TISAX – IT-Sicherheit in der Automobilwelt

TISAX-Zertifizierung – Ihre Eintrittskarte in die Automobilindustrie

Ist Ihr Unternehmen an der Zusammenarbeit mit Unternehmen aus der Automobilindustrie interessiert? Müssen Sie den Nachweis über die Sicherheit Ihnen überlassener Informationen (Informationssicherheit) gemäß den Anforderungen des „VDA Information Security Assessment“ (VDA ISA) erbringen? Suchen Sie eine einheitliche Zertifizierung, die international anerkannt wird?

Dann sollten Sie sich mit dem Standard TISAX genauer beschäftigen! Im folgenden Artikel erfahren Sie, was TISAX eigentlich bedeutet, welche Vorteile es bringt und was Sie für eine Zertifizierung beachten müssen.

  1. TISAX – was ist das?
  2. Welche Vorteile bietet eine TISAX-Zertifizierung?
  3. Ablauf und Schritte der TISAX-Zertifizierung
  4. TISAX Auditor
  5. Was kostet eine TISAX Zertifizierung?

1. TISAX – was ist das?

TISAX steht für Trusted Information Security Assessment Exchange. Es ist ein 2017 eingeführter Standard für IT-Sicherheit, der von der Norm ISO 27001 abgeleitet ist. Entworfen wurde er von den Mitgliedern des Verband der Automobilindustrie (VDA) und enthält einen Anforderungskatalog – VDA ISA – für die Zertifizierungen von Unternehmen, die mit Automobilherstellern zusammenarbeiten möchten.

Hintergrund von TISAX als Prüf- und Austauschmechanismus ist eine einheitliche Anerkennung der Prüfergebnisse, sodass eine Zertifizierung allen Mitgliedern vorgelegt werden kann. Das hilft Ihrem Unternehmen dabei, sich als Lieferant in der Automobilindustrie zu bewerten, zu etablieren und dabei keine Aufwände für Mehrfachprüfungen eingehen zu müssen. Diese entfallen, da die TISAX-Zertfizierungen über ein einheitliches Portal geteilt werden können und so für potentielle Geschäftspartner verfügbar sind.

Wer steht hinter TISAX?

Hinter TISAX steht der Verband der Automobilindustrie e.V. (VDA) mit seinen Mitgliedern. Die Governance erfolgt durch die ENX Association, ein Zusammenschluss verschiedener Autohersteller. Die ENX erstellt und prüft dabei die Einhaltung der Audit Provider Criteria and Assessment Requirements (TISAX ACAR). Weitere Aufgaben der ENX sind:

  • Akkreditieren der Prüfdienstleister
  • Qualitätskontrolle der Durchführung und Ergebnisse
  • Vertragswesen mit Prüfern und Teilnehmern

Fragenkatalog „VDA ISA“

Neben den von der Norm ISO 27001 abgeleiteten Prüfmerkmalen bezieht sich TISAX als Austauschmechanismus insbesondere auf den Anforderungskatalog des Automobilverbands, den VDA ISA. Dieser Katalog wurde vom Arbeitskreis Informationssicherheit des VDA entworfen und ist mit der jeweils gültigen Fassung die Basis der TISAX-Zertifizerung.

Der Katalog ist auf Deutsch und Englisch erhältlich. Die letzte große Überarbeitung zu Version 5 erfolgte im Jahr 2020. Der Prüfungskatalog enthält drei verschiedene Module:

  1. Informationssicherheit
  2. Prototypenschutz
  3. Datenschutz

Das Modul zur Informationssicherheit ist die Grundlage für jede einzelne Zertifizierung, sogenannte Assessments. Möchten Sie also Prototypenschutz und/oder Datenschutz abschließen, benötigen Sie in jedem Fall das erste Modul. Grundlegende Informationen zu den einzelnen Themenschwerpunkten finden Sie in passenden Whitepapers des VDA.

Welche Fristen gibt es?

