Zertifizierung nach TISAX – Was ist das?19 | 06 | 20
Digitalisierung, Vernetzung, Cloud-Anwendungen, usw.: Die fortschreitenden technologischen Entwicklungen machen diese Welt vielfach lebenswerter. Sie schaffen aber auch neue Risiken und Gefahren. So wird die Attraktivität eines Angriffes auf Unternehmen und deren digitale Infrastruktur durch die Möglichkeit von Hacking-Attacken stark erhöht. Denn heute muss niemand mehr Türen aufbrechen oder Panzerschränke knacken, um an Firmeninterna zu kommen. Es reicht ein einfacher PC mit Internetverbindung.
So verursachten kriminelle Attacken auf Unternehmen in Deutschland gemäß dem Branchenverband BITKOM und einer regelmäßigen Befragung seiner Mitglieder einen Schaden für deutsche Unternehmen in Höhe von 102,9 Milliarden Euro allein im vergangenen Jahr. Gerade weil die Hemmschwelle so niedrig ist und die benötigten Mittel für einen Angriff gering sind, gilt es, die digitale Infrastruktur von Unternehmen zu schützen, um das darin enthaltene Know-how zu bewahren.
Aber wie?
Information Security Assessment erklärt
Wie bereits in den 80er Jahren im Bereich Managementsysteme und ISO-Zertifizierungen geht in diesem Thema mal wieder die Automobilindustrie voran und wappnet sich gegen die Gefahren einer digitalisierten Welt. Dazu gibt der Verband der deutschen Automobilindustrie (VDA) seit dem Jahr 2005 Anforderungen an die Informationssicherheit für Unternehmen heraus. Daraus entstand TISAX. Die Bezeichnung ist ein Akronym aus den englischen Begriffen „Trusted Information Security Assessement Exchange“. Auf Deutsch heißt das so viel wie „vertrauenswürdiger Austausch von Informations-Sicherheits-Gutachten und den damit verbundenen Informationen“.
Aus der Arbeitsgruppe VDA-ISA entstanden, basiert das TISAX-Verfahren auf einem Fragenkatalog, der als Grundlage für ein Information-Security-Assessment eines Unternehmens oder Zulieferers dient. Dabei baut der TISAX-Standard nicht nur auf den Anforderungen der ISO 27001 auf. Er erweitert diese vielmehr um die Themen „Anbindung Dritter“ – also Sub-Lieferanten-Management – und insbesondere „Prototypenschutz“. Gerade letzteres Thema ist nicht zuletzt seit 2007 auf dem Radar der großen Automobilhersteller (OEMs). So titelte beispielsweise die Welt „Der schlechteste Geländewagen der Welt“ und „BMW-Kopie aus China“, als der asiatische Hersteller Shuanghuan sein Model „Shuanghuan CEO“ 2007 auf den deutschen Markt brachte. [Quelle: Welt; Der schlechteste Geländewagen der Welt; vom 05.07.2014].
TISAX Label – das moderne Zertifikat
Streng genommen dürfte man das TISAX-Verfahren gar nicht Zertifizierung nennen – denn eigentlich handelt es sich bei TISAX um ein Assessment, also eine Art Gutachten. Während Zertifizierung den Prozess zur Erlangung eines Managementsystemzertifikats beschreibt, bezeichnet Assessment hier das Ergebnis einer Informationssicherheitsüberprüfung eines Unternehmens. Diese mündet in einen „Assessment Report“ und schließt mit einem sogenannten Label ab. Wenn man so möchte, ist dieses Label das Äquivalent zu einem Zertifikat.
Die weltweit bekannteste Managementsystem-Norm ist die aus dem Jahr 1987 stammende ISO 9001. Sie bescheinigt Unternehmen mit einem Zertifikat, dass diese die internationalen Anforderungen an Qualitätsmanagementsysteme erfüllen. Unternehmen werben gerne damit. Sie transportieren so nach außen, dass Sie ein gut geführtes Unternehmen mit entsprechenden Nachweisen sind.
Doch diese Praxis ist nicht sehr transparent. Es gibt bis heute keine zentrale und überwachte Datenbank, in der sich ein Kunde über die Rechtmäßigkeit des Zertifikats versichern kann. Aus diesem Grund gehen einige Zertifizierungsgesellschaften wie die DQS mit Kundenportalen dazu über, eine zentrale Abfragedatenbank zumindest für eigene Kunden und die Öffentlichkeit anzubieten.
Diesen grundsätzlichen Nachteil hat die „ENX Association“ von Anfang an vermieden. Die „ENX Association“ ist die Governance und Träger-Organisation, die hinter dem TISAX-Standard steht. Sie stellt einen Zusammenschluss europäischer Automobilhersteller, -zulieferer und -verbände dar. Mit den ENX YELLOW PAGES hat sie eine Datenbank und ein zentrales, sowie öffentliches, Register geschaffen, in dem alle gültigen nach TISAX bewerteten Unternehmen mit Standort und Registrierungsnummer abgefragt werden können. Der Vorteil einer derartigen zentralen Lösung ist ein tagesaktueller Überblick über die Gültigkeit des Informations-Sicherheitsstatus eines Lieferanten oder eines Unternehmens.
Um den modernen Ansatz zu unterstreichen hat die „ENX Association“ bewusst auf ein neues Wording gesetzt. Was in der ISO-Welt das Zertifikat ist, wird in der TISAX-Welt als Label bezeichnet. Wenn Sie dieses Thema weitergehend interessiert, lesen Sie unseren Blogbeitrag zum Thema „TISAX-Label – Die Eintrittskarte in die Automobilindustrie“.
Nutzen Sie das DGQ-Beratungsangebot zum Thema TISAX
Bei Interesse an einer Inhouse-Schulung oder einem Beratungsangebot zum Thema „TISAX“ wenden Sie sich gerne an die DGQ Weiterbildung, Team Inhouse und Consulting. Hier stehen Ihnen unsere Expert:innen beratend zur Seite. Nehmen Sie Kontakt mit uns auf:
Telefon: 069-954 24-338
E-Mail: inhouse@dgq.de
Zum Kontaktformular »
Weiterbildungsangebote rund um TISAX
Bei sensiblen Projekten in der Automobilindustrie hat ein sicherer Austausch von Daten und Informationen mit Zulieferern höchste Priorität. Aus diesem Grund müssen sich Dienstleister und Zulieferer bereits seit Jahren regelmäßigen Audits unterziehen. So weisen sie nach, dass sie den geforderten Reifegrad ihrer IT-Sicherheit erfüllen. Im DGQ-Training für TISAX-Assessment – Foundation Level machen Sie sich mit den Grundlagen des TISAX-Standards vertraut und erfahren alles, was für eine Zertifizierung Ihres Unternehmens nötig ist. Praktische Übungen und Diskussionen stehen dabei besonders im Fokus. Jetzt anmelden »
Im weiterführenden Training für TISAX-Assessment – Expert Level vermitteln wir Ihnen die zentralen Aufgaben, damit Sie die Funktion zum Informationssicherheitsbeauftragen (ISB) gemäß TISAX-Anforderungen erfüllen können. Dazu gehört die Koordination aller informationssicherheitsrelevanten Maßnahmen in einem Unternehmen: von der Erstellung und Durchsetzung von Sicherheitsleitlinien, Maßnahmenplänen, bis hin zur konkreten Umsetzung von IT-Sicherheitskonzepten. Jetzt anmelden »
Comments are closed.