Article

Nachweisbare Informationssicherheit: TISAX-Dienstleistungen von Deloitte

Schutz in der Automobilindustrie: Das TISAX-Label (Trusted Information Security Assessment Exchange) garantiert sachgemäßen Umgang mit kritischen Informationen. Deloitte führt Branchenmitglieder durch den Assessment-Prozess. 

Informationssicherheit – auch in der Automobilindustrie nimmt dieses Thema einen immer höheren Stellenwert ein. Hersteller sowie Dienstleister und Lieferanten haben die Pflicht, ihre Geschäftsinformationen zu schützen, aus unmittelbarem Eigeninteresse und ebenso im Hinblick auf die Schutzbedürfnisse von Geschäftspartnern. Das TISAX-Modell ermöglicht die unabhängige Bestätigung der Einhaltung objektiver Standards beim Aufbewahren, Verarbeiten und Austauschen von sensiblen Informationen und Daten. Dies ist Voraussetzung für eine enge Zusammenarbeit von Unternehmen der Branche. Nachfolgend geben wir Ihnen einen Überblick über Hintergründe und Vorteile sowie über die Dienstleistungen von Deloitte als Ihrem kompetenten Prüfpartner.

  • TISAX
  • Vorteile
  • Prüfpartner
  • Assessment-Prozess
Warum TISAX?

Sie wurden von Ihrem Geschäftspartner aufgefordert, ein TISAX-Testat nachzuweisen? Eventuell möchten Sie auch proaktiv ein TISAX-Testat erhalten, um auf eine mögliche Zusammenarbeit mit einem Auftraggeber vorbereitet zu sein?

Herzstück des TISAX-Modells ist ein auf der ISO/IEC 27001 Norm basierter, ausgefeilter Anforderungskatalog, auf dessen Grundlage akkreditierte Prüfdienstleister Assessments bei und mit Dienstleistern / Lieferanten durchführen.

Der sogenannte VDA ISA-Fragenkatalog wurde durch den VDA-Arbeitskreis „Informationssicherheit“ ausgearbeitet. Unter TISAX hat sich mittlerweile ein gemeinsamer Prüf- und Austauschmechanismus innerhalb der Automobilindustrie etabliert, der branchenweit und darüber hinaus anerkannt wird.

Als neutrale Governance-Instanz fungiert die ENX Association, die sowohl den vorgabekonformen Assessmentablauf als auch die Durchführung überwacht und verantwortet.

Welche Vorteile bringt TISAX?

Mit dem TISAX-Testat können Sie nicht nur Ihre Nachweispflicht erfüllen. TISAX bietet Ihnen die Möglichkeit, sich auf die Zusammenarbeit mit einem potenziellen Auftraggeber vorzubereiten. Durch folgende Aspekte verschaffen Sie sich dabei einen Vorteil:

Prüfpartner Deloitte

Deloitte ist ein globaler Know-how-Träger und starker Partner mit umfangreicher Expertise, u. a. in der Informationssicherheit und im Bereich TISAX Risk. Unsere branchenspezifischen Erfahrungswerte aus vielfältigen weiteren Projektaufträgen innerhalb des Automobilsektors nutzen wir auch im Prüfgeschäft.

International sind wir in der Lage, weltweit konzerngestützt die Durchführung von Assessments mithilfe lokal ansässiger, landessprachlicher Auditoren zu realisieren.

Bei Bedarf nehmen unsere Experten zusätzlich zum TISAX-Assessment auch integrierte Prüfungen für Sie vor, beispielsweise nach ISO 27001 oder BSI C5.

Wie läuft ein TISAX-Assessment mit uns ab?

Mit unserer Expertise übernehmen wir gern die Durchführung Ihres TISAX-Assessments.

