungen ist für jeden Zulieferer relevant. Deswegen können Firmen aus 10 verschiedenen Prüfzielen wählen oder diese kombinieren, die jeweils einen Teilbereich des gesamten Anforderungskatalogs abdecken (z.B. Prototypenschutz).
TISAX Label: Abhängig vom gewählten Prüfziel erhalten Firmen nach bestandenem Audit dass dazugehörende TISAX Label. Das Prüfziel Schutz von Prototypenbauteilen entspricht zum Beispiel dem Label Proto Parts.
TISAX Level: Der Assessment-Level (AL) gibt an, wie die Einhaltung der TISAX Anforderungen überprüft wird. Je nach gewähltem Prüfziel sind unterschiedliche Level vorgeschrieben. Level 1 entspricht einer Selbsteinschätzung und wird in offiziellen Audits nicht verwendet. Bei Level 2 Assessments prüft ein externer Auditor das Self-Assessment und führt Remote-Interviews durch. Level 3 Assessments erfolgen vor Ort.
TISAX Zertifizierung
Mit der TISAX Zertifizierung erbringen Zulieferer von Autoherstellern den Nachweis, dass ihre IT-Sicherheit den Anforderungen aus dem Information Security Assessment Katalog (VDA ISA) entspricht. Dazu müssen Firmen die für sie relevanten TISAX-Prüfziele auswählen, die zugehörigen Anforderungen erfüllen, Dokumente und Self-Assessments vorbereiten und zuletzt den Audit eines unabhängigen Prüfdienstleisters bestehen.
Anschließend können Zulieferer das Ergebnis ihres TISAX-Audits über die Exchange-Plattform mit teilnehmenden Autofirmen teilen und so ihre TISAX Compliance nachweisen. Mehr über den genauen Ablauf der TISAX Zertifizierung, von der Vorbereitung über die Prüfung bis zur Korrektur von Problemen, erfahren Sie in unserer Übersicht.
TISAX Zertifizierung: Anforderungen
Die Voraussetzungen der TISAX Zertifizierung sind im Katalog VDA ISA in Form von Kontrollfragen und Mindestanforderungen dokumentiert. Die genauen Anforderungen sowie die Art des Prüfaudits (remote oder vor Ort), hängen von dem gewählten Prüfziel bzw. TISAX-Label ab. Wichtig ist, dass die getroffenen Maßnahmen den Mindestreifegrad erreichen. Organisationen müssen also in jedem Teilbereich einen Reifegrad der Stufe 3 oder höher nachweisen:
Reifegrad 3 (etabliert): “Es wird einem Standardprozess gefolgt, der in das Gesamtsystem integriert ist. Abhängigkeiten zu anderen Prozessen sind dokumentiert und geeignete Schnittstellen geschaffen. Es existieren Nachweise, dass der Prozess über einen längeren Zeitraum nachhaltig und aktiv genutzt wurde.”
| TISAX Prüfziel/Label | Anforderungen | Assessment Level (AL) |
|---|---|---|
| Info high | Kriterienkatalog Informationssicherheit: sollte, muss und hoher Schutzbedarf | Level 2 |
| Info very high | Kriterienkatalog Informationssicherheit: sollte, muss, hoher und sehr hoher Schutzbedarf | Level 3 |
| High availability | Kriterienkatalog Informationssicherheit: sollte, muss und hoher Schutzbedarf (falls mit A markiert) | Level 2 |
| Very high availability | Kriterienkatalog Informationssicherheit: sollte, muss, hoher und sehr hoher Schutzbedarf (falls mit A markiert) | Level 3 |
| Proto Parts | Kriterienkatalog Prototypenschutz: sollte und muss aus Abschnitt 8.1, 8.2 und 8.3 | Level 3 |
| Proto vehicles | Kriterienkatalog Prototypenschutz: sollte, muss und Zusatzanforderungen aus 8.1, 8.2 und 8.3 | Level 3 |
| Test vehicles | Kriterienkatalog Prototypenschutz: sollte und muss aus Abschnitt 8.2, 8.3 und 8.4 | Level 3 |
| Proto events | Kriterienkatalog Prototypenschutz: sollte und muss aus Abschnitt 8.2, 8.3 und 8.5 | Level 3 |
| Data | Kriterienkatalog Informationssicherheit: sollte, muss und hoher Schutzbedarf (falls mit C markiert) Plus Kriterienkatalog Datenschutz | Level 2 |
| Special Data | Kriterienkatalog Informationssicherheit: sollte, muss, hoher und sehr hoher Schutzbedarf (falls mit C markiert) Plus Kriterienkatalog Datenschutz | Level 3 |
TISAX Zertifizierung: Ablauf
Von der Lektüre der Sicherheitsanforderungen bis zur erfolgreichen Zertifizierung ist es ein weiter Weg. Aber keine Sorge: Mit unserer Schritt-für-Schritt-Anleitung wissen Sie jederzeit, was zu tun ist.
