Symboldbild für TISAX-Zertifizierung

TISAX-Zertifizierung: IT-Sicherheit für die Automobilbranche

Die Automobilbranche hat sich auf die TISAX-Zertifizierung geeinigt, um gewisse Sicherheitsstandards zu garantieren. Was steckt hinter der TISAX-Zertifizierung und welche Anforderungen stellt sie an die Unternehmen? Wir zeigen Ihnen, worauf es dabei ankommt.

2022-12-23

Logo

Wenige Branchen sind so von Innovation, Weiterentwicklung und Kreativität geprägt wie die Automobilindustrie. Egal ob es um neue Assistenzsysteme, Mechanik, Patente oder ein neues Design geht, hinter jeder neuen Entwicklung, hinter jedem neuen Modell steckt ein großes Team. Hersteller sind daher darauf angewiesen, dass alle Beteiligten gewisse Sicherheitsstandards erfüllen, um Datenlecks und öffentliche Reputationsschäden zu vermeiden.

Daher hat sich die Automobilbranche auf die TISAX-Zertifizierung geeinigt, einen europäischen Prüfmechanismus, der den Informationssicherheitsstandard der ISO 27001 garantiert. Damit kann sich jeder Autohersteller sicher sein, dass die Zulieferer und Partner die höchsten Sicherheitsstandards einhalten und keine sensiblen Daten an die Öffentlichkeit gelangen. Doch was steckt hinter der TISAX-Zertifizierung und welche Anforderungen stellt sie an die Unternehmen? Wir zeigen Ihnen, worauf es bei der TISAX-Zertifizierung ankommt.

Sie benötigen Unterstützung im Datenschutz oder haben Fragen zur TISAX-Zertifizierung in Ihrem Unternehmen? Unser Team besteht aus mehr als 90 Datenschutzexperten, die Sie gerne umfassend zum Thema Datenschutz und TISAX-Zertifizierung beraten. Nehmen Sie jederzeit Kontakt zu uns auf.

Das Wichtigste in Kürze

  • TISAX definiert die Standards für Informationssicherheits-Management-Systeme (ISMS) in der Automobilindustrie. Es handelt sich dabei um ein Gutachten, das auf der ISO-Norm 27001 basiert.
  • Der europäische Verband der Automobilindustrie (ENX Association) hat sich mit dem TISAX-Label auf einen Prüf- und Austauschmechanismus verständigt. Auf diese Weise sollen einheitliche Standards in der Automobilindustrie gewährleistet werden.
  • Das Labeling sowie die Eintragung in die TISAX-Datenbank ist für alle teilnehmenden Unternehmen einsehbar und somit entscheidend für eine Zusammenarbeit.
  • Das TISAX Assessment bedarf einer langfristigen Planung und Vorbereitung. Unternehmen sollten also möglichst frühzeitig mit der Umsetzung beginnen.

Was ist TISAX?

TISAX (engl. „Trusted Information Security Assessment Exchange" - Abkürzung für Bewertungsaustausch über vertrauenswürdige Informationssicherheit) ist ein Prüf- und Austauschverfahren für Informationssicherheit, das unternehmensübergreifend in der Automobilindustrie verwendet wird.

Ziel ist es, sichergestellt zu wissen, dass keine unternehmensbezogenen Daten nach außen dringen, sondern dass diese bestmöglich vor fremden Zugriffen geschützt sind. Seit dem Jahr 2000 ist TISAX eine eingetragene Marke der ENX Association, also dem Verband der europäischen Automobilindustrie. Die TISAX-Zertifizierung betrifft somit vorrangig alle europäischen Autohersteller und Zulieferbetriebe.

Die Durchführung des Verfahrens basiert auf einem ISA-Fragebogen (engl. Information Security Assessment), der vom Verband der Deutschen Automobilindustrie ausgehändigt und von der ENX Association durchgeführt wird.

TISAX und ISO 27001

TISAX basiert auf den Standards der internationalen Norm ISO 27001. ISO ist eine internationale Organisation, die ähnlich wie die deutsche DIN-Gesellschaft Normen-Kataloge herausgibt, die Standards in allen Lebensbereichen schaffen.

Genau wie bei der ISO 27001 geht es bei TISAX um Vorgaben im Hinblick auf die Strukturierung, die Abwicklung und den Betrieb von ISM-Systemen. Die Sicherheitsvorgaben bleiben also fast gleich. TISAX ergänzt nur weitere Anforderungen speziell für Prototypen und Datenschutz, die sich konkret an die Automobilbranche richten.

Kurzgefasst: TISAX entspricht der internationalen Norm ISO 27001, allerdings mit Ergänzungen und Optimierungen speziell für die Automobilbranche. Die Standards der ISO 27001 werden mit TISAX in jedem Fall erfüllt, wenn nicht sogar durch strengere oder weiterreichende Vorgaben ergänzt.

Ist eine TISAX-Zertifizierung zwingend notwendig?

Wer mit Autoherstellern arbeitet oder diese als Geschäftspartner gewinnen will, sollte eine TISAX-Zertifizierung durchlaufen.

Unternehmen der Automobilbranche sind zwar nicht verpflichtet, eine TISAX-Zertifizierung durchzuführen oder ein TISAX-konformes ISMS vorzuweisen. Es gibt auch keine gesetzlichen Vorgaben, die ein solches Verfahren zwingend vorschreiben. Damit ist ein TISAX-Audit grundsätzlich freiwillig.

Allerdings handelt es sich bei der TISAX um einen europaweit verbreiteten Standard, den nahezu alle Unternehmen und Autohersteller nutzen und auch erwarten. Die TISAX-Zertifizierung entscheidet also über die Akzeptanz von Automobilunternehmen auf dem Markt und kann auch für die Zusammenarbeit mit Kooperationspartnern entscheidend sein.

