DQS im Dialog
DQS Website Abonnieren

TISAX – Antworten auf wichtige Fragen

Sie müssen den Nachweis über die Sicherheit Ihnen überlassener Informationen gemäß den Anforderungen des „VDA Information Security Assessment“ (VDA ISA) erbringen? Unser Experte André Säckel gibt Antworten auf die wichtigsten Fragen.
© iStock TISAX - Automotive

Was bedeutet TISAX?

Den Prüf- und Austauschmechanismus für den Automobilbereich TISAX (Trusted Information Security Assessment Exchange) gibt es seit 2017. Er basiert auf einem vom Arbeitskreis Informationssicherheit des VDA (Verband der Automobilindustrie) entwickelten Fragebogen zur Informationssicherheit (ISA – Information Security Assessment), der zuerst von VDA-Mitgliedsunternehmen für Prüfungen bei Lieferanten und Dienstleistern verwendet wurde, in deren Unternehmen sensible Informationen verarbeitet werden. Zusätzlich stützt sich TISAX auf wesentliche Aspekte der internationalen Norm ISO 27001. Diese Norm für Informationssicherheit gilt als branchenübergreifend anwendbar und als anerkannteste Art der sicheren Verarbeitung von vertraulichen Informationen. Sie geht in den Anforderungen über den Schutz technischer Systeme hinaus und bezieht auch nicht-digitale Systeme wie z.B. Papierarchive, Räumlichkeiten, Sicherheitskontrollen ein. Mit anderen Worten: den Schutz aller Informationen, die für ein Unternehmen wichtig sind.

Welche Vorteile bietet TISAX?

Mit TISAX wird ein einheitliches Informationssicherheitsniveau in der Branche geschaffen. Die Bewertungsergebnisse finden unter den TISAX-Teilnehmern unternehmensübergreifende Anerkennung. Dies führt zu einem größeren Vertrauen in geprüfte Unternehmen. Zudem werden unnötige Doppel- und Mehrfachüberprüfungen vermieden. Das Assessment zur TISAX-Zertifizierung erfolgt nur alle drei Jahre, was Zeit und Kosten spart.

Wer überwacht TISAX?

Die ENX Association, mit Sitz in Frankfurt am Main und Paris, ist als neutrale Instanz mit der Durchführung von TISAX betraut. ENX ist der Zusammenschluss europäischer Automobilhersteller, Zulieferer und von vier nationalen Automobilverbänden, darunter auch der VDA, der ENX im Jahr 2000 gründete. Sie hält die Akkreditierungskriterien und Bewertungsanforderungen ein, akkreditiert die Prüfdienstleister, zu denen auch die DQS gehört, und überwacht die Qualität der Umsetzung der Bewertungsergebnisse.

Webinaraufzeichnung

  • Was ist TISAX ?
  • Was wird in einem Audit geprüft ?
  • Welche Dokumente sind relevant ?
  • Was sind die Vorteile von TISAX?
Jetzt anschauen

Was ist ein Assessment-Level?

TISAX unterscheidet drei Assessment-Level (Schutzbedarfe), je nachdem, welcher Schutz erforderlich ist: normal (Level 1), hoch (Level 2) und sehr hoch (Level 3). Davon abhängig ist die Prüfmethode und der Prüfaufwand.

Level 1: Selbsteinschätzung ohne Plausibilitätsprüfung, i.d.R. nur für interne Zwecke. Diese Prüfergebnisse haben nur eine geringe Aussagekraft und werden in TISAX nicht verwendet.

Level 2: Plausibilitätsprüfung Ihrer Selbsteinschätzung durch einen Prüfdienstleister wie der DQS. Diese Informationssicherheitsprüfungen werden i.d.R. als Telefonkonferenz durchgeführt, nicht durch Vor-Ort-Prüfungen – es sei denn, eine der folgenden Bedingungen trifft zu:

  • Prüfziel „Prototypenschutz“ (unabhängig vom Schutzbedarf)
  • Prüfziel „Anbindung Dritter“ (unabhängig vom Schutzbedarf)
  • Ihr Standort befindet sich in einem Land, das in der „TISAX activation list“ (TISAX-Aktivierungsliste) aufgeführt ist.

Level 3: Plausibilitätsprüfung Ihrer Selbsteinschätzung durch einen Prüfdienstleister immer durch eine eingehende, umfassende Vor-Ort-Prüfung

Ist die Einführung von TISAX auch für nicht produzierende Unternehmen ein Muss?

Ob Sie TISAX einführen müssen oder nicht, hängt von Ihrem OEM ab bzw. ob er diesen Nachweis von Ihnen verlangt. Sofern der Automobilhersteller nicht gezielt auf Sie zukommt oder Sie eine Veränderung in den AGBs sehen, empfiehlt es sich, abzuwarten. In der Vergangenheit wurden die Unternehmen bei Bedarf vom OEM über die Voraussetzungen zur weiteren Zusammenarbeit kontaktiert. Selbstverständlich bleibt es Ihnen aber überlassen, proaktiv bei Ihren Partnern nachzufragen.

Ist es sinnvoll, auch ohne Kundenanforderung eine TISAX-Zertifizierung anzustreben?

Welches Level ist erstrebenswert?

Proaktiv an das Thema Informationssicherheit heranzugehen ist in der heutigen Zeit generell sehr sinnvoll, nicht nur für Automobilzulieferer. Sofern Sie von Ihrem OEM (noch) keine Vorgaben haben, welches TISAX-Label von Ihnen erwartet wird, bietet sich der Nachweis von Level 3 an (Assessment-Level 3: sehr hohe Informationssicherheit). Auf diese Weise sind Sie auf alle künftigen Anforderungen vorbereitet, ohne Doppelarbeit leisten zu müssen. Alternativ bietet ISO 27001 einen guten, branchenübergreifenden Einstieg in die Informationssicherheit.

Sind die Inhalte von TISAX analog zu ISO 27001?

Der TISAX-Prüfkatalog wurde von der internationalen Norm ISO 27001 abgeleitet und greift auf die darin festgelegten „Controls“ zurück. Sie beschreiben, wie die jeweiligen Anforderungen (muss, sollte, kann) umgesetzt werden können, wie Prozesse sicherzustellen sind und welche Hilfsmittel eingesetzt werden können. Ein wesentlicher Unterschied beider Standards liegt darin, dass bei TISAX ein bestimmter Reifegrad (Maturity Level) erreicht werden muss. 

Maturity Levels: TISAX vs. ISO 27001

Ist die Definition von „Prozessen“ bei TISAX analog zu ISO 9001?

Ja, prinzipiell ist der Aufbau der Prozesse mit den verschiedenen Bausteinen immer der Gleiche. Im TISAX-Prüfkatalog steht außerdem ganz konkret, von welchen Controls Kennzahlen ermittelt werden müssen und von welchen nicht. die Erstellung der KPI’s ist mit Beispielen hinterlegt. Ein Blick in den Fragenkatalog hilft also für einen ersten Überblick.

Ist ein IT-Sicherheitsbeauftragter für die Einführung von TISAX zu empfehlen?

Es ist nicht zwingend erforderlich, dass der verantwortliche Mitarbeiter zur Einführung von TISAX aus der IT-Abteilung kommt. Da es sich aber um IT-gestützte Prozesse handelt, sind gewisse IT-Kenntnisse durchaus von Vorteil.

Ist ein kombiniertes Audit von TISAX und ISO 27001 empfehlenswert?

Ein Kombiaudit ist auf jeden Fall möglich und kann durch die DQS jederzeit vorgenommen werden. Alle TISAX-Auditoren der DQS sind zugleich zugelassene Lead Auditoren für ISO 27001. Damit können beide Begutachtungen gleichzeitig mit einem geringeren zusätzlichen Aufwand durchgeführt werden.

Muss für TISAX zwingend eine Zertifizierung gemäß ISO 27001 vorliegen?

Es gibt keine Vorgabe die besagt, dass bereits ein zertifiziertes Informationssicherheits-Managementsystem gemäß ISO 27001 vorliegen muss. Es muss lediglich nachgewiesen werden, dass Sie nach einem Informationssicherheitsmanagement arbeiten und die entsprechenden Prozesse und Verfahren stabil umgesetzt werden. Diese Beurteilung nimmt der Auditor vor, der anhand der Dokumente auch die Einteilung in einen Reifegrad („Maturity Level“) vornimmt.

