TÜV SÜD vor Ort
TÜV SÜD vor Ort
In der Automobilindustrie müssen Lieferanten den OEMs ein hohes IT-Schutzniveau nachweisen – und gegebenenfalls für jeden einzelnen Auftraggeber einen Sicherheitstest durchlaufen. Bisher. Im Interview erklärt Marcello Walz, Global Business Line Manager IT, die Besonderheiten des neuen Standards TISAX®.
Bisher haben die Auftraggeber aus der Automobilindustrie verschiedenste Zertifikate und Nachweise für die IT-Sicherheit von ihren Lieferanten gefordert. Darüber hinaus prüften sie häufig selbst im Rahmen von Lieferantenaudits, ob auch wirklich alle Einkaufsbedingungen eingehalten werden. Ein sehr hoher Aufwand, und zwar für alle Beteiligten. Mit der ENX Association, dem Prüf- und Austauschmechanismus TISAX® und den Assessments gibt es jetzt eine Zentralorganisation, die anhand eines in der Branche akzeptierten Standards alle Suppliers systematisch bewertet. Eine eigens entwickelte Online-Plattform dient hierbei dem unternehmensübergreifenden Austausch von Prüfergebnissen. Mit der Freischaltung der Ergebnisse auf der Plattform zeigen Unternehmen, dass ihre Informationssicherheit TISAX®-konform ist. ENX setzt auf ausgewählte, etablierte Prüfdienstleister mit großem Branchen-Know-how wie TÜV SÜD, um ein hohes, durchgängiges Produktniveau und die breite Anerkennung des Standards zu gewährleisten.
Ein TISAX®-Label ist für Lieferanten die Eintrittskarte in die Automobilindustrie; es ist die Grundvoraussetzung, damit sie aktuell und in Zukunft mit OEMs zusammenarbeiten können – ohne Label kein Geschäft. Die Fachbereiche bei den Lieferanten freuen sich, dass es jetzt endlich einen dedizierten Standard gibt, an dem sie sich orientieren können, und der branchenweit anerkannt wird. Letztlich bekommen wir generell das Feedback von Kunden, und zwar auch von denen, die noch nichts mit einem Informationssicherheits-Managementsystem, kurz: ISMS, zu tun hatten, dass TISAX® ein großer Schritt in der Weiterentwicklung ihres Unternehmens war.
Zulieferer sparen sich jetzt viele Lieferantenaudits und müssen sich nur noch alle drei Jahre prüfen lassen. Und gleichzeitig verfügen sie über ein funktionierendes ISMS, das gibt Sicherheit. Allerdings: TISAX® lässt sich nicht mal eben einfach so umsetzen. Vor allem braucht es, wie bei vielen anderen Managementsystemen auch, das Commitment der Geschäftsführung: Sie muss zu 100 Prozent hinter den Zielen des ISMS stehen. Wenn man sich noch nie mit der Thematik auseinandergesetzt hat, dann kann die Hürde, ein solches System einzuführen, zwar im ersten Moment relativ hoch wirken. Aber Unternehmen können sich dafür jederzeit externe Hilfe ins Boot holen. Wir haben ein Netzwerk an kompetenten externen Kooperationspartnern, die ihnen bei der Planung, Einführung und Implementierung helfen. Allerdings ist diese externe Dienstleistung natürlich vollkommen unabhängig von unserer Zertifizierungsleistung und hat keinerlei Einfluss auf das Assessment.
