TISAX®: Ein wichtiger Schritt zur Cyber-Sicherheit in der Lieferkette
Dass sich in der Automobilindustrie täglich tausende Zulieferer über streng vertrauliche Daten direkt und online austauschen, zeigt die Bedeutung der Informationssicherheit zum Schutz von Eigentumsrechten und zur Abwehr von Cyberattacken. Um die entsprechenden Nachweise zwischen Herstellern, Zulieferern und Dienstleistern zu erleichtern, hatte der VDA 2017 das Branchenmodell TISAX® (Trusted Information Security Assessment Exchange) als Selbst-Assessment auf den Markt gebracht. Über eine Plattform können die teilnehmenden Unternehmen die Ergebnisse gegenseitig einsehen. Vier Jahre später ist nicht mehr das IATF-System, sondern TISAX® in der Branche zum beherrschenden Thema geworden. Über 4.000 Zulieferer – vom Konstruktionsbüro bis zur Event-Agentur – weisen durch regelmäßige Selbst-Assessments nach, dass sie bei der Entwicklung und Produktion von Bauteilen oder Prototypen mit den sensiblen Daten sicher umgehen. Andernfalls würden nicht spezifische, zu umfangreiche Kriterienkataloge gerade die kleineren Zulieferbetriebe überfordern und ihnen den Zugang zur Lieferkette erschweren.
Der VDA ISA-Kriterienkatalog
Grundlage der internen Assessments ist der VDA ISA-Kriterienkatalog (Version 5.0, April 2021). Er basiert hauptsächlich auf der Norm
ISO 27001
. Der Katalog beschreibt über verschiedene Prüfkategorien den Prozess, den Unternehmen durchlaufen müssen, um ihren Reifegrad insbesondere zur Informationssicherheit sowie zum Daten- und Prototypenschutz zu bestimmen und zu steuern. Anhand des Tabellenwerks und der darin aufgelisteten Controls können die internen Fachabteilungen Audits planen und die jeweils in den Prozessen erreichten Levels zur Prüfung nach TISAX® einreichen.
Zwar ist die ISO 27001 weiterhin der globale branchenneutrale Standard zur Einführung eines Managementsystem für Informationssicherheit (ISMS). Doch müssen die Automobilhersteller (OEM) in ihren weitverzweigten Lieferketten schnell das Sicherheitsniveau bei datengestützten Prozessen feststellen können. Allerdings unterliegt auch das gegenseitig akzeptierte und geprüfte Niveau der Informationssicherheit weiterhin einer hohen Dynamik. Denn der Megatrend „Connected Car“ löst eine tiefgreifende Transformation aus. Cyber-Sicherheit muss künftig für jedes einzelnen Fahrzeugs über den gesamten Lebenszyklus gewährleistet sein. Folglich werden in Audits auch IT-Sicherheitskonzepte für automatisierte Produktionsanlagen (ISO/IEC 62443) sowie die Cyber-Sicherheit von Kraftfahrzeugen (ISO 21434) zunehmend einen wichtigen Platz einnehmen und die bestehenden Qualitäts- und Informationssicherheitsstandards wie ISO 9001 und ISO 27001 ergänzen. Hersteller können sie modular aufbauen und prüfen lassen. Die Systeme jedoch auch zusammengeführt oder bei Bedarf integriert auditiert werden.
Zwar ist die ISO 27001 weiterhin der globale branchenneutrale Standard zur Einführung eines Managementsystem für Informationssicherheit (ISMS). Doch müssen die Automobilhersteller (OEM) in ihren weitverzweigten Lieferketten schnell das Sicherheitsniveau bei datengestützten Prozessen feststellen können. Allerdings unterliegt auch das gegenseitig akzeptierte und geprüfte Niveau der Informationssicherheit weiterhin einer hohen Dynamik. Denn der Megatrend „Connected Car“ löst eine tiefgreifende Transformation aus. Cyber-Sicherheit muss künftig für jedes einzelnen Fahrzeugs über den gesamten Lebenszyklus gewährleistet sein. Folglich werden in Audits auch IT-Sicherheitskonzepte für automatisierte Produktionsanlagen (ISO/IEC 62443) sowie die Cyber-Sicherheit von Kraftfahrzeugen (ISO 21434) zunehmend einen wichtigen Platz einnehmen und die bestehenden Qualitäts- und Informationssicherheitsstandards wie ISO 9001 und ISO 27001 ergänzen. Hersteller können sie modular aufbauen und prüfen lassen. Die Systeme jedoch auch zusammengeführt oder bei Bedarf integriert auditiert werden.
Das Selbst-Assessment nach TISAX®?
Inwiefern unterscheidet sich ein TISAX®-Audit von den Abläufen zu Etablierung eines Managementsystems zur Informationssicherheit (ISMS) nach
ISO 27001
? Bei TISAX® beginnt das Selbst-Assessment mit einem sogenannten Kick-off zur gemeinsamen Abstimmung von Abläufen, Zeitrahmen und Inhalten. Dann folgt eine Dokumentenprüfung des ISMS. Darauf basierend, führen die Auditoren von DEKRA das Assessment gemäß dem definierten Schutzbedarf zum Beispiel als Interview, Videokonferenz oder Begehung durch. Abschließend werden die Ergebnisse im sogenannten Closing-Meeting zusammengefasst, um die weiteren Schritte zu vereinbaren und etwaige Abweichungen zu korrigieren.
Nach erfolgreich abgeschlossenem Assessment erhält die Organisation das zeitlich befristete TISAX®-Label für die Austauschplattform. Die Plattform wird im Auftrag des VDA von der ENX Association betrieben. DEKRA Certification ist von ENX als Internationaler Prüfdienstleister akkreditiert, um gemäß TISAX® die Assessments durchzuführen und Testate zu erstellen.
Nach erfolgreich abgeschlossenem Assessment erhält die Organisation das zeitlich befristete TISAX®-Label für die Austauschplattform. Die Plattform wird im Auftrag des VDA von der ENX Association betrieben. DEKRA Certification ist von ENX als Internationaler Prüfdienstleister akkreditiert, um gemäß TISAX® die Assessments durchzuführen und Testate zu erstellen.
DEKRA ist Ihr vertrauenswürdiger und zugelassener Partner für die Bewertung, Zertifizierung und Akkreditierung nach anerkannten Normen und Vorschriften gemäß Ihren individuellen Bedürfnissen und Rahmenbedingungen. Profitieren Sie von:
- unseren zugelassenen Akkreditierungen nach internationalen Normen und Verordnungen
- uns als anerkannte Bewertungs- und Zertifizierungsstelle
- einem internationalen Netzwerk von interdisziplinären Experten