MIt Sicherheit zum Label:
TISAX® schützt Informationen, Innovationen und Ingenieurskunst
Im rasanten Tempo wird die Automobilbranche umgekrempelt. Nun werden die Zulieferer aufgefordert, Innovationen und Informationen zu schützen. Dabei hilft TISAX® – der Weg durch das Assessment zum Label muss nicht schwer sein.
Fordern Sie Ihre kostenlose Erstberatung an und navigieren Sie sicher durch das Audit:
Der TISAX® Standard im Überblick
- Unternehmen sollten ein TISAX®-Assessment rechtzeitig planen, denn bis zum erfolgreichen Abschluss des Assessments dauert es etwa ein Jahr.
- TISAX® ist ein Akronym für Trusted Information Security Assessment Exchange und definiert den Standard für Informationssicherheitsmanagementsysteme (ISMS) in der Automobilindustrie.
- Die ISO 27001 bildet die Basis für den TISAX®-Standard, letzteres wurde aber speziell für die Automobilindustrie entwickelt.
- TISAX® ist ein Prüf- und Austauschverfahren sowie auch eine Marke der ENX Association, des Europäischen Verbands der Automobilindustrie.
- Die ENX schafft mit TISAX® bei allen Teilnehmern einheitliche Anforderungen im Hinblick auf die Informationssicherheit, den Prototypenschutz und den Datenschutz und schafft Vergleichbarkeit.
Cybersecurity-Professionals
Wir wissen, was wir tun: denn alle Berater werden selbstverständlich nach zum Erhalt und Nachweis der Fachkunde aus- und fortgebildet. So kommen Sie schnell und ohne Umwege zu Ihren Labels.
+ 20 Jahre Erfahrung
firstbyte digital consulting bietet Ihnen mit über 20 Jahren Erfahrung einen starken Partner mit viel Know-how, Herzblut und Pragmatismus.
Volle Kostenkontrolle
Unsere einfache Preisstruktur bietet Ihnen Planungssicherheit. Keine versteckten Kosten – keine überteuerten Stundensätze: nur value-based fees. Wir schaffen Mehrwert.
Was ist TISAX® und wofür steht das Wort?
TISAX® steht für Trusted Information Security Assessment Exchange.
Wie schon das englische Wortungetüm verrät, ist eines der wesentlichen Ziele von TISAX®, den Austausch des Informationssicherheitslevels zu vereinheitlichen. Grundlage hierfür ist der international anerkannte ISO-Standard 27001, auf den häufig referenziert wird. Der VDA, der Verband der Deutschen Automobilindustrie gab einst den Anstoß, seit 2000 So ist TISAX® seit dem Jahr 2000 eine eingetragene Marke der ENX Association, des Verbands der europäischen Automobilindustrie. Inzwischen ist TISAX® ein europaweiter Standard und in den alltäglichen Sprachgebrauch der Automotive Industrie übergegangen. Zukünftig soll der automobile Informationssicherheitsstandard weltweit Anwendung finden.
Der VDA veröffentlicht einen ISA-Fragebogen des VDA (VDA-ISA, auch oft als „TISAX® Fragenkatalog“ oder „TISAX® Anforderungen“ bezeichnet). Dieser bildet die Grundlage für das Audit. ISA steht für Information Security Assessment. Das Vorgehen, wie das Audit abläuft und auf welche Punkte ein Prüfdienstleister eingeht, steht im TISAX® Teilnehmerhandbuch.
Die TISAX® Plattform
Der Begriff TISAX® bezeichnet neben dem Standard auch eine Plattform, mit derer Hilfe sich Unternehmen der Automobilindustrie das geforderte Niveau in der Informationssicherheit
- prüfen lassen,
- dokumentieren und
- nachweisen
können. Neben dem aktiven Teilnehmer, dem passiven Teilnehmer arbeiten auch die- Prüfdienstleister über die Plattform. Der aktive Teilnehmer (häufig Automobilhersteller) fordert vom passiven Teilnehmer (Zulieferer) die Prüfung durch ein Audit/Assessment an, der passive Teilnehmer teilt über das Portal dem aktiven Teilnehmer das Prüfergebnis mit Hilfe sog. Labels mit. Der Betreiber der Plattform ist die ENX.
Wozu dient der TISAX®-Standard?
