TISAX Informationssicherheit für die Automobilbranche

TISAX®

Informationssicherheit für die Automobilbranche

Informationssicherheit für die Automobilbranche

TISAX®-Assessment – Was ist das?

TISAX® steht für Trusted Information Security Assessment Exchange. Dabei handelt es sich um ein Prüf- und Austauschverfahren für Informationssicherheit in der Automobilindustrie. Der Fokus liegt auf dem Schutz der Daten, auf ihrer Integrität sowie auf deren Verfügbarkeit sowohl während des Herstellungsprozesses als auch während des Betriebs der Fahrzeuge.

WIR BEGLEITEN SIE AUF IHREM WEG ZUM TISAX®-ASSESSMENT

Lieferanten und Dienstleister in der Automobilbranche verarbeiten häufig äußerst sensible Informationen ihrer Auftraggeber. Denn Hersteller beziehen ihre Zulieferer meist eng in die Produktentwicklung ein. Das Informations- und Cyber-Sicherheitsniveau der Daten soll deshalb bei allen Beteiligten hoch sein. Entsprechend fordern Auftraggeber von ihren Lieferanten regelmäßig einen Nachweis, dass sie diese Anforderungen in Bezug auf die Informationssicherheit erfüllen.

Dafür kommt meist der von der ENX Association und des VDA (Verband der Automobilindustrie) gemeinsam entwickelte und eingerichtete Anforderungskatalog Information Security Assessment (ISA) zum Einsatz. Allerdings: Jeder Hersteller prüfte seine Lieferanten bisher selbst nach ISA. Das führte jedoch dazu, dass sich zahlreiche Unternehmen derselben Prüfung mehrmals – für jeden Auftraggeber – unterziehen mussten.

Um diesen unnötigen Mehrfachaufwand zu reduzieren, hat der VDA in Zusammenarbeit mit der ENX Anfang 2017 den Prüf- und Austauschmechanismus TISAX® (Trusted Information Security Assessment Exchange) etabliert. Eine eigens entwickelte Online-Plattform dient dem unternehmensübergreifenden Austausch von Prüfergebnissen in der Informationssicherheit im Automotive-Sektor. Mit der Governance von TISAX® und dem Betrieb der Plattform ist die ENX Association betraut. Lassen Unternehmen ihre Ergebnisse auf der Plattform freischalten, teilen sie damit ihren direkten Geschäftspartnern und allen teilnehmenden Unternehmen mit, dass ihre Informationssicherheit TISAX®-konform ist.

  • TÜV SÜD verfügt über zahlreiche TISAX®-Assessoren in Österreich.
  • Wir führen Ihr Assessment zeitnah durch!
  • Nutzen Sie unser Know-how aus Informationssicherheit und der Automotive-Branche.

ÜBER DIE TISAX®-ONLINE-PLATTFORM KÖNNEN REGISTRIERTE TEILNEHMERINNEN:

  • Eine Auswahl der zugelassenen Dienstleister zur Beauftragung für Prüfungen einsehen 
  • Ergebnisse von durchgeführten Prüfungen für andere Teilnehmer zur Verfügung stellen und teilen
  • Einblick in die Ergebnisse der anderen Teilnehmer erhalten, sofern Sie sie für andere Unternehmen freigeben

Unternehmen können nach einer Registrierung auf die Plattform zugreifen und Informationen austauschen. Über die Plattform lassen sich darüber hinaus zugelassene Prüfdienstleister wie TÜV SÜD ersehen, denn TISAX®-Assessments dürfen nur von explizit durch die ENX zugelassene Anbieter durchgeführt werden.

Die Ergebnisse Ihrer Prüfung sind bis zu drei Jahren gültig. Selbstverständlich bleiben die Daten und Ergebnisse immer unter Kontrolle des geprüften Unternehmens – ein Austausch dieser Informationen erfolgt nur nach Ihrem Einverständnis und vorheriger Freigabe.

TÜV SÜD darf TISAX®-Assessments weltweit durchführen!


VORTEILe einer TISAX®-Assessment FÜR UNTERNEHMEN

  • keine Doppel- und Mehrfachprüfungen
  • Zeit- und Kostenersparnis durch unternehmensübergreifende Anerkennung von Assessments der Informationssicherheit
  • Vertrauen in geprüfte Unternehmen
  • Bei Bedarf ist zusätzlich zum TISAX®-Assessment eine Zertifizierung von z. B. Informationssicherheitsmanagementsystemen nach ISO 27001 möglich

DIE TISAX®-ASSESSMENT-LEVEL

Je nach Sensibilität der geteilten Daten und Informationen gibt es drei verschiedene Assessment-Level, denen sich Lieferanten unterziehen können. Diese Level unterscheiden sich im jeweiligen Prüfverfahren und der Intensität der Prüfung: von Level 1 (Self-Assessment ohne TISAX® Label) bis hin zu Level 3 (intensive Vor-Ort Prüfung der Informationssicherheit und Managementprozesse):

