MIt Sicherheit zum Label:

TISAX schützt Informationen, Innovationen und Ingenieurskunst

Im rasanten Tempo wird die Automobilbranche umgekrempelt. Nun werden die Zulieferer aufgefordert, Innovationen und Informationen zu schützen. Dabei hilft TISAX – der Weg durch das Assessment zum Label muss nicht schwer sein.

4 + 3 =

Der TISAX Standard im Überblick

  • Unternehmen sollten ein TISAX-Assessment rechtzeitig planen, denn bis zum erfolgreichen Abschluss des Assessments dauert es etwa ein Jahr.
  • TISAX ist ein Akronym für Trusted Information Security Assessment Exchange und definiert den Standard für Informationssicherheitsmanagementsysteme (ISMS) in der Automobilindustrie.
  • Die ISO 27001 bildet die Basis für TISAX, letzteres wurde aber speziell für die Automobilindustrie entwickelt.
  • TISAX ist ein Prüf- und Austauschverfahren der ENX Association, des Europäischen Verbands der Automobilindustrie.
  • Die ENX schafft mit TISAX bei allen Teilnehmern einheitliche Standards im Hinblick auf die Informationssicherheit, den Prototypenschutz und den Datenschutz.

TISAX-Professionals

Wir wissen, was wir tun: denn alle Berater werden selbstverständlich nach zum Erhalt und Nachweis der Fachkunde für den TISAX-Standard aus- und fortgebildet. So kommen Sie schnell und ohne Umwege zu Ihren TISAX Labels.

+ 20 Jahre Erfahrung

firstbyte digital consulting bietet Ihnen mit über 20 Jahren Erfahrung einen starken Partner mit viel Know-how, Herzblut und Pragmatismus.

Volle Kostenkontrolle

Unsere einfache Preisstruktur bietet Ihnen Planungssicherheit. Keine versteckten Kosten – keine überteuerten Stundensätze: nur value-based fees. Wir schaffen Mehrwert.

Was ist TISAX und wofür steht das Wort?

TISAX steht für Trusted Information Security Assessment Exchange.

Wie schon das englische Wortungetüm verrät, ist eines der wesentlichen Ziele von TISAX, den Austausch des Informationssicherheitslevels zu vereinheitlichen. Grundlage für TISAX ist der international anerkannte ISO-Standard 27001, auf welcher häufig referenziert wird. Der VDA, der Verband der Deutschen Automobilindustrie gab einst den Anstoß, seit 2000 So ist TISAX seit dem Jahr 2000 eine eingetragene Marke der ENX Association, des Verbands der europäischen Automobilindustrie. Inzwischen ist TISAX ein europaweiter Standard, zukünftig soll der automobile Informationssicherheitsstandard weltweit Anwendung finden.

Der VDA veröffentlicht einen ISA-Fragebogen des VDA (VDA-ISA, auch oft als „TISAX Fragenkatalog“ oder „TISAX Anforderungen“ bezeichnet). Dieser bildet die Grundlage für das TISAX-Verfahren. ISA steht für Information Security Assessment. Das Vorgehen, wie die Prüfung abläuft und auf welche Punkt ein TISAX Prüfdienstleister eingeht, das steht im TISAX Teilnehmerhandbuch.

Die TISAX Plattform

Der Begriff TISAX bezeichnet neben dem Standard auch eine Plattform, mit derer Hilfe sich Unternehmen der Automobilindustrie das geforderte Niveau in der Informationssicherheit

  • prüfen lassen,
  • dokumentieren und
  • nachweisen

können. Neben dem aktiven Teilnehmer, dem passiven Teilnehmer arbeiten auch die TISAX-Prüfdienstleister über die Plattform. Der aktive Teilnehmer (häufig Automobilhersteller) fordert vom passiven Teilnehmer (Zulieferer) die Prüfung an, der passive Teilnehmer teilt über das Portal dem aktiven Teilnehmer das Prüfergebnis mit Hilfe sog. Labels mit.

Wozu dient der TISAX-Standard?

Schon früher hat jeder OEM eigene Anforderungen an die Informationssicherheit seiner Lieferanten gestellt. Jedoch waren diese Anforderung höchst unterschiedlich formuliert und damit ging eine erhöhte Komplexität des Nachweisverfahrens einher. Insbesondere wenn ein Lieferant mehrere OEMs beliefert hat, war das Ausmaß an Komplexität entsprechend groß.

Die Bewertung mit Hilfe von TISAX gestaltet sich daher deutlich einfacher, effizienter und neutraler.

Wie grenzen sich TISAX und ISO 27001 voneinander ab?

Auch wenn die ISO 27001 die Grundlage für die Entwicklung von TISAX war, gibt es wesentliche Unterschiede:

Abgrenzung ISO 27001 zum TISAX-Standard

 ISO 27001TISAX
ISMS• High Level Structure (HLS)
• Zertifizierungsgrundlage
• Vollständiges Managementsystem
• Formales Statement of Applicability (SoA, Anwendungserklärung)
• Basiert auf ISO 27001
• kein vollständiges Managementsystem
• Self-Assessment als SoA
Zertifizierung• Zertifizierung des ISMS
• Zertifikat
• Zertifizierung der VDA ISA-Anforderungen
• Label auf Plattform
Gültigkeit/
Audits

• 3 Jahre
• jährliche Überwachungsaudits
• 3 Jahre
• keine Überwachungsaudits

Wer benötigt ein TISAX-Label?

Die Automobilhersteller und auch einige große Zulieferer fordern den Nachweis eines erfolgreich bestandenen TISAX-Assessments in Form eines Labels von ihren Zulieferern. Eine gesetzliche Anforderung oder eine Verpflichtung dazu gibt es jedoch nicht. Denn ohne ein TISAX-Label als Nachweis des erfolgreichen TISAX-Assessments wird eine Zusammenarbeit mit den OEMs nicht zustande kommen oder auch schlimmstenfalls beendet.

Ist TISAX auch für kleine Betriebe ein verpflichtend?

Die großen Marktteilnehmer und die Automobilhersteller haben sich geeinigt, dass möglichst alle Zulieferer und Lieferanten über ein TISAX-Label die erfolgreiche Einführung und Betrieb eines ISMS nachzuweisen haben. Damit wird der Nachweis einen entsprechend geforderten TISAX-Labels zur Grundvoraussetzung in dieser Branche.  Nichtsdestotrotz gilt: ein TISAX-Assessment ist freiwillig. Es gibt keine Rechtsvorschrift, nach der ein Unternehmen ein gültiges TISAX-Label nachweisen müsste.

Können die Anforderungen von kleinen Betrieben erfüllt werden?

Die Anforderungen des ISA-Katalogs kann jedes Unternehmen unabhängig seiner Betriebsgröße erfüllen. Und je größer, internationaler und damit komplexer ein Unternehmen ist, desto höher ist auch der Aufwand, TISAX erfolgreich einzuführen.

Welche Anforderungen müssen für TISAX erfüllt sein?

Als Basisanforderung fordert TISAX das sog. Prüfziel „Info high“ und umfasst, wie auch die ISO 27001, standardmäßig die Informationssicherheit. Abhängig jedoch von der Erwartung des Kunden, können jedoch optionale erweiterte Prüfziele wie „Prototypenschutz“ oder „Datenschutz“ gefordert werden.

Zusätzlich wird durch den Schutzbedarf – sogenannte Assessment-Level – weitere Anforderungen an die Nachweise und die Konformitätsprüfung gestellt. Prüfziele können voneinander abhängen und auch das Assessment-Level und damit auch der Aufwand zur Erreichung des Prüfziels.

Wie viele TISAX-Prüfziele und Assessment-Level gibt es?

