TISAX: Ein Standard für Informationssicherheit in der Automobilindustrie
Seit 2017 legen zahlreiche Hersteller und Zulieferer der deutschen Automobilindustrie Wert auf eine TISAX-Zertifizierung ihrer Geschäftspartner. TISAX ist ein Standard für größere Informationssicherheit und Datensicherheit. Entwickelt hat ihn der Verband deutscher Automobilhersteller (VDA). Die Basis für das Verfahren bildet der Standard ISO 27001. Ziel des Verfahrens ist es, ein einheitliches Informations-Niveau zwischen Kraftfahrzeug-Herstellern, Zulieferern und Geschäftspartnern zu schaffen. Dies wirft die Frage auf, worauf Sie als Teilnehmer bei der Zertifizierung zu achten haben.
Überblick und Allgemeines
Als Abkürzung steht TISAX für Trusted Information Security Assessment Exchange. TISAX ist ein Standard, mit dem die Automobilindustrie auf das zunehmende Bedürfnis nach Informationssicherheit ihrer Partner reagiert. Konkret ist TISAX ein Prüfprozess zur Anerkennung von Prüfergebnissen der Informations- und Datensicherheit in der Automobilindustrie.
Der Standard betrifft Hersteller, Zulieferer und Partner der deutschen Automobilindustrie gleichermaßen. Eine bestehende TISAX-Zertifizierung gilt spätestens seit 2017 als Voraussetzung zur Zusammenarbeit in der Automobilbranche. Der VDA entwickelte den Standard auf Grundlage der Norm ISO/IEC 27001 und erweiterte diesen um branchenspezifische Aspekte, beispielsweise den Schutz der Prototypen.
Grundlage: Standard ISO/IEC 27001
Die Grundlage ISO 27001 ist eine international bekannte und akzeptierte Norm in der Informationssicherheit. Sie gilt nicht nur für die Automobilindustrie, sondern ist auch branchenübergreifend anerkannt. Die Norm betrifft zum einen den Schutz technischer Systeme im Sinne der IT- und Datensicherheit. Zum anderen bezieht sie aber auch analoge Systeme mit ein. Dazu zählen auch gedruckte Informationen (Papier-Archive), Büroräume, Produktionsorte und Sicherheitskontrollen. Zusammengefasst geht es um Informationssicherheit bezüglich sämtlicher für ein Unternehmen relevanter Informationen. Die Norm berücksichtigt auch Anforderungen der spätestens seit Mai 2018 anzuwendenden DSGVO. Hier geht es um den Schutz personenbezogener Daten auf allen Schritten ihrer Erhebung und Verarbeitung. Neben den generellen Anforderungen eines Information Security Management System (ISMS) (Kapitel 4 bis 10) beinhaltet die Norm auch Regelungen zum Risikomanagement und zur Bewertung von Bedrohungen (Anhang A).
Die Rolle des VDA
Bei der Entwicklung des Standards hatte der VDA die spezifischen Herausforderungen der Automobilbranche im Blick. Der Verband der Automobilindustrie (VDA) hatte bereits vor über 10 Jahren einen Arbeitskreis zum Thema Informationssicherheit ins Leben gerufen. TISAX lässt sich als aktuellstes und wichtigstes Ergebnis dieses Arbeitskreises verstehen. Ziel war die Entwicklung eines Prüfverfahrens und eines Fragenkatalogs (Information Security Assessment, ISA). Das Basismodul basiert direkt auf der ISO/IEC 27001. Ergänzend gibt es zusätzliche Module zu den Themen Prototypenschutz, Datenschutz sowie Anbindung Dritter. Zu berücksichtigen ist jedoch, dass Ihr Unternehmen nach dem Durchlaufen des TISAX-Prozesses nicht zwingend über eine Zertifizierung nach dem ISO/IEC 27001 verfügt.
Anwendung des Standards
Der TISAX-Standard kommt sowohl für interne Zwecke als auch im Austausch mit Partnern und Dienstleistern zum Einsatz. Der Standard betrifft auch Dienstleister wie etwa Berater oder Software-Hersteller. In der Vergangenheit haben Hersteller ihr Prüfungen bei Zulieferern und Geschäftspartnern voneinander unabhängig durchgeführt. TISAX ersetzt diese uneinheitliche und unkoordinierte Verfahrensweise durch einen gemeinsamen Prüfmechanismus. Der Standard macht die Erkenntnisse aus den Prüfkatalogen für sämtliche Hersteller und Beteiligten zugänglich. Er sorgt für mehr Transparenz in der gesamten Liefer- und Produktionskette.
