DQS im Dialog
DQS Website Abonnieren

TISAX® – Antworten auf wichtige Fragen

Sie müssen den Nachweis über die Sicherheit Ihnen überlassener Informationen gemäß den Anforderungen des „VDA Information Security Assessment“ (VDA ISA) erbringen? Unser Experte André Säckel gibt Antworten auf wichtige Fragen.
© iStock TISAX® fragen und antworten

Was bedeutet TISAX®?

TISAX® (Trusted Information Security Assessment eXchange) ist ein gemeinsames Prüf- und Austauschverfahren für den Automobilbereich. Es basiert auf einem vom VDA-Arbeitskreis „Informationssicherheit“ entwickelten Fragebogen zur Informationssicherheit (ISA – Information Security Assessment), der zuerst von Mitgliedsunternehmen des VDA (Verband der Automobilindustrie) für Prüfungen bei Lieferanten und Dienstleistern verwendet wurde, in deren Unternehmen sensible Informationen verarbeitet werden. Seit Juli 2020 ist der Fragenkatalog VDA ISA in der Version 5.0 verfügbar. Seit 1. Oktober 2020 ist er für alle neuen TISAX®-Assessments verpflichtend.

Zusätzlich stützt sich TISAX® auf wesentliche Anforderungen der international Norm für Informationssicherheit: ISO 27001. Sie gilt als branchenübergreifend anwendbar und als anerkannteste Art der sicheren Verarbeitung von vertraulichen Informationen. Sie geht in ihren Anforderungen über den Schutz IT-technischer Systeme hinaus und bezieht alle schützenswerten Unternehmenswerte ein, z.B. Räumlichkeiten, Archive, Sicherheitskontrollen. Mit anderen Worten: den Schutz aller Informationen, die für ein Unternehmen von Wert sind.

Welche Vorteile bietet TISAX®?

  • Mit TISAX® wird ein einheitliches Informationssicherheitsniveau in der Automobil-Branche geschaffen.
  • Die Bewertungsergebnisse finden unter allen TISAX®-Teilnehmern unternehmensübergreifende Anerkennung, was zu einem größeren Vertrauen in geprüfte Unternehmen führt.
  • Unnötige Doppel- und Mehrfachüberprüfungen werden durch die gegenseitige Anerkennung im TISAX®-Netzwerk vermieden.
  • Das Assessment zur TISAX®-Zertifizierung erfolgt nur alle drei Jahre, was Zeit und Kosten spart.

Wer überwacht TISAX®?

TISAX® ist eine eingetragene Marke der ENX Association (European Network Exchange Association) mit Sitz in Frankfurt am Main und Paris. Sie ist als neutrale Instanz mit der Durchführung von TISAX® betraut. ENX ist der Zusammenschluss europäischer Automobilhersteller, Zulieferer und von vier nationalen Automobilverbänden, darunter auch der VDA, der ENX im Jahr 2000 gründete. Die ENX Association überwacht die Qualität der Durchführung und erteilt Prüfdienstleistern nach einem strengen Verfahren die Zulassung. Die DQS ist bei ENX als zugelassener Prüfdienstleister gelistet und kann weltweit Assessments durchführen.

DQS Webinaraufzeichnung

Webinaraufzeichnung

  • Was ist TISAX®?
  • Was sind die Vorteile von TISAX®?
  • Was wird in einem Assessment geprüft?
  • Welche Dokumente sind relevant?
Jetzt kostenfrei anschauen

Was ist ein Assessment-Level?

TISAX® unterscheidet drei Assessment-Levels (Schutzbedarfe), je nachdem, welcher Schutz erforderlich ist: normal (Level 1), hoch (Level 2) und sehr hoch (Level 3). Davon abhängig sind die Prüfmethode und der Prüfaufwand.

Level 1: Selbsteinschätzung ohne Plausibilitätsprüfung, i.d.R. nur für interne Zwecke. Diese Prüfergebnisse haben nur eine geringe Aussagekraft und werden in TISAX® nicht verwendet.

Level 2: Plausibilitätsprüfung Ihrer Selbsteinschätzung durch einen Prüfdienstleister wie der DQS. Diese Informationssicherheitsprüfungen werden i.d.R. als Telefonkonferenz durchgeführt, nicht durch Vor-Ort-Prüfungen – es sei denn, eines der Prototypenschutz-Prüfziele trifft zu oder Sie wünschen es ausdrücklich.

Level 3: Plausibilitätsprüfung Ihrer Selbsteinschätzung durch einen Prüfdienstleister immer durch eine eingehende, umfassende Vor-Ort-Prüfung.