Welche Vorteile ergeben sich durch eine bereits bestehende ISO 27001-Zertifizierung?

Wenn Sie bereits ein ISO 27001-Zertifikat nachweisen können, ist dies natürlich immer von Vorteil, da Sie auch für TISAX ein eingeführtes Informationssicherheits-Managementsystem nachweisen müssen und beide Regelwerke eine ähnliche Abdeckung haben. Aber bitte beachten Sie, dass sich die Definition des TISAX-Prüf-Scopes von der für die ISO 27001-Zertifizierung erforderlichen Definition unterscheiden kann, denn die zugrundeliegenden Konzepte sind nicht identisch. Bei größeren Unternehmen kann auch die Registrierung mehrerer Prüf-Scopes in Betracht gezogen werden.

Wie lege ich den TISAX-Prüf-Scope fest?

Die ENX bietet einen Standard-Scope an, der von 90% aller Teilnehmer angenommen wird. Der Standard-Scope ist vordefiniert und kann nicht geändert werden. Stellen Sie während der Vorbereitung auf Ihre Prüfung fest, dass er nicht passt, können Sie den Umfang Ihrer Prüfung unter bestimmten Umständen anpassen. In Einzelfällen wird auch der erweiterte Scope vom OEM gefordert. Diese Sonderfälle sind allerdings selten und werden vom jeweiligen OEM detailliert mit Ihnen besprochen. Im normalen Fall reicht der Standard-Scope. Er ist die Grundlage für eine TISAX-Prüfung und wird von allen Teilnehmern akzeptiert.

Ist ein Prüf-Scope für alle Standorte ausreichend?

Ein einziger Prüf-Scope, der alle Standorte enthält, bietet Vor- aber auch Nachteile.

Vorteile

  • nur ein Prüfergebnis, ein Prüfbericht, ein Ablaufdatum
  • reduzierte Kosten, da zentrale Prozesse, Verfahren und Ressourcen nur einmal bewertet werden müssen

Nachteile

  • das Prüfergebnis steht erst nach der Begutachtung aller Standorte zur Verfügung
  • das Prüfergebnis hängt davon ab, dass alle Standorte die Prüfung bestehen sofern nur ein Standort die Prüfung nicht besteht, erhalten Sie kein positives Prüfergebnis

Kann der Scope nur auf „sicherheitskritische Mitarbeiter“ isoliert werden?

Die ENX sagt ganz klar: Alle Mitarbeiter, die mit Informationen aus der jeweiligen Automobilbranche in Berührung kommen, müssen in den Scope aufgenommen werden. Dies kann beispielsweise auch ein Maschinenführer sein, der mit einem Bauplan des Kunden arbeitet. Sie selbst müssen für sich definieren, welche Mitarbeiter in informationsrelevante Prozesse eingebunden sind.

Stimmt es, dass bei ENX zuerst der Antrag auf eine TISAX-Prüfung gestellt werden muss und danach der Zertifizierer ausgesucht werden kann?

Das ist korrekt. Im Anschluss an Ihre Online-Registrierung unter www.enx.com/tisax/ und die Genehmigung des Prüf-Scopes durch die ENX erhalten Sie eine Liste mit allen zugelassenen Prüfdienstleistern. Sie können die Liste aber auch schon vorab bei der ENX einsehen. Die DQS ist als Prüfdienstleister bei ENX gelistet und kann weltweit Assessments durchführen.

Macht eine Anfrage überhaupt Sinn, wenn der Reifegrad zu niedrig ist?

Sollten Sie in einem Selbst-Assessment feststellen, dass in Ihrem Unternehmen noch Nachholbedarf besteht, macht eine Anfrage zur Prüfung vorerst keinen Sinn. Es empfiehlt sich, zuerst die identifizierten Lücken zu schließen und danach eine Prüfung in Betracht zu ziehen.

Wie lange dauern die einzelnen Assessments?

Das kommt auf die Größe Ihres Unternehmens an und ob viel Reisetätigkeit mit der Prüfung Ihrer Standorte verbunden ist. Bei durchschnittlicher Unternehmensgröße reichen für das Prüfverfahren 2-3 Tage vor Ort aus.