Auf diese Weise soll er gleichzeitig zur Informationssicherheit beitragen und den Prozess der jeweiligen Anerkennung der Teilnehmer vereinfachen. Die in der Vergangenheit durchgeführten eigenen Prüfungen und ihre Ergebnisse waren oft nicht übertragbar. Hersteller beziehungsweise OEMs der deutschen Automobilindustrie setzen bei ihren Lieferanten die Teilnahme am TISAX inzwischen voraus. Grundsätzlich ist der Standard auch in anderen Branchen und Industrien anwendbar. Von einer Vereinheitlichung der Prüfergebnisse profitieren viele Lieferketten, weshalb die Betreiber eine Ausweitung der TISAX-Anwendung anstreben.
Die Ergebnisse der Prüfungen lassen sich in einem Reifegrad-Modell abbilden. Alle drei Jahre ist eine Rezertifizierung möglich. Ebenso können teilnehmende Unternehmen durch eine bessere Erfüllung der Standards ihr Reifegrad-Level im Rahmen einer Rezertifizierung erhöhen.
ENX Association als Governance-Organisation
Die TISAX-Prüfungen und Assessments bedürfen einer Überwachung und Kontrolle. Auch die Zulassung der entsprechenden Prüfdienstleister unterliegt einer Überwachung. Als Governance-Organisation und Kontrollinstanz fungiert die ENX Association (European Network Exchange Association). Es handelt sich um einen Zusammenschluss deutscher und europäischer Hersteller, Zulieferer und Verbände der Automobilindustrie. Dazu gehört auch der VDA. Diese hat das ENX im Jahr 2000 ins Leben gerufen. Die ENX Association hat ihre Sitze in Frankfurt am Main und in Paris.
Eine der Aufgaben der Association ist die Kontrolle der Qualität der Prüfungen. Ebenso übernimmt sie die Akkreditierung der Prüfdienstleister. Auch als am Verfahren teilnehmendes Unternehmen richten Sie Ihr Anliegen zunächst an die ENX-Association. Diese leitet das Anliegen anschließend an die Prüfdienstleister weiter.
Am Verfahren sind demnach drei Parteien beteiligt:
- ENX Association
- Prüfdienstleister
- teilnehmende Unternehmen
Diese drei Parteien sind durch ein vertragliches Dreieck rechtlich miteinander verbunden.
Prozess und Rollen der Teilnahme
Grundsätzlich sind zwei Rollen zu unterscheiden, die Sie als Teilnehmer am TISAX-Prozess einnehmen können.
- Aktiver Teilnehmer: Sie unterziehen sich der Prüfung in Eigeninitiative oder nach Aufforderung
- Passiver Teilnehmer: Sie fordern einen Nachweis bei anderen Unternehmen
Zu den passiven Teilnehmern gehören in erster Linie OEMs beziehungsweise Hersteller. Diese können von ihren Lieferanten oder Geschäftspartnern fordern, ein Assessment durchzuführen. Auch bereits vorhandene Prüfungsergebnisse lassen sich einfordern.
Aktive Teilnehmer oder Auditees sind beispielsweise Lieferanten, die sich einer Prüfung nach dem Standard unterziehen oder bereits vorhandene Ergebnisse vorlegen. Sowohl aktive als auch passive Teilnehmer erhalten einen Zugang zum TISAX-Portal nach einer erfolgreichen Teilnehmer-Registrierung. Die Registrierung ist Voraussetzung dafür, einen (akkreditierten) Prüfdienstleister mit dem Assessment zu beauftragen. Nach der Registrierung haben Teilnehmer weiterhin Einblick in freigegebene Informationen anderer Unternehmen.
Assessment-Level und Schutzklassen
Als Governance-Organisation über den TISAX-Prozess hat die ENX Association mehrere Level des Assessments festgelegt. Die Einordnung erfolgt in Abhängigkeit der Umfänge der Prüfverfahren. Daraus ergeben sich drei verschiedene Schutzklassen. Sie hängen vom Schutzbedarf der Informationen ab. Dieser gibt den Rahmen vor, nach denen Unternehmen auditiert werden.
Die drei Level lassen sich wie folgt charakterisieren:
- Assessment-Level 1: Schutzziel normal
- Assessment-Level 2: Schutzziel hoch
- Assessment-Level 3: Schutzziel sehr hoch
Das Assessment-Level 1 basiert auf einer reinen Selbstauskunft. Zu prüfende Unternehmen geben dem Prüfdienstleister Informationen über die eigenen Sicherheitsstandards weiter. Dieses niedrige Level hat eine nur geringe Aussagekraft, weshalb es in der Praxis von untergeordneter Bedeutung im Austausch mit Partnern ist. Er spielt in erster Linie für interne Zwecke im Sinne einer Selbsteinschätzung eine Rolle.
