TISAX® – Antworten auf wichtige Fragen

INHALT

• Was bedeutet TISAX^®?
• Welche Vorteile bietet TISAX^®?
• Wer überwacht TISAX^®?
• Was ist ein Assessment-Level?
• TISAX^® auch für nicht produzierende Unternehmen?
• TISAX^®-Zertifizierung auch ohne Kundenanforderung?
• Ist der Inhalt von TISAX^® analog zu ISO 27001?
• Kombiniertes Audit von TISAX^® und ISO 27001 empfehlenswert?
• Wie lege ich den TISAX^®-Prüf-Scope fest?
• Wie lange dauern die einzelnen Assessments?
• Was sind Haupt- und Nebenabweichungen?
• Wird TISAX^® den VDA-Prototypenschutz ersetzen?
• Was kann die DQS für Sie tun?

Was bedeutet TISAX^®?

TISAX^® – Trusted Information Security Assessment eXchange

TISAX^® ist ein gemeinsames Prüf- und Austauschverfahren für den Automobilbereich. Es basiert auf einem vom VDA-Arbeitskreis „Informationssicherheit“ entwickelten Fragebogen zur Informationssicherheit (ISA – Information Security Assessment), der zuerst von Mitgliedsunternehmen des Verbands der Automobilindustrie (VDA) für Prüfungen bei Lieferanten und Dienstleistern verwendet wurde, in deren Unternehmen sensible Informationen verarbeitet werden. Seit 2022 ist der Fragenkatalog VDA ISA in der Version 5.1 verfügbar. Seit Januar 2022 ist die Version 5.1 für alle neuen TISAX^®-Assessments verpflichtend. Die Arbeit mit dem neuen Prüfkatalog TISAX® 5.1 soll sich nun einfacher und effizienter gestalten – für Anwender wie für Prüfer.

Zusätzlich stützt sich TISAX^® auf wesentliche Anforderungen der international anerkannten Norm für Informationssicherheit: ISO 27001. Sie ist branchenübergreifend anwendbar und definiert Anforderungen, Regeln und Methoden zur Gewährleistung der Sicherheit von Informationen im Unternehmen. Die Norm geht dabei in ihren Anforderungen über den Schutz IT-technischer Systeme hinaus und bezieht alle schützenswerten Unternehmenswerte ein, wie zum Beispiel Räumlichkeiten, Sicherheitskontrollen und Archive. Mit anderen Worten: ISO 27001 gewährleistet den Schutz aller Informationen, die für ein Unternehmen von Wert sind.

Welche Vorteile bietet TISAX^®?

• Mit TISAX^® wird ein einheitliches Niveau an Informationssicherheit in der Automobilindustrie geschaffen.
• Die Bewertungsergebnisse finden unter allen TISAX^®-Teilnehmern unternehmensübergreifende Anerkennung, was zu einem größeren Vertrauen in geprüfte Unternehmen führt.
• Unnötige Doppel- und Mehrfachüberprüfungen werden durch die gegenseitige Anerkennung im TISAX^®-Netzwerk vermieden.
• Das Assessment zur TISAX^®-Zertifizierung erfolgt nur alle drei Jahre, was Zeit und Kosten spart.

Wer überwacht TISAX^®?

TISAX^® ist eine eingetragene Marke der ENX Association mit Sitz in Frankfurt am Main und Paris. Sie ist als neutrale Instanz mit der Durchführung von TISAX^® betraut. ENX ist der Zusammenschluss europäischer Automobilhersteller, Zulieferer und von vier nationalen Automobilverbänden, darunter auch der VDA, der ENX im Jahr 2000 gründete. Die ENX Association überwacht die Qualität der Durchführung und erteilt Prüfdienstleistern nach einem strengen Verfahren die Zulassung.

Die DQS ist bei ENX als zugelassener Prüfdienstleister gelistet und kann weltweit Assessments durchführen. Für Fragen und Antworten stehen Ihnen unsere Experten jederzeit gerne zur Verfügung.

Um die gegenseitige Anerkennung der Assessments durch die Teilnehmer zu erreichen, schließt ENX sowohl mit allen zugelassenen Prüfdienstleistern als auch mit den Teilnehmern im TISAX^®-Netzwerk entsprechende Verträge ab. Durch die Standardisierung und Qualitätsüberwachung erreicht ENX eine gemeinsame Anerkennung von Prüfergebnissen unter allen Teilnehmern. Unnötige Doppel- und Mehrfachprüfungen werden vermieden.

Fragen und Antworten zu TISAX^®: Was ist ein Assessment-Level?

TISAX^® unterscheidet drei Assessment-Levels (Schutzbedarfe), je nachdem, welcher Schutz erforderlich ist: normal (Level 1), hoch (Level 2) und sehr hoch (Level 3). Davon abhängig sind die Prüfmethode und der Prüfaufwand.

Level 1: Selbsteinschätzung ohne Plausibilitätsprüfung, i.d.R. nur für interne Zwecke. Diese Prüfergebnisse haben nur eine geringe Aussagekraft und werden in TISAX^® nicht verwendet.

Level 2: Plausibilitätsprüfung Ihrer Selbsteinschätzung durch einen Prüfdienstleister wie der DQS. Diese Informationssicherheitsprüfungen werden i.d.R. als Telefonkonferenz durchgeführt, nicht durch Vor-Ort-Prüfungen – es sei denn, eines der Prototypenschutz-Prüfziele trifft zu oder Sie wünschen dies ausdrücklich.

Neu ist eine alternative Methode zur Durchführung einer Prüfung im Assessment-Level 2. Anstelle der Plausibilitätsprüfung führt Ihr Prüfdienstleister eine vollständige Fernprüfung durch. Diese Methode wird manchmal als "Assessment-Level 2,5" bezeichnet. Der Vorteil ist, dass der Ansatz methodisch mit dem Assessment-Level 3 kompatibel ist. Es ist daher möglich, zu einem späteren Zeitpunkt mit überschaubarem Aufwand auf eine vollwertige Prüfung im Assessment-Level 3 aufzurüsten.

Level 3: Plausibilitätsprüfung Ihrer Selbsteinschätzung durch einen Prüfdienstleister durch eine eingehende, umfassende Vor-Ort-Prüfung.

Ist die Einführung von TISAX^® auch für nicht produzierende Unternehmen ein Muss?

Die Antwort auf diese Frage ist vom Kontext Ihres Unternehmens abhängig: Ob Sie TISAX^®  einführen müssen oder nicht, hängt von Ihrem OEM (Original Equipment Manufacturer) ab bzw. ob er diesen Nachweis zur Informationssicherheit von Ihnen verlangt. Sofern der Automobilhersteller nicht gezielt auf Sie zukommt oder Sie eine Veränderung in den AGB sehen, empfiehlt es sich, abzuwarten. In der Vergangenheit wurden die Unternehmen bei Bedarf vom OEM über die Voraussetzungen zur weiteren Zusammenarbeit kontaktiert. Selbstverständlich bleibt es Ihnen aber überlassen, proaktiv bei Ihren Partnern in der Automobilindustrie nachzufragen.

Ist es sinnvoll, auch ohne Kundenanforderung eine TISAX^®-Zertifizierung anzustreben?

Proaktiv an das Thema Informationssicherheit heranzugehen, ist in der heutigen Zeit generell sehr sinnvoll, nicht nur für Zulieferer in der Automobilindustrie. Sofern Sie von Ihrem OEM (noch) keine Vorgaben haben, welches TISAX^®-Label von Ihnen erwartet wird, bietet sich der Nachweis von Level 3 an (Assessment-Level 3: sehr hohe Informationssicherheit). Auf diese Weise sind Sie auf alle künftigen Anforderungen vorbereitet, ohne Doppelarbeit leisten zu müssen.

Alternativ bietet der weltweit anerkannte Standard DIN ISO/IEC 27001 einen guten, branchenübergreifenden Einstieg in die Informationssicherheit.  Die ISO-Norm wurde in einer überarbeiteten Version am 25. Oktober 2022 neu veröffentlicht.

Ist der Inhalt von TISAX^® analog zu ISO 27001?

Der TISAX^®-Prüfkatalog ist von der internationalen Norm ISO 27001 abgeleitet und greift auf die darin festgelegten „Controls“ (Maßnahmen) zurück. Sie beschreiben, wie die jeweiligen Anforderungen (muss, sollte) umgesetzt werden können, wie Prozesse sicherzustellen sind und welche Hilfsmittel eingesetzt werden können. Ein wesentlicher Unterschied beider Standards liegt darin, dass bei TISAX^® ein bestimmter Reifegrad (Maturity Level) erreicht werden muss. 

Ist ein kombiniertes Audit von TISAX^® und ISO 27001 empfehlenswert?

Ein Kombiaudit ist auf jeden Fall möglich und kann durch die DQS jederzeit vorgenommen werden. Viele TISAX^®-Auditoren der DQS sind zugleich zugelassene Auditoren für ISO 27001. Damit können beide Begutachtungen zur Informationssicherheit gleichzeitig mit einem geringeren zusätzlichen Aufwand durchgeführt werden.

Muss für TISAX^® zwingend eine Zertifizierung gemäss ISO 27001 vorliegen?

Die Antwort auf die Frage lautet: Nein. Denn es gibt keine Vorgabe die besagt, dass bereits ein zertifiziertes Informationssicherheits-Managementsystem gemäß ISO 27001 vorliegen muss. Für das TISAX^®-Assessment muss lediglich nachgewiesen werden, dass Sie nach einem Informationssicherheitsmanagement arbeiten und die entsprechenden Prozesse und Verfahren im Unternehmen stabil umgesetzt werden. Diese Beurteilung nimmt der Auditor vor, der anhand der Dokumente auch die Einteilung in einen Reifegrad („Maturity Level“) vornimmt.

Welche Vorteile ergeben sich durch eine bereits bestehende ISO 27001-Zertifizierung?

Wenn Sie bereits ein ISO 27001-Zertifikat nachweisen können, ist dies natürlich immer von Vorteil. Allein deshalb, da Sie für TISAX^® ein eingeführtes Informationssicherheitsmanagement nachweisen müssen und beide Regelwerke eine ähnliche Abdeckung haben.

Aber bitte beachten Sie: Die Definition des TISAX^®-Prüf-Scopes kann sich von der für die ISO 27001-Zertifizierung erforderlichen Definition unterscheiden. Die zugrunde liegenden Konzepte sind nicht identisch. Bei größeren Unternehmen kann auch die Registrierung mehrerer Prüf-Scopes in Betracht gezogen werden.

Ist die ,,Prozess-Definition" von ISO 9001 analog zu TISAX^®?

Diese Antwort auf diese Frage lautet „Ja“. Prinzipiell ist die Definition und der Aufbau der Prozesse in den entsprechenden Regelwerken immer derselbe. Im TISAX^®-Prüfkatalog steht außerdem ganz konkret, von welchen Controls Kennzahlen ermittelt werden müssen und von welchen nicht. Die Erstellung der KPI ist mit Beispielen hinterlegt, um die Informationssicherheit in der Automobilindustrie zu gewährleisten. Ein Blick in den VDA ISA Fragenkatalog hilft also für einen ersten Überblick.

Ist ein IT-Sicherheitsbeauftragter für die Einführung von TISAX^® zu empfehlen?

Es ist nicht zwingend erforderlich, dass der verantwortliche Mitarbeiter zur Einführung von TISAX^® aus der IT-Abteilung kommt. Da es sich aber um IT-gestützte Prozesse handelt, sind gewisse IT-Kenntnisse durchaus von Vorteil.

Wie lege ich den TISAX^®-Prüf-Scope fest?

Die ENX bietet einen Standard-Scope an, der von 90% aller TISAX^®-Teilnehmer angenommen wird. Der Standard-Scope ist vordefiniert und kann nicht verändert werden. Stellen Sie während der Vorbereitung auf Ihr Assessment fest, dass der Standard-Scope nicht passt, können Sie den Umfang Ihrer Prüfung unter bestimmten Umständen anpassen. In Einzelfällen fordern die OEM den erweiterten Scope. Diese Sonderfälle sind allerdings selten und werden vom jeweiligen OEM detailliert mit Ihnen besprochen. Im Normalfall reicht der Standard-Scope. Er ist die Grundlage für ein TISAX^®-Assessment und wird von allen Teilnehmern akzeptiert.

Ist ein Prüf-Scope für alle Standorte ausreichend?

Ein einziger Prüf-Scope, der alle Standorte enthält, bietet Vor- aber auch Nachteile.

Für Unternehmen mit vielen Standorten kann das reguläre TISAX^®-Bewertungsverfahren recht umfangreich sein. Unter bestimmten Voraussetzungen bieten wir eine Alternative an - die "vereinfachte Gruppenveranlagung" (SGA ─ Simplified Group Assessment). Die vereinfachte Gruppenveranlagung ist ein Sonderfall des TISAX®-Bewertungsverfahrens. Wenn die Voraussetzungen erfüllt sind, kann sie den Aufwand im Vergleich zum regulären TISAX®-Assessments reduzieren. Dieses spezielle TISAX®-Bewertungsverfahren ist für Unternehmen mit mindestens drei Standorten und einem zentralisierten, hoch entwickelten Informationssicherheits-Managementsystem (ISMS). In diesem Addendum wird beschrieben, wann Sie von der vereinfachten Gruppenbewertung profitieren können und wie Sie das spezielle Bewertungsverfahren durchlaufen können.

Kann der Prüf-Scope isoliert werden, z.B. auf „sicherheitskritische Mitarbeiter“?

Die ENX beantwortet diese Frage zu TISAX^® eindeutig: Alle Mitarbeiter, die mit sensiblen Informationen aus der Automobilindustrie in Berührung kommen, müssen in den Prüf-Scope aufgenommen werden. Dies kann beispielsweise auch ein Maschinenführer sein, der mit einem Bauplan des Kunden arbeitet. Ihr Unternehmen muss für sich selbst definieren, welche Mitarbeiter in informationssicherheitsrelevante Prozesse eingebunden sind.

Stimmt es, dass bei ENX zuerst der Antrag auf eine TISAX^®-Prüfung gestellt werden muss und erst danach der Zertifizierer ausgesucht werden kann?

Ja, das ist korrekt. Im Anschluss an Ihre Online-Registrierung unter www.enx.com/tisax/ und die Genehmigung des Prüf-Scopes durch die ENX erhalten Sie eine Liste mit allen zugelassenen Prüfdienstleistern. Sie können die Liste aber auch schon vorab bei der ENX einsehen. Die DQS ist als Prüfdienstleister bei ENX gelistet und kann weltweit Assessments durchführen. Für Fragen und Antworten rund um Informationssicherheit in der Automobilindustrie stehen Ihnen unsere Experten jederzeit gerne zur Verfügung.

Macht eine Anfrage überhaupt Sinn, wenn der Reifegrad zu niedrig ist?

Sollten Sie in einem Selbst-Assessment feststellen, dass in Ihrem Unternehmen in puncto Informationssicherheit noch Nachholbedarf besteht, ergibt eine Anfrage zur Prüfung vorerst keinen Sinn. Es empfiehlt sich, zuerst die identifizierten Lücken zu schließen und danach eine Prüfung in Betracht zu ziehen.

Wie lange dauern die einzelnen Assessments?

Die Antwort auf die Frage nach der Dauer einzelner Assessments ist von der Größe Ihres Unternehmens und der Reisetätigkeit, die mit der Prüfung Ihrer Standorte verbunden ist, abhängig. Bei durchschnittlicher Unternehmensgröße reichen für das Prüfverfahren 2-3 Tage vor Ort aus.

Wie lange dauert es, bis ein Unternehmen als zertifiziert gilt?

Der gesamte TISAX^®-Prüfprozess kann max. neun Monate dauern. Er beginnt mit der Erstprüfung und endet mit der letzten Nachprüfung. Kann der Prüfprozess nicht innerhalb der genannten Frist abgeschlossen werden, erhalten Sie kein TISAX^®-Label.

Erfüllt Ihr Unternehmen alle Kriterien bzw. weist lediglich geringe Abweichungen (sogenannte Nebenabweichungen) auf, wird der Prüfbericht bei der ENX eingereicht. Sobald dieser akzeptiert wurde, erhalten Sie Ihr (temporäres) TISAX^®-Label. Liegen Hauptabweichungen vor, die erst behoben werden müssen, gilt das Label ab dem Tag, an dem die Abweichung als behoben gilt.

Fragen und Antworten zu TISAX^®: Was sind TISAX^®-Labels?

