Das TISAX®-Zertifikat – absolute Sicherheit für unsere Kunden

Innenansicht eines autonom fahrenden Autos, digitalisierte Darstellung

In der Ingenieursbranche arbeiten wir sehr häufig mit sensiblen Daten. Als Dienstleister für große Unternehmen, vor allem im Bereich Automotive, bringt das Gefahren mit sich. Alles ist digital abgespeichert und wird digital verschickt. Sicherheit ist hier ein hohes Gut, denn Daten zum Beispiel von Prototypen dürfen nicht nach außen gelangen. Das TISAX®-Zertifikat gibt unseren Kunden Sicherheit. Es garantiert einen sicheren Datentransfer und Umgang mit Informationen, die sich nur innerhalb des Unternehmens und auch nur zwischen bestimmten Personen bewegen dürfen.

Was ist TISAX®?

TISAX® steht für Trusted Information Security Assessment Exchange und meint damit den Prüf- und Austauschmechanismus zum Nachweis eines angemessenen Niveaus der Informationssicherheit im Bereich Automotive. Bereits seit 2017 vergibt der Verband der Automobilindustrie Unternehmen (VDA) das Zertifikat und etablierte es gemeinsam mit der ENX Association.

Das Zertifikat ist das Ergebnis einer Überprüfung zur Informationssicherheit in einem Unternehmen. Es garantiert die sichere Verarbeitung von Informationen zwischen Geschäftspartnern, den Schutz von Prototypen und den Datenschutz gemäß DSGVO für mögliche Geschäfte zwischen Autoherstellern und ihren Dienstleistern und Lieferanten. TISAX® gilt heute als Standard für Information Security Management System (ISMS).

In engem Sinne handelt es sich bei TISAX® nicht um ein Zertifikat, sondern ein Assessment, also ein Gutachten. Während ein Zertifikat einen Prozess zur Erlangung eines Managementsystem-Zertifikats beschreibt, handelt es sich bei einem Assessment um das Ergebnis einer Überprüfung eines Unternehmens. Der Abschluss dieser Überprüfung ist das Label und in diesem Fall das TISAX®-Zertifikat.

Woraus besteht TISAX?

Die TISAX®-Prüfung erfolgt auf Grundlage des VDA Information Security Assessment (VDA ISA) anhand eines Prüfkatalogs. Dieser besteht aus 4 Modulen: 1 Hauptmodul, 3 Sondermodule.

  • Hauptmodul: Informationssicherheit
  • Sondermodule
    • Anbindung Dritter
    • Datenschutz
    • Prototypenschutz

Eine Zertifizierung erfolgt i.d.R. mindestens gegen das Hauptmodul Informationssicherheit.

Wie funktioniert die Zertifizierung?

Die ENX Association legt als Betreiber des TISAX®-Programms die Ebenen und den Umfang der Bewertungen fest. Dabei unterscheidet man zwischen 4 verschiedenen Assessment Level, also Schutzanforderungen:

  • Level 1 (normal) → Standardlieferanten müssen lediglich den VDA-ISA-Fragebogen ausfüllen & Selbstbewertung auf TISAX®-Plattform veröffentlichen.
  • Level 2 (hoch) → Bei komplexeren Anbietern werden nach der Selbstbewertung telefonisch stichprobenartig Plausibilitätsprüfungen durch einen zugelassenen Audit-Anbieter durchgeführt.
  • Level 2,5 (sehr hoch) → Für Lieferunternehmen mit einem sehr hohen Sicherheitsrisiko für sensible Daten. Bewertungen remote, wenn aufgrund externer Umstände (bspw. Kontaktbeschränkungen aufgrund COVID-19) keine Audits vor Ort möglich sind. Bewertung vor Ort nach etwa 4 bis 8 Wochen.
  • Level 3 (sehr hoch) → Für Lieferunternehmen mit einem sehr hohen Sicherheitsrisiko für sensible Daten. Lieferanten, die mit hochsensiblen externen Daten umgehen werden durch einen zugelassenen Audit-Dienstleister vor Ort überprüft.

Alle Prüfmethoden und -maßnahmen folgen festgelegten Schutzanforderungen.

Wie läuft die Zertifizierung ab?

