TISAX Zertifizierung: Anforderungen, Ablauf & Kosten erklärt
Mit der TISAX hat der Verband der deutschen Automobilindustrie einen einheitlichen Standard für Informationssicherheit geschaffen. Zulieferer und Dienstleister brauchen somit nur eine Zertifizierung, um ihre IT-Sicherheit gegenüber alle teilnehmenden Herstellern nachzuweisen. Alles, was Sie über die Anforderungen von TISAX und den Ablauf der Zertifizierung wissen müssen!
TISAX Zertifizierung
Was ist TISAX?
TISAX (Trusted Information Security Assessment Exchange) ist ein Standard für Informationssicherheit in der Automobilbranche. Um Sicherheit in der Lieferkette zu gewährleisten, weisen Zulieferer und Dienstleister durch die TISAX-Zertifizierung nach, dass sie sensible Daten wie Bauteile, Prototypen und technische Spezifikationen angemessen schützen.
TISAX baut auf der Norm ISO 27001 auf, die Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) definiert. Ein ISMS definiert Schutzziele, Maßnahmen und Verantwortlichkeiten, um Informationssicherheit auf allen Ebenen der Organisation zu verankern. Zusätzlich zu den Anforderungen von ISO 27001 setzt TISAX jedoch auch eigene Vorgaben an Datenschutz und Prototypenschutz.
Wichtige Ressourcen für die TISAX-Zertifizierung:
Ist die TISAX Zertifizierung verpflichtend?
TISAX ist keine gesetzliche Vorschrift, allerdings ist die Zertifizierung für die Zusammenarbeit mit führenden Autoherstellern notwendig. Für betroffene Zulieferer und Dienstleister führt also kein Weg an TISAX vorbei.
TISAX Zertifizierung: Wichtige Begriffe
Für die Vorbereitung auf TISAX ist es wichtig, grundlegende Begriffe zu kennen und zu verstehen. Dazu zählen:
Prüfziel: Nicht jede Anforderung ist für jeden Zulieferer relevant. Das Prüfziel bestimmt, nach welche Abschnitte des Kriterienkatalogs ein Unternehmen geprüft wird, zum Beispiel Zugriff auf vertrauliche Informationen oder Schutz von Prototypenfahrzeugen.
Label: Je nach gewähltem Prüfziel erhalten Firmen das entsprechende Label zum Nachweis des bestandenen Audits. Insgesamt existieren 10 verschiedene Labels, etwa Confidential oder Proto Vehicles.
Assessment Level: Das Assessment Level hängt mit dem gewählten Prüfziel zusammen und bestimmt den Ablauf des Audit-Prozesses. Level 1 ist eine Selbsteinschätzung, die in offiziellen Audits nicht verwendet wird. Bei Level 2 finden Remote-Interviews und ein Dokumenten-Audit statt. Level 3 setzt eine Überprüfung vor Ort voraus.
Prüf-Scope: Der Prüf-Scope bestimmt, welche Unternehmensbereiche geprüft werden. Für die TISAX-Zertifizierung ist der Scope fest vorgegeben und muss alle Prozesse, Verfahren und Ressourcen abdecken, die für die Erfüllung der Schutz- und Prüfziele relevant sind. Allerdings kann ein Zulieferer mehrere Scopes festlegen, wenn z.B. verschiedene Labels an verschiedenen Standorten angestrebt werden.
Reifegrad: Der Reifegrad misst auf einer Skala von null bis fünf, ob Anforderungen aus dem Kriterienkatalog erfüllt werden. TISAX hat einen Ziel-Reifegrad von drei (etabliert).
TISAX Zertifizierung: Ablauf
Die TISAX Zertifizierung läuft in mehreren Stufen ab, beginnend mit der Registrierung auf dem TISAX Portal und dem Erstgespräch mit einem Prüfdienstleister, bis hin zum Audit in zwei Phasen und dem finalen Ergebnis. Der Prüfprozess selbst kann in wenigen Monaten abgeschlossen werden. Wichtiger ist jedoch die Frage, wie lange die Umsetzung der Sicherheitsmaßnahmen dauert. Hier ist die Ausgangslage sehr verschieden, je nach Organisation.
