Beitrag teilen
HOME
/
blog
/
TISAX®: Der Komplett-Guide für Ihr Unternehmen

TISAX®: Der Komplett-Guide für Ihr Unternehmen

Anne Hillmer

Information Security Expert

May 30, 2024

12 min

Anne ist eine Expertin auf dem Gebiet der Informationssicherheit mit umfangreicher Arbeitserfahrung im Bundesamt für Sicherheit in der Informationstechnik (BSI). Als ISO/IEC 27001 Lead Implementer und Data Protection Officer verfügt sie über profunde Kenntnisse in der Gestaltung und Umsetzung sicherer IT-Systeme und ist zudem zertifiziert als IT-Security Officer (TÜV) für Informationssicherheit.

Key Takeaways

TISAX® ist ein ISMS-Standard speziell für die deutsche Automobilindustrie.

Der TISAX®-Prüfprozess umfasst den Aufbau eines ISMS, interne Prüfung und Auswahl von Prüfbereichen.

TISAX® bietet Vorteile wie erhöhtes Sicherheitsbewusstsein, vereinfachte Abläufe und Transparenz für Stakeholder.

Die Umsetzung dauert ca. 6-18 Monate und kostet im fünfstelligen Bereich

TISAX® – dieses Wort fällt öfter, wenn es um Geschäftsbeziehungen in der Automobilbranche geht. Es handelt sich hierbei um einen speziellen Standard in der Informationssicherheit. Wir beleuchten, was es mit TISAX® auf sich hat.  

 

In diesem Artikel erfahren Sie:

  • was genau TISAX® ist und wie man das Label erlangt
  • welche Vorteile TISAX für Unternehmen mit sich bringt
  • mit welchen Aufwänden Unternehmen rechnen müssen

Was ist TISAX®?

TISAX® steht für Trusted Information Security Assessment (E)xchange und ist der Standard für Informationssicherheit in der deutschen Automobilbranche.

Fälschlicherweise oftmals als Zertifizierung bezeichnet, ist TISAX® ein Standard zur Bewertung von Informationssicherheits-Managementsystemen (ISMS).

Ein ISMS besteht aus einer Reihe von Richtlinien und Prozessen, die die Aufgabe haben, sensible Informationen zu schützen. Ein ISMS behandelt präventiv erkannte Risiken regelt den Umgang mit Vorfällen bis hin zum Business Continuity Management (Notfall/ Krisenfall).

Für den Aufbau eines solchen ISMS gibt es verschiedene Standards. Diese Standards sollen helfen, bei allen ISM-Systemen dasselbe Maß an Schutz herzustellen. Außerdem signalisieren Unternehmen durch eine Zertifizierung dieser Standards, dass die Daten von Kunden und Geschäftspartnern besonders sicher bei ihnen aufgehoben sind.

Von der Industrie für die Industrie

Der TISAX®-Standard für Informationssicherheit wurde 2017 vom Verband der Automobilindustrie e.V. (VDA) entwickelt und wird von der europäischen Dachorganisation der Automobilbranche, der ENX Association, gemanagt. Als Testat dient TISAX® als Prüf- und Austauschmechanismus für die Informationssicherheit von Unternehmen.

 

Durch die übergeordnete Organisation, die einheitliche Standards vorgibt, müssen Auftraggeber nicht mehr wie früher selbst von ihren Lieferanten Nachweise und Zertifikate anfordern und gegebenenfalls überprüfen. Somit vereinfacht TISAX® nicht nur die Zusammenarbeit, sondern leistet auch einen Beitrag zu einer von Transparenz geprägten Geschäftsbeziehung.

Ein Unternehmen, das das TISAX®-Label nach erfolgreichem Prüfprozess erhält, zeigt, dass sein überprüftes ISMS einen klar umrissenen Anforderungskatalog erfüllt und die Daten potenzieller Kunden und Partner bestmöglich geschützt sind.