Vorbereitung: Das Unternehmen informiert sich über die TISAX-Anforderungen, wählt die passenden Prüfziele aus und beginnt mit der Vorbereitung der nötigen Dokumente.
Registrierung: Das Unternehmen registriert sich für TISAX und gibt eine Selbsteinschätzung auf Basis des VDA-ISA-Fragenkataloges inkl. der angestrebten Labels ab.
TISAX-Prüfer wählen: Die Firma wählt einen unabhängigen Prüfdienstleister aus.
Plausibilitäts- bzw. Erstprüfung: Der Prüfdienstleister kontrolliert, ob die Angaben aus dem Self-Assessment vollständig und plausibel sind, etwa durch die Prüfung von internen Dokumenten als Nachweis.
Optimierung: Das Unternehmen beseitigt alle Fehler und Probleme, die sich im Zuge der Erstprüfung zeigen.
Assessment: Je nach gewähltem Prüfziel findet ein Remote-Audit (Level 2) oder ein Vor-Ort-Audit (Level 3) statt.
Optimierung: Das Unternehmen beseitigt alle Fehler und Probleme, die sich im Zuge des TISAX-Assessments gezeigt haben.
Nachprüfung: Das geprüfte Unternehmen muss beweisen, dass sämtliche im Zuge des Assessment festgestellten Schwachstellen beseitigt wurden.
Exchange: Das Unternehmen veröffentlicht das Ergebnis der Prüfung über die TISAX Exchange (freiwillig).
TISAX Zertifizierung: Dauer
Von der Erstprüfung (erfolgt nach der Selbsteinschätzung) bis zum TISAX-konformen Prüfergebnis dürfen nicht mehr als neun Monate vergehen. Sämtliche Abweichungen und Schwachstellen, die während des Prüfprozesses identifiziert werden, müssen innerhalb dieser Zeit vom Unternehmen behoben werden. Wurden alle erforderlichen VDA-ISA-Anforderungen erfüllt, erhält das Unternehmen die TISAX-Zertifizierung. Diese ist drei Jahre lang gültig und es finden keine jährlichen Überwachungsaudits statt.
TISAX Zertifizierung: Kosten
Die Gesamtkosten der TISAX-Zertifizierung setzen sich aus den Kosten des Audits, etwaigen Beratungsleistungen sowie der Implementierung der nötigen Sicherheitsmaßnahmen zusammen. Die Kosten des TISAX-Audits, die nach offizieller Preisliste bei rund 400€ pro geprüftem Standort liegen, machen dabei den geringsten Teil aus.
Unternehmen, die für TISAX ihr ISMS neu aufbauen oder stark überarbeiten müssen und dabei auf die Beratung durch erfahrene Compliance-Spezialisten zurückgreifen, müssen mit Kosten von 20.000€ bis 50.000€ rechnen, je nach Komplexität des Projekts. Firmen, die bereits ein ISMS implementiert haben und auf Zertifizierungen wie ISO 27001 oder den BSI IT Grundschutz aufbauen können, haben es in der Vorbereitung natürlich leichter.
