IT-Standard der Automobilindustrie TISAX – Zertifizierung, Level und Kosten

Mit dem TISAX wurde ein Standard beschlossen, der auf die Anforderungen der Automobilindustrie zugeschnitten ist. Dabei konkretisiert TISAX die Vorgaben des ISO 27001 und erleichtert die Einhaltung der Sicherheit in der gesamten Branche – von Zertifizierung, Kosten und der Rolle von OGiTiX IAM im TISAX.

Erlkönige sind bei Fotografen beliebte Objekte. Die Prototypen mit den speziellen Designs sollen es ermöglichen, dass Autos unter realistischen Bedingungen getestet werden – ohne dabei Details zu verraten. Die besonderen Muster ermöglichen die Geheimhaltung bei den Fahrten mit den Prototypen und bewahren so die finale Form gegenüber der Öffentlichkeit und den Mitbewerbern, welche Designs kopieren und vorher releasen könnten.

Diese Sicherheitsmaßnahme ist typisch für die Automobilindustrie – ähnlich ist es beim TISAX. Der Sicherheitsstandard der Automobilindustrie gilt als Weiterentwicklung des ISO 27001. Die Entstehung von TISAX (Trusted Information Security Assessment Exchange) geht auf eine Vereinheitlichung individueller Standards der Automobilhersteller zurück.

Heute gilt TISAX für die mit der Automobilbranche verbundene Industrie und Dienstleister, kurzum für alle Vertragspartner entlang der Versorgungskette und wird dabei auch im Ausland angewendet.

Welche Spezifikationen der TISAX Sicherheitslevels, Tests und Kosten es gibt und wie IAM als Maßnahme bei der TISAX-Prüfung unterstützen kann, zeigen wir hier.

TISAX – Daten- und IT-Sicherheit in Automobilbranche

Bevor es in der Automobilbranche einheitliche Standards gab, waren die Zulieferer davon abhängig, verschiedene individuelle Vorgaben zu erfüllen und den Status quo der Datensicherheit in verschiedenen Verfahren nachzuweisen. In der Praxis bedeutete das, dass Information Security Management Systeme (ISMS) parallel bedient werden mussten und dass die vielen verschiedenen Audits den Betrieb in den Unternehmen aufhalten konnten. Kurzum: Die Vielzahl an Standards war unpraktisch und unwirtschaftlich.

Mit einer Vereinheitlichung folgte auch die Erleichterung. Der Wegfall der Mehrfach-Audits entlang der Kette der Dienstleister und Zulieferer der Automotive-Branche sowie die Vereinheitlichung des CSIM galten als Erleichterung. Im Jahr 2017 wurde mit dem TISAX eine Spezifizierung der ISO 27001 / IEC 27001 geschaffen.

TISAX zertifiziert – Sicherheit effizient nachweisen

Der TISAX (Trusted Information Security Assessment Exchange) ist laut Definition ein Informationssicherheitsmanagementsystem (ISMS) bzw. ein einheitlicher Prüf- und Austauschmechanismus von Ergebnissen und Informationen, der sich nach dem branchenspezifischen Prüfverfahren VDA-ISA (Information Security Assessment) als Standard etabliert hat.

Das Ziel des TISAX ist mit den Szenarien der Automotive-Branche erklärt: Wenn externe Dienstleister Ergebnisse aus dem Windkanal oder eine kleine Marketingfirma noch geheime Fotos verarbeiten und übermitteln möchten, müssen Maßnahmen zur Geheimhaltung der Daten erfüllt werden. Rund um diesen Prozess stellt TISAX ein Prüfverfahren als branchenspezifischen Sicherheitsstandard dar, der die Fragen “Was bedeutet sicher?” universell zu beantworten weiß. Richtungsweisend dafür ist der VDA – Verband der Automobilindustrie e. V., der Spitzenverband der Automobilindustrie in Deutschland.

TISAX Anforderungen im Überblick

Das Anforderungslevel oder TISAX-Level ist mit dem des ISO 27001 vergleichbar. Ähnlichkeiten ergeben sich in der Bestandsaufnahme der schützenswerten Informationen und der Art von Schutz, der diesen zukommen muss.

Die anfängliche Selbstanalyse richtet sich nach Grundschritten in verschiedenen Bereichen, die vom Maßnahmenkatalog bzw. Fragebogen des ENX vorgegeben sind. In den Grundschritten werden Listen mit Informationswerten erstellt, Verantwortliche bestimmt und im Risikomanagement die Art der Bedrohungen ausgemacht, die auf Prozesse und Informationswerte einwirken könnten.

Daraufhin finden sich passende Anforderungen für den Aufbau eines Managementsystems zur Informationssicherheit. Wichtig ist beispielsweise, wer Zugriff auf Informationen hat, wo diese warum verfügbar sind und wie diese geschützt sind.

Neben den Maßnahmen für den Schutz, wie sie sich aus bestimmten Anwendungen des Identity and Access Managements für den Zugriff auf Daten ergeben, sollte eine Perspektive auch dem Verhalten und Protokollen für die Risikominimierung im Schadensfall gelten.

TISAX und ISO 27001 Vergleich

TISAX-ZertifikatISO 27001
Branchenspezifisch auf Automobilindustrie zugeschnittenallgemeingültiger, branchenübergreifender Standard
nicht als Zertifikat verwendbarals Zertifikat deutlich verwendbar
weist hohes Niveau des Datenschutzes nachDatenschutz muss ggf. zusätzlich auditiert werden
Scope ist definiert, von außen auf Lieferkette OEM festgelegtScope ist variabler, Unternehmens-/ Managementsicht von innen auf Informationssystem

Fazit: ISO 27001 bzw. IEC 27001 gilt als international anerkannter Standard, der in vielen Branchen zur Verwendung kommt. Branchenspezifische Standards sind als Alternative detaillierter und auf die konkreten Anforderungen zugeschnitten. So ist auf der TISAX Standard spezifisch und detaillierter.

Sollte einer der Prüfgegenstände (Scopes) bereits ISO 27001 zertifiziert sein, können Sie dies den Prüfern vorab mitteilen.

TISAX Prüflevel / Assessment Level

Die Assessment Level sind für die Klassifizierung das Auditing eine wichtige Grundlage, dabei müssen Daten und deren Lifecycle im Unternehmen genau analysiert werden. Wie ein TISAX-Assessment ausfällt, richtet sich nach der Art der Informationen, die im Unternehmen verfügbar sind.

  • TISAX Prüflevel 1 (AL1) 
    Sogenannte Standardlieferanten füllen einen ISA-Fragebogen aus und veröffentlichen die Selbstbewertung auf der TISAX-Plattform. Es erfolgt keine sogenannte Plausibilitätsprüfung.
  • TISAX Prüflevel 2 (AL2) 
    Das Prüflevel 2 wird für Daten mit einem hohen Schutzbedürfnis (high need for protection) angewendet. Das betrifft beispielsweise Daten, die als vertraulich (confidential) klassifiziert wurden. 
    Auf diesem Level werden eingesandte Daten geprüft und das Assessment im Remote-Verfahren wie beispielsweise durch eine Telefonkonferenz durchgeführt.
  • TISAX Prüflevel 3 (AL3) 
    Das Prüflevel 3 wird angewendet, wenn Daten mit sehr hohem Schutzbedürfnis (very high need for protection) klassifiziert wurden. Das betrifft Daten der Kategorien hochvertraulich (strictly confidential) oder geheim (secret) wie beispielsweise Daten aus Crashtests, zu AI-Systemen oder ähnliche. 
    Auf dem Level 3 werden Prüfungen vor Ort durchgeführt. Dokumentation, Nachweise und das Firmengelände werden dabei von Vertretern der Zertifizierungsstelle in Anwesenheit von Verantwortlichen des Unternehmens geprüft.

Für wen gilt TISAX?

TISAX gilt für alle Zulieferer und Dienstleister der Automobilindustrie. Also vom großen Industrieuntenrehmen, welches Teile für ein Fahrzeug anfertigt, bis zum kleinen Dienstleister, der Fotos für Marketingzwecke liefert. Der Standard ist auf alle Unternehmensgrößen anwendbar. Ein gewisser Spielraum bei der Prüfung ermöglicht es, dass die Auditierung entsprechend der Unternehmensstrukturen ausgerichtet wird. Während beispielsweise in einem Unternehmen mit 1.000 Mitarbeitern Standards explizit geprüft und Schulungen der Mitarbeiter Awareness schaffen müssen, kennt der Besitzer eines Unternehmens mit zwei Angestellten seine Mitarbeiter und deren Status quo des Datenschutzes genau.

