de en
Nexia Ebner Stolz

Branchen

Trusted Information Security Assessment Exchange (TISAX) - Informationssicherheit in der Automobilindustrie

Der „Trus­ted In­for­ma­tion Se­cu­rity As­sess­ment Ex­change” (TI­SAX) ist ein von Au­tomo-bil­her­stel­lern hin­sicht­lich sei­ner Um­set­zung durch die Au­to­mo­bil­zu­lie­fe­rer ein­ge­for­der­ter Bran­chen­stan­dard zur Schaf­fung von In­for­ma­ti­ons­si­cher­heit in der Au­to­mo­bil­in­dus­trie.

Hintergrund

Der „Trus­ted In­for­ma­tion Se­cu­rity As­sess­ment Ex­change” (TI­SAX) ist ein von al­len deut­schen (und teil­weise auch in­ter­na­tio­na­len) Au­to­mo­bil­her­stel­lern nicht nur an­er­kann­ter, son­dern auch hin­sicht­lich sei­ner Um­set­zung, durch die Au­to­mo­bil­zu­lie­fe­rer ein­ge­for­derte Bran­chen­stan­dard, zur Schaf­fung von In­for­ma­ti­ons­si­cher­heit in der Au­to­mo­bil­in­dus­trie. In­halt­lich ba­siert der TI­SAX-Stan­dard auf dem Fra­gen­ka­ta­log zur In­for­ma­ti­ons­si­cher­heit des Ver­bands der Au­to­mo­bil­in­dus­trie (VDA In­for­ma­tion Se­cu­rity As­sess­ment/VDA-ISA), der zur Selbst­ein­schätzung der Au­to­mo­bil­zu­lie­fe­rer dient. Ins­ge­samt stellt TI­SAX höhere An­for­de­run­gen an das in­terne Kon­troll­sys­tem (IKS) des geprüften Un­ter­neh­mens als bis­her übli­che Bran­chen­stan­dards, wie z. B. der ISO 27001 oder spe­zi­fi­sche Prüfun­gen des Ori­gi­nal Equip­ment Ma­nu­fac­turers (OEM).

Veröff­ent­li­chende und pfle­gende Or­ga­ni­sa­tion des TI­SAX-Stan­dards ist die ENX As­so­cia­tion (ENX). Die ENX ist ein maßgeb­lich durch den VDA gegründe­ter Ver­ein und die ein­zige TI­SAX-Ak­kre­di­tie­rungs­stelle.

Notwendigkeit und Ziele

Ziel des TI­SAX-Stan­dards ist die Einführung ei­nes ge­mein­sa­men und ein­heit­li­chen Le­vels an In­for­ma­ti­ons­si­cher­heit in der Au­to­mo­bil­in­dus­trie. Zwi­schen den Un­ter­neh­men der Bran­che sol­len die fol­gen­den Ziele er­reicht wer­den:

  • Schaf­fen von Ver­gleich­bar­keit;
  • Schaf­fen von Ver­trauen;
  • Re­duk­tion von In­for­ma­ti­ons­si­cher­heits­ri­si­ken;
  • Vor­an­trei­ben der Di­gi­ta­li­sie­rung.

Von ih­ren Zu­lie­fe­rern ent­lang der Au­to­mo­tive-Lie­fer­kette, ver­lan­gen die ver­schie­de­nen deut­schen OEMs, zu­neh­mend die Kon­for­mität gemäß TI­SAX. Dies be­trifft sämt­li­che Un­ter­neh­men, von de­nen der OEM Leis­tun­gen in An­spruch nimmt, wel­che in Ver­bin­dung mit den Fer­ti­gungs- und Ent­wick­lungs­pro­zes­sen von Au­to­mo­bi­len ste­hen. Un­er­heb­lich ist, ob der Zu­lie­fe­rer Zu­griff auf Sys­teme oder Da­ten des OEM hat. Be­trof­fen sind ne­ben Zu­lie­fe­rern tech­ni­scher Bau­teile, auch Be­ra­tungs­un­ter­neh­men, Soft­ware­dienst­leis­ter/-her­stel­ler und sons­tige Dienst­leis­ter, wie z. B. Bild­be­ar­bei­ter, die Wer­be­ma­te­ria­lien neuer Fahr­zeug­mo­delle er­stel­len. Ins­be­son­dere diese Un­ter­neh­men stellt der Auf­bau gänz­lich neuer In­for­ma­ti­ons­si­cher­heits­struk­tu­ren vor große Her­aus­for­de­run­gen.