TISAX und Access Management: Sensible Daten schützen
Die TISAX-Zertifizierung hat die Aufgabe sicherzustellen, dass die geschäftskritischen Daten zu Bauteilen, Technologien, Prototypen und Fertigungsprozessen, die Automobilfirmen mit ihren Partnerunternehmen teilen, auch im Netzwerk des Zulieferers gut geschützt bleiben. Um den Schutz sensibler Informationen zu gewährleisten, sind eine Vielzahl an Sicherheitsvorkehrungen notwendig. Im Zentrum steht dabei jedoch eine Frage: Wer hat Zugriff auf diese Daten?
Zulieferer und Partnerunternehmen müssen jederzeit sicherstellen, dass nur vorgesehene Personen auf die sensiblen Daten der Automobilindustrie zugreifen können. Diese müssen also zuverlässig vor Cyberattacken und vor unberechtigten Zugriffen innerhalb des Unternehmens geschützt werden – sogenannten Insider Threats wie z.B. Datendiebstahl durch Mitarbeiter. Und Firmen müssen nachweisen können, dass sie den Zugang zu Informationen nach diesen Vorgaben eingeschränkt haben.
Genau deshalb brauchen Unternehmen Identity und Access Management. IAM-Lösungen stellen sicher, dass Zugriffsrechte innerhalb der Organisation – wie z.B. NTFS-Berechtigungen auf dem Fileserver – automatisch nach Best Practices wie dem Least Privilege Prinzip vergeben werden. Benutzer, die Zugriff auf geschützte Informationen benötigen, erhalten diesen im Rahmen der rollenbasierten Berechtigungsvergabe oder können über eine Self-Service Plattform Zugang anfordern. Durch User Life Cycle Management und laufende Kontrollen verlieren Benutzer nicht benötigte Rechte automatisch wieder.
Best Practices im Access Management in Microsoft Umgebungen
Dieses Whitepaper enthält eine detaillierte Anleitung zur korrekten Einstellung von Berechtigungsstrukturen mit technischen Detailinformationen.
TISAX Anforderungen: Keine Zertifizierung ohne IAM
Für den Aufbau eines Informationssicherheitsmanagementsystems (ISMS), wie es TISAX fordert, müssen Unternehmen viele Punkte beachten, von Risikoanalysen über Malware-Schutz bis hin zur physischen Absicherung des Betriebsgeländes. Um die TISAX-Zertifizierung zu bestehen müssen Firmen dabei auch beweisen, dass der Zugang zu IT-Anwendungen und wichtigen Daten angemessen verwaltet und eingeschränkt wird.
Um die TISAX-Zertifizierung erfolgreich abzuschließen, ist Identity und Access Management also ein Must-Have. Denn wer Konten und Rechte in dutzenden Systemen sicher verwalten und dabei jederzeit die eigene Compliance nachweisen möchte, braucht eine automatisierte Software-Lösung. Anders lässt sich weder der Arbeitsaufwand bewältigen, noch die korrekte Vergabe aller Zugriffsrechte garantieren.
tenfold unterstützt Sie bei der TISAX-Compliance! Die Anforderungen, die TISAX an das Identity & Access Management eines Unternehmens stellt, sind in den Abschnitten 4.1 und 4.2 des VDA ISA Katalogs dokumentiert. Die wichtigste Information in Kürze: tenfold erfüllt alle relevanten Kriterien der Richtlinie.
Kontrollfrage: Inwieweit ist der Umgang mit Identifikationsmitteln (Schlüssel, Tokens, Ausweise) gemanagt?
Lösung in tenfold: Das zentrale Berechtigungsmanagement in tenfold erlaubt es Firmen, Benutzer eindeutig zu identifizieren und automatisch die richtigen Ressourcen zuzuordnen. Über Ticketsysteme, die Verknüpfung mit Active Directory Gruppen oder Plugins wie PKE Security Management ist es dabei auch möglich, die Vergabe von physischen Ressourcen wie Keycards zu steuern und zu überwachen.
