Informationssicherheit in der Automobilbranche – Beratung zu TISAX®

Informationssicherheit in der Automobilbranche – Beratung zu TISAX®

Die TISAX® -Zertifizierung (Trusted Information Security Assessment Exchange) beschreibt ein Prüf- und Austauschverfahren, welches die Informationssicherheit in der Automobilindustrie sicherstellen soll. Bei einem Assessment wird die Konformität mit den Anforderungen des VDA Information Security Assessment (VDA ISA) überprüft.

Die TISAX®-Zertifizierung (Trusted Information Security Assessment Exchange) beschreibt ein Prüf- und Austauschverfahren, welches die Informationssicherheit in der Automobilindustrie sicherstellen soll. Bei einem Assessment wird die Konformität mit den Anforderungen des VDA Information Security Assessment (VDA ISA) überprüft.

Hintergrund der TISAX®-Zertifizierung sind die hochsensiblen Informationen, die im Planungs- und Herstellungsprozess zwischen Herstellern, Lieferanten und weiteren Dienstleistern ausgetauscht, gespeichert und verarbeitet werden. Diese Informationen stellen ein wichtiges Asset dar, deren Missbrauch oder gar Verlust verheerende (finanzielle) Konsequenzen mit sich bringt.

In der Vergangenheit mussten Hersteller auf Grundlage eines Anforderungskataloges der ISA jeden Zulieferer und Dienstleister einzeln überprüfen. Es existierte kein standardisierter und unternehmensübergreifender Prozess. So mussten sich viele Unternehmen mehrmals den Prüfungen verschiedener Hersteller unterziehen, was einen erheblichen Mehraufwand bedeutete.

Mit der TISAX®-Zertifizierung hat sich dies geändert, denn das Zertifikat bietet einen geltenden Standard für Informations- und Cybersicherheit in der Automobilindustrie. Die Prüfergebnisse können zentral über eine spezielle Online-Plattform (TISAX® Exchange) ausgetauscht werden, was den Aufwand sowohl für Hersteller als auch Dienstleister und Zulieferer enorm reduziert.

Wann ist die TISAX®-Zertifizierung für mein Unternehmen relevant?

Prinzipiell ist eine Zertifizierung für jedes Unternehmen relevant, welches in Berührung mit sensiblen Informationen von Automobilherstellern kommt. Das betrifft nicht nur direkte Zulieferer der Hersteller, sondern auch Dienstleister der Zulieferer – also prinzipiell die gesamte Lieferkette.

Die meisten Auftraggeber aus der Automobilindustrie fordern Zertifikate und Nachweise für die IT-Sicherheit ihrer Lieferanten. Doch auch wenn eine TISAX®️-Zertifizierung nicht konkret gefordert wurde, sind die Vorteile vielfältig:

• Gegenseitige Anerkennung des Zertifikats aufgrund standardisierter Bewertung
• Reputationsgewinn bei Automobilherstellern und deren Zulieferern
• Bewusstseinsschärfung der Mitarbeiter für Informationssicherheit
• Schutz der eigenen Unternehmenswerte (Informationen als wichtiges Asset)
• Grundlage für Zertifizierung nach ISO 27001 (international anerkannter Standard

Worin unterscheiden sich die TISAX® und die Zertifizierung nach ISO 27001?

Generell besteht der Anforderungskatalog der TISAX®-Zertifizierung aus drei Modulen: Informationssicherheit, Prototypenschutz und Datenschutz.

Wobei das Modul zur Informationssicherheit immer Gegenstand der Prüfung ist und die anderen beiden Module lediglich optional Anwendung finden. Die Anforderungen der Informationssicherheit leiten sich dabei von der ISO 27001-Norm ab und sind bis auf minimale Unterschiede in Bezug auf die Geltungsbereiche, den Prüfungsprozess und die Qualifizierung der Maßnahmen nahezu deckungsgleich. Im Mittelpunkt beider Zertifizierungen steht die Implementierung eines Informationssicherheitsmanagementsystem und die adäquate Umsetzung von Maßnahmen, die den Schutz sensibler Informationen gewährleisten.

Die Assessment-Level der TISAX®-Zertifizierung

Zunächst haben Unternehmen die Wahl zwischen drei verschiedenen Assessment-Levels, die in Abhängigkeit zum Schutzbedarf der Informationen stehen. Das Level wird generell selbst gewählt, kann jedoch auch durch den Hersteller vorgegeben sein:

Assessment Level 1:

• Normale Schutzanforderungen
• Assessment wird in Form einer Selbstbewertung entlang eines Fragenkatalogs durchgeführt
• Selbsteinschätzung wird nicht offiziell überprüft und gilt deshalb nicht als TISAX®-Zertifizierung

Assessment Level 2:

• Hohe Schutzanforderungen
• Vollständige Selbstbewertung, die durch einen Prüfer auf Plausibilität & Vollständigkeit überprüft wird
• Ablauf: Remote, wenn lediglich Modul 1 (Informationssicherheit) Anwendung findet

Assessment Level 3:

• Sehr hohe Schutzanforderungen
• Assessment identisch mit Level 2, jedoch generell vor Ort (Interviews, Begehung kritischer Bereiche)

Wie läuft eine Zertifizierung ab?

• Registrierung für die Zertifizierung und Abgabe einer Selbsteinschätzung
• Auswahl eines offiziellen Prüfers
• Plausibilitäts- bzw. Erstprüfung (Selbstbewertung wird auf Vollständigkeit überprüft und entsprechende Nachweise verlangt)
• Optimierung bzw. Beseitigung von identifizierten Schwachstellen
• Offizielles TISAX®-Assessment
• Nachprüfung d.h. Überprüfung ob Schwachstellen final beseitigt wurden
• Veröffentlichung und Austausch der Prüfergebnisse auf der Online-Plattform

TrustSpace hilft Ihnen auf dem Weg zur TISAX®-Zertifizierung

Ein wirksames Informationssicherheitsmanagementsystems (ISMS) steht im Mittelpunkt der TISAX®-Zertifizierung. Wir ermöglichen Ihnen die unkomplizierte Implementation und Zertifizierung eines entsprechenden ISMS und bereiten Ihr Unternehmen optimal für das TISAX®-Assessment vor. Endlos langen Checklisten und Richtlinien setzen wir ein Ende, indem Sie die Anforderungen intuitiv auf unserer Plattform einsehen und erledigen können. Durch unser Dokumentenmanagement haben Sie Zugriff auf alle notwendigen Richtlinien, die von Auditoren erstellt wurden. Das automatisierte Bearbeiten, Verteilen und Einsammeln notwendiger Richtlinie erspart Ihnen und Ihrem Team viele Stunden Arbeit. So erhalten Sie die TISAX®-Zertifizierung in Wochen und nicht in Monaten.

Sie möchtest mehr erfahren? Dann besuchen Sie unsere Website oder vereinbaren direkt ein unverbindliches Erstgespräch indem wir gemeinsam die beste Lösung für Ihr Unternehmen evaluieren.

‍