Schon früher hat jeder OEM eigene Anforderungen an die Informationssicherheit seiner Lieferanten gestellt. Jedoch waren diese Anforderung höchst unterschiedlich formuliert und damit ging eine erhöhte Komplexität des Nachweisverfahrens einher. Insbesondere wenn ein Lieferant mehrere OEMs beliefert hat, war das Ausmaß an Komplexität entsprechend groß.
Die Bewertung mit Hilfe von TISAX®/VDA ISA gestaltet sich daher deutlich einfacher, effizienter und neutraler.
Wie grenzen sich TISAX® und ISO 27001 voneinander ab?
Auch wenn die ISO 27001 die Grundlage für die Entwicklung von TISAX® war, gibt es wesentliche Unterschiede:
Abgrenzung ISO 27001 zum TISAX®-Standard
| ISO 27001 | TISAX® | |
|---|---|---|
| ISMS | • High Level Structure (HLS) • Zertifizierungsgrundlage • Vollständiges Managementsystem • Formales Statement of Applicability (SoA, Anwendungserklärung) | • Basiert auf ISO 27001 • kein vollständiges Managementsystem • Self-Assessment als SoA |
| Zertifizierung | • Zertifizierung des ISMS • Zertifikat | • Zertifizierung der VDA ISA-Anforderungen • Label auf Plattform |
| Gültigkeit/ Audits | • 3 Jahre • jährliche Überwachungsaudits | • 3 Jahre • keine Überwachungsaudits |
Wer benötigt ein TISAX®-Label?
Die Automobilhersteller und auch einige große Zulieferer fordern den Nachweis eines erfolgreich bestandenen TISAX®-Assessments in Form eines Labels von ihren Zulieferern. Eine gesetzliche Anforderung oder eine Verpflichtung dazu gibt es jedoch nicht. Denn ohne ein TISAX®-Label als Nachweis des erfolgreichen TISAX®-Assessments wird eine Zusammenarbeit mit den OEMs nicht zustande kommen oder auch schlimmstenfalls beendet.
Ist TISAX® auch für kleine Betriebe verpflichtend?
Die großen Marktteilnehmer und die Automobilhersteller haben sich geeinigt, dass möglichst alle Zulieferer und Lieferanten über ein TISAX®-Label die erfolgreiche Einführung und Betrieb eines ISMS nachzuweisen haben. Damit wird der Nachweis einen entsprechend geforderten TISAX®-Labels zur Grundvoraussetzung in dieser Branche. Nichtsdestotrotz gilt: ein TISAX®-Assessment ist freiwillig. Es gibt keine Rechtsvorschrift, nach der ein Unternehmen ein gültiges TISAX®-Label nachweisen müsste.
Können die Anforderungen von kleinen Betrieben erfüllt werden?
Die Anforderungen des ISA-Katalogs kann jedes Unternehmen unabhängig seiner Betriebsgröße erfüllen. Und je größer, internationaler und damit komplexer ein Unternehmen ist, desto höher ist auch der Aufwand, TISAX® erfolgreich einzuführen.
Welche Anforderungen müssen für TISAX® erfüllt sein?
Als Basisanforderung fordert TISAX® das sog. Prüfziel „Info high“ und umfasst, wie auch die ISO 27001, standardmäßig die Informationssicherheit. Abhängig jedoch von der Erwartung des Kunden, können jedoch optionale erweiterte Prüfziele wie „Prototypenschutz“ oder „Datenschutz“ gefordert werden.
Zusätzlich wird durch den Schutzbedarf – sogenannte Assessment-Level – weitere Anforderungen an die Nachweise und die Konformitätsprüfung gestellt. Prüfziele können voneinander abhängen und auch das Assessment-Level und damit auch der Aufwand zur Erreichung des Prüfziels.
Wie viele Prüfziele und Assessment-Level gibt es?
Es gibt insgesamt acht Prüfziele. Das erste Prüfziel „Info high“ – Informationen mit hohem Schutzbedarf – ist das kleinste zu erfüllende Prüfziel. Alle weiteren Prüfziele sind optional und können untereinander abhängig sein.