Ist eine Aufforderung zur Zertifizierung erfolgt, wird erst einmal detailliert bestimmt, welche Module und welcher Level für die Zertifizierung relevant sind. Danach folgen 8 Schritte:

  1. Registrierung: Das Unternehmen registriert sich für TISAX® und gibt eine Selbsteinschätzung auf Basis des VDA-ISA-Fragenkataloges inkl. angestrebten Zertifikat-Levels ab.
  2. TISAX®-Prüfer wählen: Das Unternehmen wählt einen unabhängigen Prüfdienstleister aus.
  3. Plausibilitäts- bzw. Erstprüfung: Der Dienstleister überprüft die Vollständigkeit der Selbstbewertung und der entsprechenden Nachweise.
  4. Optimierung: Das Unternehmen beseitigt offene Schwachstellen, die sich im Zuge der Erstprüfung zeigen.
  5. Assessment: Das Unternehmen unterzieht sich dem TISAX®-Assessment.
  6. Optimierung: Das Unternehmen beseitigt offene Schwachstellen, die sich im Zuge des TISAX-Assessments zeigen.
  7. Nachprüfung: Das Unternehmen weist nach, dass sämtliche im Zuge des Assessment festgestellten Schwachstellen beseitigt wurden.
  8. Exchange: Das Unternehmen veröffentlicht Prüfergebnisse über TISAX®-Exchange (freiwillig).

TISAX® Anforderungen

Unternehmen, die eine TISAX®-Zertifizierung anstreben, müssen im Prüfungskatalog festgelegte Anforderungen erfüllen. Die Umsetzung der Anforderungen und die dahinterstehenden Prozesse werden nach einem Reifegradmodell bewertet, von Stufe 0 (unvollständig) bis Stufe 5 (optimierend). Unternehmen müssen für eine erfolgreiche TISAX®-Zertifizierung einen bestimmten Reifegrad erreichen (Zielreifegrad Stufe 3). Ein überdurchschnittlicher Reifegrad in einem Bereich gleicht ein unterdurchschnittliches Ergebnis in einem anderen Bereich dabei nicht aus.

Abweichungen (Findings) werden genauestens dokumentiert und in 4 Klassen kategorisiert:

  • Nebenabweichungen: sporadische Fehler, Defizite bei der Umsetzung eigener Richtlinien. Stellen kein unmittelbares Risiko für die Informationssicherheit dar, müssen aber behoben werden.
  • Hauptabweichungen: keine Übereinstimmung mit mehreren Anforderungen eines Controls, die unmittelbar behoben werden müssen.
  • Verbesserungspotenzial: Unregelmäßigkeiten, die kein direktes Risiko darstellen, aber dennoch optimiert werden könnten.
  • Beobachtung: Nichteinhaltung eigener Anforderungen, die eventuell sicherheitsgefährdend werden könnten. Sie müssen untersucht und überwacht werden.

Am Ende des Zertifizierungsprozesses steht eine Bewertung des Assessment in allen relevanten Bereichen und auf 3 Stufen. Ziel ist in der Regel das Erreichen der besten Bewertung. Nur so können Unternehmen ihrem Kunden wirkliche Sicherheit garantieren.

  • Konform: alle Anforderungen wurden erfüllt, Reifegrad 3,0 oder 2,7 und keine Risiken für Vertraulichkeit/Integrität/Verfügbarkeit
  • Bedingt konform: nur Nebenabweichungen, Reifegrad über 2,1. Befristet gültig: Vorlage Plan für Maßnahmen inkl. Zeitplan
  • Nicht konform: ab einer Hauptabweichung oder Nebenabweichung ohne Plan für kommende Maßnahmen

Wie lang dauert die Zertifizierung?

Eine TISAX®-Zertifizierung dauert mehrere Monate. Von der Erstprüfung bis hin zur TISAX®-Konformität dürfen allerdings nicht mehr als 9 Monate vergehen. Das bedeutet für Unternehmen auch, dass sämtliche Abweichungen und Defizite, die während des Prüfprozesses identifiziert werden, innerhalb dieser Zeit behoben werden müssen. Denn erst wenn alle VDA-ISA-Anforderungen erfüllt sind, erhält ein Unternehmen die Zertifizierung. Im Nachgang ist diese dann 3 Jahre lang gültig.

iks Engineering ist TISAX®-zertifiziert

Die Digitalisierung und die Arbeit im Homeoffice haben den Umgang mit und vor allem den Transfer von Daten verändert. Damit steigt das Risiko in Bezug auf sensible Daten. Für die Ingenieurbüros der iks Engineering, die nicht direkt in den Unternehmen ihre Projekte abwickeln, ist das TISAX®-Zertifikat daher sehr wichtig. Es garantiert, dass keine Informationen illegal eingesehen werden können. Daher arbeiten wir seit 2017 als zertifizierter TISAX Anwender und garantieren unseren Kunden Sicherheit in Bezug auf all ihre Daten im Produktionsprozess und darüber hinaus.

29. August 2022