TISAX: Welche Anforderungen müssen erfüllt werden?

Grundsätzlich ist jedes Unternehmen in der Lage, den TISAX zu erfüllen – mit ausreichender Vorbereitung. Je nach Unternehmensgröße steigt auch der Aufwand zur Erfüllung der Anforderungen. Denn je größer ein Unternehmen ist, desto komplexer sind auch die Prozesse, die zur Einhaltung der Vorgaben optimiert werden müssen.

Die Prozesse innerhalb des Unternehmens müssen sich an die Anforderungen des vorgesehenen ISMS anpassen und dieses erfüllen. Häufig müssen die Standards der ISO 27001 in Grundzügen erfüllt werden, in einigen Bereichen gelten weiterreichende Anforderungen. Dies ist vor allem davon abhängig, welches Assessment-Level erreicht werden soll. Grundlage für alle Level ist der Fragenkatalog des Verbands der Automobilindustrie (VDA).

Die Schutzanforderungen werden in 3 Schutzniveaus gegliedert:

  • Für Level 1 ist eine Selbstauskunft über den Fragenkatalog ausreichend.
  • In Level 2 werden Prüfdienstleister der ENX Association eingeschaltet, die die Angaben kontrollieren. Dies findet nur auf Nachfrage zu Angaben in der Selbstauskunft statt. Die Überprüfung der Angaben kann sowohl vor Ort als auch ortsunabhängig erfolgen.
  • Bei hohem Schutzbedarf in Level 3 sind die Prüfdienstleister ausschließlich vor Ort tätig und verifizieren die Angaben in allen Bereichen.

Wie erhalte ich eine TISAX-Zertifizierung?

Wichtig zu wissen ist, dass es grundsätzlich kein Zertifikat für den TISAX gibt. Daher ist der geläufige Begriff "TISAX-Zertifizierung" etwas irreführend formuliert. Es handelt sich vielmehr um einen Mechanismus, bei dem alle Anforderungen überprüft und anschließend ein Gutachten erstellt wird. Im Gutachten können alle Ergebnisse zusammengefasst eingesehen werden. Anstelle eines Zertifikats gibt es ein Label, mit dem die geprüften Unternehmen auch für sich werben können.

Daneben erfolgt die Eintragung in eine Datenbank, die von der ENX Association geführt wird und in dem "sichere" Unternehmen aufgelistet werden. Alle Teilnehmer haben Zugriff auf diese Datenbank, weshalb insbesondere große Unternehmen neue Zulieferer oder Geschäftspartner vor Vertragsschluss über diese Liste überprüfen.

TISAX-Label erhalten: So gehen Sie am besten vor

  • Informieren Sie sich anhand von TISAX-Leitfäden über Ihre Rechte und Pflichten bei der Beantragung eines TISAX-Gutachtens. Gerne unterstützt unser juristisch sowie technisch geschultes Personal Sie bei den Vorbereitungen auf den TISAX.
  • Um am TISAX-Assessment teilzunehmen, müssen Sie Ihr Unternehmen zunächst registrieren. Vor diesem Schritt sollten Sie allerdings in jedem Fall Vorarbeit leisten, um als TISAX-konformes Unternehmen das Assessment zu bestehen.
  • Im Anschluss erhalten Sie den Fragebogen zum Self-Assessment und wählen einen Prüfdienstleister aus, der vor Ort und digital die Angaben überprüft.
  • Werden während der Überprüfung Schwachstellen gefunden, können diese in einem Optimierungsprozess beseitigt werden. Im Idealfall erhalten Sie in Kürze ein Label, gefolgt von einer Eintragung in die TISAX-Datenbank.

Fazit

Die TISAX-Zertifizierung ist ein Gutachten basierend auf den Standards der ISO 27001. Diese ist genau abgestimmt für alle Beteiligten der Automobilindustrie, vom großen Autohersteller bis zum kleinen Zulieferer. Auch wenn eine TISAX-Zertifizierung nicht gesetzlich vorgeschrieben ist, wird eine TISAX-Auszeichnung von Unternehmen aus der Automobilbranche erwartet.

Mit einem TISAX-Label wird ein einheitlicher Standard für Informationssicherheit und Datenschutz aller beteiligten Unternehmen der Automobilindustrie geschaffen. Jeder Betrieb der Branche, egal welcher Größe, sollte sich daher bewusst sein, wie es nicht nur um die Datensicherheit, sondern insbesondere auch um die eigene Wirtschaftlichkeit geht.

Sie haben Fragen zum TISAX?

Gerne beraten wir Sie zu den Möglichkeiten für Ihr individuelles Unternehmen in der Automobilbranche. Neben Datenschutzexperten, die Ihnen mit Fachwissen und jahrelanger Erfahrung zur Seite stehen, können Sie von unseren Beratungsangeboten zum Thema Datenschutz und Informationssicherheit für Unternehmen profitieren. Kommen Sie für eine unverbindliche Erstberatung jederzeit auf uns zu.

Jetzt mehr erfahren

Autor: Team datenschutzexperte.de
Artikel veröffentlicht am 23.12.2022

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Portraits unserer Datenschschutzexperten Dominik Fünkner, Dorothea Teichman, Nathalie Dold und Hauke Gerdey
Portraits unserer Datenschschutzexperten Dominik Fünkner, Dorothea Teichman, Nathalie Dold und Hauke Gerdey

Wir managen Ihren Datenschutz

Unsere zertifizierten Datenschutzbeauftragten helfen Ihnen, Datenschutzvorgaben sicher und pragmatisch umzusetzen. Profitieren Sie von unserem Knowhow aus über 2000 Kundenprojekten in über 50 Branchen.

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr