12/2023 – Fachartikel Swiss Infosec AG
Hinter den fünf Buchstaben TISAX verbirgt sich ein anerkannter Standard für die Sicherheit sensibler Informationen in der Automobilindustrie. Doch was genau steckt hinter dieser Abkürzung, und warum ist TISAX für Unternehmen, insbesondere für Lieferanten in der Automobilindustrie, von grosser Bedeutung?
«Trusted Information Security Assessment Exchange» (TISAX) bezeichnet ein unternehmensübergreifendes Prüf- und Austauschverfahren in der Informationssicherheit. Dabei wird der Schutz von Informationen, ihrer Integrität und Verfügbarkeit im Herstellungsprozess von Fahrzeugen gewährleistet. Es ist ein Standard, der sicherstellt, dass Unternehmen in der Automobilbranche angemessene Massnahmen zum Schutz sensibler Informationen implementieren.
Der deutsche Verband der Automobilindustrie (VDA) hat spezielle Anforderungen und den Prüfkatalog „VDA-ISA“ (Information Security Assessment) für die Automobilbranche entwickelt. Die Wirksamkeit des Informationssicherheitsmanagements wird durch Assessments gegen den VDA-ISA nachgewiesen, wobei das TISAX-Label bei erfolgreicher Prüfung von der ENX (European Network Exchange) Association ausgestellt wird.
Vorteile von TISAX:
- Relevante Prüfkriterien für die Automobilbranche
- Hohe homogene Prüfqualität und aussagekräftige Ergebnisse
- Standardisierte Prüf- und Berichtsverfahren
- Vermeidung von Doppel- und Mehrfachprüfungen
- Etablierung eines Risikomanagements zur Risikoreduktion
- Breite Akzeptanz und konsequente Ausrichtung auf Kundenbedürfnisse
Insbesondere Lieferanten der Automobilindustrie sehen sich mit der Notwendigkeit konfrontiert, TISAX-konform zu sein. Automobilhersteller und Lieferanten fordern vermehrt die Einhaltung dieser Standards als Voraussetzung für eine Zusammenarbeit. TISAX wird somit zu einem entscheidenden Faktor für die Lieferantenqualifikation.
Drei Kriterienkataloge zur Auswahl
Der VDA-ISA enthält derzeit drei Kriterienkataloge:
- Informationssicherheit
- Prototypenschutz
- Datenschutz
Jeder Kriterienkatalog enthält zwischen zwei und vier Prüfzielen. Jedes Prüfziel definiert die massgeblich zu erfüllenden Anforderungen im jeweiligen Kriterienkatalog.
Welche Schutzbedarfe und Assessment-Levels gibt es?
TISAX unterscheidet zwischen verschiedenen Schutzbedarfen und Assessment-Levels (AL), die Sicherheitsanforderungen je nach Sensibilität der Informationen und individuellen Unternehmensbedürfnissen anpassen. Hierbei spielen die Schutzbedarfe „normal“, „hoch“ und „sehr hoch“ eine zentrale Rolle. Diese ermöglichen eine differenzierte Betrachtung und Umsetzung entsprechender Sicherheitsvorkehrungen.
Die drei Assessment-Level unterscheiden sich in der Tiefe der TISAX-Prüfung.
Welches Assessment-Level für welches TISAX-Prüfziel verwendet wird, sehen Sie hier:
| Nr. | TISAX-Prüfziel | Assessment-Level (AL) |
|---|---|---|
| 1 | Umgang mit Informationen mit hohem Schutzbedarf | AL 2 |
| 2 | Umgang mit Informationen mit sehr hohem Schutzbedarf | AL 3 |
| 3 | Schutz von Prototypenbauteilen und -Komponenten | AL 3 |
| 4 | Schutz von Prototypenfahrzeugen | AL 3 |
| 5 | Umgang mit Erprobungsfahrzeugen | AL 3 |
| 6 | Schutz von Prototypen während Veranstaltungen und Film- und Fotoshootings | AL 3 |
| 7 | Datenschutz | AL 2 |
| 8 | Datenschutz mit besonderen Kategorien personenbezogener Daten | AL 3 |
Alle Lieferanten und Dienstleister der Automobilbranche, die sensible Informationen verarbeiten, profitieren somit von der Teilnahme an TISAX. Die Teilnahme bietet einen klaren Nachweis der Erfüllung der Informationssicherheitsanforderungen und stärkt die Position im Wettbewerb der Automobilbranche.
Expertise der Swiss Infosec AG nutzen
Swiss Infosec AG bietet Dienstleistungen zur Erlangung der TISAX-Konformität an. Von der IST-Aufnahme bestehender Sicherheitsmassnahmen bis zur Implementierung von Sicherheitsprozessen – unsere Expertise erstreckt sich über technische, organisatorische, rechtliche und personelle Aspekte. Durch eine partnerschaftliche Zusammenarbeit gewährleisten wir, dass Ihr Unternehmen den Anforderungen von TISAX entspricht und die Informationssicherheit auf einem zukunftssicheren Niveau gehalten wird. Unsere pragmatischen Lösungen sind auf die individuellen Gegebenheiten Ihres Unternehmens zugeschnitten und bieten eine effiziente Umsetzung der erforderlichen Massnahmen.
Sind Sie an detaillierteren Informationen interessiert, dann besuchen Sie unsere Themenseite TISAX oder buchen Sie direkt unsere TISAX-Firmenschulung für Ihr Unternehmen, um Ihre Mitarbeitenden zum Thema Informationssicherheit zu sensibilisieren.
Swiss Infosec AG; 21.11.2023
Kompetenzzentrum Consulting, +41 41 984 12 12, infosec@infosec.ch