Ist die Einführung von TISAX® auch für nicht produzierende Unternehmen ein Muss?

Die Antwort auf diese Frage ist vom Kontext Ihres Unternehmens abhängig: Ob Sie TISAX® einführen müssen oder nicht, hängt von Ihrem OEM ab bzw. ob er diesen Nachweis von Ihnen verlangt. Sofern der Automobilhersteller nicht gezielt auf Sie zukommt oder Sie eine Veränderung in den AGB sehen, empfiehlt es sich, abzuwarten. In der Vergangenheit wurden die Unternehmen bei Bedarf vom OEM über die Voraussetzungen zur weiteren Zusammenarbeit kontaktiert. Selbstverständlich bleibt es Ihnen aber überlassen, proaktiv bei Ihren Partnern nachzufragen.

Ist es sinnvoll, auch ohne Kundenanforderung eine TISAX®-Zertifizierung anzustreben?

Proaktiv an das Thema Informationssicherheit heranzugehen ist in der heutigen Zeit generell sehr sinnvoll, nicht nur für Automobilzulieferer. Sofern Sie von Ihrem OEM (noch) keine Vorgaben haben, welches TISAX®-Label von Ihnen erwartet wird, bietet sich der Nachweis von Level 3 an (Assessment-Level 3: sehr hohe Informationssicherheit). Auf diese Weise sind Sie auf alle künftigen Anforderungen vorbereitet, ohne Doppelarbeit leisten zu müssen. Alternativ bietet der weltweit anerkannte Standard DIN ISO/IEC 27001 einen guten, branchenübergreifenden Einstieg in die Informationssicherheit.

Ist der Inhalt von TISAX® analog zu ISO 27001?

Der TISAX®-Prüfkatalog wurde von der internationalen Norm ISO 27001 abgeleitet und greift auf die darin festgelegten „Controls“ (Maßnahmen) zurück. Sie beschreiben, wie die jeweiligen Anforderungen (muss, sollte) umgesetzt werden können, wie Prozesse sicherzustellen sind und welche Hilfsmittel eingesetzt werden können. Ein wesentlicher Unterschied beider Standards liegt darin, dass bei TISAX® ein bestimmter Reifegrad (Maturity Level) erreicht werden muss. 

Maturity Levels: TISAX® vs. ISO 27001

Ist die „Prozess-Definition“ von ISO 9001 analog zu TISAX®?

Diese Frage lässt sich mit „Ja“ beantworten. Prinzipiell ist der Aufbau der Prozesse in den verschiedenen Regelwerken immer derselbe. Im TISAX®-Prüfkatalog steht außerdem ganz konkret, von welchen Controls Kennzahlen ermittelt werden müssen und von welchen nicht. die Erstellung der KPI ist mit Beispielen hinterlegt. Ein Blick in den Fragenkatalog hilft also für einen ersten Überblick.

Ist ein IT-Sicherheitsbeauftragter für die Einführung von TISAX® zu empfehlen?

Es ist nicht zwingend erforderlich, dass der verantwortliche Mitarbeiter zur Einführung von TISAX® aus der IT-Abteilung kommt. Da es sich aber um IT-gestützte Prozesse handelt, sind gewisse IT-Kenntnisse durchaus von Vorteil.

Ist ein kombiniertes Audit von TISAX® und ISO 27001 empfehlenswert?

Ein Kombiaudit ist auf jeden Fall möglich und kann durch die DQS jederzeit vorgenommen werden. Alle TISAX®-Auditoren der DQS sind zugleich zugelassene Auditoren für ISO 27001. Damit können beide Begutachtungen gleichzeitig mit einem geringeren zusätzlichen Aufwand durchgeführt werden.

Muss für TISAX® zwingend eine Zertifizierung gemäß ISO 27001 vorliegen?

Nein, es gibt keine Vorgabe die besagt, dass bereits ein zertifiziertes Informationssicherheits-Managementsystem gemäß ISO 27001 vorliegen muss. Für das TISAX®-Assessment muss lediglich nachgewiesen werden, dass Sie nach einem Informationssicherheitsmanagement arbeiten und die entsprechenden Prozesse und Verfahren im Unternehmen stabil umgesetzt werden. Diese Beurteilung nimmt der Auditor vor, der anhand der Dokumente auch die Einteilung in einen Reifegrad („Maturity Level“) vornimmt.

Welche Vorteile ergeben sich durch eine bereits bestehende ISO 27001-Zertifizierung?

