Die Automobilindustrie hat in den letzten 20 Jahren den Fokus auf digitale Technologien gesetzt. Beispielsweise finden wir heute in jedem Auto eine Rückfahrkamera, Bluetooth, CarePlay, Reifendruckmessung, Geschwindingungsbegrenzer und vieles mehr. Dadurch werden die Systeme immer anfälliger auch für Bedrohungen wie wir sie aus der Informationssicherheit ISO 27001 und den TISAX® Assessment Anforderungen kennen.
ENX, TISAX® und ihre jeweiligen Logos sind eingetragene Marken der ENX Association. SMCT Management steht in keiner geschäftlichen Beziehung zu ENX Association. Unser Angebot bezieht sich lediglich auf Beratung und Unterstützung zur Vorbereitung auf das TISAX® Assessment. Die ENX Association ist nicht verantwortlich für die Inhalte auf unserer Webseite.
Gerade deswegen haben die Automobilhersteller (OEM) mit dem ENX-Verband (Verband europäischer Fahrzeughersteller) bereits in 2016 einen neuen Standard mit namens TISAX entwickelt. TISAX setzt auf den durch den Verband der deutschen Automobilindustrie VDA entwickelten Anforderungen „VDA ISA Fragenkatalog 5.X“ auf. ISA bedeutet „Information Security Assesment“. Der Anforderungskatalog des VDA ISA setzt auf die im Anhang A der ISO 27001 Maßnahmen (Kontrollen) auf oder sind derer sehr ähnlich.
Neben den bereits in der ISO 27001 im Anhang A aufgeführten Sicherheitskontrollen hat der Fragenkatalog VDA ISA® noch weitere Sicherheitskontrollen bzgl. EU-DSGVO (Datenschutz) und Prototypenschutz implementiert.
Die Reifegrade
Für die Umsetzung der Reifegrade der Assessment Anforderungen setzt der TISAX® Standard der ENX Association auf eine Reifegradbewertung, um deren Wirksamkeit aufzuzeigen. Ausserdem wird für jede Anforderung aus dem Fragenkatalog eine Zielreifegradbewertung gefordert. Gerade Unternehmen, die Step by Step die Anforderungen umsetzen wird dadurch die Möglichkeit gegeben, zuerst einen Mindestreifegrad zu implementieren. Durch die Reifegradbewertung erhalten sie im Laufe der Zeit eine kontinuierliche Verbesserung ihres ISMS. Den Reifegrad, den Sie erreichen müssen bestimmt der Kunde.
Welche Bedeutung haben die TISAX® Assessment Level
- Assessment Level 1: Selbsteinschätzung ohne Plausibilitätsprüfung
- Assessment Level 2: Remote Überprüfung durch die Zertifizierungsstelle – der Assessment Level 2 beinhaltet eine Überprüfung der eingereichten Dokumentation und Nachweise. Im Anschluss daran wird eine Telefonkonferenz bzw. Remote Überprüfung stattfinden
- Assessment Level 3: Vor Ort Überprüfung durch die Zertifizierungsstelle – der Assessment Level 3 wird vor Ort im Unternehmen durchgeführt. Bewertet werden die Dokumentation, Nachweise und die Räumlichkeiten bzw. das Firmengelände.
Selbsteinschätzung
Für die TISAX Selbsteinschätzung kann der ISO 27001 (Anhang A) implementiert werden. Durch die Selbsteinschätzung wird überprüft ob der erwartete Reifegrad den TISAX Anforderungen entspricht. Die Selbsteinschätzung erfolgt über den Anforderungskatalog VDA ISA 5.03 (Stand 2021). Herausgeber des Anforderungskatalogs ist der Verband der deutschen Automobilindustrie.
VDA ISA Anforderungskatalog
Der VDA ISA Anforderungskatalog kann von der Webseite des VDA heruntergeladen werden (Excel Sheet). Der Kriterienkatalog ist in drei Kategorien unterteilt: Informationssicherheit, Prototypenschutz und Datenschutz. Die Anforderungen (Fragen) in der Kategorie sind für alle Unternehmen gültig. Die Kategorien enthalten mehr als ein Prüfziel pro Kriterienkatalog. Anders als bei der ISO 27001 wo nur ein Maßnahmenziel einer oder mehrerer Maßnahmen zugeordnet werden kann. Man sollte sich intensiv mit den Kriterienkatalog des VDA beschäftigten.
PDCA Zyklus
Im Gegensatz zur ISO 27001 keinen PDCA Zyklus als kontinuierliche Verbesserung implementiert. Eine Reifegradbewertung kann nicht nur für die Kontrollen (Maßnahmen) eingeführt werden, sondern auch für alle Prozesse im ISMS. Bewerten Sie ihre Prozesse anhand der Reifegradbewertung und zeigen Sie dadurch die kontinuierliche Verbesserung ihrer Prozesse und des gesamten ISMS auf. ISO 27001 und VDA ISA Katalog sind sehr ähnlich aufgebaut.
Wenn Sie bereits ein zertifizertes ISMS nach ISO/IEC 27001 eingeführt haben, dann sind die Anforderungen zur Informationssicherheit in Punkto DSGVO und Prototypenschutz als weiterer Baustein zu implementieren. Die Anforderungen des Prototypenschutz müssen nur dann implementiert werden, wenn Ihnen Prototypen durch ihre Kunden bereitgestellt werden. Die Anforderungen an den Prototypenschutz sind nicht ohne höheren Aufwand zu implementieren.
Kosten für eine TISAX Unterstützung
Viele Unternehmen nehmen die Unterstützung von externen Beratern gerne in Anspruch . Die zu erwartenden Kosten für eine Unterstützung zur Implementierung des TISAX® Standards sind je nach Unternehmensgrösse unterschiedlich. In der Regel muss man mit Kosten von 20.000 – 50.000 EUR für kleine- und mittelständische Unternehmen rechnen. Hinzu kommen noch Kosten für Investitionen in neue Server, Räumlichkeiten, Video bzw. Alarmanlagen und sonstige Investitionen in die Infrastruktur, z.B. Sichtschutz bei Fenstern und Türen.
Forderungen der Automobilindustrie nach TISAX®
Alle bekannten Fahrzeughersteller in Deutschland fordern inzwischen von ihren Lieferanten, die Software oder Produkte mit integrierter Software liefern, den TISAX Standard. Daimler mit der MBST 2020 oder Volkswagen in der Geheimhaltungsvereinbarung Teil 2. Alle Lieferanten, die eine Geheimhaltungsvereinbarung mit Volkswagen unterschreiben, verpflichten sich, die ISO 27001 und die Ergänzung des VDA ISA einzuführen.
Zusammenfassung
ISO 27001 und die Assessment Anforderungen des TISAX® Standards sind ähnlich aufgebaut und ergänzen sich. Alles in allen erhöhen die TISAX Anforderungen die Messlatte des ISMS. Grundsätzlich können beide Systeme miteinander und verbessern die Prozesse sowie das gesamte Informationssicherheitsmanagementsystem ISMS.