TISAX® Assessment zur Vorbereitung der Zertifizierung

Februar 12, 2025 / Von
TISAX® Assessment

Ein TISAX® Assessment ist ein wichtiger Schritt für ein Unternehmen zur Vorbereitung der Zertifizierung. Unternehmen aus der Automobilindustrie müssen sicherstellen, dass ihre IT-Systeme und Prozesse den strengen Informationssicherheitsstandards entsprechen. 

Mit den von uns durchgeführten TISAX® Assessments können Schwachstellen identifiziert und behoben werden, um die Sicherheit der Daten und Prozesse zu gewährleisten. In diesem Artikel teilen wir unsere Erfahrung aus mehr als 50 Kundenprojekten.

Warum bietet ein TISAX® Label mehr Informationssicherheit in der Automobilindustrie?

Das TISAX® (Trusted Information Security Assessment Exchange) Label hat in der Automobilindustrie wesentliche Vorteile und trägt zur Stärkung der Informationssicherheit bei. 

TISAX® ist ein standardisiertes Zertifizierungsverfahren, das auf die spezifischen Anforderungen der Automobilbranche zugeschnitten ist. Wir erläutern, warum ein TISAX® Label mehr Informationssicherheit bietet:

1. Standardisierung und Einheitlichkeit erreichen

Einheitliche Anforderungen an die Automotive Branche: TISAX® basiert auf dem VDA ISA-Katalog, der auf ISO 27001 aufbaut und speziell für die Automobilindustrie angepasst wurde. Diese Standardisierung sorgt dafür, dass alle teilnehmenden Unternehmen dieselben Anforderungen und Best Practices für Informationssicherheit erfüllen.

Bessere Vergleichbarkeit mit einheitlichen Kriterien: Durch einheitlichen Kriterien können Unternehmen und ihre Kunden die Informationssicherheitsstandards einfacher vergleichen. 

Das erleichtert die Bewertung und Auswahl von Partnern, Zulieferern, Lieferanten und Dienstleister, die denselben hohen Sicherheitsanforderungen der Norm genügen sollen. Geprüfte Unternehmen genießen mehr Ansehen beim Thema Informationssicherheit.

2. Erhöhte Transparenz und Vertrauen

Austauschbarkeit der Ergebnisse: TISAX® erlaubt es Unternehmen, ihre Zertifizierungsergebnisse über das ENX Portal mit Geschäftspartnern zu teilen. Diese Transparenz schafft Vertrauen, da Partner den Grad der Informationssicherheit nachvollziehen und bewerten können.

Vertrauensbildung: Das TISAX® Label signalisiert potenziellen Geschäftspartnern, dass ein Unternehmen seine Informationssicherheitsmaßnahmen von unabhängigen, akkreditierten Prüfdienstleistern validieren lassen hat. Das führt zu einem erhöhten Vertrauen in die Sicherheitskompetenz des Unternehmens.

3. Risikominimierung und Schutz sensibler Informatione

Sicherheitsbewertungen: TISAX® fokussiert sich auf die Bewertung und Verbesserung der Sicherheitskontrollen, die speziell für den Schutz sensibler Informationen in der Automobilindustrie notwendig sind. Dazu gehören beispielsweise der Prototypschutz, vertrauliche technische Daten und produktionsrelevante Informationen.

Schutzbedarf: Durch eine strukturierte Risikoanalyse und Schutzbedarfsfeststellung gemäß TISAX® können Unternehmen gezielt Maßnahmen ergreifen, um Risiken zu minimieren und die Integrität, Vertraulichkeit und Verfügbarkeit ihrer Informationen zu gewährleisten.

4. Erhöhung der Wettbewerbsfähigkeit

Marktvorteile: Unternehmen, die ein TISAX® Label besitzen, demonstrieren ihren Geschäftspartnern ihren hohen Grad an Informationssicherheit. Das kann als Wettbewerbsvorteil genutzt werden, um die Anforderungen Ihrer Kunden zu erfüllen, Aufträge zu gewinnen und langfristige Geschäftsbeziehungen zu stärken.