  • TISAX® Prüflevel 1: In diesem Level füllen Standardlieferanten, einen ISA-Fragebogen aus und veröffentlichen daraufhin die Selbstbewertung auf der TISAX®-Plattform. Plausibilitätsprüfung erfolgt keine.
  • TISAX® Prüflevel 2: Dieses Level wird für Daten mit hohem Schutzbedürfnis (high need for protection) benötigt, also für vertraulich (confidential) eingestufte Daten. Die eingesandten Daten werden hierbei geprüft und das Assessment wird in einem Remote-Verfahren durchgeführt.
  • TISAX® Prüflevel 3: Dieses Level wird für Daten mit sehr hohem Schutzbedürfnis (very high need for protection) benötigt, also für hochvertrauliche (strictly confidential) oder geheime (secret) Daten. Darunter fallen z.B. Daten aus Crashtests. In so einem Fall wird die Prüfung vor Ort durchgeführt. Vertreter:innen der Assessmentstelle prüfen alle Dokumentationen und Nachweise, während auch Verantwortliche des Unternehmens anwesend sind.

IN 6 SCHRITTEN ZUM TISAX®-ASSESSMENT

SCHRITT 1: ERMITTLUNG DER ANFORDERUNGEN

Zulieferer/OEM entscheiden auf Basis der ausgetauschten Informationen, welche TISAX®-Anforderungen erfüllt sein müssen. Daraus ergibt sich, welches Label benötigt wird.

SCHRITT 2: REGISTRIERUNG

Nach der nötigen Registrierung bei der ENX erhalten Sie und Ihr Unternehmen die Scope-ID.

SCHRITT 3: PRÜFUNG

Entsprechend des geforderten Assessment-Levels nimmt TÜV SÜD die Prüfung vor.

SCHRITT 4: BERICHT

Das geprüfte Unternehmen erhält den Bericht der TÜV SÜD-Auditoren.

SCHRITT 5: BEHEBUNG DER SCHWACHSTELLEN

Das geprüfte Unternehmen behebt identifizierte Schwachstellen. Ein temporäres Ergebnis kann bereits auf der Austauschplattform veröffentlicht werden.

SCHRITT 6: EINSTELLUNG ERGEBNIS

Das Ergebnis wird auf der Austauschplattform eingestellt. Der Austausch von diesen Zusammenfassungen ist ausschließlich für registrierte Teilnehmer möglich und erfolgt nur nach expliziter Freigabe der Ergebnisse durch das auditierte Unternehmen für ein anfragendes Unternehmen. 


NEUE TISAX®-LABELS "VERFÜGBARKEIT" UND "VERTRAULICHKEIT"

Lieferanten und Dienstleister der Automobilbranche können künftig mit den Labels „Verfügbarkeit“ und „Vertraulichkeit“ nachweisen, welche Anforderungen an Cyber- und Informationssicherheit sie erfüllen.

Was ändert sich ab dem 1. April 2024? - Das Label „Verfügbarkeit“ gibt es seit Januar 2023. Unternehmen, die bereits am TISAX® Prüf- und Austauschmechanismus teilnehmen, bekommen dieses Label bislang ohne gesonderte Prüfung automatisch dazu verliehen. Das Label „Vertraulichkeit“ tritt ab dem 1. April 2024 in Kraft. Die alten Labels "Info High" und "Info Very High" werden durch "Vertraulich" und "Streng vertraulich" ersetzt. Mit dieser Umstellung werden die Sicherheitsanforderungen für Anbieter von Produktionsteilen und Infrastrukturen, die mit Geschäftsgeheimnissen umgehen, präzisiert.

Der Prüf- und Austauschmechanismus TISAX® (Trusted Information Security Assessment Exchange) ist in der Automobilbranche heute fest etabliert: Automobilhersteller setzen bei vielen Lieferanten und Dienstleistern in ihrer Lieferkette entsprechende Labels voraus, mit dem diese nachweisen, dass sie die geforderten Kriterien im Bereich Cyber- und Informationssicherheit erfüllen. Bisher standen dabei die Zulieferer im Fokus, die mit besonders sensiblen Daten der OEMs gearbeitet haben – etwa weil sie als Ingenieurbüro direkt an der Prototypenentwicklung beteiligt waren oder exakte Daten für die Anfertigung bestimmter Autoteile benötigten. Dementsprechend lag der Schwerpunkt der TISAX®-Prüfkataloge auf den Themen Informationssicherheit und Geheimnisschutz.

Das Thema Verfügbarkeit spielte bislang nur eine untergeordnete Rolle, hat durch die Lieferengpässe während der Pandemie allerdings an Bedeutung gewonnen. Denn auch direkte Zulieferer, beispielsweise von Standardkleinteilen wie Schrauben, liefern Just-in-time und Just-in-sequence, und diese Teile werden in der Produktion nicht auf Lager gehalten. Das bedeutet, wenn es bei einem dieser Zulieferer zu einem – zum Beispiel durch eine Ransomware-Attacke verursachten – Lieferausfall kommt, steht das Band beim OEM ebenfalls still, bis entsprechender Ersatz gefunden oder die Lieferung verspätet nachgeholt worden ist. Aus diesem Grund nimmt der Standardgeber das Thema Verfügbarkeit explizit in das TISAX®-System mit auf. Dabei sollen direkte Zulieferer, die nicht mit Herstellerinformationen mit erhöhtem Schutzbedarf arbeiten, nicht unnötig mit Anforderungen zum Geheimnisschutz belastet werden. Künftig wird es daher die inhaltlich voneinander abgekoppelten Labels „hohe oder sehr hohe Verfügbarkeit“ und „hohe oder sehr hohe Vertraulichkeit“ geben und auf Basis der künftigen Prüfkataloge kann dann jedes Unternehmen entlang der Automobillieferkette auswählen, welches es in seiner spezifischen Position benötigt. 

Kontaktieren Sie uns


Alles in Kürze zum TISAX®-Assessment erfahren Sie hier in unserem Podcast

Auch in der Automobilbranche spielen IT- und Cybersicherheit eine große Rolle. Lieferanten und Dienstleister verarbeiten oft sensible Informationen und sind eng in die Produktentwicklung eingebunden. Sie müssen deshalb nachweisen, dass sie die Anforderungen zur Informationssicherheit erfüllen. Der Prüf- und Austauschmechanismus TISAX® soll dies deutlich erleichtern. Richard Arck, Product Compliance Manager bei TÜV SÜD, erklärt, was genau hinter TISAX® steckt, wie weit sich dieser Standard schon durchgesetzt hat, und warum auch kleine Dienstleister wie Kreativagenturen und Fotografen sich mit diesem Thema auseinandersetzen sollten.

 


Möchten Sie Ihr Unternehmen prüfen lassen?

Dann begleiten wir Sie auf Ihrem Weg zum TISAX®-Assessment. Kommen Sie unverbindlich auf uns zu und zögern Sie nicht uns zu kontaktieren: Schicken Sie einfach eine E-Mail an [email protected] oder rufen uns an unter +43 5 0528 - 9001. Wir beantworten gerne Ihre Fragen.

Unverbindliches Angebot anfragen

 

TISAX®-FAQs

  • Was versteht man unter einem TISAX®-Assessment?

    Bei TISAX®, Trusted Information Security Assessment Exchange, handelt es sich um ein Prüf- und Austauschverfahren für Informationssicherheit in der Automobilindustrie.

  • Wer braucht ein TISAX®-Assessment?

    TISAX® ist vor allem für Lieferanten und Dienstleister in der Automobilbranche nützlich, da diese häufig äußerst sensible Daten ihrer Auftraggeber verarbeiten, weshalb das Informations- und Cyber-Sicherheitsniveau der Daten bei allen Beteiligten hoch sein. Aus diesem Grund fordern Auftraggeber von ihren Lieferanten regelmäßig einen Nachweis, dass sie diese Anforderungen in Bezug auf die Informationssicherheit erfüllen.

  • Wer prüft TISAX®?

    TISAX®-Audits dürfen ausschließlich von akkreditierten Prüfdienstleistern wie TÜV SÜD durchgeführt werden.

  • Was ist TISAX® Level 1?

    In diesem Level füllen Standardlieferanten, einen ISA-Fragebogen aus und veröffentlichen daraufhin die Selbstbewertung auf der TISAX®-Plattform. Plausibilitätsprüfung erfolgt keine.

  • Was ist TISAX® Level 2?

    Dieses Level wird für Daten mit hohem Schutzbedürfnis (high need for protection) benötigt, also für vertraulich (confidential) eingestufte Daten. Die eingesandten Daten werden hierbei geprüft und das Assessment wird in einem Remote-Verfahren durchgeführt.

  • Was ist TISAX® Level 3?

    Dieses Level wird für Daten mit sehr hohem Schutzbedürfnis (very high need for protection) benötigt, also für hochvertrauliche (strictly confidential) oder geheime (secret) Daten. Darunter fallen z.B. Daten aus Crashtests. In so einem Fall wird die Prüfung vor Ort durchgeführt. Vertreter:innen der Zertifizierungsstelle prüfen alle Dokumentationen und Nachweise, während auch Verantwortliche des Unternehmens anwesend sind.

Next steps

WORLDWIDE

Germany

German