TISAX®: Die Revolution für Ihr Information Security Management System - Informationssicherheit in der Automobilindustrie

14. Dezember 2023

TISAX®: Die Revolution für Ihr Information Security Management System - Informationssicherheit in der Automobilindustrie

Sie kennen das sicherlich: viele Prozesse laufen bereits heute weitgehend digital. Der für den Geschäftsbetrieb notwendige Datenaustausch erfolgt national und international über diverse Kanäle wie klassische E-Mail, Portale, Sharepoints, Cloudlösungen und vieles mehr. Dass alles reibungslos funktioniert, hängt maßgeblich davon ab, dass die richtigen Informationen zur richtigen Zeit an der richtigen Stelle verfügbar sind. Neben der eigentlichen Prozess-Sicherheit spielt dabei natürlich auch die Informationssicherheit eine herausragende Rolle, sowohl in Bezug auf die Datensicherheit an sich als auch hinsichtlich notwendiger Vorkehrungen gegen Angriffe, deren Ziel nicht das Entwenden oder unerlaubte Benutzen von Daten ist, sondern das nachhaltige Stören der Kommunikationssysteme. Hier kommen Informationssicherheitsmanagementsysteme ins Spiel, die dafür Sorge tragen, dass Informationen in der geforderten Art und Weise ohne Beeinträchtigung - wie bspw. einem Cyberangriff - beim Adressaten ankommen. Mit anderen Worten: Informationssicherheit bedeutet mehr als nur eine Absicherung der technischen Infrastruktur. Sie steht für die Sicherheit des gesamten Informationsflusses unter Berücksichtigung aller internen und externen Risiken.

Auf die Automobilindustrie bezogen bedeuten Vernetzung und Globalisierung im oben beschriebenen Sinne, dass Produktdaten, Konstruktionszeichnungen und Softwarearchitekturen notwendigerweise zwischen allen Beteiligten der Wertschöpfungskette ausgetauscht werden müssen. Um Risiken in der digitalen Welt, wie Datendiebstahl, Hackerangriffe u. ä. vorzubeugen bzw. zu begegnen, müssen geeignete Schutzmaßnahmen etabliert werden. Die Digitalisierung von Geschäftsprozessen über Unternehmensgrenzen hinweg macht ein vergleichbares Informationssicherheitsniveau aller Beteiligten notwendig, das über die gesamte Wertschöpfungskette zuverlässig funktionieren muss.

Hier kommt TISAX^® als Prüf- und Austauschmechanismus der Automobilindustrie zum Nachweis der speziell geforderten Informationssicherheit im Unternehmen ins Spiel. TISAX^® steht für Trusted Information Security Assessment Exchange und wurde vom VDA (Verband der Automobilindustrie) in Zusammenarbeit mit der ENX (European Network Exchange Association) Anfang 2017 etabliert.

Was ist TISAX^®? Die Revolution für Ihr Information Security Management System in der Automobilindustrie!

In der Automobilindustrie gehört der Austausch von Produkt- und Konstruktionsdaten auf digitalem Weg zwischen beteiligten Herstellern und Zulieferern zum alltäglichem Usus. Um dabei Geschäftsgeheimnisse, Entwicklungsvorsprünge und Technologieneuerungen entsprechend zu wahren, spielt das Management der Informationssicherheit sämtlicher Prozessbeteiligter eine herausragende Rolle. Bereits seit 2017 kommt hier der von der ENX Association und dem Verband der Automobilindustrie (VDA) entwickelte sowie etablierte Standard Trusted Information Security Assessment Exchange (TISAX^®) zum Einsatz. Er widmet sich der sicheren Verarbeitung von Informationen von Geschäftspartnern, dem Schutz von Prototypen und dem Datenschutz gemäß Datenschutz-Grundverordnung (DSGVO) für mögliche Geschäfte zwischen Autoherstellern und ihren Dienstleistern oder Lieferanten. TISAX^® ist ein Branchenstandard der Automobilindustrie für ein Information Security Management System (ISMS) - basierend auf der Norm ISO/IEC 27001.

Es gilt sich in diesem Zusammenhang bewusst zu machen: Obwohl alle Anforderungen aus dem Bereich Automotive entstammen, richten sie sich an sämtliche Institutionen aus der Wertschöpfungskette der Automobilindustrie. Dazu zählen neben den klassischen Unternehmen, wie beispielsweise Herstellern von Automobilteilen auch solche Firmen, die für Automobilkonzerne arbeiten oder von diesen beauftragt wurden. In Frage kommen hier bspw. Messebauer, Medienagenturen oder auch Druckereien.

