Ihr Javascript ist deaktiviert

Um sich die Seite ansehen zu können, aktivieren Sie bitte Ihr JavaScript.

Informationssicherheit vom Papier bis zur Cloud

TISAX® – VDA Information Security Assessment

International ist ein ISMS nach ISO/IEC 27001 das Mittel der Wahl – Automobilindustrie geht mit TISAX® neue Wege

Wer in diesen Zeiten noch sagt „Zukünftig wird der Schutz vor unberechtigtem Zugriff auf Informationen immer wichtiger“, ist entweder ein Schönfärber oder schlecht informiert, denn: Bereits heute ist Informationssicherheit das A und O und die (kriminelle) Bedrohung des wichtigsten Gutes eines Unternehmens allgegenwärtig. Wer vorausschauend handelt, setzt für den Schutz seiner Informationen auf ein Informationssicherheits-Managementsystem (ISMS), z. B. gemäß ISO/IEC 27001 oder – wie die Automobilbranche – auf TISAX®.

ISO/IEC 27001, die international anerkannte Norm für Informationssicherheit, gilt als branchenübergreifend anwendbar. Die Norm geht in den Anforderungen über den Schutz technischer Systeme (Stichwort: IT-Sicherheit) hinaus und bezieht auch nichtdigitale Systeme wie Papier-Archive oder Räumlichkeiten und Sicherheitskontrollen etc. ein. Mit anderen Worten: den Schutz aller Informationen, die für ein Unternehmen wichtig sind. Auch Anforderungen an den Schutz personenbezogener Daten, wie er seit Mai 2018 von der neuen DSGVO verbindlich gefordert wird, deckt die Informationssicherheits-Norm in Teilen ab.

Neben den allgemeinen Anforderungen an ein ISMS, die in den Kapiteln 4 bis 10 formuliert sind, hält ISO 27001 mit Blick auf das Risikomanagement (Bewertung von Bedrohungen und Schwachstellen) den Anhang A bereit, in dem in Anforderungen an bestimmte Maßnahmen formuliert werden (Kapitel A5 bis A18).

Hier geht es u. a. um die Angemessenheit von Maßnahmen zu Themen wie Zugriffsregelungen oder physische Sicherheit etc. In der Erklärung, die ein Unternehmen zur Anwendung dieser Maßnahmen abgeben muss, sollte deutlich werden, welche dieser Maßnahmen zum Beherrschen von Risiken zum Einsatz kommen. Der Anhang hat zwar keinen unmittelbaren Anforderungscharakter, fließt aber durch die Bedeutung des Risikomanagements in ISO 27001 in Zertifizierungsaudits ein.

Auch wenn ISO 27001 grundsätzlich in allen Unternehmen angewendet werden kann, gibt es Branchen, die eigene Systeme für Informationssicherheit entwickeln und diese auf ihre branchenspezifischen Bedürfnisse zuschneiden. So hat z. B. die deutsche Automobilindustrie im Jahr 2017 unter der Federführung ihres Verbandes VDA nach einem mehrere Jahre andauernden Entwicklungsverfahren den neuen Branchenstandard TISAX® (Trusted Information Security Assessment Exchange) herausgebracht.
Die Basis für ein TISAX®-Assessment ist der Prüfkatalog VDA Information Security Assessment (VDA ISA), der seinerseits auf den Anforderungen von ISO/IEC 27001 bzw. ISO/IEC 27002 beruht, diese aber um branchenbezogene Themen wie Prototypenschutz, Auftragsverarbeitung oder Verbindungen zu externen Unternehmen erweitert. Allerdings ist ein Unternehmen, das das TISAX®-Verfahren durchlaufen hat, nicht automatisch nach ISO 27001 zertifiziert.
TISAX® wurde als einheitlicher Standard für externe Zulieferer und Dienstleister, wie Berater und Softwarehersteller, in der automobilen Lieferkette entwickelt. Er soll einerseits eine umfassendere (Informations-)Sicherheit für alle Stufen in der Lieferkette gewährleisten, andererseits aber auch das Prozedere der Anerkennung eines externen Anbieters vereinfachen. Denn bislang führte dafür jeder Hersteller eigene Prüfungen durch, deren Ergebnisse aber nicht übertragbar waren. Das TISAX®-Assessment hingegen wird von allen Teilnehmern im TISAX®-Netzwerk anerkannt – ein großer Vorteil für Anbieter wie Hersteller. OEMs wie VW und BMW fordern von Lieferanten neuerdings die Teilnahme an TISAX. Grundsätzlich kann TISAX® aber auch von Unternehmen anderer Branchen für ihre Lieferkette angewendet werden, was die Betreiber für die Zukunft auch anstreben; einige namhafte Unternehmen sind bereits dabei.
Mit der Überwachung der TISAX®-Assessments und der Zulassung der TISAX®-Prüfdienstleister ist die ENX Association (European Network Exchange Association) mit Sitz in Frankfurt am Main und Paris beauftragt. ENX ist ein Zusammenschluss europäischer Automobilhersteller, Zulieferer und vier nationaler Automobilverbände, darunter auch der VDA, der ENX im Jahr 2000 gegründet hat.