Was wird bei TISAX® geprüft?

chart showing the sources of assessment criteria of the VDA ISA catalogue (information security, data protection and prototype protection)
Bestandteile des VDA ISA-Katalogs

Den Rahmen der Prüfung gibt der VDA ISA-Katalog vor. Dieser umfasst drei Bereiche:

  • Informationssicherheit (wird immer durch den Auditor geprüft): TISAX® basiert zum Großteil auf der ISO 27001, dem globalen Goldstandard für Informationssicherheit.
  • Datenschutz (wird auf Anforderung geprüft): Die Vorgaben stammen aus der DSGVO
  • Prototypenschutz (wird auf Anforderung geprüft)

Welche der drei Bereiche ein Unternehmen durch TISAX® geprüft sehen will, hängt meist von den Anforderungen seiner Auftraggeber ab. Je nachdem, welche Daten es an das zu prüfende Unternehmen weitergibt, fordern diese niedrigere oder höhere Schutzniveaus für ihre Informationen an.

 

Der VDA ISA-Katalog ist übrigens kostenlos verfügbar und kann von Unternehmen genutzt werden um ein Self-Assessment für den Stand der „TISAX®-readiness“ durchzuführen.

TISAX® Prüfziele

Die Prüfziele definieren die maßgeblichen Anforderungen, die das ISMS eines Unternehmens erfüllen muss. Die Auswahl der Prüfziele hängt von der Art der Daten ab, die im Auftrag eines Partners verarbeitet werden. Hier sind die derzeitigen TISAX-Prüfziele:

Informationssicherheit:

  • Info high: Umgang mit Informationen mit hohem Schutzbedarf
  • Info very high: Umgang mit Informationen mit sehr hohem Schutzbedarf
  • Confidential: Umgang mit Informationen mit hohem Schutzbedarf im Rahmen der Vertraulichkeit
  • Strictly confidential: Umgang mit Informationen mit sehr hohem Schutzbedarf im Rahmen der Vertraulichkeit
  • High availability: Umgang mit Informationen mit hohem Schutzbedarf im Rahmen der Verfügbarkeit
  • Very high availability: Umgang mit Informationen mit sehr hohem Schutzbedarf im Rahmen der Verfügbarkeit

Prototypenschutz:

  • Proto parts: Schutz von Prototypenbauteilen und -komponenten
  • Proto vehicles: Schutz von Prototypenfahrzeugen
  • Test vehicles: Umgang mit Erprobungsfahrzeugen
  • Proto events: Schutz von Prototypen während Veranstaltungen und Film- oder Fotoshootings

Datenschutz:

  • Data: Datenschutz gemäß Artikel 28 der DSGVO
  • Special data: Datenschutz gemäß Artikel 28 der DSGVO mit besonderen Kategorien personenbezogener Daten gemäß Artikel 9 der DSGVO

Assessment Level (Schutzniveaus)

TISAX unterscheidet zwischen verschiedenen Assessment-Leveln (AL), die bestimmen, welche Prüfmethode der Prüfdienstleister anwenden muss. Ein höherer Assessment-Level erfordert mehr Aufwand und führt zu einer genaueren Prüfung. Die Assessment-Level sind wie folgt definiert:

  • Assessment-Level 1 (AL 1): Interne Prüfungen im Sinne einer Selbsteinschätzung. Der Prüfer überprüft, ob eine vollständige Selbsteinschätzung vorliegt, prüft jedoch nicht den Inhalt. Diese Ergebnisse haben eine niedrige Vertrauensstufe und werden in TISAX nicht verwendet.
  • Assessment-Level 2 (AL 2): Prüfungen für Informationen mit normalem bis hohem Schutzbedarf. Der Prüfer führt eine Dokumentenprüfung und Interviews durch.
  • Assessment-Level 3 (AL 3): Prüfungen für Informationen mit sehr hohem Schutzbedarf. Der Prüfer führt neben der Dokumentenprüfung und Interviews auch Vor-Ort-Audits durch.

