Beitrag teilen
HOME
/
blog
/
TISAX®: So funktioniert Informationssicherheit in der Autoindustrie

TISAX®: So funktioniert Informationssicherheit in der Autoindustrie

Anne Hillmer

Information Security Expert

June 7, 2023

12 min

Anne ist eine Expertin auf dem Gebiet der Informationssicherheit mit umfangreicher Arbeitserfahrung im Bundesamt für Sicherheit in der Informationstechnik (BSI). Als ISO/IEC 27001 Lead Implementer und Data Protection Officer verfügt sie über profunde Kenntnisse in der Gestaltung und Umsetzung sicherer IT-Systeme und ist zudem zertifiziert als IT-Security Officer (TÜV) für Informationssicherheit.

Key Takeaways

TISAX® ist ein ISMS-Standard speziell für die deutsche Automobilindustrie.

Der TISAX®-Prüfprozess umfasst den Aufbau eines ISMS, interne Prüfung und Auswahl von Prüfbereichen.

TISAX® bietet Vorteile wie erhöhtes Sicherheitsbewusstsein, vereinfachte Abläufe und Transparenz für Stakeholder.

Ein bestehendes ISMS ist erforderlich für die TISAX®-Zertifizierung.

TISAX® – dieses Wort fällt öfter, wenn es um Informationssicherheitsmanagementsysteme (ISMS) geht. Es handelt sich hierbei um einen speziellen Standard in der Informationssicherheit. Wir beleuchten, was es mit TISAX® auf sich hat.  

‍  

In diesem Artikel erfahren Sie:

  • was genau TISAX® ist und wer es entwickelt hat,        
  • für welche Unternehmen sich das sogenannte TISAX®-Label besonders eignet    
  • und welche Vorteile eine TISAX®-Zertifizierung mit sich bringt

Darüber hinaus zeigen wir Ihnen die Besonderheiten, Vorteile und Anforderungen von TISAX® auf und erklären Ihnen den damit einhergehenden Prozess.

TISAX®: Was ist das?

TISAX® gilt als der Standard für Informationssicherheitsmanagementsysteme (ISMS) in der deutschen Automobilbranche.  


Informationssicherheitsmanagementsysteme bestehen aus einer Reihe von Richtlinien und Prozessen, die die Aufgabe haben, sensible Informationen zu schützen. Darunter fallen zum Beispiel Kundendaten oder Buchhaltungsdaten, aber auch Geschäftsgeheimnisse oder Entwürfe für neue Produkte.

ISM-Systeme bestehen aus Richtlinien und Arbeitsanweisungen sowie Dokumentationen, die präventiv erkannte Risiken behandeln und reaktiv den Umgang mit Vorfällen bis hin zum Business Continuity Management (Notfall/ Krisenfall) vorschreiben.

Für den Aufbau eines solchen ISMS gibt es verschiedene Standards. Diese Standards sollen helfen, bei allen Informationssicherheitsmanagementsystemen dasselbe Maß an Schutz herzustellen. Außerdem signalisieren Unternehmen durch eine Zertifizierung dieser Standards, dass die Daten von Kunden und Geschäftspartnern besonders sicher bei ihnen aufgehoben sind.

TISAX® – starker ISMS-Standard für Informationssicherheit in der Automobilbranche

Informationssicherheit im Unternehmen – auch eine Vertrauensgrundlage  

TISAX® ist ein Prüf- und Austauschmechanismus für die Informationssicherheit von Unternehmen. Die Anforderungen sind maßgeblich von der ISO 27001, der weltweit anerkannten Norm für Informationssicherheitsmanagementsysteme, beeinflusst.  

Allerdings erweitert TISAX® den Anforderungskatalog um Bereiche in der Informationssicherheit, die für die Automobilbranche besonders wichtig sind. Zum Beispiel hat das Thema Prototypenschutz (also etwa der Schutz neuer Automodelle, sogenannter „Erlkönige“) einen wichtigen Stellenwert.

Das ist auch der Grund dafür, warum Automobilhersteller und deren Tochterunternehmen von ihren Zulieferern und Dienstleistern in der Regel ein TISAX®-Label erwarten.  