Wenn Sie bereits ein ISO 27001-Zertifikat nachweisen können, ist dies natürlich immer von Vorteil. Auch weil Sie für TISAX® ein eingeführtes Informationssicherheitsmanagement nachweisen müssen und beide Regelwerke eine ähnliche Abdeckung haben.

Aber bitte beachten Sie: Die Definition des TISAX®-Prüf-Scopes kann sich von der für die ISO 27001-Zertifizierung erforderlichen Definition unterscheiden. Die zugrunde liegenden Konzepte sind nicht identisch. Bei größeren Unternehmen kann auch die Registrierung mehrerer Prüf-Scopes in Betracht gezogen werden.

Wie lege ich den TISAX®-Prüf-Scope fest?

Die ENX bietet einen Standard-Scope an, der von 90% aller TISAX®-Teilnehmer angenommen wird. Der Standard-Scope ist vordefiniert und kann nicht verändert werden. Stellen Sie während der Vorbereitung auf Ihre Prüfung fest, dass der Standard-Scope nicht passt, können Sie den Umfang Ihrer Prüfung unter bestimmten Umständen anpassen. In Einzelfällen wird auch der erweiterte Scope vom OEM gefordert. Diese Sonderfälle sind allerdings selten und werden vom jeweiligen OEM detailliert mit Ihnen besprochen. Im Normalfall reicht der Standard-Scope. Er ist die Grundlage für eine TISAX®-Prüfung und wird von allen Teilnehmern akzeptiert.

Ist ein Prüf-Scope für alle Standorte ausreichend?

Ein einziger Prüf-Scope, der alle Standorte enthält, bietet Vor- aber auch Nachteile.

Vorteile

  • nur ein Prüfergebnis, ein Prüfbericht, ein Ablaufdatum
  • reduzierte Kosten, da zentrale Prozesse, Verfahren und Ressourcen nur einmal bewertet werden müssen

Nachteile

  • das Prüfergebnis steht erst nach der Begutachtung aller Standorte zur Verfügung
  • das Prüfergebnis hängt davon ab, dass alle Standorte die Prüfung bestehen sofern nur ein Standort die Prüfung nicht besteht, erhalten Sie kein positives Prüfergebnis

Kann der Prüf-Scope isoliert werden, z.B. auf „sicherheitskritische Mitarbeiter“?

Die ENX beantwortet diese Frage zu TISAX® ganz eindeutig: Alle Mitarbeiter, die mit sensiblen Informationen aus der jeweiligen Automobilbranche in Berührung kommen, müssen in den Prüf-Scope aufgenommen werden. Dies kann beispielsweise auch ein Maschinenführer sein, der mit einem Bauplan des Kunden arbeitet. Das Unternehmen muss für sich selbst definieren, welche Mitarbeiter in informationssicherheitsrelevante Prozesse eingebunden sind.

Stimmt es, dass bei ENX zuerst der Antrag auf eine TISAX®-Prüfung gestellt werden muss und erst danach der Zertifizierer ausgesucht werden kann?

Ja, das ist korrekt. Im Anschluss an Ihre Online-Registrierung unter www.enx.com/tisax/ und die Genehmigung des Prüf-Scopes durch die ENX erhalten Sie eine Liste mit allen zugelassenen Prüfdienstleistern. Sie können die Liste aber auch schon vorab bei der ENX einsehen. Die DQS ist als Prüfdienstleister bei ENX gelistet und kann weltweit Assessments durchführen.

Macht eine Anfrage überhaupt Sinn, wenn der Reifegrad zu niedrig ist?

Sollten Sie in einem Selbst-Assessment feststellen, dass in Ihrem Unternehmen in Punkto Informationssicherheit noch Nachholbedarf besteht, macht eine Anfrage zur Prüfung vorerst keinen Sinn. Es empfiehlt sich, zuerst die identifizierten Lücken zu schließen und danach eine Prüfung in Betracht zu ziehen.

Wie lange dauern die einzelnen Assessments?

Die Dauer einzelner Assessments ist von der Größe Ihres Unternehmens und der Reisetätigkeit, die mit der Prüfung Ihrer Standorte verbunden ist, abhängig. Bei durchschnittlicher Unternehmensgröße reichen für das Prüfverfahren 2-3 Tage vor Ort aus.

Wie lange dauert es, bis ein Unternehmen als zertifiziert gilt?

Der gesamte TISAX®-Prüfprozess kann max. 9 Monate dauern. Er beginnt mit der Erstprüfung und endet mit der letzten Nachprüfung. Kann der Prüfprozess nicht innerhalb der genannten Frist abgeschlossen werden, erhalten Sie kein TISAX®-Label.

Erfüllt Ihr Unternehmen alle Kriterien bzw. weist lediglich geringe Abweichungen (sog. Nebenabweichungen) auf, wird der Prüfbericht bei der ENX eingereicht. Sobald dieser akzeptiert wurde, erhalten Sie Ihr (temporäres) TISAX®-Label. Liegen Hauptabweichungen vor, die erst behoben werden müssen, gilt das Label ab dem Tag, an dem die Abweichung als behoben gilt.

Was sind TISAX®-Labels?

Die Labels sind das Ergebnis des Prüfprozesses und fassen Ihr Prüfergebnis zusammen. Sie sind hierarchisch miteinander verknüpft. D.h. wenn Sie ein bestimmtes Label erhalten, erhalten Sie automatisch auch die „darunter liegenden“. Die Labels sind nur im ENX-Portal einsehbar. Ihre Gültigkeitsdauer beträgt i.d.R. drei Jahre.

Was sind Haupt- und Nebenabweichungen?

Eine Hauptabweichung („major non-conformity“) liegt vor, wenn die Abweichung Zweifel an der Gesamtwirksamkeit Ihres Informationssicherheits-Managementsystems (ISMS) aufkommen lässt oder wenn sie erhebliche Informationssicherheitsrisiken verursacht. Dies ist beispielsweise der Fall, wenn eine Zwei-Faktor-Identifizierung verlangt ist und diese noch nicht implementiert wurde.

Eine Nebenabweichung („minor non-conformity“) liegt beispielsweise vor, wenn die Abweichung weder die Gesamtwirksamkeit Ihres ISMS in Frage stellt noch ein erhebliches Informationssicherheitsrisiko darstellt. Beispielsweise vereinzelte oder sporadische Fehler und Umsetzungsdefizite.

Kontakt zur DQS

Sie haben Fragen?

Kontaktieren Sie uns!

Ganz unverbindlich und kostenfrei.

Jetzt Anfrage senden

Müssen auch Wirksamkeitsnachweise einzelner Maßnahmen eingereicht werden?

Die Antwort lautet „Ja“. Nachdem Sie Ihren Maßnahmenkatalog erstellt und die Maßnahmen umgesetzt haben, wird ihre Wirksamkeit geprüft. Daher sieht der Zertifizierungsprozess auch einen Zeitraum von neun Monaten vor.

Wie kann ich die Mitarbeiteranzahl „im Vorfeld“ bestimmen?

Konkret: Wie kann ich die genaue Anzahl an Mitarbeitern im Vorfeld bestimmen, wenn ggf. weitere Mitarbeiter erst nach Vertragsabschluss mit unserem Auftraggeber eingestellt werden?

Die Range, in die die Mitarbeiter für TISAX® eingeordnet werden, ist deutlich größer als bei ISO 27001. Sie ordnet die Anzahl der Mitarbeiter beispielsweise in 0-50, 51-150 etc. ein. Wenn Sie also ungefähr wissen, wie viele Mitarbeiter neu eingestellt werden, können Sie sich in eine entsprechende Range einordnen.

Wie viele Dokumente sollten vorhanden sein, um TISAX® gerecht zu werden?

Pauschal lässt sich hier keine Angabe machen. Es kommt immer auch auf die Größe und die Tätigkeit Ihres Unternehmens an. Theoretisch können Sie alles in einem einzelnen Dokument abdecken, sofern die Übersichtlichkeit gegeben ist. Es empfiehlt sich aber, mehrere Dokumente zu erstellen, in denen zusammenpassende Themengebiete aufgegriffen werden.

Wird TISAX® den VDA Prototypenschutz ersetzen?

Da in TISAX® ein eigenes Modul zum Prototypenschutz vorgesehen ist, welches deutlich detaillierter auf die einzelnen Kriterien eingeht als dies bisher der Fall war, ist davon auszugehen, dass TISAX® langfristig die bisherigen Regelwerke ablösen wird. Aktuell ist die VDA-Prototypenschutz Version 3.0 von 2018 aber nach wie vor gültig.

Was kann die DQS für Sie tun?

Die DQS ist bei ENX als zugelassener Prüfdienstleister gelistet und kann weltweit Assessments durchführen. Alle unsere TISAX®-Auditoren sind zugleich auch zugelassene Auditoren für den internationalen Standard ISO 27001. Damit können beide Standards durch die DQS zeitgleich und mit einem geringeren zusätzlichen Aufwand begutachtet werden. Wir freuen uns auf das Gespräch mit Ihnen. Jetzt Kontakt aufnehmen.