Kontrollfrage: Inwieweit wird der Zugang von Benutzern zu Netzwerkdiensten, IT-Systemen und IT-Anwendungen gesichert?
Lösung in tenfold: Die automatische Benutzer- und Berechtigungsverwaltung in tenfold stellt sicher, dass Mitarbeiter zu jeder Zeit nur auf die für sie vorgesehenen IT-Ressourcen zugreifen können. Unternehmen behalten dabei stets den Überblick und können Konten und Zugriffsrechte über eine zentrale Plattform verwalten. Auch Richtlinien für die Multi-Faktor Authentifizierung können über tenfold gesteuert werden, sofern das jeweilige Zielsystem MFA unterstützt. Die Kontrolle von Rechten im Rahmen von Access Reviews sorgt dafür, dass nicht benötigte Zugänge zeitnah entfernt werden.
Kontrollfrage: Inwieweit werden Benutzerkonten und Anmeldeinformationen sicher verwaltet und angewandt?
Lösung in tenfold: Die Provisionierung neuer IT-Benutzer erfolgt in tenfold automatisch anhand der zuvor definierten Standardrechte für unterschiedliche Geschäftsrollen. Bei der Vergabe neuer Zugangsdaten richtet sich tenfold nach den Passwort-Richtlinien des jeweiligen Zielsystems. Über die mitgelieferte Self-Service Plattform können User selbst Passwort-Resets beantragen. Sämtliche Anpassungen werden zur späteren Nachvollziehbarkeit vollständig dokumentiert.
Kontrollfrage: Inwieweit werden Zugriffsberechtigungen vergeben und gemanagt?
Lösung in tenfold: tenfold ermöglicht die einfache Umsetzung des von TISAX vorgesehenen Least Privilege Prinzips (= Minimalprinzip). Die Software weist jedem Benutzer über rollenbasierte Berechtigungsvergabe automatisch die richtigen Zugriffsrechte für seine Abteilung, Aufgabe, Position usw. zu. Ändert sich die Rolle eines Mitarbeiters, passt tenfold auch dessen Zugriff automatisch an oder entfernt ihn bei Bedarf.
Falls notwendig können User neue Berechtigungen per Self-Service beantragen. Anträge werden von Data Ownern innerhalb der Abteilung bearbeitet, ohne die IT zu belasten. Im Rahmen der Access Reviews kontrollieren Data Owner zudem regelmäßig, ob Zugriffsrechte auf ihre Daten noch benötigt werden. So ist die Compliance jederzeit gewährleistet.
Lösung in tenfold: Das zentrale Berechtigungsmanagement in tenfold erlaubt es Firmen, Benutzer eindeutig zu identifizieren und automatisch die richtigen Ressourcen zuzuordnen. Über Ticketsysteme, die Verknüpfung mit Active Directory Gruppen oder Plugins wie PKE Security Management ist es dabei auch möglich, die Vergabe von physischen Ressourcen wie Keycards zu steuern und zu überwachen.
tenfold: Schnell und einfach zur Compliance
Von Cyberangriffen über Sicherheitsstandards: Es führt kein Weg mehr an Identity und Access Management vorbei. Das Problem an der Sache? Gängige IAM-Systeme sind oft mit hohem Aufwand und Kosten verbunden. Das Erstellen eigener Anbindungen und Workflows verschlingt Zeit und Geld, mehrjährige Projektphasen sind keine Seltenheit.
Doch es gibt einen einfacheren Weg: Als No-Code IAM Lösung kann tenfold in wenigen Wochen vollständig implementiert werden. Die Konfiguration der mitgelieferten Plugins erfolgt dabei allein über die komfortable Benutzeroberfläche. So bringt Sie tenfold in Rekordzeit zur sicheren, automatischen und Compliance-gerechten Zugriffsverwaltung. Überzeugen Sie sich selbst und testen Sie jetzt!
Überzeugen Sie sich selbst: Zugriffsmanagement leicht gemacht mit No-Code IAM!