Von der Industrie für die Industrie

Der TISAX®-Standard für Informationssicherheitsmanagementsysteme wurde 2017 vom Verband der Automobilindustrie e.V. (VDA) entwickelt und wird von der europäischen Dachorganisation der Automobilbranche, der ENX Association, gemanagt.  

‍  

Durch die übergeordnete Organisation, die einheitliche Standards vorgibt, müssen Auftraggeber nicht mehr wie früher selbst von ihren Lieferanten Nachweise und Zertifikate anfordern und gegebenenfalls überprüfen. Somit vereinfacht TISAX® nicht nur die Zusammenarbeit, sondern leistet auch einen Beitrag zu einer von Transparenz geprägten Geschäftsbeziehung.


Heute ist TISAX® ein sehr wichtiger Standard für die Informationssicherheit in der Automobilindustrie. Ein Unternehmen, das das TISAX®-Label nach erfolgreichem Prüfprozess erhält, zeigt, dass sein überprüftes ISMS einen klar umrissenen Anforderungskatalog erfüllt.  

Darum wollen Automobilunternehmen das TISAX® Label erhalten

In der folgenden Infografik haben wir die wichtigsten Vorteile eines TISAX® Labels zusammengefasst.

Infografik, die mit Icons die Vorteile einer TISAX® Zertifizierung für Automobilkonzerne zeigt.

TISAX® ist ein echter Türöffner für Auftragnehmer in der die Automobilindustrie. Oft geben Kunden bzw. die Auftraggeber (meist sind das Automobilhersteller) gewünschte Anforderungen an die Informationssicherheit vor, die ein Zulieferer erfüllen muss.

Diese Auftraggeber nennt man in der Automobilbranche auch „Original Equipment Manufacturer“ (OEM), damit sind Fahrzeughersteller gemeint. Je nachdem, wie hoch der Schutzbedarf von Informationen des beauftragenden OEM ist, müssen die Zulieferer unterschiedliche Anforderungen erfüllen.

Insbesondere Prototypen werden von der Industrie streng geschützt: Diese Versuchsmodelle bilden geplante Produkte von Automobilherstellern ab, die in der Entwicklungs- und Testphase größter Geheimhaltung unterliegen. Grund für den hohen Vertraulichkeitsgrad ist, dass Unternehmen nicht möchten, dass Mitbewerber Informationen zum Entwicklungsstand der Produktpalette abgreifen können.

Ein TISAX®-Label kann die Wahrnehmung für Informationssicherheit intern und extern zudem erheblich stärken: Es ist nicht nur ein besonders anspruchsvoller und sicherer Standard, der speziell auf die Erfordernisse der Autobranche ausgerichtet ist, sondern signalisiert Geschäftspartnern auch, dass Daten zu Prototypen und Entwicklungen vom geprüften Unternehmen mit größter Sorgfalt behandelt werden.  

So funktioniert der Prüfprozess in 3 Schritten

In der folgenden Infografik haben wir den Prüfprozess für ein TISAX® Label zusammengefasst.

Eine Infografik, die mit 4 Icons den TISAX®-Label-Prüfungsprozess zeigt.

1. Aufbau eines Informationssicherheitssystems

Bevor ein Unternehmen ein TISAX® Label erhalten kann, muss es ein Informationssicherheitssystem aufbauen – denn das ist, was das TISAX® Label bewertet.

Dieser Aufbau nimmt meist viel Zeit und Aufwand in Anspruch – denn ein ISMS will gut durchdacht sein, um den strengen Standards von TISAX® zu entsprechen. Glücklicherweise gibt es für Unternehmen, die besonders schnell das TISAX®-Label erhalten wollen, die Möglichkeit, ihr ISMS zu automatisieren.  


Das Digital Compliance Office (DCO) von SECJUR erspart Unternehmen hunderte Stunden Arbeit bei der Errichtung eines TISAX®-konformen ISMS.

2. Vorbereitung auf das Audit

‍  

Anhand eines vom VDA bereitgestellten Fragenkatalogs sollte das Unternehmen zunächst intern prüfen, auf welchem Stand die Informationssicherheit ist.  

Gegebenenfalls werden die Schwächen des bestehenden ISMS behoben. Je strukturierter dieser Prozess gestaltet wird, desto besser. Unterstützung durch externe Spezialisten kann je nach Größe des Unternehmens und Qualität seines ISMS dafür hilfreich oder gar unverzichtbar sein. Automatisierte ISMS-Lösungen helfen, den Aufbau zu beschleunigen und das ISMS von Anfang an TISAX®-konform einzurichten.