Die Labels sind das Ergebnis des Prüfprozesses und fassen Ihr Prüfergebnis zusammen. Sie sind hierarchisch miteinander verknüpft. Das heißt, wenn Sie ein bestimmtes Label erhalten, erhalten Sie automatisch auch die „darunterliegenden“. Die Labels sind nur im ENX-Portal einsehbar. Ihre Gültigkeitsdauer beträgt in der Regel drei Jahre.

Was sind Haupt- und Nebenabweichungen?

Eine Hauptabweichung („major non-conformity“) liegt vor, wenn die Abweichung Zweifel an der Gesamtwirksamkeit Ihres Informationssicherheits-Managementsystems aufkommen lässt oder wenn sie erhebliche Informationssicherheitsrisiken verursacht. Dies ist beispielsweise der Fall, wenn eine Zwei-Faktor-Identifizierung verlangt ist und diese noch nicht implementiert wurde.

Eine Nebenabweichung („minor non-conformity“) liegt beispielsweise vor, wenn die Abweichung weder die Gesamtwirksamkeit Ihres Informationssicherheits-Managementsystem in Frage stellt noch ein erhebliches Risiko der Informationssicherheit in der Automobilindustrie darstellt. Beispielsweise vereinzelte oder sporadische Fehler und Umsetzungsdefizite.

Müssen auch Wirksamkeitsnachweise einzelner Maßnahmen eingereicht werden?

Die Antwort lautet „Ja“. Nachdem Sie Ihren Maßnahmenkatalog erstellt und die Maßnahmen umgesetzt haben, wird ihre Wirksamkeit geprüft. Daher sieht der Zertifizierungsprozess auch einen Zeitraum von neun Monaten vor.

Wie kann ich die Mitarbeiteranzahl „im Vorfeld“ bestimmen?

Konkret: Wie kann ich die genaue Anzahl an Mitarbeitern im Vorfeld bestimmen, wenn ggf. weitere Mitarbeiter erst nach Vertragsabschluss mit unserem Auftraggeber eingestellt werden?

Die Range, in die die Mitarbeiter für TISAX^® eingeordnet werden, ist deutlich größer als bei der internationalen Norm ISO 27001. TISAX^® ordnet die Anzahl der Mitarbeiter beispielsweise in 0-50, 51-150 etc. ein. Wenn Sie also ungefähr wissen, wie viele Mitarbeiter neu eingestellt werden, können Sie sich in eine entsprechende Range einordnen.

Wie viele Dokumente sollten vorhanden sein, um TISAX^® gerecht zu werden?

Pauschal lässt sich hier keine Angabe machen. Es kommt immer auch auf die Größe und die Tätigkeit Ihres Unternehmens an. Theoretisch können Sie alles in einem einzelnen Dokument abdecken, sofern die Übersichtlichkeit gegeben ist. Es empfiehlt sich aber, mehrere Dokumente zu erstellen, in denen zusammenpassende Themengebiete aufgegriffen werden.

Wird TISAX^® den VDA-Prototypenschutz ersetzen?

Da in TISAX^® ein eigenes Modul zum Prototypenschutz vorgesehen ist, welches deutlich detaillierter auf die einzelnen Kriterien eingeht als dies bisher der Fall war, ist davon auszugehen, dass TISAX^® langfristig die bisherigen Regelwerke zur Informationssicherheit in der Automobilindustrie ablösen wird. Die VDA-Prototypenschutz-Version 3.0 von 2018 ist aber nach wie vor gültig.

Fragen und Antworten zu TISAX^® – Was kann die DQS für Sie tun?

Die DQS ist bei ENX als zugelassener Prüfdienstleister gelistet und kann weltweit Assessments durchführen. Alle unsere TISAX^®-Auditoren sind zugleich auch zugelassene Auditoren für den internationalen Standard ISO 27001. Damit können beide Standards durch die DQS gleichzeitig und mit einem geringeren zusätzlichen Aufwand begutachtet werden. Unsere Experten beantworten Ihnen gerne Ihre Fragen rund um Informationssicherheit in der Automobilindustrie. Wir freuen uns auf das Gespräch mit Ihnen.

Expertise und Vertrauen

Unsere Fachbeiträge werden ausschließlich von unseren hausinternen Normexperten und langfristigen Auditoren verfasst. Sollten Sie Fragen zu den Inhalten oder an unsere Autoren haben, senden Sie uns gerne eine E-Mail an willkommen@dqs.de. Sie erhalten umgehend eine Antwort.

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.