von Wolfram Funk
Wozu TISAX?
TISAX steht für “Trusted Information Security Assessment Exchange”. Das sogenannte „TISAX Label“ der ENX Association, einem Zusammenschluss europäischer Automobilhersteller, -Zulieferer und Verbände auf europäischer Ebene, wurde 2017 eingeführt. Das Label dient gegenüber der Automobilindustrie als Nachweis, dass ein Lieferant über ein bestimmtes Sicherheitsniveau verfügt. Es muss alle drei Jahre erneuert werden. Es wird von Automobilherstellern (OEMs) auf einer vertraglichen Grundlage von ihren Zulieferern gefordert. Das TISAX-Label beruht auf einem gemeinsamen, standardisierten Assessmentprozess, der über akkreditierte Auditoren umgesetzt wird. In neuen Leistungsausschreibungen werden die anbietenden Zulieferer im Falle einer Beauftragung zum Beispiel dazu verpflichtet, Zertifikate nach bestimmten Standards vorzulegen. Oft haben die Zulieferer dann noch eine „Karenzzeit“ von zwölf Monaten. Legt ein Lieferant die erforderlichen Nachweise dann nicht vor, hat der OEM das Recht, die Beauftragungen einzustellen. Manche OEMs fordern auch weitere Informationssicherheits-Zertifizierungen, zum Beispiel auf Basis der ISO 27001, dem globalen Standard für das Informationssicherheitsmanagement. Mit der ISO/SAE 21434 “Road vehicles – Cybersecurity engineering" steht eine neue Norm am Horizont, die künftig für Zulieferer relevant werden kann.
Die Auditierung
Um das TISAX-Label zu erhalten, muss das Unternehmen einem anerkannten Prüfdienstleister eine Selbstauskunft in Form eines umfassenden Fragebogens vorlegen. Diese Selbstauskunft wird dann durch die Auditoren geprüft. Für die höchste Stufe des Labels werden die Auditoren Interviews und Vor-Ort-Begehungen durchführen. Der zugrundeliegende VDA-ISA Anforderungskatalog ist an die Sicherheitsnormen ISO 27001 und ISO 27002 angelehnt, in einzelnen Anforderungsspezifikationen aber detaillierter gestaltet.
Fünf Empfehlungen
1. Nutze die TISAX-Auditierung zur Einführung eines Managementsystems für Informationssicherheit (ISMS): Eine TISAX-Auditierung kann zwar als Projekt aufgesetzt werden, muss aber in einen fortlaufenden Sicherheitsprozess münden. Das Unternehmen muss diesen stetig verbessern und dynamisch auf Veränderungen im Umfeld reagieren. Dazu gehören zum Beispiel neue Technologien, Bedrohungen, Schwachstellen oder auch Änderungen in der Tätigkeit der Organisation wie etwa neue Geschäftsfelder. Wer sich nach einer erfolgreichen Erstzertifizierung ausruht, wird sich mit der Erneuerung des TISAX-Labels nach drei Jahren schwer tun. Unternehmen mit einem bestehenden ISMS, möglicherweise sogar mit Zertifizierung nach ISO 27001, können mit überschaubarem Mehraufwand das TISAX Label erhalten und erneuern.
2. Erhalte Unterstützung auf allen Führungsebenen. Für die Auditierungsvorbereitung und -durchführung können unter Umständen erhebliche personelle Ressourcen notwendig sein. Außerdem sind verschiedene Fachbereiche, zentrale Abteilungen und Führungskräfte in den Auditierungsprozess einzubeziehen. Es ist wichtig, dass die Informationssicherheitsverantwortlichen sich im Vorfeld die Unterstützung durch die oberste Führungsebene sichern und die erforderlichen Ressourcen erhalten.
3. Definiere mit Sorgfalt den geplanten Geltungsbereich. Das TISAX-Label gilt immer für einen bestimmten Unternehmensstandort. Es ist in der Regel effizienter, mehrere Standorte auf einmal zu auditieren. Daher müssen die aktuellen und potenziellen Auditierungsanforderungen für alle Standorte im Vorfeld sorgfältig analysiert werden. Aber Vorsicht: Ein gesamthaftes Label kann durch das Scheitern eines einzelnen Standorts gefährdet werden!
4. Vermeide „Schrankware“. Mancherorts herrscht die Meinung vor, es reiche aus, für eine Auditierung eine Vielzahl an Vorlagen für Security Policies und Konzepte zu befüllen. Das ist mitnichten so. Die Auditoren legen Wert darauf, dass Informationssicherheit als Prozess nachweislich gelebt wird. Dieser Nachweis kann zum Beispiel durch sinnvolle KPIs (Key Performance Indicators) sowie durch lückenlos gepflegte Listen von Risiken, Maßnahmen und Sicherheitsvorfällen untermauert werden.
5. Bereite das Audit sorgfältig vor. Dieser Vorgang beginnt mit der detaillierten Befüllung des ISA-Fragebogens. Es hat sich bewährt, insbesondere für jede MUSS- oder SOLLTE-Einzelanforderung unter einer Kontrollfrage die Umsetzungsbeschreibung und Dokumentenreferenzen kurz und präzise zu fassen. Im Audit selbst müssen die Teilnehmer diese Informationen parat haben und ohne langes Suchen präsentieren können. Vor dem externen muss ein internes Audit zur Erkennung potenzieller „offener Flanken“ stattfinden. Die Informationssicherheitsverantwortlichen sollten im Vorfeld für alle am Audit beteiligten Kolleg*Innen angemessene Briefings durchführen.
msg unterstützt Unternehmen bei der Erlangung einer Zertifizierungsreife für TISAX sowie für weitere gängige Standards des Informationssicherheitsmanagements und ist zugleich selbst als Zulieferer der Automobilindustrie in einzelnen Geschäftseinheiten beziehungsweise Standorten nach TISAX auditiert.