Die ISO/IEC 27001 ist die allgemeingültige Norm für ein ISMS; TISAX® hingegen ein branchenspezifischer Standard. Die Basis von TISAX® ist der VDA-ISA, ein Fragebogen zum Thema Information Security Assessment, der vom Verband der Automobilindustrie und der ENX Association entwickelt wurde. Er kommt also direkt aus der Automobilindustrie und beachtet deshalb exakt die Erfordernisse der Branche. Folglich ist er auch ganz anders formuliert also die ISO-Norm. TISAX® enthält zahlreiche spezifische Fachtermini, die es so in anderen Bereichen der Informationssicherheit gar nicht gibt. Des Weiteren unterscheiden sich die Entwicklungsmodelle im Automotive-Sektor deutlich von denen anderer Industrien – nicht zuletzt was die Zyklen, aber auch die Geheimhaltungsvorgaben angeht. Oder Data Protection, also die Verarbeitung von personenbezogenen Daten. Bei TISAX® ist das ein eigenes Modul bzw. „objective“, wenn auch nicht für alle Unternehmen verpflichtend, sondern abhängig von der Dienstleistung für den Automobilhersteller. Aber solche Spezifika sind Teil eines TISAX®-ISMS. Ein weiterer Unterschied ist die Behandlung von Prototypen und -daten, das kennen wir aus der klassischen ISO 27001-Welt so auch nicht.
Meist signalisiert der Einkauf des OEM dem Lieferanten, welches Assessment-Level erwartet wird. Ganz grundsätzlich empfehlen wir aber jedem Unternehmen, das sich mittel- und langfristig mit dem Thema Informationssicherheit auseinandersetzen möchte, Assessment-Level 3 mit der Vor-Ort-Prüfung anzuvisieren. Der Vorteil: Man kann Schwerpunkte noch mal ganz anders setzen. Zudem lassen sich Verbesserungspotenziale besser aufdecken sowie ausschöpfen. Insgesamt ist Assessment-Level 3 als holistischer Ansatz deutlich nachhaltiger als die reine Dokumentenprüfung in Assessment-Level 2.
Die benötigte Vorbereitungszeit variiert natürlich sehr stark und die Dauer hängt von der Anzahl der Standorte ab. Normalerweise gehen wir von vier bis fünf Tagen Vor-Ort-Audit im „Initial Assessment“ eines Assessment-Level 3 aus. Ein verpflichtender Teil des Assessments ist das Kick-off-Meeting mit dem Lead Auditor. Dort werden die Planung, die benötigten Dokumente und das Audit besprochen. Wenn sich zeigt, dass es stellenweise noch Nachholbedarf gibt, lässt sich das zu diesem Zeitpunkt relativ einfach umsetzen. Dazu noch ein Tipp: Man sollte im Rahmen des – verpflichtenden – Self-Assessments den VDA-ISA-Fragebogen durcharbeiten und ehrlich zu sich selbst sein. Im Zweifel sich lieber eine Schwäche eingestehen, an der man arbeiten und nachbessern kann.
Ganz wichtig: Die maximale Dauer des TISAX®-Prüfprozesses beträgt neun Monate. Ist das Assessment bis dahin nicht erfolgreich abgeschlossen, geht der Prozess wieder ganz von vorne los. Die letztendliche Deadline stammt meist vom OEM, allerdings geben sich inzwischen fast alle damit zufrieden, wenn Lieferanten einen Termin zum Assessment nachweisen können; hier empfehlen wir jedoch die Rücksprache mit dem Automobilhersteller. Denn klar ist auch, dass nicht alle Prüfdienstleister in der Lage sind, von jetzt auf gleich loszulegen. Wir von TÜV SÜD sind an dieser Stelle aber sehr gut aufgestellt und können zeitnah Termine realisieren.
Viele Fachbereiche in den Unternehmen sind froh, dass das Thema endlich angegangen wird. Denn bei Compliance-Themen gibt es keinen Aufschub. Ein ISMS ist ein System, das lebt und das weiterhin gepflegt werden will. Es reicht natürlich nicht, wenn man sich nur einmal alle drei Jahre damit auseinandersetzt. Ein TISAX®-Assessment ist ein starkes Fundament, mit dem Unternehmen die Informationssicherheit gestalten können.
TÜV SÜD Ansprechpartner: Marcello Walz, Global Business Line Manager IT, TÜV SÜD Management Service GmbH
Mit unserer Unterstützung können Sie auch während Ihrer bestehenden Zertifikats-Laufzeit zu TÜV SÜD wechseln
Erfahren Sie mehr