DQS im Dialog
DQS Website Abonnieren

TISAX® – Antworten auf wichtige Fragen

Sie müssen den Nachweis über die Sicherheit Ihnen überlassener Informationen gemäß den Anforderungen des „VDA Information Security Assessment“ (VDA ISA) erbringen? Unser Normexperte André Säckel gibt Antworten auf wichtige Fragen rund um TISAX® – das gemeinsame Prüf- und Austauschverfahren in der Automobilindustrie. Der Kreis davon betroffener Unternehmen ist dabei größer als zunächst vielleicht vermutet. Denn neben dem klassischen Zulieferer im Tier 1 wird ein TISAX®-Nachweis zunehmend auch von Lieferanten auf weiteren Unterebenen gefordert – ebenso wie von Dienstleistern etwa in den Bereichen Datenverarbeitung oder Werbung, also von Partnerunternehmen der Automobilindustrie im weitesten Sinne.
© iStock TISAX® Fragen und Antworten zum Regelwerk

Was bedeutet TISAX®?

TISAX®Trusted Information Security Assessment eXchange

TISAX® ist ein gemeinsames Prüf- und Austauschverfahren für den Automobilbereich. Es basiert auf einem vom VDA-Arbeitskreis „Informationssicherheit“ entwickelten Fragebogen zur Informationssicherheit (ISA – Information Security Assessment), der zuerst von Mitgliedsunternehmen des Verbands der Automobilindustrie (VDA) für Prüfungen bei Lieferanten und Dienstleistern verwendet wurde, in deren Unternehmen sensible Informationen verarbeitet werden. Seit Juli 2020 ist der Fragenkatalog VDA ISA in der Version 5.0 verfügbar. Seit 1. Oktober 2020 ist diese Version für alle neuen TISAX®-Assessments verpflichtend.

Zusätzlich stützt sich TISAX® auf wesentliche Anforderungen der international anerkannten Norm für Informationssicherheit: ISO 27001. Sie ist branchenübergreifend anwendbar und definiert Anforderungen, Regeln und Methoden zur Gewährleistung der Sicherheit von Informationen im Unternehmen. Die Norm geht dabei in ihren Anforderungen über den Schutz IT-technischer Systeme hinaus und bezieht alle schützenswerten Unternehmenswerte ein, z.B. Räumlichkeiten, Sicherheitskontrollen und Archive. Mit anderen Worten: ISO 27001 gewährleistet den Schutz aller Informationen, die für ein Unternehmen von Wert sind.

Welche Vorteile bietet TISAX®?

  • Mit TISAX® wird ein einheitliches Niveau an Informationssicherheit in der Automobilindustrie geschaffen.
  • Die Bewertungsergebnisse finden unter allen TISAX®-Teilnehmern unternehmensübergreifende Anerkennung, was zu einem größeren Vertrauen in geprüfte Unternehmen führt.
  • Unnötige Doppel- und Mehrfachüberprüfungen werden durch die gegenseitige Anerkennung im TISAX®-Netzwerk vermieden.
  • Das Assessment zur TISAX®-Zertifizierung erfolgt nur alle drei Jahre, was Zeit und Kosten spart.
TISAX - Fragen und Antworten zum Assessment

TISAX®: Gute Planung für erfolgreiche Assessments

Stehen Sie vor der Aufgabe, den automobilen Branchenanforderungen in puncto Informationssicherheit nachzukommen? Dann sollten Sie schon im Vorfeld eines TISAX®-Assessments einige wichtige Entscheidungen treffen. Unser kostenfreies Whitepaper gibt Orientierungshilfen.

Gute Informationen für gute Planung. Jetzt Whitepaper lesen.

Wer überwacht TISAX®?

