Suchen

Informationssicherheit

TISAX: Zertifiziert oder außen vor

| Autor: Christian Otto

Das Thema Informationssicherheit ist für die Zusammenarbeit der automobilen Wertschöpfungskette und ihrer Partner essenziell. Vor diesem Hintergrund entstand 2017 die TISAX-Zertifizierung, die in der Branche immer stärker ausgerollt wird – auch weil der Druck von Seiten der Automobilhersteller steigt.

Firmen zum Thema

Der sichere Informationsaustausch soll durch die Tisax-Zertifizierung nachgewiesen werden.
Der sichere Informationsaustausch soll durch die Tisax-Zertifizierung nachgewiesen werden.
(Bild: © Sikov – adobe.stock.com)

Seit 2017 hat die hiesige Automobilindustrie nun schon ein eigenes System für Informationssicherheit namens TISAX (Trusted Information Security Assessment Exchange). Und wenn man bei einigen mittelständischen Zulieferern nachfragt, bestätigen sie, dass sie das System gerade entweder implementieren oder sogar schon vorhalten. Das ist nicht in jedem Fall ganz freiwillig, denn der Druck, TISAX umzusetzen, geht laut Branchenkennern natürlich von den OEMs aus.

Diese waren auch zusammen mit dem VDA (Verband der Automobilindustrie) federführend, um zur Informationssicherheit einen Branchenstandard zu setzen, der für externe Zulieferer und Dienstleister wie Berater und Softwarehersteller in der automobilen Lieferkette gilt. Die internationale Norm ISO/IEC 27001 war bis vor etwa vier Jahren ein beliebtes Mittel, um die Datensicherheit zu zertifizieren. Nach einem mehrere Jahre andauernden Entwicklungsverfahren präsentierte der VDA aber vor zwei Jahren TISAX, der auf der ISO 27001 beruht, aber um branchenbezogene Themen wie Prototypenschutz, Auftragsverarbeitung oder Verbindungen zu externen Unternehmen erweitert wurde.

Gesperrte Systemzugänge

Das Vorhalten der TISAX-Zertifizierung wird zunehmend zum entscheidenden Faktor, weiter mit den OEMs im Geschäft zu bleiben. So berichten Unternehmen, die noch nicht TISAX-zertifiziert waren, dass ihnen die Hersteller ihre Systemzugänge gesperrt hätten. Die TISAX-Assessments zu überwachen und die TISAX-Prüfdienstleister zuzulassen, damit ist die ENX Association beauftragt. Diese betont, dass TISAX bewusst nicht ausschließlich auf IT-Sicherheit, sondern auf die gesamte Informationssicherheit zielt. Dies ziehe sich durch den gesamten Anforderungskatalog und zeige sich besonders deutlich am Thema Prototypenschutz.

Zu diesen Prüfdienstleistern gehört unter anderem die DQS GmbH. Der dort zuständige Produktmanager André Säckel unterstreicht, dass der größte Vorteil von TISAX vor allem darin liegt, dass es branchenübergreifend anerkannt wird. Er sieht zudem eine steigende Marktdurchdringung: „Es kommt gerade bei den Tier-2 an. In den nächsten Jahren wird das noch breiter nach unten weitergegeben werden.“ Säckel bemerkt immer wieder Wellen in der Nachfrage durch die Kunden, die proaktiv auf DQS zukommen. Meist handle es sich um Bestandskunden, die schon eine andere Norm bei dem Prüfdienstleister zertifiziert haben oder aber durch die ENX auf das Unternehmen zukamen. Und meist ist der Druck groß: „Sie fragen gar nicht nach dem Preis, sondern ob wir liefern können“, berichtet Säckel.

Gefragte Prüfer

Derzeit gibt es neun weitere Unternehmen, die neben der DQS die TISAX prüfen dürfen. „Die Kapazität ist eng“, meint Säckel und verweist darauf, dass die ENX Association im Rahmen der Akkreditierung bei seinem Unternehmen auch abgefragt habe, wie es international seine Auditoren schule, und wie DQS weltweit, zum Beispiel im asiatischen oder südamerikanischen Raum, vertreten ist. Die steigende Nachfrage bei der TISAX-Zertifizierung muss DQS auch personell abbilden: „Wir suchen händeringend neue Auditoren. Der Anspruch an diese Mitarbeiter ist hoch. Sie sollen natürlich Berufserfahrung mitbringen. Das ist eine Hürde“, erklärt André Säckel.

Im Detail ist die TISAX-Zertifizierung allerdings weniger aufwendig als beispielsweise die ISO 27001. Die Prüfdienstleister prüfen dafür auf Grundlage des gemeinsam im VDA verabschiedeten Fragenkatalogs. „An manchen Stellen ist er aber so detailliert, dass man da fast gar keine Bewegungsfreiheiten hat“, stellt Experte Säckel fest. Er merkt aber auch an, dass zu den in der ISO 27001 verankerten 118 Kontrollen bei der TISAX nur 52 vorliegen. Auch ist der Prüfzyklus nicht jährlich, sondern nur alle drei Jahre. Da stellt sich auch die Frage, ob es genügend Kontrollen sind und ob der Zyklus im Bereich Informationssicherheit wirklich angemessen ist.

Laut ENX Association werde der Fragenkatalog stetig durch das Feedback der Zulieferer, Partner und Auditoren verbessert. Eine Verkürzung strebe man deshalb auch nicht an. Zudem sieht man TISAX als Zertifizierung von der Wirtschaft für die Wirtschaft und betont, dass man durch den Zyklus von 36 Monaten auch ausschließen wolle, die beteiligten Unternehmen zu gängeln. Durch den Drei-Jahres-Rhythmus beginnt im nächsten Jahr die Neuaufnahme der Prüfungen der Erstzertifizierten von 2017. Die beteiligten Auditoren werden also aller Voraussicht nach 2020 wieder eine neue Nachfragewelle erfahren.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 45952613)