Eine TISAX-Zertfizierung benötigt alle drei Jahre eine neue Prüfung, in der Zwischenzeit bleibt die Anerkennung bestehen. Ab dem Zeitpunkt der Erstprüfung haben Sie neun Monate Zeit, den gesamten Prüfprozess abzuschließen. Weitere Fristen bei laufendem Prüfprozess finden Sie im Abschnitt zur Dauer.

💡 Kurz gesagt: TISAX ist der Standard für Informationssicherheit (Information Security) in der Automotive Branche, orientiert sich an der ISO 27001 und dem Anforderungskatalog VDA ISA.

Zwei junge Mneschen besprechen Notizen

2. Welche Vorteile bietet eine TISAX-Zertifizierung?

Die TISAX-Zerfizierung bietet eine Menge Vorteile – sowohl für Teilnehmer als auch Automobilhersteller. Zu den Pluspunkten zählen:

  • keine Mehrfachprüfungen: sofortige Anerkennung in der Branche anstelle individueller Prüfung nach ISA
  • schnellere Zusammenarbeit möglich
  • Seriöse und unabhängige Zertifizierung
  • Assessment Level für den eigenen Bedarf wählen
  • einfacher & zentraler Online-Austausch der Prüfungsergebnisse

Wann muss ich mich nach TISAX zertifizieren?

Die Zertifizierung ist spätestens dann nötig, wenn ein Partner aus der Automobilbranche einen entsprechenden Nachweis von Ihnen fordert. In diesem Fall sollten Sie genug Vorlaufzeit einplanen, denn erst nach erfolgter Registrierung und der Genehmigung des Prüf-Scopes (siehe Scope der Prüfung festlegen) können Sie einen Prüfer wählen. Die Liste können Sie jedoch bereits vorab anschauen.

Einen festen, regelmäßigen Start-Termin, zu dem eine Prüfungsanmeldung vorliegen muss, gibt es jedoch nicht. Hier sind Sie flexibel.

Ist eine proaktive Zertifizierung sinnvoll?

Ja! Eine TISAX-Zertifizierung ist bei allen Mitgliedern der VDA anerkannt. Wenn Sie eine Prüfung abschließen, weil Sie mit einem bestimmten Hersteller zusammenarbeiten möchten, ist diese Zertifizierung die Grundlage für die Kooperation mit weiteren Partnern.

TISAX vs. ISO 27001

Die Ähnlichkeit von TISAX und ISO 27001 ist sehr groß, da viele Prüfkriterien von der branchenübergreifenden und internationalen Norm abgeleitet sind. Die Norm ist anerkannt und wird u.a. für die Prüfung des Schutzniveaus der Informationssicherheit. Dabei beruft sich TISAX auf die Maßnahmen, sogenannte Controls, der ISO-Norm.

Die Unterschiede liegen insbesondere in den sogenannten Maturity Levels: Diese stehen für den Reifegrad einer Maßnahme beim geprüften Unternehmen. Die Reifegrade reichen von Level 0 (Unvollständig) bis Level 5 (Optimierend). Je höher der Reifegrad ist, umso besser ist das eigene Informationssicherheitsmanagement. Bei TISAX-Zertifizierungen sind meist die Reifegrade 3 (Etabliert) oder 4 (Vorhersagbar) gefordert.

Muss für TISAX zwingend eine Zertifizierung gemäß ISO 27001 vorliegen?

Nein. Die Anforderungen im VDA ISA, die in TISAX geprüft werden, sind von der ISO 27001 abgeleitet, bedingen sich aber nicht gegenseitig. Auf Wunsch lässt sich eine zusätzliche ISO 27001 Zertifizierung anschließen.

Welche Vorteile bietet eine bestehende ISO 27001 Zertifizierung?

Eine bestehende ISO 27001 Zertifizierung hat den Vorteil, dass für viele Kriterien und Anforderungen bereits Maßnahmen eingeleitet wurden und somit die Grundlage für eine erfolgreiche TISAX-Prüfung geschaffen ist. Eine abgeschlossene Prüfung nach der Norm bedeutet oftmals die Qualifikation für einen hohen Reifegrad bei den TISAX-Prüfzielen, sodass sich Ihre Erfolgschancen erhöhen können.