Welche Vorteile bietet TISAX^®?

Eine Zertifizierung nach TISAX^® ist nicht vorgeschrieben, bietet jedoch enorme Vorteile im Wettbewerb. Sie stellt oftmals eine Voraussetzung für die Aufnahme von Geschäftsbeziehungen dar. Um Verträge zu gewinnen und Lieferverhältnisse aufrecht zu erhalten, ist TISAX^® für Zulieferer also unumgänglich. Für Lieferanten stellt ein TISAX^®-Label quasi die Eintrittskarte in die Automobilindustrie dar und ist verpflichtend für eine Zusammenarbeit mit OEMs. Eine eigens entwickelte Online-Plattform dient dem unternehmensübergreifenden Austausch der Prüfergebnisse in der Informationssicherheit. Mit der Freischaltung der Ergebnisse auf der Plattform können Unternehmen ihren direkten Geschäftspartnern oder allen teilnehmenden Unternehmen mitteilen, dass ihre Informationssicherheit TISAX^®-konform ist.

Neben der Attraktivität für potentielle Kunden und Partner weist TISAX^® noch weitere Vorteile auf:

Informationssicherheit auf verschiedenen Ebenen:
Ein TISAX^®-Label gibt es auf drei verschiedenen Levels. Mit Level 1 erfüllen Sie die normalen Anforderungen an Informationssicherheit. Level 3 hingegen legt die höchsten Standards an. So kann das Assessment individuell an Ihren Bedarfen ausgerichtet werden.
Einheitlichkeit und Transparenz:
Durch ein TISAX^®-Label ist Dritten direkt ersichtlich, dass Vorgaben zur Informationssicherheit eingehalten werden. Unternehmen müssen nicht verschiedenen Anforderungen und Prozessen ihrer Geschäftspartner für die eigene Datensicherheit genügen. TISAX^® schafft Einheitlichkeit und Transparenz.
Erhöhte Sichtbarkeit und Wettbewerbsvorteil:
Unternehmen, die TISAX^®-zertifiziert sind, profitieren von einer größeren Reichweite auf dem Markt. Die Plattform erleichtert die Auswahl von Lieferanten und bietet zertifizierten Unternehmen einen Wettbewerbsvorteil.
Prävention vor Industriespionage:
Der TISAX^®-Standard trägt dazu bei, Industriespionage vorzubeugen, indem er strenge Kontrollen und Sicherheitsmaßnahmen für den Austausch sensibler Informationen etabliert.
Zusätzliche Zertifizierung nach ISO 27001:
TISAX® erleichtert Unternehmen die unkomplizierte Erlangung einer zusätzlichen Zertifizierung nach ISO 27001.

Der Ablauf eines TISAX^®-Assessments

Unternehmen, die am TISAX^® Verfahren teilnehmen möchten, müssen sich über das ENX Online-Portal anmelden und ihre angestrebten Prüfziele angeben. Erst nach dieser Anmeldung können sie einen akkreditierten Prüfdienstleister auswählen und mit der Überprüfung – dem Assessment – beauftragen.

Der Zertifizierungsprozess läuft im Einzelnen wie folgt ab:

Identifikation der Anforderungen Ihres Partners
Basierend auf der Sensibilität der Informationen, die Sie mit Ihren Kunden austauschen, entscheiden Sie, welche TISAX^®-Anforderungen erfüllt werden müssen.
Anmeldung bzw. Registrierung bei ENX
Alle Informationen zur Registrierung auf der ENX-Plattform sind im TISAX^®-Teilnehmerhandbuch beschrieben. Nach der Registrierung erhalten Sie eine sog. Scope-ID.
Auswahl der Prüfdienstleister
Verschiedene Firmen bieten eine Prüfung nach TISAX^® an. Welchen Dienstleister Sie für das Assessment Ihres ISMS auswählen, liegt bei Ihnen.
Durchführung des TISAX^® -Assessments
Zunächst führen Sie eine Selbsteinschätzung anhand des VDA-ISA-Fragenkatalogs durch. Den ausgefüllten Katalog und Dokumentationen des etablierten ISMS stellen Sie dann dem Auditor Ihres Prüfdienstleisters zur Verfügung (Level 2 und 3). Dieser überprüft Ihre Angaben dann je nach Assessment-Level nach Aktenlage oder vor Ort.
Erhalt Ihres Labels
Nach dem erfolgreichen Audit sendet der Auditor die Ergebnisse an ENX. Von dort erhalten Sie Ihr TISAX^®-Label und das Ergebnis wird auf der Austauschplattform veröffentlicht. So sind Sie für potentielle neue Kunden direkt auf der ENX-Plattform zu finden.

Ihr Label ist 3 Jahre gültig und wird jährlich durch ein Audit verifiziert.

Basis und Grundlage für das TISAX^®-Assessment zur Bestimmung des Informationssicherheitsniveaus (Information Security Assessment – kurz ISA) ist der VDA ISA Katalog. Er beschreibt die Anforderungen der Automobilbranche an die Informationssicherheit und enthält branchenweit abgestimmte Forderungen zum Schutz von Informationen und Daten im Unternehmen.

Neuerungen in ISA 6 und deren Bedeutung

Regelmäßig wird der VDA ISA Katalog für TISAX^® überarbeitet und an aktuelle Gegebenheiten angepasst. So steht auch im neuen Jahr zum Stichtag 1. April 2024 die Umstellung von ISA 5 auf ISA 6 an. Prüfungen, die ab dem 1. April 2024 beauftragt werden, erfolgen gemäß ISA Version 6. Die Aktualisierung des Standards trägt dazu bei, die Cybersicherheit in der Automobilindustrie kontinuierlich zu verbessern und sich den aktuellen Herausforderungen anzupassen. Mit den Aktualisierungen reagiert die ISA-Arbeitsgruppe v.a. auf die anhaltend hohe Zahl von Ransomware-Angriffen, die es zunehmend schwerer machen, die permanente Verfügbarkeit von Informationen und IT-Assets zu gewährleisten, welche wiederum für die Just-in-Time-Prozesse unabdingbar ist. Die Arbeitsgruppe hat sich zum einen damit befasst, wie Angriffe effektiv verhindert und Folgen eines Angriffs eingedämmt werden können. Dazu wurden folgende Punkte in den Fokus gerückt:

Resilienz:
Ein neues Control soll dabei helfen, Ransomeware-Angriffe effektiv zu verhindern. Unter anderem beziehen sich daher alle relevanten Kontrollfragen nun auf ISA/IEC 62443-2-1 (“Security for industrial automation and control systems: Security program requirements for IACS asset owners”).
Erkennung:
In der Realität sind Sicherheitsvorfälle niemals vollständig zu verhindern. Damit im Falle eines Angriffes schnell reagieren werden kann, ist die frühzeitige Erkennung elementar. Das neue Control regelt Meldewege und schafft Klarheit, was genau gemeldet werden muss.
Reaktion:
Eine schnelle, geordnete und professionelle Reaktion auf einen Vorfall ist maßgebend, damit der Schaden möglichst gering bleibt. Hier zeigt ein neues Control auf, wie Sie Muster komplexer Angriffe erkennen können, es regelt die Redundanz und Unabhängigkeit von Systemen und den Rückfall auf den manuellen Betrieb, sollte dies notwendig werden. Wenn die geschäftlichen Abläufe besonders stark gestört werden, entsteht eine Krisensituation. Ein weiteres Control stellt sicher, dass Sie auf eine solche Krise vorbereitet sind. Auch die Kommunikation an betroffene Kunden und Lieferanten sind geregelt.
Wiederherstellung:
Auch bei weniger dramatischen Sicherheitsvorfällen muss der Normalbetrieb wiederhergestellt werden. Das dazugehörige neue Control soll Sie darauf bestmöglich vorbereiten.

In Summe wurden sechs neue Kontrollfragen und neue Anforderungen zu bereits bestehenden Fragen in den ISA 6 integriert. Dafür sind zwei Kontrollfragen aus ISA 5 weggefallen, da sie obsolet geworden sind. Es handelt sich um das Incident-Management (1.6.1) und Krisen (3.1.2).

Die Einführung von ISA 6 unterstreicht das Bestreben von TISAX^®, nicht nur einen Präventionsansatz zu verfolgen, sondern auch die Widerstandsfähigkeit der Automobilindustrie gegenüber Sicherheitsbedrohungen zu erhöhen. So werden stets höchste Informationssicherheitsstandards gewährleistet.

Wenn Sie an Informationssicherheit im Automotive-Bereich und ähnlichen Themen interessiert sind, lesen Sie gerne auch unsere Blogeinträge zu folgenden Themen:

Bleiben Sie wissbegierig!

^{Hinweis aufgrund markenrechtlicher Gegebenheiten: TISAX® ist eine eingetragene Unionsmarke der ENX Association. Die TÜV Akademie GmbH steht in keiner geschäftlichen Beziehung zu ENX. Mit der Nennung der Marke TISAX® ist keine Aussage des Markeninhabers zur Geeignetheit der hier beworbenen Leistungen verbunden.}