Die fünf Schritte des standardisierten Prüfprozesses:

Verfahren, Geschäftsgeheimnisse, Patente: In der Autobranche gibt es sehr viele schützenswerte Informationen. Bei der Zusammenarbeit von Zulieferern und Herstellern in der Branche werden solche Informationen im Rahmen der Lieferkette ausgetauscht. Dies ist ein unverzichtbarer Bestandteil der gemeinsamen Wertschöpfung, schafft aber auch sicherheitsbezogene Problemstellungen. Deshalb hat der Verband der Automobilindustrie (VDA) das TISAX Modell zur unternehmensübergreifenden Akzeptanz von Assessments der Informationssicherheit in der Automobilindustrie entwickelt und 2017 auf den Markt gebracht.

Immer häufiger werden heutzutage Firmen von Geschäftspartnern aufgefordert, ein TISAX-Label nachzuweisen. Darüber hinaus wollen viele Unternehmen der Branche auch proaktiv ein TISAX-Testat erhalten, um auf eine mögliche Zusammenarbeit mit einem Auftraggeber vorbereitet zu sein. Weitere Vorteile des Modells: Die Ergebnisse werden innerhalb des Teilnehmerkreises allgemein anerkannt. Der einheitliche Standard sichert dabei Qualität und Objektivität. Das Verfahren bedeutet außerdem eine Zeit- und Geldersparnis für alle Beteiligten, Doppel- und Mehrfachprüfungen werden vermieden. Das TISAX-Label gilt für drei Jahre und verhindert zum Beispiel, dass ein Lieferant in einem kurzen Zeitraum für mehrere Kunden wiederholte Sicherheitsprüfungen ablegen muss, was früher praktiziert wurde. Schließlich ist auch eine Lieferantenauswahl auf der TISAX-Plattform möglich.

 

Informationssicherheit – was wird geschützt?

Bei einer TISAX-Prüfung wird untersucht, ob ein angemessenes Managementsystem zur Informationssicherheit vorliegt – entlang der gesamten Wertschöpfungs- und Lieferkette. Sind die Überprüfungszyklen ausreichend und genug Ressourcen verfügbar? Außerdem wird bei der Überprüfung – je nach angestrebtem Assessment-Level – anhand von Remote-Interviewsessions oder Ortsterminen geprüft, ob diese Regeln im Betriebsalltag umgesetzt werden. Zu jedem Kontrollthema muss eine bestätigende Evidenz vorliegen. Die Themenfelder, in denen Sicherheitsaspekte geprüft werden, sind dabei außerordentlich heterogen. Natürlich sind Maßnahmen zur IT-Sicherheit in den heutigen Zeiten verstärkter Cyber-Bedrohungen von besonderer Wichtigkeit. Aber neben Themen wie Datenschutz, digitalen Zugriffsrechten oder Verschlüsselung geht es ebenso um direkte physische oder organisatorische Maßnahmen wie personelle Kontrolle bzw. Zugangsbeschränkung. In dem Katalog wurden dabei viele Punkte aufgenommen, die speziell in der Automobilindustrie wichtig sind. Zur Verdeutlichung hier einige Beispiele aus der Praxis:

Vertraulichkeitserklärung

Vertraulichkeitserklärungen sind bei der Neueinstellung von Mitarbeitern eine Selbstverständlichkeit. Sicherheitsrelevante Fragestellungen ergeben sich auch in vielen anderen Situationen, zum Beispiel schon in Bewerbungsgesprächen. Denn auch hier kann es zur Offenbarung von schützenswerten Informationen kommen. Doch existieren die erforderlichen vorsorglichen Regelungen der HR-Abteilung, damit Kandidaten eine Vertraulichkeitserklärung unterzeichnen? Bei der TISAX-Prüfung werden solche Details untersucht.

Räumlicher Zugang

Bestimmte Bereiche auf einem Betriebsgelände sind Sicherheitszonen mit besonderem Schutzstatus. So etwa eine Abteilung für Forschung und Entwicklung, wo offensichtlich eine Vielzahl sensibler Informationen zu schützen ist. Der Kreis von Zugangsberechtigten zu einer solchen Abteilung muss deshalb strikt kontrolliert und beschränkt werden. Bei einer TISAX-Prüfung wird beispielsweise ermittelt, ob die Liste der konkret Berechtigten mit der Liste der funktional erforderlichen Personen übereinstimmt. 

Prototypen

Im Umgang mit Prototypen („Erlkönige“) ergeben sich aufgrund des hohen öffentlichen und medialen Interesses besonders viele potenzielle Sicherheitslücken. Dies wäre z. B. der Fall, wenn das Fahrzeug bei einem externen Dienstleister im Windkanal geprüft werden soll oder bei Testfahrten im Freien in einem bestimmten Gelände erprobt wird. Wie sind die einzelnen Teilstrecken beim Transport gesichert? Befolgt der Spediteur die vorgegebenen Sicherheitsstandards? Besteht die Gefahr, dass der Wagen unterwegs von Journalisten fotografiert werden kann?

Die Prüfung verläuft sehr detailliert – von einer Untersuchung der Regelung der Entladung aus einem Lkw bis hin zur Begutachtung des Sichtschutzes eines bestimmten Werktors, etc.  

 

Die organisatorische Struktur des Modells

Herzstück des TISAX-Modells ist ein auf der ISO/IEC 27001 Norm basierter, ausgefeilter Anforderungskatalog. Diese Norm standardisiert Anforderungen an Informationssicherheitsmanagementsysteme und ihre Umsetzung in Form von zusammengefassten Best Practices. Das TISAX-Modell spezifiziert diese gemäß den Gegebenheiten und Bedürfnissen der Automobilindustrie. Auf der Grundlage des TISAX-Katalogs können akkreditierte Prüfdienstleister Assessments bei und mit Dienstleistern bzw. Lieferanten durchführen. Der sogenannte VDA ISA-Fragenkatalog wurde durch den VDA-Arbeitskreis „Informationssicherheit“ ausgearbeitet. Unter TISAX hat sich mittlerweile ein gemeinsamer Prüf- und Austauschmechanismus innerhalb der Automobilindustrie etabliert, der branchenweit und darüber hinaus anerkannt wird. Als neutrale Governance-Instanz fungiert die ENX Association, die sowohl den vorgabekonformen Assessmentablauf als auch die Durchführung überwacht und verantwortet. Berechtigt zur Durchführung von TISAX-Assessments sind ausschließlich akkreditierte Prüforganisationen. Deloitte Certification Services GmbH gehört zu dem Kreis dieser Prüfdienstleister.

 

TISAX @ Deloitte: Ihr kompetenter Prüfpartner

Deloitte ist als globaler Know-how-Träger ein starker Partner mit umfangreicher Expertise, u. a. in der Informationssicherheit und im Bereich Cyber Risk. Dazu kommen unsere branchenspezifischen Erfahrungswerte aus vielfältigen weiteren Projektaufträgen innerhalb des Automobilsektors, die wir auch im Prüfgeschäft nutzen können. International sind wir in der Lage, weltweit konzerngestützt die Durchführung von Assessments mithilfe lokal ansässiger, landessprachlicher Auditoren zu realisieren. Bei Bedarf nehmen wir zusätzlich zum TISAX-Assessment auch integrierte Prüfungen für Sie vor, beispielsweise nach ISO 27001 oder BSI C5. Sprechen Sie unsere Experten auf unsere Dienstleistungen an.

Inhaltliche Ansprechpartner

Bei Interesse und Fragen zu TISAX Assessments wenden Sie sich bitte jederzeit gern an das Deloitte-Servicemanagement unseres TISAX-Teams:

E-Mail: tisax@deloitte.de

Tel: +49 302 54685300

EbAV-II-Richtlinie - Ein Schlaglicht auf den Regierungsentwurf zur Umsetzung