Der Schritt-für-Schritt Ablauf der TISAX Zertifizierung:
Vorbereitung: Recherche der TISAX Anforderungen, Aufbau eines ISMS, Auswahl von Prüfzielen
Registrierung: Anmeldung zu TISAX über das ENX Portal
Wahl eines Prüfdienstleisters: Auswahl und Beauftragung eines Prüfdienstleisters, Kick-Off Meeting, Vereinbarung der weiteren Termine
Stufe 1 Audit: Kontrolle des abgegebenen Self-Assessment auf Plausibilität und Vollständigkeit
Stufe 2 Audit: Intensive Kontrolle, Interviews, Begehung von Räumlichkeiten (je nach Assessment Level)
Optimierung: Maßnahmenplan zur Korrektur von Abweichungen, bei Bedarf Follow-Up Prüfung
Assessment: Finaler Bericht, Teilen der Ergebnisse über TISAX Exchange Plattform
TISAX Checkliste: Alle Schritte zur Zertifizierung
Häufige Fragen
Für die Vorbereitung auf TISAX haben Unternehmen beliebig viel Zeit. Durch die Registrierung, die Auswahl eines Dienstleisters oder ein Kick-Off Meeting entstehen keinerlei Fristen. Je nach Stand Ihres ISMS kann die Vorbereitung unterschiedlich lange dauern. Erst bei erfolgter Prüfung beginnt eine Frist von 9 Monaten, innerhalb derer sämtliche Abweichungen korrigiert werden müssen.
Die TISAX Zertifizierung ist für maximal drei Jahre gültig. Der Zeitraum beginnt mit Abschluss der ersten Prüfung. Müssen anschließend Abweichungen beseitigt werden, verkürzt sich also die Dauer der Gültigkeit. Anders als bei ISO 27001 sind für eine TISAX Zertifizierung keine jährlichen Kontroll-Audits notwendig.
Die Kosten von TISAX setzen sich aus dem Audit, Beratungsleistungen sowie dem Aufbau eines konformen ISMS zusammen. Die Prüfung selbst macht dabei den geringsten Teil aus. Je nach Komplexität der eigenen IT können die Kosten von 10.000€ bis zu 200.000€ reichen. Firmen, die bereits eine Zertifizierung nach ISO 27001 nachweisen können, haben es dabei erheblich leichter.
Wer alle TISAX Anforderungen erfüllt, erhält das Gesamtergebnis konform. Das gilt auch, falls der Prüfer Verbesserungspotenzial oder kleinere Beobachtungen vermerkt. Bei kleineren Abweichungen von den Anforderungen (Nebenabweichung) kann ein temporäres TISAX Label vergeben werden. Bei groben Abweichungen (Hauptabweichung) müssen diese erst korrigiert werden, indem dem Prüfer ein Maßnahmenplan zur Behebung vorgelegt wird.
Das Teilen von Prüfergebnissen erfolgt allein über die Austauschplattform TISAX Exchange. Hier können Sie anderen Teilnehmern in mehreren Stufen Zugriff auf die Ergebnisse Ihres Audits geben, von dem Gesamtergebnis bis hin zu den Reifegraden in einzelnen Teilbereichen. Die Veröffentlichung außerhalb der Exchange-Plattform ist nicht erlaubt. Geschäftspartner müssen sich also selbst registrieren, um Ergebnisse einsehen zu können.
Im Rahmen der TISAX Zertifizierung müssen Zulieferer auch sicherstellen, dass ihre eigenen Kooperationspartner und Auftragnehmer ein angemessenes Sicherheitsniveau beibehalten. Dazu müssen Risikobewertungen durchgeführt und vertragliche Vereinbarungen an sie weitergegeben werden – vorausgesetzt die betroffenen Firmen sind für die IT-Sicherheit relevant. Tier 2 bzw. Tier 3 Zulieferer brauchen daher auch immer öfter eine TISAX Zertifizierung.