💡 Auf einen Blick: Die TISAX-Zertifizierung ermöglicht die Zusammenarbeit mit allen TISAX-Teilnehmern ohne Mehrfachprüfung und kann zusammen mit der ISO 27001 geprüft werden.

Junges Arbeitsteam freut sich über Alternative zu awork

3. Ablauf und Schritte der TISAX Zertifizierung

Grundsätzlich gilt: Der gesamte Prüfprozess besteht aus mehreren Prüfungstypen und für gewöhnlich erfolgt mehr als eine Prüfung. Wie genau der Ablauf aussieht, hängt dabei auch von den Ergebnissen und Verbesserungsvorschlägen ab. Wenn der Prüfer bei der ersten Untersuchung Lücken und Verbesserungsbedarf feststellt, müssen Sie diese beheben und dafür einen Maßnahmenplan vorlegen.

Mit einer nächsten, sogenannten Follow-Up-Prüfung werden die Maßnahmen untersucht. Dieses Wechselspiel erfolgt solange, bis alle Prüfkriterien lückenlos erfüllt sind. Eine Besonderheit ist, dass alle Schritte in Ihrer Kontrolle liegen und von Ihrer Initiative abhängen. Sie bestimmten, wenn ein nächster Teil anläuft, wann – oder ggf. auch ob – Sie die Prüfung fortsetzen.

Somit besteht der gesamte TISAX-Prüfprozess aus drei Prüfungsarten:

  1. Erstprüfung
  2. Maßnahmenplanprüfung
  3. Follow-Up-Prüfung

Nach jeder Prüfung erstellt der Prüfer einen TISAX-Bericht, der die Ergebnisse festhält.

Scope der Prüfung festlegen

Für jede TISAX-Prüfung müssen den Scope festlegen – also den Umfang. Dabei unterscheidet TISAX zwischen dem Standard-Scope, einem erweiterten Scope und einem eingeschränkten Scope.

Standard-Scope

Der Standard-Scope ist die Basis der meisten Prüfungen und ist die Empfehlung der ENX. Grundsätzlich empfiehlt die ENX. Das Modul Informationssicherheit mit geprüftem Standard-Scope wird von allen TISAX-Teilnehmern akzeptiert.

Erweiterter Scope

Alternativ können Sie den Umfang der Prüfungen auch erweitern oder einschränken, doch eine Veränderung ist laut ENX nur unter bestimmten Umständen und selten erforderlich. Ein Erweiterter Scope benötigt auch eine eigene Beschreibung, die Sie selber schreiben müssen.

Sinnvoll kann ein erhöhter Umfang sein, wenn Sie die Prüfungsergebnisse auch außerhalb von TISAX einsetzen möchten. Gleichzeitig beinhaltet ein der erweiterte Scope auch immer den Standard-Scope und wird weiterhin von anderen TISAX-Teilnehmern anerkannt.

Eingeschränkter Scope

Wahlweise ist auch ein eingeschränkter Scope möglich, der weniger als den Standard-Scope umfasst. Wird dieser gewählt, können Prüfer gewisse Inhalte auslassen oder verkürzen. Der eingeschränkte Scope kommt insbesondere dann zum Einsatz, wenn Ihr Unternehmen mehrere Standorte hat, die nicht alle den gleichen Prüfungsumfang erfüllen müssen. Für spätere Prüfungen mit erweiterten Umfängen kann dann jederzeit der verkleinerte Scope herangezogen und entsprechend angerechnet werden.

Wichtig: Einschränkte Scopes erhalten keine TISAX-Labels! Zwar werden die Prüfungsdaten und -ergebnisse bei ENX gespeichert und das Teilen mit anderen Teilnehmern ist möglich, ohne TISAX-Labels wirken diese Prüfungen aber für viele andere wie “Nicht bestanden”. Für ein anerkanntes Ergebnis bei anderen TISAX-Teilnehmern ist meist der Standard-Scope nötig. Außerdem bedarf auch der eingeschränkte Umfang eine eigene Beschreibung, die Sie selber schreiben müssen.

Meilensteintrendanalyse

Was ist ein TISAX Assessment?