Die weiteren Prüfziele sind:
- „Info very high“: Informationen mit sehr hohem Schutzbedarf
- „Proto Parts“: Schutz von Prototypenbauteilen und -komponenten
- „Proto vehicles“: Schutz von Prototypenfahrzeugen
- „Test vehicles“: Umgang mit Erprobungsfahrzeugen
- „Data“: Datenschutz gem. Art. 28 DSGVO (Auftragsverarbeiter)
- „Special Data“: Datenschutz gem. Art. 28 DSGVO (Auftragsverarbeiter) bei besonderen Kategorien personenbezogener Daten
Je höher der Schutzbedarf einer Information ist, desto mehr muss sichergestellt sein. dass die Informationssicherheit gewährleistet ist. Mit höherem Schutzbedarf werden auch höhere Anforderungen an die Konformitätsprüfung gestellt. TISAX® unterscheidet daher drei Assessment-Level: je höher der Schutzbedarf, je höher das Assessment-Level (AL), desto intensiver und umfangreicher ist die Konformitätsprüfung.
Prüfziele und Assessment-Level
| Schutzbedarf | Mindestprüfziel Info high | Info very high | Data | Proto | Special Data |
|---|---|---|---|---|---|
| AL-1 | Selbsteinschätzung |  | | | |
| AL-2 | Plausibilitätsprüfung/ Webkonferenz | Eingehende Prüfung | Dokumentenprüfung/ Webkonferenz | | |
| AL-3 | vor Ort | vor Ort | vor Ort | vor Ort | vor Ort |
Upgrade von Assessment-Level 2 auf Assessment-Level 3
Methodisch unterscheiden sich die beiden Assessment-Level (AL) erheblich. Bei Prüfungen im Assessment-Level 2 wird der Prüfer/Auditor nichts verifizieren, lediglich plausibilisieren. Eine Plausibilitätsprüfung ist stark vereinfacht: existiert ein Nachweis und scheint er korrekt zu sein. Bei der eingehenden Prüfung wird verifiziert, ob der Nachweis auch das ist, was er zu sein vorgibt. Daher können Upgrades auf AL3 von einer Prüfung auf Basis des Assessment-Levels 2 nicht durchgeführt werden. Detaillierte Information zu den einzelnen Assessment-Level finden sich im TISAX®-Teilnehmerhandbuch.
Welche Vorteile hat eine TISAX®-Zertifizierung?
Aus der Sicht der Automobilindustrie und ihrer Akteure, bringt TISAX® mehrere Vorteile: Die Bewertung mit Hilfe von TISAX® gestaltet sich daher deutlich einfacher, effizienter und neutraler. Als branchenweit verbindlicher Standard für Informationssicherheit genießt TISAX® bei allen teilnehmenden Unternehmen hohes Vertrauen. Zudem ist es die Voraussetzung, um mit den großen OEMs ins Geschäft zu kommen – somit ist für Unternehmen das TISAX®-Label ein zentraler und entscheidender Wettbewerbsvorteil.
Müssen auch die Lieferanten des geprüften Unternehmens ein TISAX®-Assessment nachweisen?
TISAX® fordert nicht zwangsläufig, dass alle Unternehmen in der weiteren Lieferantenkette den gleichen Anforderungen unterwerfen. Das Prüfziel „Informationssicherheit mit sehr hohem Schutzbedarf“ bedeutet nicht automatisch, dass eigene Lieferanten dasselbe Prüfziel erreichen müssen. Es bedeutet nicht einmal, dass sie überhaupt TISAX®-Label benötigen. Dennoch müssen eigene Lieferanten regelmäßig hinsichtlich der Informationssicherheit überprüft werden.
Bekommen Teilnehmer nach dem Assessment ein Zertifikat?
Nein, der TISAX®-Standard sieht nicht vor, dass Zertifikate ausgehändigt werden. Um anderen Marktteilnehmer das Ergebnis des Prüfprozesses zugänglich zu machen, gibt es zwei Möglichkeiten, die über die TISAX®-Plattform bereitgestellt werden.
- Konforme Prüfergebnisse werden für alle Teilnehmer veröffentlicht.
Dabei kann zwischen zwei Transparenzgraden gewählt werden: sollen alle Teilnehmer lediglich Informationen zur Prüfung einsehen dürfen oder soll ihnen das Gesamtprüfergebnis mitteilt werden.
- Das Teilen der Prüfergebnisse mit einem oder mehreren konkreten Teilnehmern.
Im Regelfall werden die Prüfergebnisse mit den anfordernden Kunden geteilt und es ist möglich den Prüfbericht vollständig zu übermitteln.