TISAX Anforderungen
Für eine Zertifizierung nach TISAX muss ein Unternehmen ein ISO-konformes ISMS aufbauen sowie zusätzliche Industrie-spezifische Anforderungen erfüllen. Die Anforderungen von TISAX setzen sich also aus den Anforderungen von ISO 27001 plus eigenen Vorgaben für den Schutz von Daten und Prototypen zusammen.
TISAX Anforderungen bestehen also aus:
ISO 27001 Anforderungen
Organisatorische Sicherheit
Personelle Sicherheit
Physische Sicherheit
Technische Sicherheit
Management-Verantwortung
Kontinuierliche Verbesserung
TISAX-spezifischen Anforderungen
Datenschutz
Prototypenschutz
Umgang mit Fahrzeugen & Bauteilen
Vertraulichkeitsverpflichtung
Schutz auf Veranstaltungen
Dabei ist es das Ziel von TISAX, sämtliche Risiken für Integrität, Verfügbarkeit und Vertraulichkeit von Informationen zu managen. Dazu zählen neben Datenlecks und Cyberangriffen also auch der physische Zugriff durch Unbefugte oder Insider Threats innerhalb der Organisation.
ISO 27001: Access Governance Anforderungen
Erfahren Sie alles über die Vorgaben für ISO-konformes Identity & Access Management.
TISAX Anforderungen: Prüfziele
Die genauen Anforderungen für die TISAX Zertifizierung sind im Kriterienkatalog Information Security Assessment (VDA ISA) dokumentiert. Welche Teilbereiche eine Organisation erfüllen muss, hängt vom gewählten Prüfziel ab. Insgesamt stehen 10 Prüfziele zur Auswahl.
| Prüfziel | Anforderungen | Assessment Level (AL) |
|---|---|---|
| Confidential | Kriterienkatalog Informationssicherheit: sollte, muss und hoher Schutzbedarf (falls mit C markiert) | Level 2 |
| Strictly confidential | Kriterienkatalog Informationssicherheit: sollte, muss, hoher und sehr hoher Schutzbedarf (falls mit C markiert) | Level 3 |
| High availability | Kriterienkatalog Informationssicherheit: sollte, muss und hoher Schutzbedarf (falls mit A markiert) | Level 2 |
| Very high availability | Kriterienkatalog Informationssicherheit: sollte, muss, hoher und sehr hoher Schutzbedarf (falls mit A markiert) | Level 3 |
| Proto Parts | Kriterienkatalog Prototypenschutz: sollte und muss aus Abschnitt 8.1, 8.2 und 8.3 | Level 3 |
| Proto vehicles | Kriterienkatalog Prototypenschutz: sollte, muss und Zusatzanforderungen aus 8.1, 8.2 und 8.3 | Level 3 |
| Test vehicles | Kriterienkatalog Prototypenschutz: sollte und muss aus Abschnitt 8.2, 8.3 und 8.4 | Level 2 |
| Proto events | Kriterienkatalog Prototypenschutz: sollte und muss aus Abschnitt 8.2, 8.3 und 8.5 | Level 2 |
| Data | Kriterienkatalog Informationssicherheit: sollte, muss und hoher Schutzbedarf (falls mit C markiert) Plus Kriterienkatalog Datenschutz | Level 2 |
| Special Data | Kriterienkatalog Informationssicherheit: sollte, muss, hoher und sehr hoher Schutzbedarf (falls mit C markiert) Plus Kriterienkatalog Datenschutz | Level 3 |
TISAX Anforderungen: Reifegrad
Um eine Anforderung zu erfüllen, muss eine Organisation für die jeweilige Vorgabe einen Mindest-Reifegrad von 3 erreichen. Das Reifegrad-Modell misst, wie erfolgreich Anforderungen implementiert wurden auf einer Skala von 0 bis 5.
Reifegrad 0, Unvollständig: Es gibt keinen Prozess, es wird keinem Prozess gefolgt oder der Prozess ist nicht geeignet, um das Ziel zu erreichen.