Anforderungserfüllung: Viele Automobilhersteller und -zulieferer setzen mittlerweile die TISAX® Zertifizierung als Voraussetzung für eine Zusammenarbeit voraus. Ein TISAX® Label kann daher entscheidend sein, um weiterhin Zugang zu wichtigen Märkten und Geschäftsmöglichkeiten zu erhalten.

5. Kontinuierliche Verbesserung durch interne Assessments

Regelmäßige Audits: Die Notwendigkeit regelmäßiger Wiederholungsaudits stellt sicher, dass die Informationssicherheitsmaßnahmen nicht nur initial umgesetzt, sondern kontinuierlich verbessert und an neue Bedrohungen angepasst werden.

Feedback und Optimierung: Der TISAX®-Zertifizierungsprozess bietet wertvolle Rückmeldungen durch externe Berater und Auditoren. Unternehmen können diese nutzen, um ihre Informationssicherheitsstrategien kontinuierlich zu optimieren.

6. Effiziente Einhaltung von Anforderungen

Kosteneffizienz: Die Standardisierung der Anforderungen und Prozesse hilft Unternehmen, Kosten zu sparen, die sonst durch unterschiedliche Sicherheitsanforderungen ihrer Kunden entstehen können. Die Nutzung eines zentralen Rahmens für Informationssicherheit reduziert redundante Sicherheitsprüfungen und die damit verbundenen Kosten.

Zeit-Einsparung: Durch die klar definierten Prozesse und Anforderungen können Unternehmen ihre internen Vorbereitungen und Audits effizienter gestalten. Das führt zu einer schnelleren und reibungsloseren Zertifizierung. Mit unserer jahrelangen Erfahrung unterstützen wir sie gerne.

Wie laufen TISAX® Assessments in der Automobilbranche genau ab?

TISAX® ist ein spezielles Zertifizierungsverfahren für die Automobilindustrie, das darauf abzielt, einheitliche Standards für Informationssicherheit umzusetzen. TISAX® steht für einen standardisierten Ansatz zur Bewertung der Informationssicherheit innerhalb der Lieferkette. Hierbei werden die Anforderungen des VDA ISA (Verband der Automobilindustrie Information Security Assessment) in Übereinstimmung mit der ISO 27001 Norm berücksichtigt.

Ablauf eines TISAX® Assessments

1. Vorbereitung und Planung

Selbstbewertung: Unternehmen beginnen mit einer internen Bewertung ihrer bestehenden Informationssicherheitsmaßnahmen anhand des VDA ISA-Katalogs. Diese Selbstbewertung hilft, Schwachstellen zu identifizieren und notwendige Verbesserungen festzulegen.

Gap-Analyse: Identifizierung von Abweichungen zwischen den bestehenden Maßnahmen und den TISAX® Anforderungen gemäß dem TISAX® Anforderungskatalog. Die Gap-Analyse hilft, spezifische Schwachstellen und Bereiche zu erkennen, die verbessert werden müssen.

Definition des Prüfumfangs: Der Prüfumfang (Scope) wird festgelegt, indem festgelegt wird, welche Standorte, Geschäftsprozesse und IT-Systeme einbezogen werden. Dabei werden die Schutzbedarfsanforderungen der Automobilkunden berücksichtigt.

2. Auswahl des Prüfdienstleisters

Prüfdienstleister: Unternehmen wählen einen akkreditierten Prüfdienstleister, der für die Durchführung des TISAX® Audit qualifiziert ist. Diese Dienstleister sind von der ENX Association zugelassen und verfügen über spezialisierte Auditoren.

3. Durchführung des Zertifizierungsaudits

Audit vor Ort: Ein TISAX®-Audit nach AL3 besteht aus einer detaillierten Überprüfung der dokumentierten Prozesse und der Umsetzung der Informationssicherheitsmaßnahmen vor Ort. Auditoren führen Interviews, prüfen Dokumente und bewerten die physische und technische Sicherheit.

Bewertung der Schutzmaßnahmen: Die Auditoren bewerten die implementierten Sicherheitsmaßnahmen und überprüfen, ob diese den Anforderungen des definierten Prüfumfangs entsprechen.

4. Berichterstattung und Maßnahmenv

Auditbericht: Nach Abschluss des Audits erstellen die Auditoren einen umfassenden Bericht, der Stärken und Schwächen der Informationssicherheitsmaßnahmen aufzeigt. Der Bericht enthält auch Empfehlungen zur Verbesserung.

CAP – Corrective Action Plan: Unternehmen erstellen auf Basis des Berichts einen Maßnahmenplan, um identifizierte Schwachstellen zu beheben und die Informationssicherheit zu stärken.

5. Erhalt der TISAX®-Label

Zertifizierung: Nach erfolgreicher Umsetzung der notwendigen Maßnahmen und Prüfung durch die Auditoren erhalten Unternehmen das TISAX®-Label. Dieses Label dokumentiert die Erfüllung der Informationssicherheitsanforderungen und wird im TISAX®-Portal veröffentlicht, wo es von potenziellen Geschäftspartnern eingesehen werden kann.

6. Regelmäßige Überprüfungen

Wiederholungsaudits: TISAX®-Zertifizierungen sind zeitlich begrenzt und erfordern alle 3 Jahre ein Wiederholungsaudit. Diese Audits stellen sicher, dass die Informationssicherheitsmaßnahmen kontinuierlich verbessert und den aktuellen Bedrohungslagen angepasst werden. Zur Vorbereitung sind interne Audits mit unabhängiger Begleitung eine gute Wahl.

7. Instandhaltung eines ISMS

Die Instandhaltung eines Informationssicherheits-Managementsystems (ISMS) ist ein kontinuierlicher Prozess, der eine Vielzahl von Aktivitäten umfasst.

Zu den wichtigsten Maßnahmen zählen jährliche Schulungen, um das Bewusstsein und das Wissen der Mitarbeiter auf dem neuesten Stand zu halten, sowie regelmäßige Dokumenten Reviews und Nachweise der Dokumentation, um die Aktualität und Richtigkeit aller Unterlagen zu gewährleisten. 

Welche TISAX® Assessment Levels gibt es?

Die Information Security Assessment Level, Schutzbedarf und Prüfziele

TISAX® Assessments sind in drei verschiedene Level unterteilt, die den Reifegrad der Implementierung von Informationssicherheitskontrollen widerspiegeln. Jedes Level ist auf den Schutzbedarf und die Kritikalität der Informationen zugeschnitten, die in den Prozessen und Systemen eines Unternehmens verarbeitet werden. 

Diese Level bieten einen klaren Rahmen, um sicherzustellen, dass Sicherheitsmaßnahmen adäquat und zielgerichtet umgesetzt werden.

Assessment-Level 1: Grundlegendes Sicherheitsniveau

Zielgruppe: Unternehmen, die von OEM bisher keine AL2 oder AL3-Anforderung bekommen haben.

  • Charakteristik: Dieses Level umfasst grundlegende Sicherheitsanforderungen und ist für Organisationen gedacht, deren Informationen und Systeme einen niedrigen Schutzbedarf haben. Diese TISAX® Prüfung stellt sicher, dass die Einhaltung des ISMS (Information Security Management System) erfüllt wird. Die Überprüfung findet nicht durch ein externes Auditing Unternehmen statt. Das bedeutet, dass es sich bei dieser Überprüfung nicht um ein Audit handelt und auch kein Label vergeben wird. Das Ergebnis wird daher auch nicht auf der ENX-Plattform gelistet.

  • Anforderungen: Implementierung grundlegender Sicherheitskontrollen, wie zum Beispiel Zugangskontrollen, grundlegende Netzwerksicherheit und Basisschulungen zur Informationssicherheit.

  • Prüfungsschwerpunkte: Die Prüfungsschwerpunkte entsprechen denen von AL2 und werden dort erläutert.
  • Dokumentation: Detaillierte und umfassende Dokumentation aller Sicherheitsmaßnahmen, -prozesse und -verfahren, einschließlich detaillierter Berichte über Sicherheitsereignisse und -reaktionen.

Nutzen: Diese Anforderungen bieten einen Einstiegspunkt für kleinere Unternehmen oder solche, die mit Informationen geringerer Kritikalität arbeiten und helfen, grundlegende Sicherheitsmaßnahmen zu etablieren. 

Assessment-Level 2: Erhöhtes Sicherheitsniveau

Zielgruppe: Unternehmen, die vertrauliche oder sensible Informationen verarbeiten.

  • Charakteristik: Dieses Level ist für Organisationen vorgesehen, die Informationen mit mittlerem Schutzbedarf verwalten, wie vertrauliche Geschäftsdaten oder Kundeninformationen. Ein AL2 läuft in der Regel Remote ab. Der ausgefüllte VDA ISA Fragebogen wird zusammen mit einer kompletten ISMS-Dokumentation an den ausgewählten Auditor geschickt.

  • Anforderungen: Erweiterte Sicherheitsmaßnahmen, die über die grundlegenden Kontrollen hinausgehen, um den Schutz sensibler Informationen zu gewährleisten.

  • Prüfungsschwerpunkte:
    • Physischer Schutz: Sicherstellung eines angemessenen physischen Zugangs zu Einrichtungen durch wirksame Controls und Maßnahmen.
    • Zugriffsmanagement: Einführung und Durchsetzung von Zugangsrichtlinien, um unbefugten Zugriff zu verhindern.
    • Sicherheitsbewusstsein: Basisschulungen und Sensibilisierungsmaßnahmen für Mitarbeiter in Bezug auf Informationssicherheit.
    • Dokumentenmanagement: Einfache Regeln zur Verwaltung und Sicherung von Informationen und Dokumenten.
    • Erweiterte Zugangskontrollen: Implementierung erweiterter Mechanismen zur Überwachung und Kontrolle von Benutzerzugriffen.
    • Netzwerksicherheit: Einsatz von Firewall-Systemen, Intrusion-Detection-Systemen und regelmäßigen Netzwerküberprüfungen im Einklang mit dem ISMS.
    • Sicherheitsrichtlinien: Erstellung detaillierter Sicherheitsrichtlinien und -verfahren, die regelmäßig überprüft und aktualisiert werden.
    • Incident Management: Etablierung von Prozessen zur Identifikation, Meldung und Behandlung von Sicherheitsvorfällen.
    • Verschlüsselung: Nutzung von Verschlüsselungstechnologien zum Schutz vertraulicher Informationen sowohl bei der Übertragung als auch bei der Speicherung.
    • Dokumentation: Umfassende Dokumentation der Sicherheitsprozesse und -kontrollen, einschließlich Protokolle, Richtlinien und Handbücher.

Nutzen: Dieses Level hilft Organisationen, die mit sensiblen Informationen umgehen, ihre Sicherheitsmaßnahmen zu verstärken und Risiken effektiv zu minimieren. 

Assessment-Level 3: Höchstes Sicherheitsniveau

Zielgruppe: Unternehmen, die mit hochsensiblen Informationen arbeiten, wie z.B. Prototypenentwicklung oder sicherheitsrelevante Systeme.

  • Charakteristik: Das höchste Sicherheitsniveau ist für Organisationen erforderlich, die Informationen mit sehr hohem Schutzbedarf verwalten, darunter proprietäre Entwicklungsdaten, geheime Forschungsergebnisse oder sicherheitskritische Systeme. Das Assessment findet immer vor Ort statt.

  • Anforderungen: Strengste Sicherheitsmaßnahmen und Kontrollen, die die höchsten Standards der Informationssicherheit erfüllen.

  • Prüfungsschwerpunkte:
    • Strikte Zugangskontrollen: Implementierung von Mehrfaktor-Authentifizierung, Zugangssperren und strengste Überwachung der Zugangsberechtigungen.
    • Fortschrittliche Netzwerksicherheitslösungen: Einsatz fortschrittlicher Technologien wie Deep Packet Inspection, fortlaufende Netzwerkanalyse und proaktive Bedrohungserkennung.
    • Erweiterte Verschlüsselung: Einsatz fortgeschrittener Verschlüsselungstechniken für Daten im Ruhezustand und bei der Übertragung, einschließlich Verschlüsselungsalgorithmen mit hoher Sicherheit.
    • Sicherheitsüberprüfungen: Regelmäßige, tiefgehende Sicherheitsüberprüfungen und Penetrationstests zur Identifikation und Behebung von Schwachstellen.
    • Proaktive Sicherheitsmaßnahmen: Implementierung von proaktiven Maßnahmen wie Zero-Trust-Sicherheitsmodelle und Echtzeit-Monitoring von Sicherheitsereignissen.
    • Compliance und Audit: Strikte Einhaltung regulatorischer Anforderungen und Durchführung regelmäßiger interner und externer Audits.
  • Dokumentation: Detaillierte und umfassende Dokumentation aller Sicherheitsmaßnahmen, -prozesse und -verfahren, einschließlich detaillierter Berichte über Sicherheitsereignisse und -reaktionen.

Nutzen: Dieses Level stellt sicher, dass die strengsten Sicherheitsanforderungen für Organisationen erfüllt werden, die die höchsten Risiken tragen und die sensibelsten Informationen schützen müssen.

Die Zertifizierung nach TISAX®

Die Zertifizierung nach TISAX® ist ein Verfahren, um die Anforderungen an die Informationssicherheit in Unternehmen zu prüfen. Dabei werden verschiedene Anforderungen an die Informationssicherheit anhand des VDA Information Security Assessment und des TISAX-Anforderungskatalogs überprüft. Dieses Verfahren ermöglicht eine Anerkennung von Prüfergebnissen bei großen Automobilherstellern.

Als erfahrene Berater unterstützen wir Sie schnell und effizient bei einem internen Audit für die Vorbereitung der TISAX® Zertifizierung.

Das Ziel des Audits ist es, eine Bewertung über die Qualität der Durchführung der internationalen Norm ISO zu geben.

Was können Interne Audits für die Vorbereitung auf die Zertifizierung nach TISAX® leisten?

Interne Assessments sind die Grundlage der Vorbereitungsphase und umfassen folgende Schritte:

Selbstbewertung und Gap-Analyse

Selbstbewertung: Unternehmen führen eine interne Überprüfung ihrer aktuellen Informationssicherheitspraktiken und -prozesse durch. Dies erfolgt anhand des VDA ISA-Katalogs, der als Grundlage für die TISAX® Anforderungen dient.

Gap-Analyse: Identifizierung von Abweichungen zwischen den bestehenden Maßnahmen und den TISAX® Anforderungen. Dies hilft, spezifische Schwachstellen und Bereiche zu erkennen, die verbessert werden müssen.

Risikoanalyse und Schutzbedarfsfeststellung

Risikoanalyse: Bewertung der Risiken für die Informationssicherheit innerhalb der Organisation. Dies umfasst die Identifizierung potenzieller Bedrohungen und Schwachstellen sowie die Bewertung ihrer potenziellen Auswirkungen.

Schutzbedarfsfeststellung: Bestimmung des Schutzbedarfs für verschiedene Arten von Informationen und Prozessen, um geeignete Sicherheitsmaßnahmen zu planen und umzusetzen.

Entwicklung eines Maßnahmenplans

Maßnahmenplan: Basierend auf der Gap-Analyse und Risikoanalyse entwickeln Unternehmen einen detaillierten Maßnahmenplan, um die identifizierten Lücken zu schließen. Dies kann organisatorische, technische oder prozessuale Änderungen umfassen.

Umsetzung und Wirksamkeitprüfung der Maßnahmen

Ausführung: Umsetzung der geplanten Maßnahmen und Anpassungen zur Verbesserung der Informationssicherheit.

Testen: Überprüfung und Validierung der neuen Maßnahmen durch interne Audits oder Testszenarien, um sicherzustellen, dass sie effektiv und konform mit den TISAX® Anforderungen sind.

Kostenloses Erstgespräch vereinbaren

Über den Autor

TISAX® Assessment

Can Adiguzel ist der Gründer von 360 Digital Transformation. Er ist TISAX-Berater und ISO 27001 Lead Auditor. Er ist seit mehr als 11 Jahren im IT-Projektmanagement tätig. Seine Leidenschaft ist die Informationssicherheit für den Mittelstand und er hilft dem Mittelstand bei der Bewältigung seiner Herausforderungen im Bereich der Informationssicherheit mit einem praxisnahen Beratungsansatz.