Inhalte

Die In­halte des TI­SAX-Stan­dards leh­nen sich zu einem großen Teil an die Kon­trol­len aus dem An­hang A des ISO-27001-Stan­dards an. Darüber hin­aus be­inhal­tet TI­SAX Kon­trol­len zu Spe­zi­al­the­men der Au­to­mo­bil­in­dus­trie (z. B. Pro­to­ty­pen­schutz, An­bin­dung von Drit­tun­ter­neh­men):

  • In­for­ma­ti­ons­si­cher­heit;
  • An­bin­dung Drit­ter (Lie­fe­ran­ten­ma­nage­ment);
  • Da­ten­schutz;
  • Pro­to­ty­pen­schutz.

Verfügt ein Zu­lie­fe­rer be­reits über eine gültige ISO 27001-Zer­ti­fi­zie­rung, kann diese eine gute Grund­lage für TI­SAX dar­stel­len. Sie ist al­ler­dings auf­grund der wei­ter­ge­hen­den An­for­de­run­gen von TI­SAX und der Vor­ga­ben zum An­wen­dungs­be­reich kein Ga­rant für eine er­folg­rei­che Ver­gabe von TI­SAX-La­bels. Der An­wen­dungs­be­reich, also der Be­reich des Un­ter­neh­mens, für den das In­for­ma­ti­ons­si­cher­heits­sys­tem An­wen­dung fin­det (sog. Scope, wel­cher Ge­schäfts­pro­zesse, An­wen­dun­gen und In­fra­struk­tur­ob­jekte um­fasst), ist nach ISO 27001 freier ge­stalt­bar. Bei TI­SAX exis­tie­ren hier er­heb­li­che Vor­ga­ben. Die Über­schnei­dung des ISO 27001-Scopes mit TI­SAX ent­schei­det über den Um­fang der Wie­der­ver­wert­bar­keit und da­mit über den Mehr­auf­wand.

Vor dem Hin­ter­grund der ge­stie­ge­nen Er­war­tun­gen der OEMs so­wie der Un­ter­scheide zwi­schen den bei­den Stan­dards (z. B. er­folgt bei TI­SAX im Ge­gen­satz zu ISO 27001 eine Be­ur­tei­lung des Rei­fe­gra­des des IKS) ist eine Zer­ti­fi­zie­rung nach ISO 27001 oft nicht mehr aus­rei­chend. Es ist zu be­ach­ten, dass eine be­stan­dene ISO 27001-Zer­ti­fi­zie­rung nicht au­to­ma­ti­sch einen Teil des TI­SAX-Au­dits ab­deckt. Ana­log dazu erwächst aus ver­ge­be­nen TI­SAX-Zer­ti­fi­ka­ten nicht au­to­ma­ti­sch eine ISO-27001-Zer­ti­fi­zie­rung.

Dar­stel­lung ei­nes TI­SAX-Pro­jek­tes

Es ist zu be­ach­ten, dass abhängig vom Rei­fe­grad des im Un­ter­neh­men vor­han­de­nen In­for­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tems (ISMS) nicht zwangsläufig alle der nach­fol­gend be­schrie­be­nen Schritte not­wen­dig sein können.

  1. Ent­schei­dung für TI­SAX
    In der Re­gel er­hal­ten Zu­lie­fe­rer einen Brief von ih­rem OEM, in dem die­ser die Kon­for­mität nach TI­SAX for­dert. Al­ter­na­tiv steht einem Un­ter­neh­men auch eine frei­wil­lige Im­ple­men­tie­rung of­fen.