TISAX® ist eine eingetragene Marke der ENX Association mit Sitz in Frankfurt am Main und Paris. Sie ist als neutrale Instanz mit der Durchführung von TISAX® betraut. ENX ist der Zusammenschluss europäischer Automobilhersteller, Zulieferer und von vier nationalen Automobilverbänden, darunter auch der VDA, der ENX im Jahr 2000 gründete. Die ENX Association überwacht die Qualität der Durchführung und erteilt Prüfdienstleistern nach einem strengen Verfahren die Zulassung. Die DQS ist bei ENX als zugelassener Prüfdienstleister gelistet und kann weltweit Assessments durchführen. Für Fragen und Antworten stehen Ihnen unsere Experten jederzeit gerne zur Verfügung.

Um die gegenseitige Anerkennung der Assessments durch die Teilnehmer zu erreichen, schließt ENX sowohl mit allen zugelassenen Prüfdienstleistern als auch mit den Teilnehmern im TISAX®-Netzwerk entsprechende Verträge ab. Durch die Standardisierung und Qualitätsüberwachung erreicht ENX eine gemeinsame Anerkennung von Prüfergebnissen unter allen Teilnehmern. Unnötige Doppel- und Mehrfachprüfungen werden vermieden.

Fragen und Antworten zu TISAX®: Was ist ein Assessment-Level?

TISAX® unterscheidet drei Assessment-Levels (Schutzbedarfe), je nachdem, welcher Schutz erforderlich ist: normal (Level 1), hoch (Level 2) und sehr hoch (Level 3). Davon abhängig sind die Prüfmethode und der Prüfaufwand.

Level 1: Selbsteinschätzung ohne Plausibilitätsprüfung, i.d.R. nur für interne Zwecke. Diese Prüfergebnisse haben nur eine geringe Aussagekraft und werden in TISAX® nicht verwendet.

Level 2: Plausibilitätsprüfung Ihrer Selbsteinschätzung durch einen Prüfdienstleister wie der DQS. Diese Informationssicherheitsprüfungen werden i.d.R. als Telefonkonferenz durchgeführt, nicht durch Vor-Ort-Prüfungen – es sei denn, eines der Prototypenschutz-Prüfziele trifft zu oder Sie wünschen dies ausdrücklich.

Level 3: Plausibilitätsprüfung Ihrer Selbsteinschätzung durch einen Prüfdienstleister durch eine eingehende, umfassende Vor-Ort-Prüfung.

TISAX - Assessment-Level

Ist die Einführung von TISAX® auch für nicht produzierende Unternehmen ein Muss?

Die Antwort auf diese Frage ist vom Kontext Ihres Unternehmens abhängig: Ob Sie TISAX® einführen müssen oder nicht, hängt von Ihrem OEM (Original Equipment Manufacturer) ab bzw. ob er diesen Nachweis zur Informationssicherheit von Ihnen verlangt. Sofern der Automobilhersteller nicht gezielt auf Sie zukommt oder Sie eine Veränderung in den AGB sehen, empfiehlt es sich, abzuwarten. In der Vergangenheit wurden die Unternehmen bei Bedarf vom OEM über die Voraussetzungen zur weiteren Zusammenarbeit kontaktiert. Selbstverständlich bleibt es Ihnen aber überlassen, proaktiv bei Ihren Partnern in der Automobilindustrie nachzufragen.

Lesetipp: Informationssicherheit beim Automobilzulieferer Mubea

Dem Automobilzulieferer Mubea gelang es, durch die DQS-Zertifizierung nach ISO 27001 die Informationssicherheit in zehn europäischen Ländern zu standardisieren und sich damit im Wettbewerb gut zu positionieren.

Ist es sinnvoll, auch ohne Kundenanforderung eine TISAX®-Zertifizierung anzustreben?

