Zertifizierung nach TISAX – Was ist das?19 | 06 | 20

Automotive, TISAX

Digitalisierung, Vernetzung, Cloud-Anwendungen, usw.: Die fortschreitenden technologischen Entwicklungen machen diese Welt vielfach lebenswerter. Sie schaffen aber auch neue Risiken und Gefahren. So wird die Attraktivität eines Angriffes auf Unternehmen und deren digitale Infrastruktur durch die Möglichkeit von Hacking-Attacken stark erhöht. Denn heute muss niemand mehr Türen aufbrechen oder Panzerschränke knacken, um an Firmeninterna zu kommen. Es reicht ein einfacher PC mit Internetverbindung.

So verursachten kriminelle Attacken auf Unternehmen in Deutschland gemäß dem Branchenverband BITKOM und einer regelmäßigen Befragung seiner Mitglieder einen Schaden für deutsche Unternehmen in Höhe von 102,9 Milliarden Euro allein im vergangenen Jahr. Gerade weil die Hemmschwelle so niedrig ist und die benötigten Mittel für einen Angriff gering sind, gilt es, die digitale Infrastruktur von Unternehmen zu schützen, um das darin enthaltene Know-how zu bewahren.

Aber wie?

Information Security Assessment erklärt

Wie bereits in den 80er Jahren im Bereich Managementsysteme und ISO-Zertifizierungen geht in diesem Thema mal wieder die Automobilindustrie voran und wappnet sich gegen die Gefahren einer digitalisierten Welt. Dazu gibt der Verband der deutschen Automobilindustrie (VDA) seit dem Jahr 2005 Anforderungen an die Informationssicherheit für Unternehmen heraus. Daraus entstand TISAX. Die Bezeichnung ist ein Akronym aus den englischen Begriffen „Trusted Information Security Assessement Exchange“. Auf Deutsch heißt das so viel wie „vertrauenswürdiger Austausch von Informations-Sicherheits-Gutachten und den damit verbundenen Informationen“.

Aus der Arbeitsgruppe VDA-ISA entstanden, basiert das TISAX-Verfahren auf einem Fragenkatalog, der als Grundlage für ein Information-Security-Assessment eines Unternehmens oder Zulieferers dient. Dabei baut der TISAX-Standard nicht nur auf den Anforderungen der ISO 27001 auf. Er erweitert diese vielmehr um die Themen „Anbindung Dritter“ – also Sub-Lieferanten-Management – und insbesondere „Prototypenschutz“. Gerade letzteres Thema ist nicht zuletzt seit 2007 auf dem Radar der großen Automobilhersteller (OEMs). So titelte beispielsweise die Welt „Der schlechteste Geländewagen der Welt“ und „BMW-Kopie aus China“, als der asiatische Hersteller Shuanghuan sein Model „Shuanghuan CEO“ 2007 auf den deutschen Markt brachte. [Quelle: Welt; Der schlechteste Geländewagen der Welt; vom 05.07.2014].

TISAX Label – das moderne Zertifikat

Streng genommen dürfte man das TISAX-Verfahren gar nicht Zertifizierung nennen – denn eigentlich handelt es sich bei TISAX um ein Assessment, also eine Art Gutachten. Während Zertifizierung den Prozess zur Erlangung eines Managementsystemzertifikats beschreibt, bezeichnet Assessment hier das Ergebnis einer Informationssicherheitsüberprüfung eines Unternehmens. Diese mündet in einen „Assessment Report“ und schließt mit einem sogenannten Label ab. Wenn man so möchte, ist dieses Label das Äquivalent zu einem Zertifikat.

Die weltweit bekannteste Managementsystem-Norm ist die aus dem Jahr 1987 stammende ISO 9001. Sie bescheinigt Unternehmen mit einem Zertifikat, dass diese die internationalen Anforderungen an Qualitätsmanagementsysteme erfüllen. Unternehmen werben gerne damit. Sie transportieren so nach außen, dass Sie ein gut geführtes Unternehmen mit entsprechenden Nachweisen sind.

Doch diese Praxis ist nicht sehr transparent. Es gibt bis heute keine zentrale und überwachte Datenbank, in der sich ein Kunde über die Rechtmäßigkeit des Zertifikats versichern kann. Aus diesem Grund gehen einige Zertifizierungsgesellschaften wie die DQS mit Kundenportalen dazu über, eine zentrale Abfragedatenbank zumindest für eigene Kunden und die Öffentlichkeit anzubieten.

Diesen grundsätzlichen Nachteil hat die „ENX Association“ von Anfang an vermieden. Die „ENX Association“ ist die Governance und Träger-Organisation, die hinter dem TISAX-Standard steht. Sie stellt einen Zusammenschluss europäischer Automobilhersteller, -zulieferer und -verbände dar. Mit den ENX YELLOW PAGES hat sie eine Datenbank und ein zentrales, sowie öffentliches, Register geschaffen, in dem alle gültigen nach TISAX bewerteten Unternehmen mit Standort und Registrierungsnummer abgefragt werden können. Der Vorteil einer derartigen zentralen Lösung ist ein tagesaktueller Überblick über die Gültigkeit des Informations-Sicherheitsstatus eines Lieferanten oder eines Unternehmens.

Um den modernen Ansatz zu unterstreichen hat die „ENX Association“ bewusst auf ein neues Wording gesetzt. Was in der ISO-Welt das Zertifikat ist, wird in der TISAX-Welt als Label bezeichnet. Wenn Sie dieses Thema weitergehend interessiert, lesen Sie unseren Blogbeitrag zum Thema „TISAX-Label – Die Eintrittskarte in die Automobilindustrie“.

Über den Autor:

Thomas Salvador ist geschäftsführender Gesellschafter der QM Experts GmbH, einem auf die Automobilindustrie spezialisierten Beratungsunternehmen im Bereich Zertifizierung und Managementsysteme mit Hauptsitz in München. Seit 2011 für BMW tätig, verantwortet er als Lead-Trainer die nationale Ausbildung von 1st und 2nd Party-Auditoren von BMW Deutschland und hält regelmäßig Fortbildungen für Automotive Auditoren. Auf Grundlage seiner langjährigen Erfahrung berät er seit 2017 Automobilzulieferer im Bereich automotiver ISMS, insbesondere nach TISAX. Als Beratungsunternehmen bereitet die QM Experts GmbH regelmäßig Zulieferer auf Erstzertifizierungen im Bereich Informationssicherheit vor.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.