  2. Vor­be­rei­tung des Au­dits
    Der be­trof­fene Be­reich und der Um­fang des ISMS müssen fest­ge­legt wer­den (z. B. die be­trof­fe­nen Nie­der­las­sun­gen). Das vom OEM ge­for­derte TI­SAX-Kon­troll­set darf da­bei nicht verändert wer­den.

  3. Im­ple­men­tie­rung des ISMS
    In die­sem Schritt wird ein funk­tio­nie­ren­des und TI­SAX-kon­for­mes ISMS im­ple­men­tiert oder ein vor­han­de­nes ISMS ent­spre­chend ver­bes­sert. Er­fah­rungs­gemäß fällt in die­sem Schritt der größte in­terne und ex­terne Auf­wand an.

  4. Au­dit
    Im Rah­men des Au­dits, prüft der von der Zer­ti­fi­zie­rungs­stelle be­auf­tragte Prüfer das ISMS des Un­ter­neh­mens an­hand des VDA-ISA-Fra­gen­ka­ta­logs und iden­ti­fi­ziert ggf. Ab­wei­chun­gen.

  5. Fol­low-Up (Nach­ar­bei­ten und Nachprüfung)
    Ma­xi­mal neun Mo­nate können zur Be­he­bung von Ab­wei­chun­gen ge­nutzt wer­den. In­ner­halb des Fol­low-Up-Zeit­raums kann der Prüfer mehr­mals zu so­ge­nann­ten Fol­low-Up-Prüfun­gen hin­zu­ge­zo­gen wer­den.

  6. Ver­gabe der La­bels
    Es er­folgt die Ver­gabe der TI­SAX-La­bels durch den Prüfdienst­leis­ter. Im TI­SAX-Sprach­ge­brauch wer­den Zer­ti­fi­kate of­fi­zi­ell „La­bels“ ge­nannt.

  7. Gültig­keits­dauer der Zer­ti­fi­zie­rung
    Die TI­SAX-La­bels gel­ten für drei Jahre. Sog. Über­wa­chungs­au­dits, wie z. B. bei ei­ner ISO 27001-Zer­ti­fi­zie­rung, sind nicht vor­ge­se­hen. Es be­steht das Ri­siko, dass das im­ple­men­tierte IKS nicht kon­ti­nu­ier­lich ein­ge­hal­ten und ver­bes­sert wird. Nach Ab­lauf die­ses Zeit­raums wird ein Re-Au­dit not­wen­dig

Ablauf eines TISAX-Projektes

Prüfmethodik - Reifegrade

Im Rah­men der TI­SAX-Prüfung wird der Rei­fe­grad von vor­han­de­nen ISMS be­ur­teilt. Die Be­ur­tei­lung er­folgt an­hand je­der ein­zel­nen Kon­trolle in­ner­halb der ver­schie­de­nen Do­mains des VDA-ISA. Der Rei­fe­grad wird im Rah­men der Vor­be­rei­tung des Au­dits durch das Un­ter­neh­men selbst be­ur­teilt, so­wie im Rah­men des Au­dits durch den TI­SAX-Prüfer geprüft.
 
TI­SAX sieht eine Ein­tei­lung an­hand der fol­gen­den sechs Rei­fe­grade vor:

  • 0 - Un­vollständig: Ein Pro­zess ist nicht (vollständig) vor­han­den.
  • 1 - Durch­geführt: Es exis­tiert ein un­kla­rer und/oder un­do­ku­men­tier­ter Pro­zess, der al­ler­dings er­war­tungs­gemäße Er­geb­nisse lie­fert.
  • 2 - Ge­steu­ert: Für den­sel­ben Zweck exis­tie­ren meh­rere Pro­zesse, die funk­ti­onsfähig und do­ku­men­tiert sind so­wie er­war­tungs­gemäße Er­geb­nisse lie­fern.
  • 3 - Eta­bliert: Es exis­tiert ein ein­heit­li­cher und do­ku­men­tier­ter Pro­zess, der das er­war­tungs­gemäße Er­geb­nis lie­fert.
  • 4 - Vor­her­sag­bar: Der Pro­zess von Rei­fe­grad 3 wird zusätz­lich mit Hilfe von KPIs ge­mes­sen und be­ur­teilt.
  • 5 - Op­ti­mie­rend: Der Pro­zess von Rei­fe­grad 4 un­ter­liegt zusätz­lich einem kon­ti­nu­ier­li­chen Ver­bes­se­rungs­pro­zess.

Die er­reich­ten Rei­fe­grade je Kon­trolle, müssen we­nigs­tens einem durch die ENX vor­ge­ge­be­nen Wert ent­spre­chen. Die­ser Wert liegt abhängig von der je­wei­li­gen Kon­trolle zwi­schen Rei­fe­grad 2 und 4. Ab­schließend wird der so­ge­nannte „Ziel­rei­fe­grad“ mit Hilfe ei­nes Durch­schnitts­wer­tes ge­bil­det, wel­cher bei etwa 3 lie­gen muss, um TI­SAX-La­bels er­hal­ten zu können.

Prüfmethodik - Assessment Levels

Das As­sess­ment Le­vel legt den Härte­grad der Prüfung fest und wird als Prüfungs­an­for­de­rung in der Re­gel durch den OEM be­stimmt. Der Härte­grad rich­tet sich nach der Sen­si­ti­vität und so­mit nach dem Schutz­be­darf der geprüften Da­ten und Pro­zesse in­ner­halb des ISMS des Un­ter­neh­mens.

TI­SAX sieht eine Ein­tei­lung an­hand der fol­gen­den drei As­sess­ment Le­vel vor:

  • As­sess­ment Le­vel 1 (nor­ma­ler Schutz­be­darf): Es fin­det eine Prüfung des in­ter­nen Kon­troll­sys­tems (IKS) an­hand des VDA-ISA zu un­ter­neh­mens­in­ter­nen Zwecken statt. Der ex­terne Prüfer kon­trol­liert die Vollständig­keit der Prüfung, führt aber selbst keine Prüfungs­hand­lun­gen durch. Das As­sess­ment Le­vel 1 ist nicht zer­ti­fi­zier­bar.
  • As­sess­ment Le­vel 2 (ho­her Schutz­be­darf): Es fin­det eine Plau­si­bi­litätsprüfung des IKS an­hand des VDA-ISA durch den ex­ter­nen Prüfer statt. Bei einem po­si­ti­ven Ur­teil er­folgt eine Zer­ti­fi­zie­rung.
  • As­sess­ment Le­vel 3 (sehr ho­her Schutz­be­darf): Es fin­det eine De­tailprüfung und Ve­ri­fi­zie­rung des IKS an­hand des VDA-ISA durch den ex­ter­nen Prüfer statt. Bei einem po­si­ti­ven Ur­teil er­folgt eine Zer­ti­fi­zie­rung.

Die Ver­gabe von La­bels er­folgt un­ter Aus­weis des geprüften As­sess­ment Le­vels.

Fazit

Ins­be­son­dere in den letz­ten sechs bis neun Mo­na­ten, hat TI­SAX deut­lich an Ge­wicht ge­won­nen und stellt da­bei Au­to­mo­bil­zu­lie­fe­rer und -dienst­leis­ter vor große Her­aus­for­de­run­gen, die über bis­her übli­che Bran­chen­stan­dards hin­aus­ge­hen. Außer­gewöhn­lich ist ne­ben der Härte der An­for­de­run­gen auch die Breite, in wel­cher OEMs die Erfüllung des Stan­dards vom Großteil ih­rer Zu­lie­fe­rer ein­for­dern. Ins­be­son­dere klei­nere Un­ter­neh­men trifft dies hart. Da­her lohnt es sich für be­trof­fene Un­ter­neh­men, Rück­spra­che mit ih­ren OEMs zu hal­ten und An­for­de­run­gen ggf. an­zu­pas­sen.

nach oben