Proaktiv an das Thema Informationssicherheit heranzugehen ist in der heutigen Zeit generell sehr sinnvoll, nicht nur für Zulieferer in der Automobilindustrie. Sofern Sie von Ihrem OEM (noch) keine Vorgaben haben, welches TISAX®-Label von Ihnen erwartet wird, bietet sich der Nachweis von Level 3 an (Assessment-Level 3: sehr hohe Informationssicherheit). Auf diese Weise sind Sie auf alle künftigen Anforderungen vorbereitet, ohne Doppelarbeit leisten zu müssen. Alternativ bietet der weltweit anerkannte Standard DIN ISO/IEC 27001 einen guten, branchenübergreifenden Einstieg in die Informationssicherheit.

ISO 27001 – Informationssicherheits-Managementsystem

Ganzheitliches Managementsystem nach ISO-Standard ★ wirksame Umsetzung eines Risikomanagementprozesses ★ fortlaufende Verbesserung des Sicherheitsniveaus

Ist der Inhalt von TISAX® analog zu ISO 27001?

Der TISAX®-Prüfkatalog ist von der internationalen Norm ISO 27001 abgeleitet und greift auf die darin festgelegten „Controls“ (Maßnahmen) zurück. Sie beschreiben, wie die jeweiligen Anforderungen (muss, sollte) umgesetzt werden können, wie Prozesse sicherzustellen sind und welche Hilfsmittel eingesetzt werden können. Ein wesentlicher Unterschied beider Standards liegt darin, dass bei TISAX® ein bestimmter Reifegrad (Maturity Level) erreicht werden muss. 

Maturity Levels: TISAX® vs. ISO 27001

Ist ein kombiniertes Audit von TISAX® und ISO 27001 empfehlenswert?

Ein Kombiaudit ist auf jeden Fall möglich und kann durch die DQS jederzeit vorgenommen werden. Alle TISAX®-Auditoren der DQS sind zugleich zugelassene Auditoren für ISO 27001. Damit können beide Begutachtungen zur Informationssicherheit gleichzeitig mit einem geringeren zusätzlichen Aufwand durchgeführt werden.

Mit TISAX® gibt es erstmals die Möglichkeit, über die gesamte Automobilindustrie hinweg ein einheitliches Niveau in der Informationssicherheit sicherzustellen, das auf dem robusten Fundament des VDA-Fragebogens und den ISO 27001-Prinzipien aufsetzt.

Muss für TISAX® zwingend eine Zertifizierung gemäß ISO 27001 vorliegen?

Die Antwort auf die Frage lautet: Nein. Denn es gibt keine Vorgabe die besagt, dass bereits ein zertifiziertes Informationssicherheits-Managementsystem gemäß ISO 27001 vorliegen muss. Für das TISAX®-Assessment muss lediglich nachgewiesen werden, dass Sie nach einem Informationssicherheitsmanagement arbeiten und die entsprechenden Prozesse und Verfahren im Unternehmen stabil umgesetzt werden. Diese Beurteilung nimmt der Auditor vor, der anhand der Dokumente auch die Einteilung in einen Reifegrad („Maturity Level“) vornimmt.

Welche Vorteile ergeben sich durch eine bereits bestehende ISO 27001-Zertifizierung?

Wenn Sie bereits ein ISO 27001-Zertifikat nachweisen können, ist dies natürlich immer von Vorteil. Allein deshalb, da Sie für TISAX® ein eingeführtes Informationssicherheitsmanagement nachweisen müssen und beide Regelwerke eine ähnliche Abdeckung haben.

Digitalisierung der Automobilindustrie: Die Zahl der Anwendungen und Daten in den Fahrzeugen explodiert, und damit wachsen auch die Angriffsflächen und das Schadenspotenzial in der Informationssicherheit.

Aber bitte beachten Sie: Die Definition des TISAX®-Prüf-Scopes kann sich von der für die ISO 27001-Zertifizierung erforderlichen Definition unterscheiden. Die zugrunde liegenden Konzepte sind nicht identisch. Bei größeren Unternehmen kann auch die Registrierung mehrerer Prüf-Scopes in Betracht gezogen werden.

Ist die „Prozess-Definition“ von ISO 9001 analog zu TISAX®?

Diese Antwort auf diese Frage lautet „Ja“. Prinzipiell ist die Definition und der Aufbau der Prozesse in den entsprechenden Regelwerken immer derselbe. Im TISAX®-Prüfkatalog steht außerdem ganz konkret, von welchen Controls Kennzahlen ermittelt werden müssen und von welchen nicht. Die Erstellung der KPI ist mit Beispielen hinterlegt, um die Informationssicherheit in der Automobilindustrie zu gewährleisten. Ein Blick in den VDA ISA Fragenkatalog hilft also für einen ersten Überblick.

Ist ein IT-Sicherheitsbeauftragter für die Einführung von TISAX® zu empfehlen?

Es ist nicht zwingend erforderlich, dass der verantwortliche Mitarbeiter zur Einführung von TISAX® aus der IT-Abteilung kommt. Da es sich aber um IT-gestützte Prozesse handelt, sind gewisse IT-Kenntnisse durchaus von Vorteil.

Wie lege ich den TISAX®-Prüf-Scope fest?

Die ENX bietet einen Standard-Scope an, der von 90% aller TISAX®-Teilnehmer angenommen wird. Der Standard-Scope ist vordefiniert und kann nicht verändert werden. Stellen Sie während der Vorbereitung auf Ihr Assessment fest, dass der Standard-Scope nicht passt, können Sie den Umfang Ihrer Prüfung unter bestimmten Umständen anpassen. In Einzelfällen fordern die OEM den erweiterten Scope. Diese Sonderfälle sind allerdings selten und werden vom jeweiligen OEM detailliert mit Ihnen besprochen. Im Normalfall reicht der Standard-Scope. Er ist die Grundlage für ein TISAX®-Assessment und wird von allen Teilnehmern akzeptiert.

TISAX - Fragen und Antworten zum Assessment

TISAX®: Gute Planung für erfolgreiche Assessments

Stehen Sie jetzt vor der Aufgabe, den automobilen Branchenanforderungen in puncto Informationssicherheit nachzukommen? Dann sollten Sie schon im Vorfeld des TISAX®-Assessments einige wichtige Entscheidungen treffen. Unser kostenfreies Whitepaper gibt Orientierungshilfen.

Gute Informationen für gute Planung. Jetzt Whitepaper lesen.

Ist ein Prüf-Scope für alle Standorte ausreichend?

Ein einziger Prüf-Scope, der alle Standorte enthält, bietet Vor- aber auch Nachteile.

Vorteile

  • nur ein Prüfergebnis, ein Prüfbericht, ein Ablaufdatum
  • reduzierte Kosten, da zentrale Prozesse, Verfahren und Ressourcen nur einmal bewertet werden müssen

Nachteile

  • das Prüfergebnis steht erst nach der Begutachtung aller Standorte zur Verfügung
  • das Prüfergebnis hängt davon ab, dass alle Standorte die Prüfung bestehen, d.h. sofern nur ein Standort die Prüfung nicht besteht, erhalten Sie kein positives Prüfergebnis

Kann der Prüf-Scope isoliert werden, z.B. auf „sicherheitskritische Mitarbeiter“?

Die ENX beantwortet diese Frage zu TISAX® eindeutig: Alle Mitarbeiter, die mit sensiblen Informationen aus der Automobilindustrie in Berührung kommen, müssen in den Prüf-Scope aufgenommen werden. Dies kann beispielsweise auch ein Maschinenführer sein, der mit einem Bauplan des Kunden arbeitet. Ihr Unternehmen muss für sich selbst definieren, welche Mitarbeiter in informationssicherheitsrelevante Prozesse eingebunden sind.

Stimmt es, dass bei ENX zuerst der Antrag auf eine TISAX®-Prüfung gestellt werden muss und erst danach der Zertifizierer ausgesucht werden kann?

