TISAX® – Trusted Information Security Assessment Exchange
<< zurück zur Q-Wiki Übersicht
Was ist TISAX®?
TISAX® (Trusted Information Security Assessment Exchange) ist ein branchenspezifisches Prüf- und Austauschverfahren für die Informationssicherheit in der Automobilindustrie. Entwickelt vom Verband der Automobilindustrie (VDA) in Zusammenarbeit mit der ENX Association, basiert TISAX® auf den Anforderungen der ISO/IEC 27001 und wurde speziell für Unternehmen der Automobilzulieferkette konzipiert.
TISAX® ermöglicht eine standardisierte Bewertung und den sicheren Austausch von Prüfberichten zur Informationssicherheit innerhalb der automobilen Wertschöpfungskette. Automobilhersteller (OEMs) verlangen zunehmend von Zulieferern, Entwicklungsdienstleistern und IT-Dienstleistern, dass sie eine TISAX®-Zertifizierung vorweisen, um sicherzustellen, dass vertrauliche Informationen geschützt sind.
Sie suchen nach Unterstützung bei der Einführung von TISAX®?
Dann vereinbaren Sie jetzt ein unverbindliches Erstgespräch!
Warum wurde TISAX® entwickelt?
Traditionell führten Automobilhersteller individuelle Audits bei ihren Zulieferern durch, um deren Informationssicherheitsniveau zu prüfen. Dies führte zu mehrfachen Prüfungen, hohem administrativem Aufwand und uneinheitlichen Bewertungsmethoden.
Mit TISAX® wurde ein einheitlicher Prüf- und Austauschmechanismus geschaffen, der:
Die Grundlagen von TISAX®
1. Der TISAX®-Standard
Der Standard basiert auf dem Information Security Assessment (ISA) des VDA und enthält Anforderungen aus der ISO/IEC 27001, ergänzt um spezifische Schutzmaßnahmen für den Prototypenschutz und den Datenschutz gemäß der DSGVO.
2. Der TISAX®-Prozess – So funktioniert TISAX®
Der Zertifizierungsprozess besteht aus den folgenden Schritten:
1. Registrierung bei der ENX Association
Unternehmen müssen sich auf der TISAX®-Plattform registrieren und festlegen, welche Prüfziele und Schutzbedarfsstufen für sie relevant sind.
2. Auswahl eines Prüfdienstleisters
Ein akkreditierter TISAX®-Prüfdienstleister (z. B. TÜV, BSI, DQS) wird beauftragt, das Assessment durchzuführen.
3. Durchführung des Assessments
Je nach Schutzbedarf erfolgt eine Dokumentenprüfung (Level 2) oder ein Vor-Ort-Audit (Level 3).
Während des Assessments wird der Reifegrad (Maturity Level) eines jeden Kontrollpunkts (Control) bewertet. Die Skala umfasst die Reifegrade 0 bis 5. Nähere Informationen zu den TISAX® Reifegraden finden Sie hier >>
4. Berichtserstellung und Korrekturmaßnahmen
Das Unternehmen erhält einen Prüfbericht, muss ggf. Maßnahmen zur Verbesserung umsetzen und diese nachweisen.
5. Erhalt des TISAX®-Labels
Nach erfolgreichem Abschluss wird das TISAX®-Label in der ENX-Datenbank veröffentlicht.
6. Austausch der Ergebnisse mit Geschäftspartnern
Unternehmen können ihr TISAX®-Ergebnis mit Geschäftspartnern gezielt teilen, um Nachweise zu erbringen.
TISAX®-Schutzklassen und Assessment-Level
1. Schutzklassen
Die Einstufung der Schutzklasse hängt vom jeweiligen Schutzbedarf der Informationen ab.
Normaler Schutzbedarf
(z. B. interne Geschäftsdaten)
Hoher Schutzbedarf
(z. B. sensible Kundendaten wie Zeichnungen, CAD-Daten usw.)
Sehr hoher Schutzbedarf
(z. B. Entwicklungs- und Prototypendaten)
2. Assessment-Level
Je nach Schutzklasse gibt es drei Audit-Level:
Vergleich: TISAX® vs. ISO/IEC 27001
| Kriterium | TISAX® | ISO/IEC 27001 |
|---|---|---|
| Branchenfokus | Speziell für die Automobilindustrie | Universell für alle Branchen |
| Gültigkeit | 3 Jahre | 3 Jahre mit jährlichen Überwachungsaudits |
| Prüfmethodik | Reifegradbewertung (0-5) | Erfüllung/Nichterfüllung |
| Zertifizierung | Kein offizielles Zertifikat, sondern ein Label | Offizielles Zertifikat |
| Schutzbedarf | Enthält spezifische Maßnahmen für Prototypenschutz und Datenschutz | Allgemeine Sicherheitsstandards |
TISAX®-Reifegrade (Maturity Levels)
In einem TISAX® Assessment, egal ob Level 2 oder 3, wird jeder einzelne Kontrollpunkt im VDA-ISA Katalog hinsichtlich seines Reifegrads auf einer Skala von 0 bis 5 bewertet. Eine Beschreibung der Reifegrade finden Sie in folgender Tabelle:
| Reifegrad | Name | Kurzbeschreibung |
|---|---|---|
| 0 | Unvollständig | Ein strukturierter Prozess existiert nicht oder ist ungeeignet, um die angestrebten Ziele zu erreichen. |
| 1 | Durchgeführt | Ein Prozess wird auf informeller Basis angewendet, ist jedoch nicht oder nur teilweise dokumentiert. Erste Hinweise zeigen, dass er seine Funktion erfüllt. |
| 2 | Gesteuert | Der Prozess ist dokumentiert und wird konsequent angewendet. Nachweise über seine Durchführung und Zielerreichung sind vorhanden. |
| 3 | Etabliert | Der Prozess ist als fester Bestandteil des Systems etabliert. Abhängigkeiten zu anderen Prozessen sind dokumentiert, und es gibt klare Schnittstellen. Die nachhaltige Anwendung über längere Zeiträume ist nachweisbar. |
| 4 | Vorhersagbar | Der Prozess wird aktiv überwacht und anhand von definierten Leistungskennzahlen (KPIs) gesteuert. Bei Abweichungen von Grenzwerten werden Anpassungen vorgenommen. |
| 5 | Optimierend | Der Prozess ist nicht nur etabliert und steuerbar, sondern unterliegt einer kontinuierlichen Verbesserung. Spezialisierte Ressourcen sind gezielt mit der Weiterentwicklung und Effizienzsteigerung beauftragt. |
Den genauen Wortlaut finden Sie im VDA-ISA Katalog den Sie auf dem offiziellen Portal der ENX-Association herunterladen können.
Welche Unternehmen benötigen TISAX®?
Folgende Unternehmen sind typischerweise von TISAX® betroffen:
Vorteile von TISAX®
Herausforderungen bei der TISAX®-Zertifizierung
Schritte zur erfolgreichen TISAX®-Zertifizierung
TISAX®-Self-Assessment durchführen
Schwachstellen identifizieren und beheben
Sicherheitsmaßnahmen optimieren (z. B. Verschlüsselung, Zugriffskontrollen)
ISMS-Dokumentation erstellen
TISAX® Leistungen
Häufige Fragen zu TISAX® (FAQ)
Die Kosten variieren je nach Unternehmensgröße und Assessment-Level. Kleine Unternehmen zahlen zwischen 10.000 – 30.000 Euro, während große Zulieferer über 100.000 Euro investieren können.
Der Prozess kann 6 bis 12 Monate in Anspruch nehmen, abhängig von der Reife der IT-Sicherheitsmaßnahmen. Das eigentliche Assessment dauert je nach Unternehmensgröße, Schutzlevel und Prüfziel von einem bis zu mehreren Tagen.
Alle Unternehmen in der automobilen Lieferkette, die mit sensiblen Kundendaten, Prototypen oder Entwicklungsdaten arbeiten. In der Regel wird das TISAX Label von den Kunden eingefordert.
Es gibt keine gesetzliche Pflicht sich einem TISAX® Assessment zu unterziehen. Viele OEMs setzen jedoch TISAX® als Mindestanforderung für die Zusammenarbeit voraus. Und wenn die Frage nach der Wahrnehmung der unternehmerischen Sorgfaltspflichten gestellt wird, wirkt sich ein bestandenes TISAX® Assessment positiv aus.
Fazit:
TISAX® ist ein essenzieller Standard für die Informationssicherheit in der Automobilindustrie. Unternehmen, die mit OEMs und Zulieferern zusammenarbeiten, profitieren von einem standardisierten Sicherheitsniveau, weniger Audits und höherem Vertrauen in der Lieferkette.