Ablauf TISAX-Zertifizierung

Die Kontaktaufnahme mit den Verantwortlichen beim ENX gibt Auskunft über aktuelle Schritte. Kontakt nehmen Sie einfach telefonisch oder über das Internet auf Enx.com

  1. Registrierung

    Die Registrierung für TISAX ist der erste Schritt. Im Prozess werden Teilnehmer zwischen aktivem Teilnehmer und passiven Teilnehmer unterschieden. Passive Teilnehmer fordern zur Prüfung auf und erhalten das Prüfergebnis. Aktive Teilnehmer werden durch die Aufforderung in Nachweispflicht gesetzt, werden TISAX-geprüft und teilen das Prüfergebnis den anderen Teilnehmern mit. Die Registrierung ist kostenpflichtig.

    Vor der Anmeldung empfiehlt es sich, bereits wichtige Informationen zusammenzutragen. Weitere Information zur Vorbereitung und eine Schritt-für-Schritt-Anleitung durch die Registrierung erhalten Sie auf der offiziellen Seite der ENX (externes Angebot).

    Assessment-Scope für TISAX-Prüfverfahren

    Mit den TISAX-Scopes definieren Sie die Teile des Unternehmens, welche für eine Prüfung relevant sind. Dies versteht sich als Briefing für die Prüfung. Die Scopes erfüllen im Verlauf der Prüfung zwei Aufgaben:

    • Die Prüf-Scopes ermöglichen eine genaue Preiskalkulation für die TISAX-Prüfung.
    • Ihr Prüfergebnis ist für Partner nur relevant, wenn die Scopes alle notwendigen Teile des Unternehmens umfassen – nämlich die, welche für den Austausch mit dem Partner wichtig sind.

    Die Art des Scops wird zudem in Standard-Scope und Custom-Scope unterschieden und hat Auswirkungen auf die Intensität und den Umfang des Assessments durch die Prüfer. Die Definition und Hilfe für das Festlegen des Scopes finden Sie im TISAX-Handbuch hier (externes Angebot).

  2. Prüfung

    In dem zweiten Schritt werden Sie durch die Prüfung geführt. Dafür finden Sie Hinweise, wie Sie die Selbsteinschätzung nach ISA anwenden, um zu determinieren, ob Sie für die TISAX-Prüfung vorbereitet sind. Daraufhin erhalten Sie Hinweise für die Auswahl von Prüfdienstleistern, finden Hinweise auf den Weg durch den Prüfprozess und erhalten eine Erklärung des Prozessergebnisses und TISAX-Labels.

    Ausführliche Informationen finden Sie hier (externes Angebot).

  3. Austausch

    Im finalen Schritt erhalten Sie Erklärungen dazu, wie Sie die auf dem ENX-Portal bereitgestellten Ergebnisse den passiven Teilnehmern zur Verfügung stellen. Ziel ist es, dass ein bestimmter Reifegrad erreicht wird.

    Ausführliche Informationen finden Sie hier (externes Angebot).

TISAX Anforderungskatalog / Kriterienkatalog

Häufig werden die Bezeichnungen Anforderungskatalog und Kriterienkatalog vermischt. Dabei gibt es verschiedene Anforderungen zu den einzelnen Stufen im Kriterienkatalog, die in Soll, Muss und Zusatzanforderungen nach hohem und sehr hohem Schutzbedarf kategorisiert werden.

Kriterienkatalog

Informationssicherheit (Information Security)

  • Informationen mit hohem Schutzbedarf
  • Informationen mit sehr hohem Schutzbedarf

Prototypenschutz (Prototype Protection)

  • Schutz von Prototypen-Bauteilen und -Komponenten
  • Schutz von Prototypenfahrzeugen
  • Umgang mit Erprobungsfahrzeugen
  • Schutz von Prototypen während Veranstaltungen und Film- und Fotoshootings

Datenschutz (Data Protection)

  • Datenschutz Artikel 28 („Auftragsverarbeiter“) der Datenschutz-Grundverordnung (DSGVO)
  • Datenschutz bei besonderen Kategorien personenbezogener Daten gemäß Artikel 28 mit besonderen Kategorien personenbezogener Daten wie in Artikel 9 der Datenschutz-Grundverordnung (DSGVO) angegeben

Quelle: TISAX Handbuch

Die TISAX-Reifegrade

Es gibt verschiedene TISAX-Reifegrade, die auf die Anforderungen des Fragenkatalogs Verwendung finden und hier vereinfacht dargestellt werden sollen. Achten Sie als aktive Teilnehmer auf den Wortlaut des TISAX-Handbuchs. Wichtig für den Erfolg der TISAX-Zertifizierung ist die Selbsteinschätzung anhand des “ISA-Spinnennetzes” auf Frage-Ebene.

Als Indikator gelten die Fragen des ISA-Spinnennetzdiagrammes aus Excel-Tabellenblatt Ergebnisse (ISA5): Während die Reifegrade 0, 1 und 2 als ungenügend eingestuft werden, dürfen Sie allgemein davon ausgehen, dass Sie für eine Prüfung bereits sind, wenn alle Antworten wahrheitsgemäß und realistisch mindestens den Reifegrad 3 erreicht haben.

0 – Unvollständig

Es wird keinem Prozess gefolgt, Prozess ist ungeeignet, um Ziel zu erreichen oder es gibt keinen Prozess.

1 – Durchgeführt

Der Prozess ist nicht ausreichend dokumentiert. Es existieren allerdings Indizien der Zielführung.

2 – Gesteuert

Der befolgte Prozess ist zielführend. Dokumentation und Durchführungsnachweise sind vorhanden.

3 – Etabliert

Ein Standardprozess ist in das Gesamtsystem integriert. Ihm wird gefolgt, Abhängigkeiten zu anderen Prozessen dokumentiert, Schnittstellen werden geschaffen. Dem Prozess wurde nachweislich nachhaltig und aktiv gefolgt.

4 – Vorhersagbar

Etablierten Prozess wird gefolgt, dieser wird in Wirksamkeit und durch Erheben der Kennzahlen überwacht. Grenzwerte zur Wirksamkeit und Anpassung wurden definiert.

5 – Optimierend

Einem vorhersagbaren Prozess wird gefolgt. Wesentliches Ziel dieses ist die kontinuierliche Optimierung, diese wird von “dedizierten Ressourcen” vorangetrieben.

TISAX-Zertifizierung Kosten

Die Kosten für die TISAX-Zertifizierung ergeben sich ab der Registrierung. Kosten entstehen durch die Registrierung, Prüfung der Prüfdienstleister und Nutzung der Plattform. Sie variieren aufgrund verschiedener Faktoren wie der Anzahl der Scopes und Standorte. Aktuelle TISAX-Preise können Sie einer Preisliste im Downloadbereich des ENX entnehmen.

Aktuelle TISAX Kosten: Der Preis pro Standort für 1 Assessment-Scope beträgt 405,00 EUR.

Nachlässe beziehen sich auf die Anzahl der Standorte mit 5-9 Standorten mit 10 Prozent Nachlass pro Standort und bei mehr als 10 Standorten mit 20 Prozent Nachlass pro Standort.

In einem weiteren Preismodell wird eine Pauschale von 5.000,00 EUR pro Jahr für eine beliebige Anzahl von Scopes und Standorten berechnet.

Zusätzliche Kosten für Assessments können entstehen. Fragen Sie die zertifizierten Prüfdienstleister. Beachten Sie die aktuelle TISAX-Preisliste für weitere Hinweise und nehmen Sie vor der Registrierung Kontakt mit einem ENX-Mitarbeiter auf.

TISAX und IAM

Die Orchestrierung von Identitäten und deren Zugriff im Netzwerk spielt für verschiedene Scopes eine entscheidende Rolle und kann die TISAX-Prüfung positiv beeinflussen. Mit dem Fokus auf klar definierte, gesteuerte Prozesse, welche nur begrenzte und nachvollziehbare Ausnahmeregelungen ermöglichen, sind die Prüflevel bei richtiger Implementierung des IAM-Systems zufriedenstellend erfüllt.

Identity and Access-Management bzw. Zugriffs- und Berechtigungsmanagement schaffen eine Basis als digitales Ökosystem, auf welchem die Sicherheit für Daten, IT und Infrastruktur im gesamten Unternehmen erhöht wird.

Die Vorteile von OGiTiX IAM für TISAX und Ihr Unternehmen:

  • Übersichtliche Berechtigungen
  • Azubi-Effekt / Berechtigungs-Ansammlung wird verhindert
  • Risiken wie Manipulation und Fremdübernahme werden reduziert
  • Audit für TISAX-Assessment durch Re-Certification Management
  • Erhöht Daten- und IT-Sicherheit im Unternehmen
  • Reduziert Arbeitslast für IT-Helpdesk
  • ROI schon im ersten Jahr (abhängig Unternehmensgröße)
  • Verbessert Qualität der Datenhaushalte

Darüber hinaus bietet das Rezertifizerungs Management die Möglichkeit des Audits, welche beim TISAX-Assessment als Nachweis für den Status quo der Berechtigungen genutzt werden kann.

In einem unverbindlichen Gespräch informieren wir Sie, wie IAM von OGiTiX Sie für die erfolgreiche TISAX-Prüfungen unterstützen kann.

IAM von OGiTiX und TISAX

Verschiedene Funktionen des Identity and Access Managements von OGiTiX unterstützen Sie bei der Umsetzung der Anforderungen und ermöglichen Wirtschaftlichkeit und ein übersichtliches TISAX-Assessment.

IAM Funktionen für Datenschutz und IT-Sicherheit

  • Umsetzung des Need-to-Know und Least-Privilege-Prinzips
  • Unverzügliche Deaktivierung und Löschung von Accounts bei Ausscheiden aus Einrichtung
  • Reduktion administrativer Berechtigungen
  • Reduktion des Sicherheitsrisikos durch Angestellte

IAM-Lösungen mit OGiTiX und unimate

Identity Lifecycle Management

Im Fall von Veränderungen im Unternehmen müssen Rechte entsprechend angepasst werden. Joiner-, Leaver- und Mover-Vorgänge werden durch das Identity Lifecycle Management von OGiTiX einheitlich orchestriert – automatisch und ohne das Risiko, Berechtigungen zu übersehen.

OGiTiX HR-basiertes Lifecycle Management ermöglicht die Verwaltung eines effizienten, sicheren und reibungslosen Mitarbeiter Lifecycles im Human-Resources-System wie SAP HCM, Sage, Workday und anderen.

Rollenbasiertes Berechtigungsmanagement

Role Based Access Control (RBAC) weist Berechtigungen anhand von Rollen zu, die durch die Mitarbeiter im Unternehmen erfüllt werden. Dadurch werden wichtige Voraussetzungen für Sicherheitsmechanismen wie die Segregation of Duty (SoD), das Lifecycle-Management und das 4-Augen-Prinzip geschaffen.

Self-Service & Approval Management / Password Management

Die IT entlasten und dabei durch Archivierbarkeit Nachvollziehbarkeit erreichen: Self-Services ermöglichen die Bestellung von Rechten wie in einem Webshop. Die Provisionierung der Zugriffsrechte erfolgt dann einfach durch Administration zuständige Entscheider in den Abteilungen.

Passwort-Tickets reduzieren, die Sicherheit mit 2-Faktor-Authentifizierung erhöhen: Das Passwort Management funktioniert für viele Anwendungen wie SAP, Dedalus ORBIS und kann mit zusätzlichen Schnittstellen auf individuelle und eigene Programme erweitert werden.

Rezertifizierung Management

Mit dem Re-Certification Management ermitteln Sie den Status quo der Vergaberechte, erhöhen die Sicherheit und erfüllen Compliance-Vorgaben. Das schafft Klarheit beim TISAX-Assessment und erhöht die Sicherheit dadurch, dass Unregelmäßigkeiten automatisch erkannt und eliminiert werden können.

Self-Services für Notfallzugriffe

Mit dem unimate Admin-on-Demand Manager schaffen Sie Self-Services für Administrationsrechte oder Notallzugriffe. Permanente Adminrechte werden dabei als Sicherheitsrisiko überwunden und dennoch die Sicherheit durch Option des Einschreitens durch Admins gewahrt.

TISAX-Prüfung erfolgreich bestehen – IAM von OGiTiX unterstützt Sie auf dem Weg

Mit Identity and Access Management von OGiTiX erfüllen Sie viele Voraussetzungen der TISAX-Prüfung, weisen den Status quo der Rechtevergabe für das Assessment nach und erhalten weitere Vorteile für die Sicherheit im Unternehmen.

Das offene System bietet einen hohen Sicherheitsstandard, der sich auch in anderen Branchenspezifischen Sicherheitsstandards auf hohem Niveau bewähren konnte. Die Investition in IAM von OGiTiX zahlt sich für die Verbesserung der Sicherheit, Erfüllung von Compliance-Vorgaben und durch die Reduzierung der Arbeitslast aus.

Gern beraten wir Sie unverbindlich zu den Vorteilen und zeigen Ihnen Möglichkeiten beim TISAX-Assessment und wie OGiTiX IAM in Ihr Unternehmen einzahlt.