Ja, das ist korrekt. Im Anschluss an Ihre Online-Registrierung unter www.enx.com/tisax/ und die Genehmigung des Prüf-Scopes durch die ENX erhalten Sie eine Liste mit allen zugelassenen Prüfdienstleistern. Sie können die Liste aber auch schon vorab bei der ENX einsehen. Die DQS ist als Prüfdienstleister bei ENX gelistet und kann weltweit Assessments durchführen. Für Fragen und Antworten rund um Informationssicherheit in der Automobilindustrie stehen Ihnen unsere Experten jederzeit gerne zur Verfügung.

Macht eine Anfrage überhaupt Sinn, wenn der Reifegrad zu niedrig ist?

Sollten Sie in einem Selbst-Assessment feststellen, dass in Ihrem Unternehmen in Punkto Informationssicherheit noch Nachholbedarf besteht, macht eine Anfrage zur Prüfung vorerst keinen Sinn. Es empfiehlt sich, zuerst die identifizierten Lücken zu schließen und danach eine Prüfung in Betracht zu ziehen.

Wie lange dauern die einzelnen Assessments?

Die Antwort auf die Frage nach der Dauer einzelner Assessments ist von der Größe Ihres Unternehmens und der Reisetätigkeit, die mit der Prüfung Ihrer Standorte verbunden ist, abhängig. Bei durchschnittlicher Unternehmensgröße reichen für das Prüfverfahren 2-3 Tage vor Ort aus.

TISAX®-Assessment mit der DQS

Wie lange dauert es, bis ein Unternehmen als zertifiziert gilt?

Der gesamte TISAX®-Prüfprozess kann max. neun Monate dauern. Er beginnt mit der Erstprüfung und endet mit der letzten Nachprüfung. Kann der Prüfprozess nicht innerhalb der genannten Frist abgeschlossen werden, erhalten Sie kein TISAX®-Label.

Auditsituation nachgestellt

TISAX®-Assessment

Gern beantworten wir Ihre Fragen auch in einem persönlichen Gespräch.

Ganz unverbindlich und kostenfrei.

Jetzt Kontakt aufnehmen

Erfüllt Ihr Unternehmen alle Kriterien bzw. weist lediglich geringe Abweichungen (sogenannte Nebenabweichungen) auf, wird der Prüfbericht bei der ENX eingereicht. Sobald dieser akzeptiert wurde, erhalten Sie Ihr (temporäres) TISAX®-Label. Liegen Hauptabweichungen vor, die erst behoben werden müssen, gilt das Label ab dem Tag, an dem die Abweichung als behoben gilt.

Fragen und Antworten zu TISAX®: Was sind TISAX®-Labels?

Die Labels sind das Ergebnis des Prüfprozesses und fassen Ihr Prüfergebnis zusammen. Sie sind hierarchisch miteinander verknüpft. D.h. wenn Sie ein bestimmtes Label erhalten, erhalten Sie automatisch auch die „darunter liegenden“. Die Labels sind nur im ENX-Portal einsehbar. Ihre Gültigkeitsdauer beträgt in der Regel drei Jahre.

Was sind Haupt- und Nebenabweichungen?

Eine Hauptabweichung („major non-conformity“) liegt vor, wenn die Abweichung Zweifel an der Gesamtwirksamkeit Ihres Informationssicherheits-Managementsystems aufkommen lässt oder wenn sie erhebliche Informationssicherheitsrisiken verursacht. Dies ist beispielsweise der Fall, wenn eine Zwei-Faktor-Identifizierung verlangt ist und diese noch nicht implementiert wurde.

Eine Nebenabweichung („minor non-conformity“) liegt beispielsweise vor, wenn die Abweichung weder die Gesamtwirksamkeit Ihres Informationssicherheits-Managementsystem in Frage stellt noch ein erhebliches Risiko der Informationssicherheit in der Automobilindustrie darstellt. Beispielsweise vereinzelte oder sporadische Fehler und Umsetzungsdefizite.