Beim Gesamtprüfergebnis, welches in etwa einem Zertifikat entspricht, handelt es sich um eine Zusammenfassung, in der die Anzahl der Feststellungen und eine Kategorisierung der Risiken beschrieben sind.
TISAX® umsetzen mit firstbyte digital consulting
 | Professional Examination TISAX® Assessment | Hochqualifizierte, erfahrene Berater mit TISAX®-Professional Prüfung beim TÜV Süd. |
| Dokumentationnach TISAX®_Anforderugen | firstbyte erstellt für Sie die notwendige Dokumentation, die Sie nur noch prüfen und freigeben müssen. |
| Individuell auf Ihr Unternehmen zugeschnitten | Keine vorgefertigten Templates, sondern maßgeschneidert auf Ihre Unternehmensprozesse |
| System- und plattformunabhängig | Wir binden Sie nicht an ein eigenes System oder Plattform – Sie sind und bleiben unabhängig. |
| Beratungsstunden unbegrenzt | Sie erhalten so viel Beratung wie Sie benötigen, es gibt keine Begrenzung und Kontingente. |
| Informationssicherheits- und Datenschutzschulungen | Alle Mitarbeiter werden 1x jährlich geschult. |
| Haftungsgrenzen | Einheitliche Haftungsgrenze gemäß der Bestätigung des Versicherers bis 250.000 Euro. |
| Interdisziplinäres Wissen | firstbyte transferiert Best Practices in Ihr Unternehmen und Sie profitieren von unserem Wissen aus der Informationssicherheit und Notfallmanagement. |
| firstbyte-Siegel | Nach erfolgreicher Implementierung von TISAX® erhalten Sie ein offizielles firstbyte Abzeichen für Ihre Website (ab 2023). |
| Qualitätsversprechen | Wir versprechen Ihnen beste Qualität in der Zusammenarbeit gemäß unserer Qualitätsverpflichtung. |
Ihr TISAX®-Professional
Christopher Schroer
- TISAX®-Foundation / TISAX®-Professional (TÜV Süd)
- ISO/IEC 27001 Lead Auditor
- VdS-Berater für Datenschutz-Managementsysteme
- DEKRA-zertifizierter Datenschutzbeauftragter
- Datenschutzbeauftragter nach Verbandkriterien verpflichtet (BvD)
- Trainer Datenschutz-Koordinatoren/-beauftragte TÜV Akademie Rheinland
Weitere Informationen zu Christopher Schroer finden Sie hier.
Von Kunden ausgezeichnet!
Nutzen Sie jetzt Ihre Chance auf Förderung! Bis zu 50% Zuschuss
Es gibt eine Vielzahl an Förderprogrammen, die Informationssicherheit nach dem TISAX®-Standard unterstützen und bis zu 50% Zuschuss gewähren. Eines davon ist das Fördermodul "IT-Sicherheit" im Programm go-digital. Hier werden Projekte gefördert, die sich zum Ziel setzen, wirtschaftliche Schäden zu vermeiden und das Risiko von Cyberkriminalität zu minimieren.
Für Automobilzulieferer ist insbesondere die Förderung von Maßnahmen zur Initiierung oder Optimierung von IT-Sicherheitsmanagementsystemen nach TISAX®-Standard interessant.
Lassen Sie sich jetzt von uns beraten und nutzen Sie die Chance auf Förderung. Als autorisierte Berater im Programm go-digital übernehmen wir die komplette Abwicklung. Vereinbaren Sie jetzt ein kostenloses und unverbindliches Erstgespräch mit uns und erfahren Sie, wie Sie Ihr TISAX®-Projekt fördern können. Jetzt anfragen!
Kostenlose Erstberatung
firstbyte digital consulting ist mit seiner Erfahrung ein starker, zuverlässiger Partner für Ihr Unternehmen, mit viel Know-how, Herzblut und Engagement. Individuell und auf Augenhöhe beraten wir Sie umfassend.
Stillstand ist Bedrohung: Daher engagiert sich firstbyte digital consulting in namhaften Verbänden und Projekten wie im Cyber Security Cluster Bonn, der Allianz für Cyber-Sicherheit, nrw·units oder auch dem IT-Forum Oberberg.
Sie möchten erfahren, wie wir Sie sicherer machen? Nutzen Sie unseren Termin-Service und buchen Sie jetzt Ihr kostenloses, unverbindliches Erstgespräch.
Sie sehen gerade einen Platzhalterinhalt von Standard. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen