Informations­sicherheit auf höchstem Stand: Wer eine TISAX-Zertifizierung vorweisen kann, ermöglicht nicht nur die sichere Arbeit innerhalb der Automobil­industrie, sondern weist sich auch anderen Unternehmen gegenüber als seriöser Partner aus.

Was ist TISAX?

Die Automobil­industrie hat 2017 TISAX ins Leben gerufen – kurz für: Trusted Information Security Assessment Exchange. Ziel war es, einen gemeinsamen Standard für Informations­sicherheit zu schaffen. TISAX wurde aus ISO 27001 entwickelt. Während die internationale Norm aber branchen­unabhängig formuliert ist, hat man TISAX speziell für Anforderungen der Automobil­hersteller eingeführt.

Organisiert wird TISAX von ENX. Die European Network Exchange Association ist ein Verein der europäischen Automobil­industrie, die neben vielen anderen Aufgaben auch die Zulassung von TISAX-Auditoren verwaltet. Außerdem führt die ENX eine öffentliche Datenbank, in der jedes Unternehmen, das erfolgreich ein TISAX-Assessment durchlaufen hat, aufgenommen wird.

TISAX umfasst viele sicherheits­relevante Bereiche eines Unternehmens:

  • IT-Sicherheit
  • Prototypenschutz
  • Kommunikation mit externen Partnern
  • Notfallpläne
  • Sicherheitskontrollen
  • Archivverwaltung
Katalog-Icon

Grundlage der Prüfung ist der TISAX-Fragen­katalog – wegen des Herausgebers, dem Verband der Automobil­industrie, auch VDA-ISA-Katalog genannt. Der Fragebogen wird ständig aktualisiert und umfasst über 60 Fragen, eingeteilt in die Kategorien Informations­sicherheit, Prototypen­schutz und Datenschutz.

TISAX-Zertifizierung: Kosten der Prüfung

Die Kosten für eine TISAX-Prüfung richten sich nach dem angestrebten Assessment-Level und der Größe Ihres Unternehmens. Zudem setzt sich das einzuplanende Budget aus verschiedenen Faktoren zusammen: Zunächst benötigen Sie in der Regel eine anfängliche Beratung, damit Sie Ihr Unternehmen für die Prüfung vorbereiten können. Dann folgt das eigentliche Audit. Zertifizierungs­dienstleister berechnen hierfür benötigtes Personal und Dauer der Prüfung. Da jeder Auditor unterschiedliche Preise festlegen kann, ist es schwer, generell gültige Kosten zu nennen.

Vergessen sollten Sie aber auch interne Kosten nicht. Abhängig davon, wie gut Ihr Informations­sicherheits­managementsystem (ISMS) bereits implementiert ist, fällt auch hier unter Umständen zusätzlicher Aufwand an. Spezialisierte Dienstleister wie das Team von IT-Kompass helfen Ihnen bei der zielgerichteten Einführung eines wirkungsvollen Sicherheits­systems und können so auf längere Sicht die Kosten sogar senken.

TISAX-Level erklärt

TISAX kennt drei verschiedene Assessment Level. Das Level beschreibt, wie intensiv Ihr Unternehmen überprüft wurde.

Welches TISAX Assessment Level das richtige für Ihr Unter­nehmen ist, hängt von den Anforderungen Ihrer Partner ab. Insbesondere Fahrzeug­hersteller (OEMs) erwarten von ihren Zulieferern ein bestimmtes Level.

Ein TISAX-Label hat eine Gültig­keit von 3 Jahren. Nach Ablauf dieser Zeit wird Ihr Unter­nehmen wieder aus der ENX-Datenbank entfernt und Sie müssen erneut eine Prüfung durchlaufen. Dies garantiert, dass alle Sicherheits­vorkeh­rungen auch dauerhaft durch­gesetzt werden.

TISAX-Level 1

Auf der ersten Stufe müssen Sie nur einen Frage­bogen zu Ihren internen Sicherheits­vorkehrungen ausfüllen. Es gibt auf diesem Level keine Prüfung Ihrer Angaben. Deshalb ist das Assessment Level 1 auch nur intern interessant und hat keine Aussagekraft im Umgang mit anderen Unternehmen.

TISAX-Level 2

Auch hier findet zunächst eine Selbst­einschätzung statt. Anschließend führt aber ein externer Dienst­leister eine Plausi­bilitäts­prüfung durch. Diese besteht aus stichproben­artigen Fragen, die meist per Telefon gestellt werden. So kann der Prüfer erken­nen, ob Ihre Angaben plausibel sind.

TISAX-Level 3

Beim höchsten Level wird Ihre Selbsteinschätzung vor Ort überprüft. Dieses Assess­ment ist umfangreich und intensiv. Neben der Akteneinsicht sind auch eine Begehung der Räum­lich­keiten sowie Interviews mit dem relevanten Perso­nal üblich.