Die Schutzklasse 2 geht von einem hohen Schutzbedarf aus. Die Ergebnisse der Selbstauskunft werden hierbei auf Vollständigkeit sowie Plausibilität geprüft. Weiterhin erfolgt eine Einschätzung des Reifegrads der Informationssicherheit. Bei dieser Form des Assessments ist auch ein Telefon-Interview mit dem zu prüfenden Unternehmen vorgesehen. Der Reifegrad ist wiederum in 6 Abstufungen untergliedert und reicht von 0 (unvollständig) bis 5. Bei Prüfungen mit dem Assessment-Level 2 ist typischerweise keine Vor-Ort-Prüfung erforderlich. Eine Ausnahme bilden jedoch die Prüfziele des Prototypenschutzes und der Anbindung Dritter. In diesen Fällen ist unabhängig vom Schutzbedarf ein Vor-Ort-Assessment vorgesehen.
Eine Prüfung der Schutzklasse 3 beinhaltet grundsätzlich sämtliche Teilprüfungen, wie sie auch im Assessment-Level 2 vorgesehen sind. Die Kontrollen sind hierbei jedoch umfassender und werden in jedem Fall durch eine Vor-Ort-Prüfung ergänzt.
Bei einer Prüfung mit Assessment-Level 3 führt der Prüfdienstleister alle Prüfungen wie bei einer Prüfung mit Assessment-Level 2 durch. Alle Kontrollen werden jedoch umfassender sein, und er wird Ihre Selbsteinschätzung in einer eingehenden Vor-Ort-Prüfung und persönlichen Gesprächen gründlich überprüfen. Auch Interviews finden hierbei nicht telefonisch statt, sondern in Form eines persönlichen Gesprächs vor Ort.
Bei den Assessments der Schutzklassen 2 und 3 bekommen teilnehmende Firmen zunächst einen Zwischenbericht. In diesem legen Prüfdienstleister mögliche Lücken oder fehlende Konformitäten offen. Anschließend haben zu prüfende Unternehmen eine neunmonatige Frist, diese Lücken durch geeignete Maßnahmen zu schließen. Die Maßnahmen sind mit dem akkreditierten Prüfdienstleister abzusprechen. In einer weiteren Kontrolle überprüft der Dienstleister die Wirksamkeit der getroffenen Maßnahmen. Anschließend folgt ein Abschluss-Prüfbericht. Dieser stellt die Basis für die Informationen dar, die teilnehmende Unternehmen schließlich auf der TISAX-Plattform freigeben. Das Zertifikat ist drei Jahre gültig, bevor Unternehmen erneut zu prüfen sind.
Grundsätzlich ist zu beachten, dass die Assessment-Ergebnisse zunächst stets unter Kontrolle der geprüften Unternehmen bleiben. Eine Freigabe oder ein Austausch der Informationen ist erst nach der Freigabe der Prüfresultate im TISAX-Netzwerk möglich.
Akkreditierte Prüfdienstleister
Akkreditierte Prüfdienstleister tragen die Bezeichnung XAP (TISAX Accredited Audit Provider). Nur wer akkreditiert ist, darf Assessments durchführen. Wer Prüfungen durchführen darf, obliegt der Entscheidung der ENX. Zu den akkreditierten Unternehmen gehören unter anderem TÜV Rheinland i-sec GmbH und verschiedene Wirtschaftsprüfungsgesellschaften, darunter die Ernst & Young GmbH, die KPMG AG und die PwC Certification Services GmbH.
Die ENX gibt eine jeweils aktualisierte Liste der Prüfdienstleister mitsamt Kontaktdaten heraus, sobald Sie sich als Teilnehmer auf der TISAX-Plattform registriert haben. Nach der Registration können Sie einen Dienstleister auswählen und diesen beauftragen. Nach erfolgreicher Prüfung und Freigabe der Ergebnisse, können Sie diese mit anderen Teilnehmern austauschen.
Fazit
Das relativ junge TISAX-Verfahren ähnelt in seinen grundlegenden Sicherheitsmaßnahmen und Methoden dem etablierten Standard ISO 27001. Neuerungen zeigen sich in branchenspezifischen Ergänzungen sowie im Prüfprozess. Die TISAX-Zertifizierung führt durch Vereinheitlichung zu einem vereinfachten Prozess im Austausch zwischen Herstellern, Zulieferern und Partnern unter Wahrung der Informationssicherheit. Nach erfolgreichem Assessment können Unternehmen mit Zertifikat mit der Akzeptanz anderer Unternehmen der Automobilbranche rechnen. Gegenwärtig ist außerhalb der Automobilindustrie noch die klassische Zertifizierung nach ISO 27001 gefordert, doch strebt der Betreiber nach Ausweitung des Anwendungsbereichs des TISAX-Zertifikats.