Wie funktioniert TISAX?

In TISAX gibt es für Teilnehmer zwei verschiedene Rollen, die sie einnehmen können: den „Information Consumer“ (passiv) – z. B. ein OEM, der Informationen über einen Anbieter erhalten möchte, und den „Information Contributor“ (aktiv) – z. B. ein Teilezulieferer oder Dienstleister, der sich, um von Erstgenanntem beauftragt werden zu können, auf seine Eignung auditieren lassen möchte. Ein Unternehmen kann auch beide Teilnehmer-Rollen einnehmen. Wer als Information Contributor an TISAX teilnehmen möchte, muss folgende drei Hauptschritte gehen:

Online-Registrierung auf www.enx.com/tisax
Wahl eines von ENX zugelassenen Prüfdienstleister
Assessment
Austausch der Auditergebnisse auf der TISAX-Online-Plattform

Zu Punkt 3: Ein wichtiger Aspekt hierbei ist, dass die Ergebnisse immer unter Kontrolle der auditierten Unternehmen bleiben. Ein Austausch dieser Informationen erfolgt nur nach Freigabe der Ergebnisse im TISAX-Netzwerk.

Die Assessments können auf drei unterschiedlichen Levels (Assessment Level AL 1 bis AL 3) durchgeführt werden, die sich am sog. Schutzbedarf orientieren. Der Level AL 1 besteht aus einer Selbstauskunft des zu prüfenden TISAX-Teilnehmers. Dieser Level ist vergleichsweise niedrig und wird in der Praxis kaum von Bedeutung sein. Der Level AL 2 (hoher Schutzbedarf) schließt eine Prüfung der Plausibilität der Selbstauskunft und der Einschätzung des Reifegrades sowie ein Telefoninterview durch die prüfende Gesellschaft ein. Der Reifegrad bezieht sich auf die Ausprägung des Prozesses und ist in 6 Stufen von 0 = unvollständig bis 5 = optimierend eingeteilt. Reifegrad 3 bedeutet, dass ein Prozess „etabliert“ ist. Bei Unklarheiten kann ein Besuch vor Ort fällig werden.

Für den höchsten Level AL 3 wird in jedem Fall ein umfassendes Vor-Ort-Assessment durchgeführt, was einem „sehr hohen Schutzbedarf“ entspricht. Auch hier erfolgt eine Einstufung nach den Reifegrad. Für die Hinzunahme der Zusatzmodule „Anbindung Dritter“ und „Prototypenschutz“ muss mindestens Level AL 2 inkl. einer Vor-Ort-Begehung angesetzt werden. Ein Unternehmen kann auch mehrere Standorte registrieren und ggf. eine Gruppenprüfung durchführen lassen.

Das Ergebnis der TISAX-Assessments der Levels AL 2 und AL 3 erhalten teilnehmende Unternehmen zunächst in Form eines Zwischenberichts, wo u. a. ggf. vorhandene Nichtkonformitäten angesprochen werden. Diese müssen unter Einsatz geeigneter, mit dem zugelassenen Prüfdienstleister abzusprechender Maßnahmen innerhalb von neun Monaten geschlossen werden. Die Wirksamkeit dieser Maßnahmen wird in einem weiteren Audit überprüft. Der finale Abschlussbericht bildet schließlich die Grundlage für jene Informationen, die der Teilnehmer zur Veröffentlichung auf der TISAX-Plattform freigegeben hat. Das TISAX-Label ist drei Jahre gültig und kann dann wiederholt werden.