Informationssicherheit Das Wichtigste zum Tisax-Update

Vor wenigen Monaten erhielt Tisax, ein Standard zum sicheren Austausch digitaler Daten, ein Update. Experte André Säckel erläutert die neue Version 5 und was Unternehmen beim Assessment erwartet.

Anbieter zum Thema

SKS metaplast Scheffer-Klute GmbH

Aucotec AG

CAQ AG Factory Systems

DQS GmbH

H zwo B Kommunikations GmbH

Herr Säckel, das Interesse am Trusted Information Security Assessment Exchange, kurz Tisax, hat in den vergangenen Monaten zugenommen. Warum ist das so?

Tisax ist ein spannendes Projekt, das bereits 2017 von der Automobilindustrie angestoßen wurde. Als Prüf- und Austauschverfahren ermöglicht es der Branche, den Reifegrad der Informationssicherheit bei potenziellen Partnern zu prüfen – und so über die gesamte Supply Chain hinweg die Einhaltung verbindlicher Mindeststandards zu gewährleisten. Das Assessment erfolgt dabei anhand eines Fragebogens, der vom VDA-Arbeitskreis „Informationssicherheit“ entwickelt wurde und in weiten Teilen an ISO 27001 angelehnt ist. Inzwischen machen immer mehr große OEMs die Tisax-Zertifizierung zur Bedingung der Zusammenarbeit. Und damit schnellt das Thema bei den Zulieferern natürlich ganz oben auf die Agenda.

Woher kommt das plötzliche Interesse an der Informationssicherheit?

Es gibt sehr viele gute Gründe, sich mit dem Thema auseinanderzusetzen. An erster Stelle steht natürlich die rasant voranschreitende Digitalisierung der Automobilindustrie: Die Zahl der Anwendungen und Daten in den Fahrzeugen explodiert – damit wachsen auch die Angriffsflächen und das Schadenspotenzial. Hinzu kommen regulatorische Vorgaben wie die DSGVO, die bei Datenverlusten teils drakonische Strafen in Aussicht stellen, außerdem ein reges öffentliches Interesse an smarten und selbstfahrenden Autos sowie zunehmend dynamische Bedrohungslandschaften. Kurz: Vieles spricht dafür, das Thema Informationssicherheit als Branche sehr ernst zu nehmen – und Tisax ist eine gute Plattform, um diese Diskussion zu führen.

Wo sehen Sie die Stärken von Tisax?

Wir haben nun erstmals die Möglichkeit, über die gesamte Automobilbranche hinweg ein einheitliches Niveau in der Informationssicherheit sicherzustellen, das auf dem robusten Fundament des VDA-Fragebogens und den ISO-27001-Prinzipien aufsetzt. Ein zweiter Pluspunkt ist, dass die Ergebnisse eines Tisax-Assessments aufgrund der Vorgabe des Scopes durch die European Network Exchange Association, kurz ENX, vergleichbar sind und damit branchenweit anerkannt werden. Für zertifizierte Zulieferer ist das ein wichtiger Mehrwert, und es hilft obendrein, teure Mehrfachzertifizierungen zu vermeiden. Insgesamt ist der Zeit- und Kostenaufwand überschaubar, gerade für Unternehmen, die bereits ISO-zertifiziert sind.

Als im Oktober 2020 die aktuelle Version Tisax 5.0 an den Start ging, hieß es, damit werde die Zertifizierung für den Auditor und den Teilnehmer deutlich einfacher und komfortabler. Hat sich das bewahrheitet?

Ja, das kann man durchaus unterschreiben. Mit dem Update wurde die Struktur des Tisax-Prüfverfahrens in einigen wichtigen Bereichen verschlankt und durchgehend an den Stand der IT-Technologie angepasst. Das macht es potenziellen Teilnehmern viel leichter, in das Thema einzusteigen. Hinzu kommt, dass die Anforderungen des optionalen Moduls „Anbindung Dritter“ in das Pflichtmodul „Informationssicherheit“ integriert wurden. Dadurch konnte mehr Klarheit geschaffen werden.

Schauen wir etwas detaillierter auf das Assessment: Welche Bereiche und welche Kriterien werden denn bei einer Tisax-Zertifizierung bewertet?

Das Tisax-Verfahren deckt drei Module ab: den Bereich Informationssicherheit, der verpflichtend vorgegeben ist, sowie die Bereiche Prototypenschutz und Datenschutz, die optional bewertet werden können. Im Modul Informationssicherheit werden aktuell knapp sechzig Anforderungen geprüft. Die Bandbreite der Themen reicht dabei von organisatorischen Fragen über das Asset- und Risikomanagement bis hin zur Mitarbeiter-Awareness und Business Continuity. Ein sehr weites Feld also – aber auch nichts, was ein engagiertes oder gar ISO 27001- und DSGVO-erfahrenes Team vollkommen überfordern würde.