Prüfmethode Assessment-Level 1
(AL 1)
Assessment-Level 2
(AL 2)
Assessment-Level 3
(AL 3)
Selbsteinschätzung Ja Ja Ja
Nachweise Nein Plausibilitätsprüfung Eingehende Prüfung
Interviews Nein Als Webkonferenz Persönlich, vor Ort
Vor-Ort-Prüfung Nein Auf Ihren Wunsch Ja

Anwendbarkeit von Prüfmethoden auf unterschiedliche Assessment-Level (Quelle: enx.com)

Diese Prüfziele und Assessment-Level gewährleisten, dass die Sicherheitsanforderungen entsprechend der Sensibilität der verarbeiteten Informationen erfüllt werden.

Die folgende Tabelle zeigt, wie Prüfziele und Assessment-Level zusammenhängen.

Nr.TISAX-Prüfziel Assessment-Level (AL)
1. Info highAL 2
2. Info very highAL 3
3. ConfidentialAL 2
4. Strictly confidentialAL 3
5. High availabilityAL 2
6. Very high availabilityAL 3
7. Proto partsAL 3
8. Proto vehiclesAL 3
9. Test vehiclesAL 3
10. Proto eventsAL 3
11. DataAL 2
12. Special dataAL 3

Zuordnung der TISAX-Prüfziele zu den Assessment-Leveln (Quelle: enx.com)

Was sind die Vorteile eines TISAX®-Labels und wer braucht es?

Knapp zusammengefasst: TISAX® bietet viele Vorteile, allen voran jedoch die Möglichkeit in der Automobilbranche Geschäfte zu tätigen.

Infografik, die mit Icons die Vorteile einer TISAX® Zertifizierung für Automobilkonzerne zeigt.
Infografik: Vorteile des TISAX®-Labels

TISAX® ist ein echter Türöffner für Auftragnehmer in der die Automobilindustrie, immer häufiger sogar eine Voraussetzung. Oft geben Kunden bzw. die Auftraggeber (meist sind das Automobilhersteller) gewünschte Anforderungen an die Informationssicherheit vor, die ein Zulieferer erfüllen muss.

Diese Auftraggeber nennt man in der Automobilbranche auch „Original Equipment Manufacturer“ (OEM), damit sind Fahrzeughersteller gemeint. Je nachdem, wie hoch der Schutzbedarf von Informationen des beauftragenden OEM ist, müssen die Zulieferer unterschiedliche Anforderungen erfüllen.

Insbesondere Prototypen werden von der Industrie streng geschützt: Diese Versuchsmodelle bilden geplante Produkte von Automobilherstellern ab, die in der Entwicklungs- und Testphase größter Geheimhaltung unterliegen. Grund für den hohen Vertraulichkeitsgrad ist, dass Unternehmen nicht möchten, dass Mitbewerber Informationen zum Entwicklungsstand der Produktpalette abgreifen können.

Ein TISAX®-Label kann die Wahrnehmung für Informationssicherheit intern und extern zudem erheblich stärken: Es ist nicht nur ein besonders anspruchsvoller und sicherer Standard, der speziell auf die Erfordernisse der Autobranche ausgerichtet ist, sondern signalisiert Geschäftspartnern auch, dass Daten zu Prototypen und Entwicklungen vom geprüften Unternehmen mit größter Sorgfalt behandelt werden.

Wie erlangt man das TISAX®-Label und wie lange dauert der Prozess?

Das Erlangen des TISAX®-Labels ist ein strukturierter Prozess, der aus mehreren Phasen besteht. Die Dauer kann je nach Organisation unterschiedlich sein, abhängig von Größe, Komplexität und dem aktuellen Stand der Informationssicherheitspraktiken.

Eine Infografik, die mit 4 Icons den TISAX®-Label-Prüfungsprozess zeigt.
Inforgrafik: In vier Schritten zum TISAX®-Label

Im Durchschnitt dauert der Prozess von der ersten Entscheidung bis zur Zertifizierung etwa sechs bis 18 Monate. Mithilfe von Automatisierungs-Tools wie der SECJUR Plattform, lässt sich der Prozess auf wenige Monate bis sogar Wochen beschleunigen.

Phase 1: Aufbau des ISMS

Der Aufbau des ISMS erfolgt in der Regel anhand folgender Schritte, wobei als Schritt Null und absolute Grundvoraussetzung die Verpflichtung der Unternehmensleitung angesehen werden kann. Diese muss sich dem Projekt verpflichten und entsprechende Ressourcen bereitstellen.