Es gibt insgesamt acht Prüfziele. Das erste Prüfziel „Info high“ – Informationen mit hohem Schutzbedarf – ist das kleinste zu erfüllende Prüfziel. Alle weiteren Prüfziele sind optional und können untereinander abhängig sein.

Die weiteren Prüfziele sind:

  1. „Info very high“: Informationen mit sehr hohem Schutzbedarf
  2. „Proto Parts“: Schutz von Prototypenbauteilen und -komponenten
  3. „Proto vehicles“: Schutz von Prototypenfahrzeugen
  4. „Test vehicles“: Umgang mit Erprobungsfahrzeugen
  5. „Data“: Datenschutz gem. Art. 28 DSGVO (Auftragsverarbeiter)
  6. „Special Data“: Datenschutz gem. Art. 28 DSGVO (Auftragsverarbeiter) bei besonderen Kategorien personenbezogener Daten

Je höher der Schutzbedarf einer Information ist, desto mehr muss sichergestellt sein. dass die Informationssicherheit gewährleistet ist. Mit höherem Schutzbedarf werden auch höhere Anforderungen an die Konformitätsprüfung gestellt. TISAX unterscheidet daher drei Assessment-Level: je höher der Schutzbedarf, je höher das Assessment-Level (AL), desto intensiver und umfangreicher ist die Konformitätsprüfung.

TISAX-Prüfziele und Assessment-Level

SchutzbedarfMindestprüfziel
Info high
 
Info very high
 
Data
 
Proto
 
Special Data
AL-1SelbsteinschätzungIn diesem Assessment-Level nicht vorgesehenIn diesem Assessment-Level nicht vorgesehenIn diesem Assessment-Level nicht vorgesehenIn diesem Assessment-Level nicht vorgesehen
AL-2Plausibilitätsprüfung/
Webkonferenz
Eingehende PrüfungDokumentenprüfung/
Webkonferenz
In diesem Assessment-Level nicht vorgesehenIn diesem Assessment-Level nicht vorgesehen
AL-3vor Ortvor Ortvor Ortvor Ortvor Ort

Upgrade von Assessment-Level 2 auf Assessment-Level 3

Methodisch unterscheiden sich die beiden Assessment-Level (AL) erheblich. Bei Prüfungen im Assessment-Level 2 wird der Prüfer/Auditor nichts verifizieren, lediglich plausibilisieren. Eine Plausibilitätsprüfung ist stark vereinfacht: existiert ein Nachweis und scheint er korrekt zu sein. Bei der eingehenden Prüfung wird verifiziert, ob der Nachweis auch das ist, was er zu sein vorgibt. Daher können Upgrades auf AL3 von einer Prüfung auf Basis des Assessment-Levels 2 nicht durchgeführt werden. Detaillierte Information zu den einzelnen Assessment-Level finden sich im TISAX-Teilnehmerhandbuch.

Welche Vorteile hat eine TISAX-Zertifizierung?

Aus der Sicht der Automobilindustrie und ihrer Akteure, bringt TISAX mehrere Vorteile: Die Bewertung mit Hilfe von TISAX gestaltet sich daher deutlich einfacher, effizienter und neutraler. Als branchenweit verbindlicher Standard für Informationssicherheit genießt TISAX bei allen teilnehmenden Unternehmen hohes Vertrauen. Zudem ist es die Voraussetzung, um mit den großen OEMs ins Geschäft zu kommen – somit ist für Unternehmen das TISAX-Label ein zentraler und entscheidender Wettbewerbsvorteil.

Müssen auch die Lieferanten des geprüften Unternehmens ein TISAX-Assessment nachweisen?

TISAX fordert nicht zwangsläufig, dass alle Unternehmen in der weiteren Lieferkantenkette den gleichen Anforderungen unterwerfen. Das Prüfziel „Informationssicherheit mit sehr hohem Schutzbedarf“ bedeutet nicht automatisch, dass eigene Lieferanten dasselbe Prüfziel erreichen müssen. Es bedeutet nicht einmal, dass sie überhaupt TISAX-Label benötigen. Dennoch müssen eigene Lieferanten regelmäßig hinsichtlich der Informationssicherheit überprüft werden.

Bekommen Teilnehmer nach dem TISAX-Assessment ein TISAX-Zertifikat?

Nein, der TISAX-Standard sieht nicht vor, dass Zertifikate ausgehändigt werden. Um anderen Marktteilnehmer das Ergebnis des Prüfprozesses zugänglich zu machen, gibt es zwei Möglichkeiten, die über die TISAX-Plattform bereitgestellt werden.

  1. Konforme Prüfergebnisse werden für alle TISAX-Teilnehmer veröffentlicht.
    Dabei kann zwischen zwei Transparenzgraden gewählt werden: sollen alle TISAX-Teilnehmer lediglich Informationen zur Prüfung einsehen dürfen oder soll ihnen das Gesamtprüfergebnis mitteilt werden.
  1. Das Teilen der Prüfergebnisse mit einem oder mehreren konkreten Teilnehmern.
    Im Regelfall werden die Prüfergebnisse mit den anfordernden Kunden geteilt und es ist möglich den Prüfbericht vollständig zu übermitteln.

Beim Gesamtprüfergebnis, welches in etwa einem Zertifikat entspricht, handelt es sich um eine Zusammenfassung, in der die Anzahl der Feststellungen und eine Kategorisierung der Risiken beschrieben sind.

TISAX umsetzen mit firstbyte digital consulting

Ihre Vorteile: externer Datenschutzbeauftragter für Ihr UnternehmenTISAX-ProfessionalHochqualifizierte, erfahrene TISAX-Berater mit TISAX-Professional Prüfung beim TÜV Süd.
Ihre Vorteile: externer Datenschutzbeauftragter für Ihr UnternehmenTISAX-Dokumentationfirstbyte erstellt für Sie die notwendige Dokumentation, die Sie nur noch prüfen und freigeben müssen.
Ihre Vorteile: externer Datenschutzbeauftragter für Ihr UnternehmenIndividuell auf Ihr Unternehmen zugeschnittenKeine vorgefertigten Templates, sondern maßgeschneidert auf Ihre Unternehmensprozesse
Ihre Vorteile: externer Datenschutzbeauftragter für Ihr UnternehmenSystem- und plattformunabhängigWir binden Sie nicht an ein eigenes System oder Plattform – Sie sind und bleiben unabhängig.
Ihre Vorteile: externer Datenschutzbeauftragter für Ihr UnternehmenBeratungsstunden unbegrenztSie erhalten so viel Beratung wie Sie benötigen, es gibt keine Begrenzung und Kontingente.
Ihre Vorteile: externer Datenschutzbeauftragter für Ihr UnternehmenInformationssicherheits- und DatenschutzschulungenAlle Mitarbeiter werden 1x jährlich geschult.
Ihre Vorteile: externer Datenschutzbeauftragter für Ihr UnternehmenHaftungsgrenzenEinheitliche Haftungsgrenze gemäß der Bestätigung des Versicherers bis 250.000 Euro.
Ihre Vorteile: externer Datenschutzbeauftragter für Ihr UnternehmenInterdisziplinäres Wissenfirstbyte transferiert Best Practices in Ihr Unternehmen und Sie profitieren von unserem Wissen aus der Informationssicherheit und Notfallmanagement.
Ihre Vorteile: externer Datenschutzbeauftragter für Ihr Unternehmenfirstbyte-SiegelNach erfolgreicher Implementierung von TISAX erhalten Sie ein offizielles firstbyte Abzeichen für Ihre Website (ab 2023).
Ihre Vorteile: externer Datenschutzbeauftragter für Ihr UnternehmenQualitätsversprechenWir versprechen Ihnen beste Qualität in der Zusammenarbeit gemäß unserer Qualitätsverpflichtung.
Christopher Schroer Datenschutzbeauftragter 1

Ihr TISAX-Professional

Christopher Schroer

  • TISAX-Foundation / TISAX-Professional (TÜV Süd)
  • ISO/IEC 27001 Lead Auditor
  • VdS-Berater für Datenschutz-Managementsysteme
  • DEKRA-zertifizierter Datenschutzbeauftragter
  • Datenschutzbeauftragter nach Verbandkriterien verpflichtet (BvD)
  • Trainer Datenschutz-Koordinatoren/-beauftragte TÜV Akademie Rheinland

Weitere Informationen zu Christopher Schroer finden Sie hier.

Von Kunden ausgezeichnet!

Fördermöglichkeiten: bis zu 50% Zuschuss

Es gibt eine Reihe von Förderprogrammen, die Informationssicherheit nach dem TISAX-Standard mit einem nicht rückzahlbaren Zuschuss fördern. Das bekannteste: go-digital. Im Fördermodul "IT-Sicherheit" werden Projekte gefördert, die die Vermeidung von wirtschaftlichen Schäden sowie Minimierung von Risiken durch Cyberkriminalität; selbständiger Betrieb von grundlegenden erforderlichen IT-Sicherheitsmaßnahmen zum Ziel haben. Beispielsweise sind das: Risiko- und Sicherheitsanalysen der bestehenden oder neu geplanten betrieblichen IKT-Infrastruktur oder Maßnahmen zur Initiierung/Optimierung von betrieblichen IT-Sicherheitsmanagementsystemen.

Besonders letztes Beispiel ist für die meisten Automobilzulieferer interessant, denn es ermöglicht ihnen, ein Informationssicherheitsmanagementsystem nach TISAX-Standard einzuführen.

Ob und wie und unter welchen Konditionen Ihr Unternehmen go-digital für ein TISAX-Projekt in Anspruch nehmen kann, klären wir im gemeinsamen kostenlosen Erstgespräch. Als autorisierte Berater im Programm go-digital übernehmen wir die komplette Abwicklung mit dem zuständigen Projektträger.

Kostenlose Erstberatung

firstbyte digital consulting ist mit seiner Erfahrung ein starker, zuverlässiger Partner für Ihr Unternehmen, mit viel Know-how, Herzblut und Engagement. Individuell und auf Augenhöhe beraten wir Sie umfassend.

Stillstand ist Bedrohung: Daher engagiert sich firstbyte digital consulting in namhaften Verbänden und Projekten wie im Cyber Security Cluster Bonn, der Allianz für Cyber-Sicherheit, nrw·units oder auch dem IT-Forum Oberberg.

Sie möchten erfahren, wie wir Sie sicherer machen? Nutzen Sie unseren Termin-Service und buchen Sie jetzt Ihr kostenloses, unverbindliches Erstgespräch.

Klicken Sie auf den unteren Button, um den Inhalt von Calendly zu laden.

Inhalt laden

Mehr erfahren

CjwhLS0gQ2FsZW5kbHkgSW5saW5lLVdpZGdldCBCZWdpbm4gLS0+CjxkaXYgY2xhc3M9ImNhbGVuZGx5LWlubGluZS13aWRnZXQiIGRhdGEtdXJsPSJodHRwczovL2NhbGVuZGx5LmNvbS9maXJzdGJ5dGVfZGlnaXRhbC90aXNheD9oaWRlX2dkcHJfYmFubmVyPTEiIHN0eWxlPSJtaW4td2lkdGg6MzIwcHg7aGVpZ2h0OjgzMHB4OyI+PC9kaXY+CjxzY3JpcHQgdHlwZT0idGV4dC9qYXZhc2NyaXB0IiBzcmM9Imh0dHBzOi8vYXNzZXRzLmNhbGVuZGx5LmNvbS9hc3NldHMvZXh0ZXJuYWwvd2lkZ2V0LmpzIiBhc3luYz48L3NjcmlwdD4KPCEtLSBDYWxlbmRseSBJbmxpbmUtV2lkZ2V0IEVuZGUgLS0+Cg==