Im Zeitalter der Digitalisierung, also einer stark vernetzten Welt, ist die Informationssicherheit ein äußerst wichtiger Faktor, den es in Hinsicht auf den Wettbewerb mit anderen Unternehmen zu beachten gilt. In der Automobilbranche werden zwischen Auftraggebern und Dienstleistern bzw. Zulieferern täglich zahlreiche Daten ausgetauscht, deren Inhalt äußerst sensibel und daher schützenswert vor Diebstahl, Manipulation oder gar Verlust ist.
Dies liegt daran, dass die Hersteller von Automobilen ihre Zulieferer häufig stark in die Produktentwicklung einbinden. Aus diesem Grund ist es entscheidend, dass der Schutz und damit das Sicherheitsniveau der Daten bei sämtlichen Beteiligten eine hohe Priorität hat. Aufgrund des wachsenden Sicherheitsbedürfnisses fordern die Hersteller daher einen regelmäßigen Nachweis, dass die entsprechend hohen Anforderungen an die Informationssicherheit im Umgang mit vertraulichen Informationen eingehalten werden. Dienstleister und Zulieferer mussten sich bisher sehr aufwändigen Lieferantenaudits für die Informationssicherheit unterziehen. Wurde an mehrere Hersteller geliefert oder dieser gewechselt, mussten diese Audits häufig erneut absolviert werden, da die Hersteller die Zulieferer selbst geprüft haben. Die Basis für diese Audits bzw. die Prüfung bildete der Anforderungskatalog Information Security Assessment (ISA) des Verbandes der Automobilindustrie (VDA) samt zugehörigem Fragebogen. Informationssicherheit war demnach innerhalb der Automobilbranche eine individuelle Angelegenheit der jeweiligen Unternehmen.
Im Jahre 2000 schlossen sich, unter Federführung des VDA mehrere Automobilhersteller, -verbände und -zulieferer zur ENX Association zusammen, einem europäischen Verband der Automobilbranche. Die ENX richtete 2017 nach langjähriger Entwicklung mit TISAX® ein neues Prüfverfahren ein, das sich schnell als branchenweiter und einheitlicher Standard etabliert hat, an dem sich die Zulieferer orientieren können und der international anerkannt wird.
Was ist die TISAX® Zertifizierung?
TISAX® steht für Trusted Information Security Assessment Exchange und ist demnach ein Austausch- und Prüfmechanismus für die Informationssicherheit von Unternehmen, welcher eine unternehmensübergreifende Anerkennung der Prüfergebnisse zwischen den Teilnehmern ermöglicht. TISAX® vereinheitlicht die Datenschutzanforderungen und sorgt für einen vertrauensvollen Datenaustausch zwischen Dienstleistern, Herstellern und Zulieferern sowie eine sichere Datenverarbeitung. Entscheidend ist hierbei, dass alle beteiligten Geschäftspartner einen den Datenschutzanforderungen angemessenen und miteinander vergleichbar hohen Sicherheitsstandard bezüglich der Informationssicherheit aufweisen. Das TISAX®-Assessment basiert auf dem VDA ISA, welcher wiederum auf den in ISO/IEC 27001 und ISO/IEC 27002 formulierten Anforderungen aufbaut.
Diese umfasst nicht nur den Schutz von IT-Systemen, sondern von allen Informationen, die einen Wert für ein Unternehmen haben und damit schützenswert sind wie etwa Archive, Räumlichkeiten und Sicherheitskontrollen. Der VDA ISA passt die internationale Norm an die Anforderungen der automobilen Welt an und erweitert diese durch zusätzliche Kriterienkataloge um branchenspezifische Themen wie Auftragsverarbeitung, umfassender Prototypenschutz für Baugruppen, Fahrzeuge oder Teile sowie Verbindungen zu externen Unternehmen.
TISAX® dient als Standard für externe Dienstleister und Zulieferer in der automobilen Lieferkette. Er vereinfacht nicht nur den Aufwand für deren Anerkennung bzw. den Nachweis der Informationssicherheit zu erbringen, indem kosten- und zeitintensive Mehrfachprüfungen vermieden werden, sondern sorgt auch für eine umfangreichere Informationssicherheit innerhalb aller Instanzen bzw. Stufen der Liefer- und Wertschöpfungskette.
Austausch und Kontaktaufnahme über die TISAX® Plattform der ENX Association
Die Trägerschaft für TISAX® obliegt der VDA, welcher die ENX Association als neutrale Instanz mit dem Betrieb und der Steuerung beauftragt hat. Die ENX akkreditiert die Prüfdienstleister, überwacht die Ergebnisse der Assessments und sichert die Qualität derer Durchführung. Bei TISAX® werden die Prüfungen nach VDA ISA von akkreditierten Prüf- bzw. Zertifizierungsdienstleistern durchgeführt.