Schritte zum Aufbau eines zertifizierbaren ISMS. Die angegebenen Zeitwerte beziehen sich auf eine durchschnittlich komplexe Organisation mit 50 Mitarbeitenden. Tatsächliche Werte können stark abweichen.

  1. Projektplan und Definition des Anwendungsbereichs („Scope“): Definieren Sie den Geltungsbereich des ISMS.
  2. Strategie und Bestandsaufnahme: Identifizieren Sie relevante Assets, Risiken und bestehende Kontrollen.
  3. Generierung von Richtlinien: Erstellen Sie die für Ihr Unternehmen relevanten Richtlinien („Policies“)
  4. Risikomanagement: Führen Sie eine Risikobewertung durch und erstellen Sie einen Plan zur Behandlung identifizierter Risiken.
  5. Management & KPI Überprüfung: Zur Erfolgsbewertung des ISMS werden vorher festgelegte KPIs gemessen
  6. Internes Audit und Nachbesserung: Beugt unnötigen Fehlern in der externen Zertifizierung vor
  7. Finale Vorbereitung: Vor allem logistische und organisatorische Abläufe

Phase 2: Vorbereitung auf das Audit anhand des VDA ISA-Kataloges

Anhand des vom VDA bereitgestellten Fragenkatalogs sollte das Unternehmen zunächst intern prüfen, auf welchem Stand die Informationssicherheit ist.  

Gegebenenfalls werden die Schwächen des bestehenden ISMS behoben. Je strukturierter dieser Prozess gestaltet wird, desto besser. Unterstützung durch externe Spezialisten kann je nach Größe des Unternehmens und Qualität seines ISMS dafür hilfreich oder gar unverzichtbar sein. Automatisierte ISMS-Lösungen helfen, den Aufbau zu beschleunigen und das ISMS von Anfang an TISAX®-konform einzusetzen.

Phase 3: Prüfbereich wählen

Es muss ein Prüfbereich oder auch Scope festgelegt werden. Hierbei ist zu beachten, dass alle Teile des Unternehmens inkludiert sind, die mit Informationen Ihres Partners arbeiten.

Des Weiteren sollte darauf geachtet werden, welche Standorte Ihres Unternehmens Teil des Prüfbereiches sind. Bei einem Standort ist die Frage schnell beantwortet, kann aber bei mehreren Standorten komplexer werden, gerade wenn die relevanten Informationen an mehrere Standorten verarbeitet werden.

Phase 4: Audit bestellen

Im nächsten Schritt meldet sich das Unternehmen, das das TISAX®-Label erhalten will, bei der ENX Association an. Das Unternehmen gibt dabei den Umfang an und wählt einen Auditor aus.  

Der bestellte Auditor ist unabhängig und von der ENX akkreditiert.  

Das Unternehmen füllt den Fragenkatalog eigenständig aus und schickt ihn mit der vollständigen ISMS-Dokumentation sowie Nachweisen an den Auditor. Nach der Prüfung können bei Abweichungen Nachbesserungen erforderlich sein.

Eine Hauptabweichung liegt dann vor, wenn eine zwingende Anforderung des Prüfbereichs nicht erfüllt wird –  diesen Umstand muss das Unternehmen nachweislich beheben, da es sonst das TISAX®-Label nicht erhält.

Bei einer Nebenabweichung wird eine Anforderung teilweise nicht erfüllt. Das Unternehmen erhält dann ein vorläufiges Label. Allerdings wird es dazu angehalten, Sicherheitslücken zeitnah zu schließen.

Spätestens nach neun Monaten muss die Prüfung abgeschlossen sein.  Dann werden die Ergebnisse an die ENX übermittelt und das TISAX®-Label erteilt.

Das TISAX®-Label ist anschließend für drei Jahre gültig und muss danach in einer Re-Zertifizierung verteidigt werden.

Wie viel kostet die Implementierung des TISAX®-Labels?

Die Kosten für die Umsetzung von TISAX® können erheblich variieren, abhängig von der Größe und Komplexität der Organisation, dem Standort, der Anzahl der zu zertifizierenden Geschäftseinheiten und den Gebühren der Zertifizierungsstelle.

Generell lassen sich die Kosten in drei Hauptbereiche gliedern: Kosten die Zertifizierungsstelle, interne Aufwände und Kosten für externe Expertise oder Tools.

Kosten für Auditor/Zertifizierungsstelle: Die Auditkosten umfassen die Gebühren der Zertifizierungsstelle für die Durchführung des TISAX®-Bewertungsaudits.

Die Höhe dieser Gebühren variiert je nach Anbieter und Region. Für ein Unternehmen mit 50 Mitarbeitenden und mittlerer Komplexität kann bei TISAX® Level 2 grob von 5.000 Euro ausgegangen werden. Bei einer Vor-Ort Prüfung in Level 3 ist von mehr als 10.000 Euro auszugehen.

Anders als bei der ISO 27001, die jährliche Überwachungsaudits vorsieht, fallen diese Kosten bei TISAX® nur alle drei Jahre an.

Interne Aufwände: Die internen Aufwände umfassen die Zeit und Ressourcen, die Ihre Organisation direkt in die Vorbereitung und Aufrechterhaltung des Informationssicherheitsmanagementsystems (ISMS) investiert.

Dazu gehören die Zeit für die Schulung von Mitarbeitenden, die Durchführung interner Audits, die Risikobewertung und -behandlung sowie die Implementierung von Sicherheitskontrollen.

Diese Kosten können schwer zu quantifizieren sein, da sie stark von der bestehenden Ausgangslage und den internen Kapazitäten abhängen.

Eine wesentliche Rolle spielen dabei die Mitarbeiterstunden, die für Planung, Implementierung und Management des ISMS aufgewendet werden.

Erneut von 50 Mitarbeitenden in einer Organisation mittlerer Komplexität ausgehend, lässt sich sehr grob sagen, dass ein halber bis zwei Personentage an Aufwänden pro Woche entstehen.

Kosten für externe Expertise und Tools: Aufgrund von Komplexität und Umfang der umzusetzenden Maßnahmen, ist entweder interne oder externe Expertise erforderlich.

Im Falle einer externen Beratung fallen je nach Bedarf und Dauer des Projekts, einige Zehntausende bis hin zu Hunderttausenden Euro an. Tools wie die SECJUR-Automatisierungsplattform können externe Berater ersetzen und den Aufbau des ISMS erheblich beschleunigen.

TISAX® im Vergleich mit anderen ISMS-Standards

Als Branchenstandard der deutschen Automobilindustrie, ist TISAX® über die Landesgrenzen hinaus nicht besonders weit verbreitet. Damit unterscheidet sich der ISMS-Standard von ISO 27001, dem weltweit anerkannten Goldstandard sowie SOC 2, einem vor allem im nordamerikanischen Markt verbreiteten Standard.

In der folgenden Vergleichstabelle stellen wir die unterschiedlichen Anwendungsbereiche und Anforderungen der ISMS Standards ISO 27001, SOC 2 und TISAX® vor.

 

Eigenschaft

SOC 2

ISO 27001

TISAX®

Anwendungsbereich

Primär in den USA und Nordamerika weit verbreitet

International weit verbreitet

In der deutschen Automobilbranche

Einführung und Aufsicht

Eingeführt von der AICPA (American Institute of Certified Public Accountants)

Eingeführt von der ISO (International Organization for Standardization)

Entwickelt für die Automobilindustrie

Art des Standards

Freiwilliger Compliance-Standard

Freiwilliger Compliance-Standard

Branchenspezifischer Standard

Prüfungsbereich

Prüft ein System auf Zugriff und Veränderung von außen, umfasst auch die Prüfung des betrieblichen ISMS

Betrifft die Informationssicherheit eines Unternehmens und fördert die Einrichtung eines ISMS

Erweitert die Anforderungen der ISO 27001 um spezifische Anforderungen für die Automobilbranche

Hauptziel

Zeigt, dass Daten sicher verwahrt werden und schafft Vertrauen bei Investoren und Kunden

Stärkt die Informationssicherheit, minimiert das Risiko von Hackerangriffen und erhöht das Vertrauen

Bietet einen Prüf- und Austauschmechanismus für Informationssicherheit in der Automobilbranche

Risikobewertung

Fokussiert auf den Schutz sensibler Daten und die Sicherung der IT-Systemverfügbarkeit

Basierend auf einer Risikoanalyse, die das Unternehmen durchführt, um angemessene Schutzmaßnahmen festzulegen

Berücksichtigt branchenspezifische Anforderungen und beinhaltet den Schutz von Prototypen und Geschäftsgeheimnissen

Transparenz und Verantwortung

Schafft Transparenz und betont die Verantwortung des Managements und der Mitarbeiter

Integriert Informationssicherheit in die Unternehmenskultur und erfordert die Schulung der Mitarbeiter

Bietet Transparenz und zeigt, dass sensible Daten sicher aufbewahrt sind, speziell in Bezug auf Automobilhersteller und Zulieferer

Schneller zum TISAX®-Label mit der ISMS-Lösung von SECJUR!


Wir bei SECJUR wissen, worauf es bei TISAX®-konformen Informationssicherheitsmanagementsystemen ankommt. Mit dem Digital Compliance Office von SECJUR bauen Sie schnell, flexibel und wirksam ein automatisiertes ISMS, das Sie auf direktem Wege zum TISAX®-Label führen kann!

Das DCO vereint alle relevanten Richtlinien und Aktivitäten und erspart Ihnen durch Übersichtlichkeit und intelligente, automatisierte Prozessen hunderte Stunden Arbeit.

Anne Hillmer

Anne ist eine Expertin auf dem Gebiet der Informationssicherheit mit umfangreicher Arbeitserfahrung im Bundesamt für Sicherheit in der Informationstechnik (BSI). Als ISO/IEC 27001 Lead Implementer und Data Protection Officer verfügt sie über profunde Kenntnisse in der Gestaltung und Umsetzung sicherer IT-Systeme und ist zudem zertifiziert als IT-Security Officer (TÜV) für Informationssicherheit.

Über SECJUR

SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.

Compliance, completed

Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office

Mehr erfahren

Frequently asked questions

Everything you need to know about the product and billing.

Weiterlesen

June 6, 2023
4 min
Was sind sensible Daten nach DSGVO? Definition & Erklärung

Wie allgemein bekannt ist, stellt der Schutz von Daten in unserer Zeit der „Big Data“ eine große Herausforderung dar. Daten sind nicht gleich Daten. Manche sind ganz besonders schützenswert. Namentlich Daten, die zur Diskriminierung führen können. Daten, die über die Einstellung eines potenziellen neuen Mitarbeiters entscheiden können. Daten, die die Gesundheitsgeschichte eines Menschen umreißen. Gerade auf diese Daten sollte niemand unbefugt Zugriff haben. Doch genau solche Daten lagen über Jahre hinweg für jedermann offen im Internet.

Lesen
June 2, 2023
7 min
Standardvertragsklauseln im Datenschutz: 6 To-Dos für Unternehmen

Datenschutz und Datenübermittlung in Drittländern wie den USA sind nach wie vor mit rechtlicher Unsicherheit behaftet. Doch nun gibt es neue EU-Standardvertragsklauseln, die eine weitere Entwicklung in der datenschutzrechtlichen Legitimation von Drittlandübermittlungen darstellen.

Lesen
June 2, 2023
6 min
Abmahnwelle von Noyb: Was steckt dahinter und wie sieht ein rechtskonformes Cookie-Banner aus?

Die Organisation Noyb („My Privacy is None of Your Business“) unter dem Vorsitz von Max Schrems startete Anfang 2021 eine Abmahnwelle gegenüber Unternehmen wegen datenschutzwidriger Cookie-Banner. Doch wie soll ein rechtskonformes Cookie-Banner eigentlich aussehen? Lesen Sie mehr Tipps zur Gestaltung Ihres Banners.

Lesen
TO TOP