TISAX® – Standards für die Automobilindustrie
TISAX® (Trusted Information Security Assessment Exchange) ist ein branchenspezifischer Standard, der speziell für die Automobilindustrie entwickelt wurde, um den vertraulichen Austausch von Entwicklungs-, Konstruktions- und Produktionsdaten in komplexen Lieferketten abzusichern. Der Standard basiert auf der ISO 27001, ergänzt diese jedoch um automobilspezifische Anforderungen wie Prototypenschutz und spezielle Datenklassifizierungen.
Entwickelt wurde TISAX vom Verband der Automobilindustrie (VDA) und der ENX Association. Mit dem im Oktober 2023 veröffentlichten ISA 6.0 wurden die Anforderungen grundlegend aktualisiert und zum 1. April 2024 zum Pflichtstandard erhoben.
Warum TISAX® relevant ist
Die zunehmende Digitalisierung und Vernetzung der Automobilindustrie führt zu massiven Mengen sensibler Daten. OEMs und Zulieferer tauschen kontinuierlich Entwicklungspläne, Software-Quellcodes, Prototypendaten und personenbezogene Informationen aus. Ohne klar definierte Sicherheitsanforderungen würde jede Organisation ihre eigenen Audits durchführen müssen.
TISAX schafft hier einen gemeinsamen Standard:
- Reduziert den Audit-Aufwand in der gesamten Lieferkette
- Ermöglicht transparenten Nachweis des Sicherheitsniveaus
- Schafft Wettbewerbsvorteile durch anerkannte Zertifizierung
- Harmonisiert Sicherheitsanforderungen branchenweit
Praxis-Tipp: Unternehmen mit TISAX-Label signalisieren ihren Partnern ein hohes Maß an Informationssicherheit und erfüllen damit oft eine Grundvoraussetzung für Aufträge in der Automobilindustrie.
Kernkonzepte und Anforderungen
Der TISAX®-Prozess in drei Schritten
Der TISAX-Prozess folgt einem klar strukturierten Ablauf:
1. Registrierung
- Online-Anmeldung über das ENX-Portal
- Definition des Geltungsbereichs (Scope)
- Gebührenpflichtige Registrierung als Voraussetzung
2. Assessment
- Selbstbewertung: Durchführung anhand des ISA-Katalogs
- Externe Prüfung: Audit durch akkreditierten Provider
- Level-Auswahl: Entsprechend dem Schutzbedarf (AL 1-3)
3. Exchange
- Erstellung des TISAX-Reports nach erfolgreichem Audit
- Kontrolliertes Teilen mit ausgewählten Partnern
- Gültigkeit: 3 Jahre (danach Re-Assessment erforderlich)
Assessment Levels und Schutzbedarf
Die Prüftiefe richtet sich nach dem Schutzbedarf der verarbeiteten Informationen:
| Assessment Level | Beschreibung | Typische Anwendung |
|---|---|---|
| AL 1 | Reine Selbstauskunft ohne externe Verifikation | Interne Bestätigung, selten im TISAX-Kontext verwendet |
| AL 2 | Plausibilitätsprüfung mit Dokumentenreview und Remote-Interviews | Grundlegende Informationssicherheit, normaler Schutzbedarf |
| AL 2.5 | Vollständiges Remote-Audit, Übergangsoption zu AL 3 | Flexibler Einstieg mit Upgrade-Möglichkeit |
| AL 3 | Vollständiges Vor-Ort-Audit mit umfassender Verifikation | Höchste Schutzstufe für Prototypen, personenbezogene Daten |
Schutzbedarfsstufen und Assessment Objectives
Mit ISA 6.0 wurden die Schutzbedarfsstufen neu strukturiert:
- Confidential (ersetzt "Info High")
- Strictly Confidential (ersetzt "Info Very High")
- High/Very High Availability (Verfügbarkeitsanforderungen)
- Proto Parts/Proto Vehicles (Prototypenschutz)
ISA 6.0 – Die aktuelle Version
Wichtigste Neuerungen (gültig ab 1. April 2024)
Inhaltliche Änderungen
- Verstärkter Fokus auf IT-/OT-Verfügbarkeit: Betriebskontinuität und Systemverfügbarkeit rücken in den Vordergrund
- Überarbeiteter Datenschutzteil: Vollständige Neustrukturierung der datenschutzrelevanten Kontrollen
- Neue Incident-Management-Kontrollen: Erweiterte Anforderungen an Krisenmanagement und Reaktionsfähigkeit
Strukturelle Anpassungen
- Englisch als Leitsprache: Die englische Version ist maßgeblich
- Neue Mapping-Tabellen: Referenzierung von ISO/IEC 27001:2022 und NIST CSF 1.1
- Erweiterte Leitlinien: Integration von BSI IT-Grundschutz und DSGVO
Spezifische neue Kontrollen
- Funktionierendes Reporting-System für Sicherheitsvorfälle
- IT-Servicekontinuitätsplanung mit definierten RTO/RPO
- Solide Backup-/Restore-Konzepte mit regelmäßigen Tests
- Sicheres Management von Client-Software und Updates
Wichtig: Bestehende Assessments behalten ihre Gültigkeit. Neue Audits ab 1. April 2024 müssen zwingend ISA 6.0 verwenden.
Vergleich TISAX® vs. ISO 27001
Gemeinsamkeiten
- Beide basieren auf einem systematischen ISMS-Ansatz
- Risikobasierte Herangehensweise
- Kontinuierliche Verbesserung (PDCA-Zyklus)
- Viele Kontrollen aus ISO 27001 Anhang A finden sich in TISAX wieder
Unterschiede
| Aspekt | ISO 27001 | TISAX® |
|---|---|---|
| Geltungsbereich | Branchenunabhängig, international | Automobilspezifisch |
| Governance | ISO-Organisation, längere Update-Zyklen | ENX Association, jährliche Updates möglich |
| Audit-Varianten | Einheitlicher Zertifizierungsprozess | Drei Assessment Levels mit unterschiedlicher Prüftiefe |
| Spezialanforderungen | Generische Kontrollen | Zusätzliche Kontrollen für Prototypen, Testfahrzeuge |
| Zertifikatsgültigkeit | 3 Jahre mit jährlichen Überwachungsaudits | 3 Jahre ohne Zwischenaudits |
Praxis-Tipp: Unternehmen mit etabliertem ISO 27001-ISMS haben einen deutlichen Vorteil: Viele vorhandene Kontrollen, Prozesse und Dokumentationen können für TISAX wiederverwendet werden.
Umsetzungshilfen und Best Practices
Vorbereitung und Planung
1. Scope-Definition
- Geschäftsbereiche: Welche Abteilungen sind betroffen?
- Standorte: Welche Lokationen müssen einbezogen werden?
- Informationsarten: Welche Datenklassifikationen sind relevant?
- Kundenanforderungen: Welches Assessment Level wird gefordert?
2. Gap-Analyse durchführen
- ISA-Katalog als Checkliste nutzen
- Vorhandene Maßnahmen dokumentieren
- Lücken identifizieren und priorisieren
- Maßnahmenplan mit Zeitschiene erstellen
3. Audit-Provider auswählen
Akkreditierte Prüfdienstleister sind z.B.:
- TÜV (Nord, Süd, Rheinland)
- DEKRA
- SGS
- Bureau Veritas
- PwC, KPMG, EY, Deloitte
Durchführung des Assessments
Interne Vorbereitung
- Management-Commitment: Sichtbare Unterstützung der Geschäftsführung
- Ressourcen bereitstellen: Zeit, Budget und Personal einplanen
- Interne Audits: Probelauf vor dem externen Assessment
- Dokumentation: Alle Nachweise strukturiert vorbereiten
Stakeholder-Einbindung
Folgende Bereiche sollten frühzeitig involviert werden:
- IT-Security und IT-Betrieb
- Datenschutzbeauftragter
- Entwicklung und Produktion
- Facility Management (bei Prototypenschutz)
- HR (für Awareness und Schulungen)
Bei Assessment Level 3
- Vor-Ort-Termine koordinieren
- Interviewpartner briefen
- Begehungsrouten planen
- Technische Demonstrationen vorbereiten
Nach dem Assessment
Ergebnisse managen
- TISAX-Label erhalten: Nach bestandener Prüfung
- Freigabesteuerung: Gezieltes Teilen mit Partnern
- Nicht-Konformitäten: Systematisch abarbeiten
- Lessons Learned: Erkenntnisse dokumentieren
Kontinuierliche Verbesserung
- Regelmäßige Management-Reviews
- Interne Audits mindestens jährlich
- Risikobewertungen aktualisieren
- ISA-Updates verfolgen und umsetzen
Integration mit der fuentis Suite
Die fuentis Suite unterstützt den gesamten TISAX-Prozess durch integrierte Module:
Risikomanagement-Modul
- Strukturierte Risikobewertung nach ISA-Vorgaben
- Automatisierte Risikomatrix
- Maßnahmenverfolgung und -controlling
- Risikoreporting für Management und Auditoren
Compliance-Modul
- Vorgefertigte ISA 6.0-Templates
- Automatische Nachweisführung
- Reifegradbewertung pro Kontrolle
- Gap-Analyse und Maßnahmenableitung
Asset-Management
- Inventarisierung aller Informationswerte
- Klassifizierung nach Schutzbedarf
- Verantwortlichkeitszuordnung
- Lifecycle-Management
Dokumentenmanagement
- Zentrale Ablage aller TISAX-Dokumente
- Versionierung und Freigabeworkflows
- Automatische Archivierung
- Audit-Trail für Nachvollziehbarkeit
Audit- und Review-Module
- Planung interner Audits
- Checklistenbasierte Durchführung
- Finding-Management
- Wirksamkeitsprüfung von Maßnahmen
Praxis-Tipp: Die Integration aller TISAX-relevanten Prozesse in einer Plattform reduziert den Verwaltungsaufwand erheblich und schafft Transparenz für alle Beteiligten.
Praktische Tipps für die Umsetzung
Häufige Stolpersteine vermeiden
- Unterschätzung des Aufwands: AL 3 erfordert 6-12 Monate Vorbereitung
- Fehlende Dokumentation: Ohne Nachweise kein erfolgreiches Audit
- Scope zu groß gewählt: Lieber fokussiert starten und später erweitern
- Prototypenschutz vernachlässigt: Physische Sicherheit ist oft die größte Herausforderung
- Keine Testläufe: Interne Audits sind essentiell für den Erfolg
Erfolgsfaktoren
- Frühzeitige Planung: Mindestens 6 Monate vor geplantem Audit starten
- Projektmanagement: Dedizierter TISAX-Projektleiter mit klarem Mandat
- Pragmatischer Ansatz: Nicht übertreiben, aber Anforderungen ernst nehmen
- Lernen von anderen: Erfahrungsaustausch mit TISAX-zertifizierten Unternehmen
- Tool-Unterstützung: Digitale Lösungen wie fuentis Suite nutzen
Nutzen
- Marktzugang in der Automobilindustrie
- Reduzierte Audit-Anfragen von Kunden
- Verbesserte Sicherheitskultur
- Effizientere Prozesse
- Wettbewerbsvorteil bei Ausschreibungen
Kernaussagen auf einen Blick
- Branchenstandard der Automobilindustrie: TISAX® ist der de-facto Standard für Informationssicherheit in der automobilen Lieferkette, basierend auf ISO 27001 mit spezifischen Zusatzanforderungen.
- Dreistufiger Prozess mit flexiblen Assessment Levels: Registrierung, Assessment und Exchange bilden den strukturierten Ablauf. Die Prüftiefe (AL 1-3) richtet sich nach dem Schutzbedarf der Informationen.
- ISA 6.0 als aktuelle Grundlage: Seit April 2024 ist der überarbeitete Katalog mit verstärktem Fokus auf Verfügbarkeit, Incident Management und Datenschutz verpflichtend.
- Synergie mit ISO 27001: Bestehende ISMS-Implementierungen nach ISO 27001 bilden eine solide Basis und reduzieren den TISAX-Aufwand erheblich.
- Wettbewerbsvorteil und Marktzugang: Das TISAX-Label ist oft Voraussetzung für Aufträge in der Automobilindustrie und signalisiert professionelles Sicherheitsmanagement.