Ein Zulieferer muss sich nach erfolgter Registrierung bei der eigens entwickelten Online-Plattform lediglich einmal bei der Zertifizierungsstelle der ENX nach TISAX® zertifizieren lassen. Dazu wählt er sich einen der akkreditierten Prüfdienstleistern aus und beauftragt diesen mit der Prüfung. Nachdem der Dienstleister das ISA-Assessment durchgeführt hat, erhält der Zulieferer seinen Abschlussbericht und darf bei erfolgreichem Bestehen das TISAX® Label tragen. Jedem TISAX® Label ist ein genau definiertes Prüfungsziel zugeordnet und es gilt schließlich für alle Unternehmen, die dem VDA angeschlossen sind.
Damit können die Prüfergebnisse unternehmensübergreifend ausgetauscht werden und der Zulieferer belegt gegenüber seinen Geschäftspartnern, dass er seine Daten nach den erforderlichen Anforderungen in angemessenem Maße schützt. Erfüllt ein Zulieferer diese und lässt die Ergebnisse auf der TISAX® Plattform freischalten, können seine direkten Partner und alle weiteren am TISAX® Prüfstandard teilnehmenden Unternehmen einsehen, dass seine Maßnahmen zur Informationssicherheit mit TISAX® konform sind. Darüber hinaus wird die Kontaktaufnahme zwischen den Prüfdienstleistern und den teilnehmenden Unternehmen vereinfacht.
Die qualitativ hochwertigen und objektiven Ergebnisse werden schließlich von allen Kunden akzeptiert, was allgemein einen sehr hohen Standard der Informationssicherheit innerhalb der Branche gewährleistet sowie die Rechte und Pflichten aller Teilnehmer bewahrt. Der standardisierte Leistungsumfang der TISAX® Assessments ist in drei Schutzklassen abgestuft und erfolgt nach den individuellen Anforderungen an das jeweilige Unternehmen, was den Schutz der Daten betrifft. Sämtliche Hersteller und Zulieferer, die an TISAX® teilnehmen, erkennen die Objektivität und Qualität der Assessments mit einer Gültigkeit von drei Jahren an.
TISAX® als zukunftweisende Investition für Dienstleister und Zulieferer
Das TISAX® Label für Dienstleister und Zulieferer die Grundvoraussetzung, um in Zukunft weiterhin mit Herstellern zusammenzuarbeiten. Zahlreiche OEMs und Zulieferer der Automobilbranche in Deutschland verlangen mittlerweile von ihren Geschäftspartnern, dass sie ein TISAX® Label vorweisen können. Dazu zählen unter anderem die Branchengrößen BMW und VW. Weitere Mitglieder des VDA werden dazukommen. TISAX® stellt dabei durch das täglich gelebte Bewusstsein für Informationssicherheit einen entscheidenden Gewinn in puncto Sicherheit für die Unternehmen dar und damit eine wichtige Weiterentwicklung in Sachen Zukunftsorientierung.
TISAX® als einheitlicher Prüf- und Austauschstandard gewährleistet ein hohes Maß an Transparenz und Vergleichbarkeit der teilnehmenden Unternehmen und ihrer Maßnahmen bezüglich der Informationssicherheit. Da viele Kunden das Vorliegen der TISAX®-Labels fordern, steigert man als Zulieferer deren Vertrauen, indem man sich der Prüfung durch einen akkreditierten Prüfdienstleister unterzieht und die Ergebnisse veröffentlicht. Somit kann der Zulieferer in Zukunft die Zusammenarbeit mit bestehenden Kunden sichern und zudem neue Kunden gewinnen, die über das vorgewiesene TISAX® Label bzw. dessen Präsenz auf der TISAX® Plattform auf diesen aufmerksam werden.
Zusammengefasst kann man sagen, dass eine TISAX®-Zertifizierung gleich mehrere Vorteile für Unternehmen bietet. Zum einen trägt sie dazu bei, Vertrauen bei Kunden und Partnern aufzubauen, da sie zeigt, dass das Unternehmen die Informationssicherheit ernst nimmt. Zweitens kann sie dazu beitragen, die Effizienz der Sicherheitsprozesse einer Organisation zu verbessern, da sie einen Rahmen für die kontinuierliche Verbesserung bietet.
Für Ihre Fragen stehen wir Ihnen als Ihr TISAX® Experte in München gerne zur Verfügung.