3. Prüfbereiche wählen und Audit bestellen


Im nächsten Schritt meldet sich das Unternehmen, das das TISAX®-Label erhalten will, bei der ENX Association an. Das Unternehmen gibt dabei den Umfang an und wählt einen Auditor aus.  


Diese Bereiche prüft der Auditor:


Grundsätzlich können dabei drei wichtige Bereiche der Informationssicherheit untersucht werden:


  • Informationssicherheit (dieser Bereich wird immer durch den Auditor geprüft)
  • Datenschutz (wird auf Anforderung geprüft)
  • Prototypenschutz (wird auf Anforderung geprüft)

Welche der drei Bereiche ein Unternehmen durch TISAX® geprüft sehen will, hängt meist von den Anforderungen seiner Auftraggeber ab. Je nachdem, welche Daten es an das zu prüfende Unternehmen weitergibt, fordern diese niedrigere oder höhere Schutzniveaus für ihre Informationen an.  


Diese Schutzniveaus gibt es:


Beim TISAX®-Prüfprozess unterscheidet man drei verschiedene Schutzniveaus (Assessment-Level).  


  • Das Assessment Level 1 ist auf die reine Selbsteinschätzung des Unternehmens beschränkt und spielt keine Rolle bei dem Erhalt des TISAX®-Labels.  
  • Das Assessment Level 2 steht für „Umgang mit Informationen mit hohem Schutzbedarf“. Der Auditor prüft dabei die eingereichten Unterlagen und führt ein Auditgespräch durch, beispielsweise per Videointerview. Wichtig: Der Prototypenschutz fällt nicht in den Bereich dieses Levels.
  • Geht es um „sehr hohen Schutzbedarf“, liegt das strengere Assessment Level 3 vor. Bei diesem Level werden alle drei genannten Bereiche inklusive Prototypenschutz geprüft. Außerdem gleicht der Auditor die Angaben vor Ort im Unternehmen mit der Realität ab.

Der bestellte Auditor ist unabhängig und von der ENX akkreditiert.  


Das Unternehmen füllt den Fragenkatalog eigenständig aus und schickt ihn mit der vollständigen ISMS-Dokumentation sowie Nachweisen an den Auditor. Nach der Prüfung können bei Abweichungen Nachbesserungen erforderlich sein.

Eine Hauptabweichung liegt dann vor, wenn eine zwingende Anforderung des Prüfbereichs nicht erfüllt wird –  diesen Umstand muss das Unternehmen nachweislich beheben, da es sonst das TISAX®-Label nicht erhält. Bei einer Nebenabweichung wird eine Anforderung teilweise nicht erfüllt. Das Unternehmen erhält dann ein vorläufiges Label. Allerdings wird es dazu angehalten, Sicherheitslücken zeitnah zu schließen.

Spätestens nach neun Monaten muss die Prüfung abgeschlossen sein.  Dann werden die Ergebnisse an die ENX übermittelt und das TISAX®-Label erteilt.

TISAX®: Diese Vorteile haben Unternehmen mit dem Label!

‍  

Der Erhalt des TISAX®-Labels kann die Informationssicherheit in einem Unternehmen nicht nur erheblich stärken, sondern auch bringt auch noch weitere Vorteile mit sich:  

‍  

1.  Bewusstsein für Informationssicherheit:

Im Zuge des TISAX®-Prozesses müssen sich Unternehmen intensiv mit dem Thema Informationssicherheit auseinandersetzen und ein ISMS mit gut strukturierten Prozessen aufbauen, was erfahrungsgemäß zu einem höheren Verständnis und alltäglicher Aufmerksamkeit für das Thema führt. Schließlich möchten die meisten Unternehmen, dass ihre Mitarbeitenden sorgfältig mit Daten umgehen.


2.   Vereinfachung der Abläufe:

Das TISAX®-Label ist drei Jahre gültig, was den Herstellern und Zulieferern seit dessen Einführung mehrere Lieferantenaudits pro Jahr erspart. Außerdem ermöglicht es Transparenz und vereinfacht Abläufe, da Unternehmen, die sich bei ENX für das TISAX®-Portal angemeldet haben, die Ergebnisse aller anderen teilnehmenden Unternehmen einsehen können.  


3.  Transparenz für Stakeholder:

Mit dem TISAX®-Label zeigt ein Unternehmen, dass sein ISMS strengen Anforderungen genügt. Somit können aktuelle und zukünftige Geschäftspartner darauf vertrauen, dass ihre Daten bestmöglich verwahrt werden.

Wie viel kostet TISAX®?

Die Kosten für ein TISAX®-Label sind meist abhängig von der Unternehmensgröße, Komplexität des ISMS und vom Assessment Level, also dem Umfang der Prüfung. Im Durchschnitt liegen die Kosten bei mehreren tausend Euro.

Die Entscheidung für TISAX® – was muss mein Unternehmen vorbereiten?  

‍  

Ein bestehendes ISMS ist Grundvoraussetzung für den Erhalt des TISAX®-Labels. Wenn Sie als Unternehmen noch kein Informationssicherheitssystem eingerichtet haben, müssen Sie diesen Schritt als Erstes angehen.  

Schneller zum TISAX®-Label mit der ISMS-Lösung von SECJUR!


Wir bei SECJUR wissen, worauf es bei TISAX®-konformen Informationssicherheitsmanagementsystemen ankommt. Mit dem Digital Compliance Office von SECJUR bauen Sie schnell, flexibel und wirksam ein automatisiertes ISMS, das Sie auf direktem Wege zum TISAX®-Label führen kann!

Das DCO vereint alle relevanten Richtlinien und Aktivitäten und erspart Ihnen durch Übersichtlichkeit und intelligente, automatisierte Prozessen hunderte Stunden Arbeit.

Anne Hillmer

Anne ist eine Expertin auf dem Gebiet der Informationssicherheit mit umfangreicher Arbeitserfahrung im Bundesamt für Sicherheit in der Informationstechnik (BSI). Als ISO/IEC 27001 Lead Implementer und Data Protection Officer verfügt sie über profunde Kenntnisse in der Gestaltung und Umsetzung sicherer IT-Systeme und ist zudem zertifiziert als IT-Security Officer (TÜV) für Informationssicherheit.

Über SECJUR

SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.

Compliance, completed

Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office

Mehr erfahren

Frequently asked questions

Everything you need to know about the product and billing.

Weiterlesen

November 7, 2023
7 min
Das BSI und die NIS2: Welche Rolle spielt das BSI bei der Implementierung der NIS2 Richtlinie?

Das Bundesamt für Sicherheit und Informationstechnik erhält durch die Umsetzung der NIS2 Richtlinie auf nationaler Ebene erweiterte Kompetenzen. So erhält das BSI mit der NIS2 Richtlinie die Befugnis, Mindestsicherheitsstandards für KRITIS-Betreiber festzulegen und IT-Sicherheitsvorfälle zu überwachen. Welche Auswirkungen dies auf Ihr Unternehmen und hat und welche Bedeutung das BSI für die deutsche Cybersicherheit einnimmt, lesen Sie in unserem Artikel zu dem Verhältnis zwischen dem BSI und der NIS2 Richtlinie.

Lesen
June 2, 2023
6 min
Abmahnwelle von Noyb: Was steckt dahinter und wie sieht ein rechtskonformes Cookie-Banner aus?

Die Organisation Noyb („My Privacy is None of Your Business“) unter dem Vorsitz von Max Schrems startete Anfang 2021 eine Abmahnwelle gegenüber Unternehmen wegen datenschutzwidriger Cookie-Banner. Doch wie soll ein rechtskonformes Cookie-Banner eigentlich aussehen? Lesen Sie mehr Tipps zur Gestaltung Ihres Banners.

Lesen
June 5, 2023
Deutsche Unternehmen fürchten das Datenschutz-Risiko

In den vergangenen zwei Jahren waren Verstöße gegen Datenschutzbestimmungen für nur 6 % der Befragten überhaupt relevant. Dies wird sich in den kommenden Jahren erheblich ändern. So sehen es zumindest die fast 200 befragten Entscheider aus Unternehmen ab 250 Mitarbeitern, die an der Studie „Crisis Management“ der Kanzlei Noerr teilnahmen.

Lesen
TO TOP