Müssen auch Wirksamkeitsnachweise einzelner Maßnahmen eingereicht werden?

Die Antwort lautet „Ja“. Nachdem Sie Ihren Maßnahmenkatalog erstellt und die Maßnahmen umgesetzt haben, wird ihre Wirksamkeit geprüft. Daher sieht der Zertifizierungsprozess auch einen Zeitraum von neun Monaten vor.

DQS Webinaraufzeichung rund um Managementsysteme

TISAX® – Erfolgreiche Einführung

Erfahren Sie mehr von unseren Experten in der kostenfreien Webinaraufzeichnung:

  • Chancen und Risiken der Teilnahme im TISAX-Netzwerk
  • Unterschiedliche Schutzklassen und ihre Bedeutung
  • ISO 27001 vs. TISAX: Synergien richtig nutzen
  • Ablauf eines TISAX-Assessments
Jetzt anschauen

Wie kann ich die Mitarbeiteranzahl „im Vorfeld“ bestimmen?

Konkret: Wie kann ich die genaue Anzahl an Mitarbeitern im Vorfeld bestimmen, wenn ggf. weitere Mitarbeiter erst nach Vertragsabschluss mit unserem Auftraggeber eingestellt werden?

Die Range, in die die Mitarbeiter für TISAX® eingeordnet werden, ist deutlich größer als bei der internationalen Norm ISO 27001. TISAX® ordnet die Anzahl der Mitarbeiter beispielsweise in 0-50, 51-150 etc. ein. Wenn Sie also ungefähr wissen, wie viele Mitarbeiter neu eingestellt werden, können Sie sich in eine entsprechende Range einordnen.

Wie viele Dokumente sollten vorhanden sein, um TISAX® gerecht zu werden?

Pauschal lässt sich hier keine Angabe machen. Es kommt immer auch auf die Größe und die Tätigkeit Ihres Unternehmens an. Theoretisch können Sie alles in einem einzelnen Dokument abdecken, sofern die Übersichtlichkeit gegeben ist. Es empfiehlt sich aber, mehrere Dokumente zu erstellen, in denen zusammenpassende Themengebiete aufgegriffen werden.

Wird TISAX® den VDA-Prototypenschutz ersetzen?

Da in TISAX® ein eigenes Modul zum Prototypenschutz vorgesehen ist, welches deutlich detaillierter auf die einzelnen Kriterien eingeht als dies bisher der Fall war, ist davon auszugehen, dass TISAX® langfristig die bisherigen Regelwerke zur Informationssicherheit in der Automobilindustrie ablösen wird. Aktuell ist die VDA-Prototypenschutz Version 3.0 von 2018 aber nach wie vor gültig.

Fragen und Antworten zu TISAX®Was kann die DQS für Sie tun?

Die DQS ist bei ENX als zugelassener Prüfdienstleister gelistet und kann weltweit Assessments durchführen. Alle unsere TISAX®-Auditoren sind zugleich auch zugelassene Auditoren für den internationalen Standard ISO 27001. Damit können beide Standards durch die DQS gleichzeitig und mit einem geringeren zusätzlichen Aufwand begutachtet werden. Unsere Experten beantworten Ihnen gerne Ihre Fragen rund um Informationssicherheit in der Automobilindustrie. Wir freuen uns auf das Gespräch mit Ihnen.

Kontakt zur DQS

Sie haben Fragen?

Kontaktieren Sie uns!

Ganz unverbindlich und kostenfrei.

Jetzt Anfrage senden

Expertise und Vertrauen

Unsere Fachbeiträge werden ausschließlich von unseren hausinternen Normexperten und langfristigen Auditoren verfasst. Sollten Sie Fragen zu den Inhalten oder an unsere Autoren haben, senden Sie uns gerne eine E-Mail an willkommen@dqs.de. Sei erhalten umgehend eine Antwort.