Reifegrad 1, Durchgeführt: Es wird einem nicht oder unvollständig dokumentierten Prozess gefolgt (“informeller Prozess”) und es gibt Anzeichen, dass er sein Ziel erreicht.
Reifegrad 2, Gesteuert: Es wird einem Prozess gefolgt, der seine Ziele erreicht. Prozessdokumentation und Prozessdurchführungsnachweise sind vorhanden.
Reifegrad 3, Etabliert: Es wird einem Standardprozess gefolgt, der in das Gesamtsystem integriert ist. Abhängigkeiten von anderen Prozessen sind dokumentiert und geeignete Schnittstellen geschaffen. Es existieren Nachweise, dass der Prozess über einen längeren Zeitraum nachhaltig und aktiv genutzt wurde.
Reifegrad 4, Vorhersagbar: Es wird einem etablierten Prozess gefolgt. Die Wirksamkeit des Prozesses wird durch Erheben von Kennzahlen kontinuierlich überwacht. Es sind Grenzwerte definiert, bei denen der Prozess als nicht hinreichend wirksam angesehen wird und angepasst werden muss.
Reifegrad 5, Optimierend: Es wird einem vorhersagbaren Prozess gefolgt, bei dem die kontinuierliche Verbesserung ein wesentliches Ziel ist. Die Verbesserung wird von dedizierten Ressourcen aktiv vorangetrieben.
TISAX Anforderungen: Umfassende IT-Sicherheit
Für eine erfolgreiche TISAX Zertifizierung, brauchen Unternehmen ganzheitlichen Schutz vor IT-Bedrohungen absichern. Die Anforderungen von TISAX reichen von der Abwehr von Malware über Schwachstellenmanagement, Netzwerksegmentierung, Verschlüsselung und die Wiederherstellung im Notfall.
Firmen müssen also ein breites Spektrum an IT-Anforderungen abdecken. TISAX lässt sich entsprechend nicht mit einem einzelnen Produkt abhaken, sondern erfordert den richtigen Mix an Security-Lösungen: zugeschnitten auf den Bedarf der Organisation.
TISAX Anforderungen: Keine Zertifizierung ohne Identity Governance
Ein zentraler Punkt, der bei der Vorbereitung auf TISAX keinesfalls fehlen darf ist die Verwaltung von Identitäten und Berechtigungen. Nur mit einer passenden Governance-Lösung kann sichergestellt werden, dass nur die richtigen Personen Zugriff haben – zum Beispiel auf Fahrzeug- und Bauteildaten von Geschäftspartnern.
Im Kriterienkatalog der TISAX Anforderungen fallen diese Vorgaben unter Punkt 4: Identitäts- und Zugriffsverwaltung. Wichtige Fragen, die Firmen hier beantworten müssen, sind etwa:
Wie werden Benutzerkonten eingerichtet, geändert, gesperrt und gelöscht?
Werden Benutzerkonten in regelmäßigen Abständen überprüft?
Wie wird der Zugang von Benutzern zu IT-Systemen gesichert?
Wie werden Zugriffsrechte vergeben und verwaltet?
tenfold: Berechtigungen TISAX-konform managen
Die TISAX-konforme Zugriffsverwaltung muss nicht kompliziert sein: Mit tenfold lässt sich die Steuerung von Konten und Rechten in kürzester Zeit automatisieren. Vom automatischen On- und Offboarding anhand von Rollen über zentrales Reporting und einfache Access Reviews bietet tenfold sämtliche Funktionen, die Sie für TISAX in diesem Bereich nachweisen müssen.
Das Beste daran? Als No-Code Lösung kann tenfold mit minimalem Aufwand in Betrieb genommen und genutzt werden. Dank fertiger Schnittstellen können Sie IT-Systeme innerhalb von Minuten mit tenfold integrieren – was bei vergleichbaren Lösungen Wochen bis Monate in Anspruch nimmt. Überzeugen Sie sich selbst! Eine persönliche Demo oder ein kostenloser Test geben Ihnen die Chance, tenfold in Aktion zu erleben.