Wie lange dauert es, bis ein Unternehmen als zertifiziert gilt?

Der gesamte TISAX-Prüfprozess kann max. 9 Monate dauern. Er beginnt mit der Erstprüfung und endet mit der letzten Nachprüfung. Kann der Prüfprozess nicht innerhalb der genannten Frist abgeschlossen werden, erhalten Sie kein TISAX-Label.

Erfüllt Ihr Unternehmen alle Kriterien bzw. weist lediglich geringe Abweichungen (sog. Nebenabweichungen) auf, wird der Prüfbericht bei der ENX eingereicht. Sobald dieser akzeptiert wurde, erhalten Sie Ihr (temporäres) TISAX-Label. Liegen Hauptabweichungen vor, die erst behoben werden müssen, gilt das Label ab dem Tag, an dem die Abweichung als behoben gilt.

Was sind TISAX-Labels?

Die Labels sind das Ergebnis des Prüfprozesses und fassen Ihr Prüfergebnis zusammen. Sie sind hierarchisch miteinander verknüpft. D.h. wenn Sie ein bestimmtes Label erhalten, erhalten Sie automatisch auch die „darunter liegenden“. Die Labels sind nur im ENX-Portal einsehbar. Ihre Gültigkeitsdauer beträgt i.d.R. drei Jahre.

Was sind Haupt- und Nebenabweichungen?

Eine Hauptabweichung („major non-conformity“) liegt vor, wenn die Abweichung Zweifel an der Gesamtwirksamkeit Ihres Informationssicherheits-Managementsystems (ISMS) aufkommen lässt oder wenn sie erhebliche Informationssicherheitsrisiken verursacht. Dies ist beispielsweise der Fall, wenn eine Zwei-Faktor-Identifizierung verlangt ist und diese noch nicht implementiert wurde.

Eine Nebenabweichung („minor non-conformity“) liegt beispielsweise vor, wenn die Abweichung weder die Gesamtwirksamkeit Ihres ISMS in Frage stellt noch ein erhebliches Informationssicherheitsrisiko darstellt. Beispielsweise vereinzelte oder sporadische Fehler und Umsetzungsdefizite.

Sie haben Fragen?

Kontaktieren Sie uns!

Ganz unverbindlich und kostenfrei.

Jetzt Anfrage senden

Müssen auch Wirksamkeitsnachweise einzelner Maßnahmen eingereicht werden?

Ja. Nachdem Sie Ihren Maßnahmenkatalog erstellt und die Maßnahmen umgesetzt haben, wird ihre Wirksamkeit geprüft. Daher sieht der Zertifizierungsprozess auch einen Zeitraum von 9 Monaten vor.

Wie kann ich die Mitarbeiteranzahl im Vorfeld bestimmen, wenn die Mitarbeiter erst nach Vertragsabschluss mit unserem Auftraggeber eingestellt werden?

Die Range, in die die Mitarbeiter für TISAX eingeordnet werden, ist deutlich größer als bei ISO 27001. Sie ordnet die Anzahl der Mitarbeiter beispielsweise in 0-50, 51-150 etc. ein. Wenn Sie also ungefähr wissen, wie viele Mitarbeiter neu eingestellt werden, können Sie sich in eine entsprechende Range einordnen.

Wie viele Dokumente sollten vorhanden sein, um TISAX gerecht zu werden?

Pauschal lässt sich hier keine Angabe treffen. Es kommt immer auch auf die Größe und die Tätigkeit Ihres Unternehmens an. Theoretisch können Sie alles in einem einzelnen Dokument abdecken, sofern die Übersichtlichkeit gegeben ist. Es empfiehlt sich aber, mehrere Dokumente zu erstellen, in denen zusammenpassende Themengebiete aufgegriffen werden.

Wird TISAX den VDA Prototypenschutz ersetzen?

Da in TISAX ein eigenes Modul zum Prototypenschutz vorgesehen ist, welches deutlich detaillierter auf die einzelnen Kriterien eingeht als dies bisher der Fall war, ist davon auszugehen, dass TISAX die bisherigen Regelwerke ablösen wird.