Ein TISAX Assessment drückt die Prüfung bestimmter Kriterien mit dem zugehörigen Tiefgang aus. Der Standard unterscheidet zwischen drei Assessment Leveln, die Detailgrad und Prüfmethoden bestimmen. Verschiedene Kriterien aus dem VDA ISA Katalog haben einen unterschiedlichen “Schutzbedarf”, müssen also z.T. strenger als andere gesichert werden.

In diesen Fällen sind dann die sogenannten TISAX-Prüfziele etwa der Umgang mit “Informationen mit hohem Schutzbedarf” oder “Schutz von prototypenfahrzeugen”. Diese einzelnen Prüfziele erfordern aufgrund Ihrer Sensibilität unterschiedliche Assessment Level als Voraussetzung.

💡 Kurz gesagt: Das Assessment Level festzulegen ist nicht ausreichend für die TISAX-Prüfung. Es definiert nur, wie intensiv bestimmte Kriterien aus dem Anforderungskatalog geprüft werden.

Welche Assessment Level gibt es?

PrüfmethodeAssessment Level 1Assessment Level 2Assessment Level 3
SelbsteinschätzungJaJaJa
NachweiseNeinPlausibilitätsprüfungEingehende Prüfung
InterviewsNeinTelefonkonferenzPersönlich und vor Ort
Vor-Ort-PrüfungNeinAuf WunschJa

Assessment Level 1

Laut ENX ist das TISAX Assessment Level 1 insbesondere für die Selbsteinschätzung und für interne Zwecke gedacht. Grundlage der Prüfung ist dabei nur die Verfügbarkeit einer vollständigen Selbsteinschätzung, was darin enthalten ist, wird hingegen nicht geprüft. Auch weitere Nachweise werden nicht angefragt.

Da Prüfungen im Assessment Level 1 haben aufgrund der relativ lockeren Rahmenbedingungen jedoch nur einen geringen Vertrauenswert und werden daher laut ENX nicht in TISAX verwendet, können aber zur allgemeinen Auskunft an Partner weitergereicht werden.

Assessment Level 2

Das Assessment Level 2 wird die Selbsteinschätzung durch den Prüfer auch auf Plausibilität untersucht. Dafür werden Nachweise gefordert und eingeordnet, aber auch Interviews mit Ihnen und Ihrem Team geführt. Diese erfolgen für gewöhnlich als Telefonkonferenz, können optional auf eigenen Wunsch hin auch persönlich durchgeführt werden.

Prüfungen vor Ort sind dabei nicht vorgesehen. Die Ausnahme bilden Prüfziele des Moduls “Prototypenschutz”, deren Erfüllung immer am Standort erfolgt. Außerdem kann eine Vor-Ort-Prüfung beantragt werden, wenn gewisse Nachweise aufgrund der Sensibilität nicht versendet werden sollen.

Assessment Level 3

Das Assessment Level 3 beinhaltet alle Prüfungen von Level 2, zusätzlich sind diese jedoch umfassender. So wird z.B. die Selbsteinschätzung mit einer Vor-Ort-Prüfung und persönlichen Interviews geprüft.

Was ist ein TISAX-Label?

Ein TISAX-Label ist die Bestätigung über den erfolgreichen Abschluss eines Prüfziels. Obwohl das Label und das Ziel fast identisch sind, ist der Kontext unterschiedlich und damit entscheidend. Um das Label “Umgang mit Erprobungsfahrzeugen” zu erhalten, müssen mit dem gleichnamigen Prüfziel in Ihre Prüfung einsteigen. Wenn Sie bestehen, erhalten Sie das zugehörige Label.

Wie kann ich mich vorbereiten?

Zur Vorbereitung auf die TISAX-Prüfung sollten Sie sich Klarheit darüber verschaffen, welche Module für Sie in Frage kommen. Zu allen Inhalten finden sich außerdem Whitepaper mit weiterführenden Informationen, die Sie vorab lesen sollten. Schaffen Sie sich zudem einen Überblick über alle

Wie lange dauert es, bis mein Unternehmen zertifiziert ist?

Die ENX selbst nennt keine Werte zur Dauer, da diese von sehr vielen Faktoren abhängt. Das liegt zum einen daran, wie viele Prüfziele Sie ohne Follow-Up-Prüfung erreichen, zum anderen liegt es auch daran, dass Sie selber bestimmten, wann die nächsten Schritte im Prüfprozess anfallen.

Der TISAX-Standard selbst hat allerdings die Höchstdauer festgelegt, diese beträgt neun Monate für den gesamten Prüfprozess. Der Zeitraum startet mit der Erstprüfung und endet mit der letzten Follow-Up-Prüfung. Wird der gesamte Vorgang nicht in diesem Zeitfenster abgeschlossen, erhalten Sie keine TISAX-Labels.

Die Umsetzungsfristen für Verbesserungen, die der Prüfer fordert, betragen

  • 3 Monate ohne weitere Begründung
  • 6 Monate mit Begründungen und Nachweisen
  • in jedem Fall maximal 9 Monate

💡 Zur Info: Eine TISAX-Zertifizierung beinhaltet einen Scope, einen Schutzbedarf sowie ein Assessment Level und muss in 9 Monaten abgeschlossen werden.

Junges Projektteam arbeitet gemeinsam am Bildschirm

4. TISAX Auditor

Wer darf nach TISAX prüfen?

Nur Prüfdienstleister, die von der ENX zugelassen sind, dürfen TISAX-Prüfungen durchführen und Zertifizierungen ausstellen. Zudem dürfen die Dienstleister nicht vorher als Berater für Sie tätig gewesen sein. Die Grundlage, eine Prüfung anzunehmen, ist eine bestehende Registrierung Ihres Unternehmens.

Sobald diese erfolgt ist, können Sie alle Prüfer ansprechen und um Angebote bitten. Dabei können Sie auch internationale Dienstleister wählen, da alle TISAX-Prüfer weltweit agieren dürfen. Wünschen Sie ein Angebot, können Sie den Dienstleistern ein “TISAX Scope Excerpt” senden, damit dieser die Prüfungsumfang genauer einschätzen kann.

💡 Gut zu wissen: TISAX-Prüfer dürfen Sie nur zertifizieren, wenn Sie nicht vorher als Berater für sie tätig waren.

5. Was kostet eine TISAX Zertifizierung?

Die Kosten für eine TISAX-Zertifizierung hängen vom Scope der jeweiligen Prüfung, der Anzahl an Modulen sowie der Follow-Up-Prüfungen ab und sind daher sehr individuell. Indirekte Kosten können zudem für die weiteren Optimierungsmaßnahmen anfallen, wenn der Prüfer Lücken im Informationssicherheitsmanagement (ISMS) oder anderen Prüfungsbestandteilen entdeckt.

Zusätzlich gibt es einige Grundpreise, beispielsweise für die Registrierung (Assessment Based Charges; ABC Model). Diese liegen mit Stand 2020 bei ca. 400 Euro pro Standort, der in einem Scope geprüft wird. Die Preise können aber jährlich wechseln. Außerdem gibt es Rabatte, wenn mehrere Standorte innerhalb eines Scopes geprüft werden sollen. Auf Anfrage gibt es zudem auch eine Flatrate für Standorte und Scopes (Participation Based Charges, PBC Model), die jährlich wiederkehrend bezahlt wird und bei rund 5.000 Euro liegt.

💡 Die Registrierung kann pro Standort oder als Flatrate erfolgen. Die jeweils aktuellen Registrierungspreise finden Sie im Download-Bereich der ENX.

Anfragen und Angebote für TISAX

Um ein verlässliches Angebot für eine TISAX-Prüfung abgeben zu können, muss die dafür anzuwendende Prüfgrundlage bekannt sein. Kontaktieren Sie uns und wir helfen Ihnen mit unseren Partnern dabei, die richtige Lösung zu finden.


     

    Weiterführende Links

    Hat Ihnen dieser Artikel gefallen? Gerne können Sie den Beitrag hier bewerten:
    [Anzahl: 99 Durchschnitt: 5]