Zum Inhalt gehen

Mit Prüfungsstandard TISAX die Automobilzuliefererbranche sicherer machen

11/24

Vor etwa sieben Jahren einigten sich Fahrzeughersteller auf den Prüfungsstandard Trusted Information Security Assessment Exchange, kurz TISAX. Wie GxP im Pharmabereich und BAFIN im Finanzsektor legt TISAX für die Automobilindustrie fest, wie die Spielregeln für Zulieferer im Umgang mit Informationen und Daten aussehen. Das System ist das Fundament für den Automobilmarkt, auf dem sichere innovative Anwendungen für vernetztes und autonomes Fahren entstehen können. Und es ist inzwischen eine Voraussetzung für Zulieferer, um mit OEMs zusammenarbeiten zu können. 

Vor nicht einmal zwei Jahren wurde bekannt, dass Spezifikationen von großen OEMs im Darknet zu finden waren. Der Grund: Hacker hatten sich etwa ein Jahr lang in den Systemen eines Tier-1-Zulieferers aufgehalten und Informationen abgezogenen. Nach Handelsblatt-Angaben wurden 50 Millionen US-Dollar für deren Rückgabe verlangt. Zwar lassen sich derartige Cyberattacken nie vollständig vermeiden. Doch wenn sie passieren, sollte man die Lücke ausmachen und schließen können. Um hier vorzubeugen, implementiert Capgemini Managementsysteme der Informationssicherheit.

Basis: Risikoanalyse für sämtliche Prozesse

Der Prüfungsstandard TISAX liefert die Grundlage dafür. Denn er legt fest, nach welchen Regeln Informationen im Unternehmen ausgetauscht werden, egal ob verbale, digitale oder gedruckte. Vom CEO bis zum Pförtner, vom Einkauf über die Produktion bis zum Verkauf, hin zu Lieferanten: Sämtliche Prozesse und Assets werden beispielsweise einer Risikoanalyse unterzogen, und revisionssicher dokumentiert. Wo stehen Richtlinien oder Vorgaben geschrieben, wie wurden sie umgesetzt, wo ist der Nachweis, wer ist in der Verantwortung? Das sind die Fragen, die beispielsweise schon beim Einsatz eines Laptops im Unternehmen eine Rolle spielen. Ist dies nicht sauber erfasst, können Sicherheitslücken entstehen, etwa weil das Gerät nicht verschlüsselt ist, der Virenschutz fehlt oder das Gerät keinen Privacy-Filter im Einsatz hat. Um professionell und korrekt vorzugehen wird hierfür zuvor die Vorgehensweise in „Policies“ beschrieben. Gibt es beispielsweise kein Identity and Access Management (IAM) oder Privileged Access Management (PAM) und das Unternehmen speichert seine Informationen in der Cloud, so könnte sich ein Sicherheitsproblem schnell auf das gesamte Unternehmen ausbreiten.

Entstanden ist TISAX in Zusammenarbeit mit den OEMs, dem Verband der Deutschen Automobilwirtschaft (VDA) und den Zulieferern der Automobilindustrie, die den Verein der ENX Association gründeten. Deren Ziel: Ein sicherer und vertrauenswürdiger Austausch von Informationen in den Wertschöpfungsketten der Automobilindustrie.

OEMs fordern meist TISAX Assessment Level 2 oder 3 von Zulieferern ein

Letztlich geht es bei TISAX um die Einhaltung der übergeordneten Schutzziele „Vertraulichkeit“, „Verfügbarkeit“ und „Integrität“.

Im Prüfungskatalog des Automobilverbandes VDA zur Informationssicherheit, kurz VDA ISA (Version 6.x), sind drei Assessment Level vorgesehen, wobei die Level zwei und drei für die Teilnahme am Automobilmarkt relevant sind. Für den Assessment Level 1 (AL 1) macht das Unternehmen ein internes Audit, das nicht unabhängig überprüft wird. Auf Assessment Level 2 (AL 2) stellt das Unternehmen die nötigen Dokumente und Nachweise zur Einhaltung der geforderten Prüfungen zusammen, die stichprobenartig von unabhängigen Prüfdienstleistern auf Plausibilität untersucht werden. Beim Assessment Level 3 (AL 3) findet eine detaillierte Prüfung des gesamten VDA ISA vor Ort statt.

Capgemini unterstützt Unternehmen bei TISAX-Zertifizierung Labeln

Capgemini unterstützt Kunden darin, das Unternehmen hinsichtlich der Informationssicherheit zu bewerten und mögliche Sicherheitslücken nach dem Stand der Technik zu schließen. Wir sprechen von einer so genannten Audit Readiness gemäß dem Informationsmanagementsystem TISAX für die gewünschten Label AL2 oder AL3.

Dafür implementieren und prüfen wir das Information Security Management System (ISMS), bewerten Prozesse und erzeugen alle erforderlichen Nachweise gemäß dem VDA ISA. Der Vorteil liegt u.a. darin, dass Capgemini zugelassene Auditoren selbst im Hause hat, die detaillierte Vorprüfungen nach Implementierung durchführen. So stellen wir sicher, dass die Audit Readiness vorhanden ist. Capgemini liefert nicht nur den Attestierungsservice, sondern stellt auch den Kunden die operative Umsetzung und die Basis aller Cyber-Security-Anforderungen (bspw. vom Incident Management bis zum Penetrationstest) zur Verfügung. Falls nötig und sinnvoll, stellt Capgemini sogar einen Informationssicherheitsbeauftragten (CISO) für die Vorbereitung und Durchführung der Prüfung.

Eine komplette ISMS-TISAX-Implementierung dauert je nach Unternehmensgröße und Standortanzahl des Unternehmens etwa vier bis sechs Monate.

Checklisten-basierter Ansatz: Es muss sofort geliefert werden

Anders als bei der prozessorientierten ISO-Zertifizierung basiert das TISAX-Labeling auf einem Checklisten-basierten Ansatz. Es passiert also nicht, dass der Auditor beim Zertifizierungsaudit spontan entscheiden kann, einen Vorgang bei einem später folgenden Überwachungsaudit erneut anzusehen.

Bei TISAX muss sofort, also während des Assessments, geliefert werden. Gibt es Defizite, kann der Auditor je nach Risiko hinsichtlich des ISMS eine Haupt- oder Nebenabweichung aussprechen. Diese muss das Unternehmen im Anschluss des Assessments innerhalb einer Frist beheben, um das Label zu erreichen. Stellt der Auditor ausschließlich Nebenabweichungen fest, besteht die Möglichkeit auf ein temporäres Label – das beinhaltet aber auch einen Maßnahmenplan, der innerhalb einer definierten Frist abgearbeitet werden muss. Ist dieser Maßnahmenplan umgesetzt, steht einem erfolgreichen Follow-Up-Assessment nichts mehr im Wege.

Gut zu wissen:

  • Wer ein Label bekommen hat, muss jährlich ein internes Audit durchführen. Alle drei Jahre muss zudem die Auditierung durch einen externen Prüfungsdienstleister wiederholt werden.  
  • Im Rahmen einer ISMS-Implementierung von TISAX können auch weitere Normen in Kombination wie Datenschutz, ISO 27001, IEC 62443, eine ganz klassische Cloudzertifizierung nach ISO 27017 oder die EU-Richtlinie zur Netzwerk- und Informationssicherheit NIS2 berücksichtigt werden.  
  • NIS2 ist für alle relevanten Unternehmen der „verarbeitenden Unternehmen §28 NIS2 Umsetzungsgesetz“ aus dem Fahrzeugbau relevant und verpflichtend.

Expertenaustausch:

Wollen Sie dieses Thema auch angehen oder haben Sie bereits Erfahrungen gesammelt?

Schreiben Sie uns doch einfach! Wir freuen uns auf den Austausch mit Ihnen.

Unsere Expert*innen

Markus Jans

Senior Manager Attestation & Senior Cyber Security Auditor | Capgemini
Markus Jans, Senior Manager Attestation & Senior Cyber Security Auditor Capgemini, ist studierter Nachrichtentechnik-Ingenieur und staatl. gepr. Elektrotechniker. Er begann seine berufliche Tätigkeit als Entwicklungsingenieur für Hard-/Software (BOSCH). Weitere Stationen folgten, u. a. bei TEVA Pharmaceutical AG und DEKRA Certification. Er ist seit sieben Jahren u. a. Lead Auditor 3rd Party (ISO 27001, TISAX, ISO 9001) und seit 2023 bei Capgemini als Lead für die Thematik Attestation zuständig. Aus diesem Bereich steuert er Implementierungsprojekte im Bereich Cyber Security in den Branchen Automotive und Life Science bis hin zur Zertifizierung gemäß den regulatorischen Anforderungen. Markus Jans ist u. a. Gründungsmitglied beim BSI im AK ACSMS und unterstützt diverse Gremien hinsichtlich Cyber-Security-Fragen.

Eike Daumer

Regional Head Cybersecurity, Attestation Service
Eike hat langjährige Erfahrung im Bereich Cybersecurity und IT-Compliance. Seine Expertise umfasst die Entwicklung, Implementierung und Auditierung von Cybersecurity-Managementsystemen über verschiedene Branchen hinweg. Mit einem klaren Fokus auf GRC, SOX, KRITIS und ISO/IEC 2700x unterstützt Eike seine Kunden erfolgreich bei der Erfüllung von Compliance-Anforderungen und Zertifizierungen. Als anerkannter Lead Auditor für ISO 27001 und KRITIS begleitet er Unternehmen mit einer strategischen und praxisorientierten Herangehensweise.

Anke Rieche

Global Automotive Program Lead
Anke ist eine Business Development Expertin mit 20 Jahren Erfahrung in den Bereichen Software, Infrastruktur und Beratung. Als hochmotivierte Teamplayerin mit ausgeprägter Kundenorientierung hat sie sich einen Namen für die Entwicklung und Umsetzung von Markteinführungskonzepten gemacht, insbesondere im Zusammenhang mit den SAP-Plattformen S/4 HANA und Intelligent Enterprise, vor allem im Automobilmarkt. Anke ist davon überzeugt, dass Automobilzulieferer und OEMs durch den Einsatz der Automotive Cloud-Lösungen von SAP, einschließlich der gemeinsamen Entwicklungen von SAP und Capgemini und der Co-Innovation mit Pilotkunden, neue Dimensionen der Agilität und Geschwindigkeit erreichen können.