Und was hat es mit den viel zitierten Assessment-Leveln von Tisax auf sich?

In jedem der drei Module können die Unternehmen einen von drei Assessment-Levels erreichen: normal (Level 1), hoch (Level 2) und sehr hoch (Level 3). Bei Level 1 handelt es sich um eine reine Selbsteinschätzung ohne jede Plausibilitätsprüfung. Aus diesem Grund wird auch kein Label von der ENX vergeben. Bei Level 2 wird in der Regel das Sicherheitsniveau extern im Rahmen einer Telefonkonferenz validiert – was aber nicht für das Modul Prototypenschutz gilt! Wer mit Tisax ernst machen möchte, wird in allen inkludierten Modulen Level 3 anstreben. Der wird erst nach einer eingehenden, umfassenden Vor-Ort-Prüfung durch einen von ENX zugelassenen Prüfdienstleister vergeben.

Wie viel Zeit muss man für eine solche Zertifizierung einplanen?

Das hängt ganz vom jeweiligen Unternehmen, von der Ausgangslage und vom Team ab. Der Ablauf ist aber stets der gleiche: Am Anfang des Prüfprozesses steht die Erstprüfung, bei der der Auditor Ihr Unternehmen besucht und den Fragenkatalog Schritt für Schritt abarbeitet. Die genaue Dauer dieses Assessments variiert je nach Unternehmensgröße, Zahl der Standorte und Reisetätigkeit – in der Regel sprechen wir aber von zwei oder drei Tagen für die Prüfung selbst. Im Anschluss an die Erstprüfung erhalten Sie dann eine Liste der großen und kleinen Abweichungen, die es binnen der nächsten maximal neun Monate zu beheben gilt. Das ist eine sehr wichtige Frist – da gibt es auch keine Ausnahmen. Nur wenn Sie innerhalb dieser neun Monate eine Nachprüfung ablegen, bei der lediglich kleine Abweichungen beanstandet werden, wird das erteilte temporäre Label in ein reguläres Tisax-Label umgewandelt, und Sie werden online als zertifizierter Teilnehmer gelistet.

Ist Tisax denn ein reines IT-Thema? Oder lohnt es sich, andere Abteilungen ins Projektteam zu holen?

Tisax ist in weiten Teilen ein technisches Thema, also kommt dem IT-Team bei der Vorbereitung der Audits selbstverständlich eine Schlüsselrolle zu. Das gesamte Projekt ausschließlich bei der IT zu verankern, wäre aber verhängnisvoll: Am besten laufen erfahrungsgemäß stets die Projekte, bei denen von Anfang an alle betroffenen Stakeholder mit ins Boot geholt werden. Ganz oben auf der Liste steht dabei stets die Geschäftsführung, ohne deren ausdrückliches Commitment das Projekt Tisax einen schweren Stand haben wird. Aber auch die HR-Abteilung, die in der Regel für die Awareness-Schulungen verantwortlich ist, die Designer, die die Prototypen verwalten, und die Kollegen aus Marketing oder Vertrieb, die viel mit personenbezogenen Daten arbeiten, sollten, ja müssen involviert werden. Und der Datenschutzbeauftragte und der Betriebsrat müssen zumindest bei den wichtigen Weichenstellungen auf jeden Fall ebenfalls am Tisch sitzen.

Für welche Unternehmen ist die Einführung besonders wichtig?

Auf dem allereinfachsten Level: Für alle Unternehmen, die von ihren OEMs auf die Teilnahme angesprochen oder vorgewarnt werden, dass das Thema demnächst ansteht – was übrigens immer öfter auch lediglich in Form einer AGB-Änderung passiert. Diese Betriebe kommen gar nicht umhin, das Thema mit hoher Priorität anzugehen, wenn sie keine Umsatzeinbußen riskieren wollen. Etwas komplexer ist die Entscheidung für Industriebetriebe, in denen das Thema noch nicht akut ist, die mittelfristig aber betroffen sein könnten. Denen würde ich durchaus empfehlen, Tisax proaktiv auf die Agenda zu nehmen – idealerweise mit Nachweis auf Level 3, um sich optimal auf künftige Anforderungen vorzubereiten und spätere Doppelarbeiten zu vermeiden. Alternativ ist es auch möglich, im ersten Schritt die Zertifizierung nach dem weltweit anerkannten ISO-27001-Standard zu absolvieren, um die Informationssicherheit auf ein robustes, systematisches Fundament zu stellen. Auf dieser Basis lässt sich die Tisax-Zertifizierung später erfahrungsgemäß zügig nachholen.

(ID:47399307)