Ein TISAX-Label hat eine Gültig­keit von 3 Jahren. Nach Ablauf dieser Zeit wird Ihr Unter­nehmen wieder aus der ENX-Datenbank entfernt und Sie müssen erneut eine Prüfung durchlaufen. Dies garantiert, dass alle Sicherheits­vorkeh­rungen auch dauerhaft durch­gesetzt werden.

Vorteile von TISAX

Mit TISAX zeichnen Sie sich gegenüber Partnern als ein vertrauens­würdiges Unternehmen mit wirksamem Sicherheits­management aus. In der Automobilindustrie wird das Assessment immer wichtiger, und zunehmend fordern Unternehmen eine bestandene Prüfung von ihren Partnern ein. Der große Vorteil bei dem standardisierten Verfahren liegt darin, dass sich Unternehmen nicht unterschied­lichsten Mehrfach­überprüfungen aussetzen müssen. Das TISAX-Label ist von allen Beteiligten der Branche anerkannt.

Blick aus dem Cockpit eines selbstfahrenden Autos mit Heads-up-Display

Häufig gestellte Fragen zu TISAX

Ist TISAX notwendig für mein Unternehmen?

Wenn Sie in der Automobil­industrie aktiv sein möchten, ist TISAX mit hoher Wahrschein­lichkeit eine obligatorische Voraussetzung. Die Erforder­lichkeit, an TISAX teilzunehmen, ergibt sich demnach aus den Anforderungen der Partner­unternehmen. Darüber hinaus kann man sich aber auch proaktiv für eine TISAX-Prüfung entscheiden: Sie zeigen so externen Partnern Ihre Zuverlässigkeit und profitieren außerdem von einem korrekt implementierten ISMS.

Ersetzt TISAX ISO 27001?

Nein, zwar baut TISAX auf der ISO-Norm auf, aber die beiden Standards sind nicht identisch. Man hat TISAX bewusst um Elemente erweitert, die speziell für die Autoindustrie interessant sind. ISO 27001 auf der anderen Seite ist universal gehalten und international anerkannt. Jedes Unternehmen kann eine ISO-27001-Zertifizierung anstreben. Durch die starke Ähnlichkeit wählen Organi­sationen, für die TISAX eine Rolle spielt, oftmals aber ein kombiniertes Audit, um so Zeit und Geld zu sparen. Aber Achtung: Zwar ist ISO 27001 genau wie TISAX drei Jahre lang gültig, Unternehmen müssen sich aber jährlich einer Überprüfung unterziehen.

Bei wem kann man sich prüfen lassen?

Die ENX bestimmt für jedes Land unabhängige Prüfungs­dienstleister. Diesen TISAX-Auditoren – offiziell: TISAX Audit Provider (XAP) – obliegt es, die implementierten ISMS bzw. die Selbstauskunft der teilnehmenden Unternehmen zu überprüfen. Dazu gehören beispielsweise klassische Prüfungs­organi­sationen wie DEKRA oder verschiedene TÜV-Gruppen. Auf der Homepage der ENX kann man sich eine Liste von Prüfungs­dienst­leistern anzeigen lassen.

Während ausschließlich diese wenigen Organisationen das Audit durchführen dürfen, können Sie Unterstützung bei der Vorbereitung auch bei anderen Dienstleistern suchen. IT-Kompass ist seit vielen Jahren im Bereich der IT-Sicherheit aktiv und kann Sie daher mit viel Erfahrung unterstützen.

Was bringt eine TISAX-Beratung?

Die Implementierung eines Information Security Management System (ISMS) ist die Basis einer erfolgreichen TISAX-Prüfung. Doch dies bedarf guter Vorbereitung und Planung. Damit Sie diese Aufgabe nicht allein bewältigen müssen, sollten Sie einen externen Dienstleister beauftragen, der Ihnen mit Rat und Tat zur Seite steht. So können Sie sichergehen, das TISAX-Audit erfolgreich zu bestehen.

Ihr Partner für TISAX: IT-Kompass hilft bei der Vorbereitung

Ein freundlicher Geschäftsmann, der lässig an einer Wand lehnt

Als IT-Experten kennen wir uns auch bestens im Bereich der Informations­sicherheit aus. Wir unterstützen Sie dabei, ein wirkungsvolles ISMS in Ihr Unternehmen zu integrieren. Mit unserer Hilfe und Expertise bereiten Sie Ihr System auf die TISAX-Prüfung vor. Darüber hinaus können wir Ihnen aber auch in vielen weiteren IT- und Sicherheits­fragen kompetent weiterhelfen. Lassen Sie sich jetzt beraten!