Mit <kes>+ lesen

InfoSec-Motor und -TÜV : TISAX als branchenspezifische Lösung für Informations-Sicherheit (nicht nur) im Automotive-Sektor

Innerhalb der Automobilindustrie hat sich ein eigener Prüf- und Austauschmechanismus im Bereich der Informations-Sicherheit herausgebildet. Ausgehend von den Initiativen hauptsächlich deutscher und europäischer Hersteller wurden einheitliche Anforderungen zusammengestellt, die speziell im Automotive-Sektor für ein ausreichendes Niveau der Informationssicherheit sorgen sollen – allerdings auch für andere Umgebungen mit komplexen globalen Lieferketten hilfreiche Anregungen umfassen dürften. Der mittlerweile in der sechsten Iteration vorliegende Katalog für das „Information Security Assessment“ (ISA) bildet die Grundlage entsprechender Audits. Dieser Beitrag skizziert die wichtigsten Schritte und Herausforderungen auf dem Weg zur TISAX-Zertifizierung sowie die ab 2024 gültigen Neuerungen.

Lesezeit 19 Min.

In Zeiten weitestgehend globalisierter Lieferketten sind an der Herstellung von Produkten im Automobilsektor verschiedenste Akteure beteiligt: Das können Hersteller von Rohstoffen wie Aluminium oder Stahl sein, Auftragsfertiger einzelner Bauteile oder auch Verpackungs- und Logistikdienstleister. All diese Beteiligten kooperieren und interagieren in komplexen Prozessen miteinander. Grundlage dieser Vorgänge ist der Austausch von Informationen und Werten unterschiedlichster Art. Die Bandbreite des für das Funktionieren der Zusammenarbeit zwischen verschiedenen Unternehmen notwendigen Arsenals an Artefakten erstreckt sich von digitalen 3D-Modellen über Konstruktionspläne und Schaltpläne bis hin zur Überlassung von Prototypenteilen oder ganzen Baugruppen und Fahrzeugen. Innerhalb dieser eng verzahnten Kunden-Lieferanten-Beziehungen kann der Ausfall eines der beteiligten Unternehmen massive Folgen für die gesamte Wertschöpfungskette haben [1].

In diesem Zusammenhang ist die Integrität der hergestellten Produkte ebenfalls wichtig: In Zeiten autonomer Fahrzeuge, der Elektrifizierung der Produktpaletten, neuer Nutzungsmodelle von Fahrzeugen et cetera muss man zwingend sicherstellen, dass an keinem Punkt der Wertschöpfung unberechtigterweise Einfluss auf das Produkt genommen werden kann – beispielsweise durch das unbefugte Einschleusen von fremdem Programmcode in On-Board-Computersysteme [1]. Dies alles erfordert ein einheitliches Niveau der Informationssicherheit über alle beteiligten Akteure hinweg [2].

TISAX an sich

Der Trusted Information Security Assessment Exchange (TISAX) ist die Antwort der Automobilindustrie auf die verschiedenen genannten Herausforderungen für die Informationssicherheit. Insbesondere vom Arbeitskreis Informationssicherheit des Verbands der Automobilindustrie (VDA) und der ENX Working Group ISA vorangetrieben und entwickelt, dient TISAX bereits seit 2017 als branchenweites Modell für die Vereinheitlichung der Anforderungen und dazugehöriger Audits im automobilen Sektor [3]. Es zielt darauf ab, in den anwendenden Organisationen ein Informationssicherheits-Managementsystem (ISMS) mit zugehöriger Informationssicherheits-Organisation und entsprechenden Prozessen einzuführen und aufrechtzuerhalten.

Verwaltet und betrieben wird TISAX unter dem Dach der ENX Association, einem Zusammenschluss vor allem europäischer Automobilhersteller und großer Zulieferunternehmen. Trotz der Tatsache, dass TISAX bei Weitem nicht mehr neu ist und als etabliert betrachtet werden kann, hält es in die betriebliche Praxis erst nach und nach Einzug. Dies hängt vor allem mit der Art und Weise zusammen, wie Zertifizierungen in Kunden-Lieferanten-Beziehungen generell ablaufen: Im Bereich vieler Normen und Standards ist es notwendig, die gestellten Anforderungen an die eigenen Lieferanten weiterzugeben, weshalb sich diese erst schrittweise entlang der Wertschöpfungskette ausbreiten.

Relevant ist TISAX erwartungsgemäß vor allem für solche Unternehmen und Organisationen, die – auf welcher Ebene auch immer – in Lieferketten der Automotive-Industrie eingebunden sind. Allerdings können auch solche Firmen betroffen sein, bei denen dies auf den ersten Blick nicht direkt ersichtlich ist: Dazu können beispielsweise Fotografen zählen, die für einen Automobilhersteller Produktfotos machen – oder sogar Hersteller von Spielzeugautos, die anhand von Originalzeichnungen Miniaturvarianten von Fahrzeugen herstellen.

Das gesamte Rahmenwerk wird regelmäßig an neue Gegebenheiten angepasst. Bereits angekündigt, aber noch nicht vollständig eingeführt sind beispielsweise weitere TISAX-Labels für die Bewertung des Informationssicherheitsschutzziels „Verfügbarkeit“ [4].

Im Rahmen des TISAX-Prozesses werden Organisationen kontextabhängig in aktive und passive Teilnehmer unterschieden: Passive Teilnehmer fordern von anderen Teilnehmern Prüfungsergebnisse an – aktive Teilnehmer werden geprüft und stellen ihre Prüfergebnisse passiven Teilnehmern zur Verfügung. Wie in Abbildung 1 dargestellt, kann eine Organisation je nach Konstellation der aktuell relevanten Kunden-Lieferanten-Beziehung eine der beiden Rollen einnehmen.

Die drei Schritte des TISAX-Prozesses:

  • Registrierung: Zu Beginn des Prozesses stehen einige grundlegende Themen im Fokus. Wie im Umfeld anderer Regularien auch gehört hierzu die Festlegung des Geltungsbereichs (Scope), auf den das ISMS Anwendung finden soll. Spezifisch ist die notwendige Auswahl der sogenannten Prüfziele (Details siehe unten). Ebenso sind organisatorische und kaufmännische Aspekte zwischen der ENX Association und dem TISAX-Teilnehmer abzuwickeln. Während der Registrierung wird die sich registrierende Organisation zu einem sogenannten TISAX-Teilnehmer.
  • Prüfung: Zu Beginn dieser Phase steht die lange Zeit der Vorbereitung. Hierzu gehören das Erarbeiten von Prozessen, das Erstellen von Dokumenten unterschiedlichster Art, die Durchführung technischer Maßnahmen (bspw. die Einführung neuer Netzwerksicherheitssysteme, die Verbesserung des Perimeterschutzes am Betriebsgelände usw.) und auch die Schulung der Mitarbeiterinnen und Mitarbeiter. Dieser Teil dürfte in den meisten Unternehmen den größten Aufwand erzeugen und am längsten dauern. Kommt man aufgrund eines anschließend durchgeführten Self-Assessments zum Schluss, auditreif zu sein, erfolgt die Auswahl des Prüfdienstleisters aus einer Menge akkreditierter Organisationen. Dieser führt die tatsächliche Prüfung durch und teilt im Anschluss daran das Prüfergebnis mit.
  • Austausch: Eine zentrale Komponente von TISAX ist der Austausch von Prüfergebnissen. Nach erfolgter Prüfung (gleich welchen Ausgangs) können die Ergebnisse mit anderen TISAX-Teilnehmern eigeninitiativ oder auf Anforderung geteilt werden. Die Entscheidung, welche Informationen in diesem Zusammenhang mit anderen TISAX-Teilnehmern geteilt werden, trifft das betreffende Unternehmen selbst und kann hierfür granular Freigaben erteilen.
Abbildung 1 Verhältnis der TISAX-Teilnehmer zueinander (nach [5])
Abbildung 1 Verhältnis der TISAX-Teilnehmer zueinander (nach [5])

Besonderheiten und erweiterter Anwendungsbereich

Normen, Standards und sonstige regulatorische Rahmenwerke haben jeweils spezifische Eigenheiten, die sie unterscheiden. Im Vergleich zu anderen Standards ist TISAX grundsätzlich als branchenspezifische Lösung der Automobilindustrie konzipiert. Bei genauerer Betrachtung jedoch zeigt sich, dass zumindest die Anforderungen selbst zu einem großen Anteil sehr universell ausgestaltet sind und sich somit recht breitbandig einsetzen lassen.

Ebenso besonders ist, dass TISAX selbst eigentlich nur eine Plattform zum Austausch von Prüfergebnissen darstellt – die tatsächlichen Anforderungen resultieren aus dem Industrie-Standard VDA Information Security Assessment (ISA). Die für Auslegung und Weiterentwicklung der Regelungen zuständigen Gremien werden hierzu mit Branchenexperten besetzt. Für die notwendigen Audits kann jedoch ein Prüfdienstleister genauso wie beispielsweise bei DIN-EN-ISO/IEC-27001-Audits aus einer Menge akkreditierter Organisationen frei gewählt werden.

Sehr spezifisch ist zudem auch die Verwaltung aller relevanten Informationen über das offizielle ENX-Portal, also der eigentlichen TISAX-Plattform. Dort können TISAX-Teilnehmer, Unternehmensstandorte, Geltungsbereiche, Audits et cetera angelegt und für diese jeweils Daten gepflegt und deren Status eingesehen werden. Für die einzelnen Status existieren verschiedene Ablaufdiagramme. Eine gute Kenntnis darüber hilft den Verantwortlichen in Unternehmen und anderen Institutionen, den aktuellen Zustand im TISAX-Prozess zu verstehen. Hierfür lohnt es sich, das sogenannte TISAX-Teilnehmerhandbuch [5] zurate zu ziehen.

Positiv hervorzuheben ist, dass alle für die Vorbereitung auf und Durchführung von TISAX-Audits notwendigen Dokumente (zumindest bisher) kostenlos und frei im Internet bereitgestellt werden (siehe Literaturliste). Im Gegensatz zu anderen Standards ist dies ein deutlicher Vorteil – man denke beispielsweise an die Vermarktung der DIN-EN-ISO/IEC-2700x-Normen.

Audit

Wie im Geltungsbereich aller gängigen Standards im Bereich Informationssicherheit ist auch bei TISAX die Überprüfung der Einhaltung von Anforderungen vorgesehen. Die durchzuführenden Audits werden hier Assessment genannt, unterscheiden sich insgesamt und vor allem im Ablauf jedoch wenig von anderen Prüfungen. Es handelt sich (in der Regel) um zweistufige Prüfungen, bei denen im ersten Schritt alle eingereichten Dokumente geprüft werden und daraufhin in einem zweiten Schritt die tatsächliche Umsetzung geprüft wird (Details siehe Abschnitt „Assessment-Level“).

Mögliche Ergebnisse des Assessments können sein: konform, hauptabweichend oder nebenabweichend:

  • Konform: Alle Anforderungen werden erfüllt.
  • Nebenabweichend: Auch wenn nicht alle Anforderungen erfüllt sind, werden keine unmittelbaren Risiken für die Informationssicherheit identifiziert, und die Wirksamkeit des ISMS wird nicht bezweifelt.
  • Hauptabweichend: Das Gesamtergebnis wird als „hauptabweichend“ bewertet, wenn erhebliche Risiken für die Informationssicherheit bestehen oder Zweifel an der Wirksamkeit des ISMS vorliegen.

Die Behebung von Abweichungen muss innerhalb von neun Monaten abgeschlossen sein und wird über Maßnahmenpläne gesteuert. Wenn diese Frist nicht eingehalten werden kann, ist eine neue, vollständige Prüfung (sogenannte Erstprüfung) notwendig. Die gesamte Dauer des Audits darf nicht länger als neun Monate betragen [5]. Das Rezertifizierungsintervall beträgt drei Jahre – dazwischen sind standardmäßig keine Zwischenaudits vorgesehen. In der Praxis kommt dies den Verantwortlichen der Institution ob der ohnehin meist sehr vollen Auditjahrespläne sicherlich entgegen. Allerdings liegt es dann in der Hand des Unternehmens, das ISMS in der Zwischenzeit mit hoher Eigenmotivation ständig weiterzuentwickeln und die daraus resultierenden Maßnahmen umzusetzen.

Prüfziele

Essenziell für die Auswahl der korrekten Prüftiefe (siehe unten) sind die sogenannten Prüfziele. Diese richten sich danach, welche Informationen zwischen den beteiligten Partnern im Rahmen der Kunden-Lieferanten-Beziehung geteilt werden. Aus den Prüfzielen resultieren konkrete Anforderungen, deren Erfüllung im Rahmen des Audits nachzuweisen ist (siehe unten). Weiterhin ergeben sich aus den Prüfzielen die Prüftiefe der Audits (siehe Abschnitt „Assessment-Level“).

Die möglichen Prüfziele sind in Tabelle 1 aufgeführt. Zwischen den verschiedenen Prüfzielen bestehen gewisse Abhängigkeiten: Fordert beispielsweise ein Partner als Prüfziel „Data“, ist auch das Prüfziel „Info high“ zu erreichen (siehe dazu [5]).

Tabelle 1 TISAX-Prüfziele (nach [5])
Tabelle 1 TISAX-Prüfziele (nach [5])

Wenn das Ergebnis des Audits „konform“ lautet, werden für die geprüften Prüfziele jeweils sogenannte TISAX-Labels vergeben. Diese stellen den eigentlichen Nachweis der Konformität mit den Anforderungen dar. Werden im Rahmen des TISAX-Assessments zum Beispiel die Anforderungen für das Prüfziel „Test vehicles“ erfüllt, wird das TISAX-Label „Test vehicles“ erteilt.

Neue Prüfziele

Die TISAX-Prüfziele befinden sich derzeit in einem Transformationsprozess. In einem Zwischenschritt wurden 2023 das Prüfziel „Info high“ durch das Prüfziel „High availability“ und das Prüfziel „Info very high“ durch „Very high availability“ ergänzt. Ab April 2024 wird das Prüfziel „Info high“ dann ersetzt werden durch die Prüfziele „High availability“ und „Confidential“. Das Prüfziel „Info very high“ wird ersetzt durch die Prüfziele „Very high availability“ und „Strictly confidential“ [4,6] werden.

Diese Änderungen sollen dazu dienen, die Informationssicherheitsschutzziele Vertraulichkeit, Integrität und Verfügbarkeit gleichermaßen ausreichend zu berücksichtigen. Je nach Art der Kunden-Lieferanten-Beziehung und der ausgetauschten Informationen und Werte lassen sich dann spezifischere Prüfziele auswählen als bisher.

Anforderungen

Die sich aus TISAX ergebenden Anforderungen an die Informationssicherheit sind im sogenannten VDA Information Security Assessment (VDA ISA) nachgehalten. Der VDA-ISA-Katalog enthält sogenannte Kontrollfragen und ist in verschiedene Kapitel gegliedert. Diese fassen die Anforderungen wie folgt themenbezogen zusammen:

  • Kapitel 1 – IS Policies and Organization: grundlegende Anforderungen an die Informationssicherheit hinsichtlich Informationssicherheits-Managementsystem (ISMS), Verantwortlichkeiten und Rollen für das Informationssicherheits-Management, Risikomanagement, Überprüfung der Informationssicherheit, Informationssicherheits-Vorfallsmanagement.
  • Kapitel 2 – Human Resources: Anforderungen hinsichtlich Schulung und Sensibilisierung von Mitarbeitern sowie Verpflichtung von Mitarbeitern durch Richtlinien (bspw. Regelungen zum mobilen Arbeiten).
  • Kapitel 3 – Physical Security: Anforderungen an die physische Sicherheit im Sinne von baulicher Sicherheit, Notfallmanagement sowie dem Umgang mit Informationsträgern.
  • Kapitel 4 – Identity and Access Management (IAM): Anforderungen an die Verwaltung von digitalen Identitäten (bspw. Benutzerkonten) und an entsprechende Zugriffsberechtigungen.
  • Kapitel 5 – IT Security / Cyber Security: Anforderungen an Verschlüsselungsverfahren, das Verwalten von Änderungen (Change-Management), den Schutz vor Schadsoftware, das Schwachstellenmanagement, die Verwaltung von Ereignisprotokollen.
  • Kapitel 6 – Supplier Relationships: Anforderungen an die Informationssicherheit in Lieferketten inklusive Regelungen zur Geheimhaltung.
  • Kapitel 7 – Compliance: Anforderungen, welche die Einhaltung gesetzlicher, normativer und sonstiger regulatorischer Vorgaben gewährleisten sollen.
  • Kapitel 8 – Prototypenschutz: Anforderungen an den Schutz physischer Prototypen und Prototypenbauteile, darunter solche an bauliche Sicherheit, an Zutrittsschutz, an zugehörige Prozesse zum Umgang mit Prototypen et cetera.
  • Kapitel 9 – Datenschutz: Anforderungen für den Schutz personenbezogener Daten.

Die Kapitel 1 bis 7 bilden den sogenannten ISA-Kriterienkatalog „Informationssicherheit“, Kapitel 8 und 9 die ISA-Kriterienkataloge „Prototypenschutz“ respektive „Datenschutz“. Die meisten Anforderungen sind direkt angelehnt an jene aus der Normenreihe DIN EN ISO/IEC 27000 – entsprechende Kreuzreferenzen werden direkt angegeben.

Die Prüfziele „Info high“, „Info very high“, „Avail high“ und „Avail very high“ werden gemeinsam über den Kriterienkatalog „Informationssicherheit“ abgebildet. Bei den einzelnen Kontrollfragen ist jeweils angegeben, für welches der Prüfziele diese relevant sind.

Assessment-Level

Im Rahmen von TISAX gibt es für die Durchführung von Audits drei verschiedene Prüftiefen, anhand derer die zugrunde liegende Methodik festgelegt wird. Sofern das Audit reaktiv auf Anforderung eines anderen TISAX-Teilnehmers durchgeführt werden soll, wird in der Regel das durch diesen vorgegebene Assessment-Level gewählt. Falls das Audit proaktiv aus eigener Motivation erfolgt, ist anhand verschiedener Kriterien ein passendes Assessment-Level zu wählen.

Die Assessment-Level bauen aufeinander auf, das heißt eine Prüfung nach Assessment-Level 2 schließt zum Beispiel immer auch Assessment-Level 1 ein. Da für die jeweiligen Prüfziele wie in Tabelle 1 dargestellt jeweils ein Mindest-Assessment-Level vorgegeben ist, erfolgt die Auswahl des Assessment-Levels immer angepasst an die jeweiligen Prüfziele. Es ist nicht möglich, für ein Assessment nur Prüfziele oder ein Assessment-Level zu definieren – es müssen immer beide Parameter bekannt sein. Derzeit können lediglich die Prüfziele „Info high“, „Avail high“ und „Data high“ nach Assessment-Level 2 geprüft werden, alle anderen Prüfziele erfordern Assessment-Level 3.

Folgende Assessment-Level sind definiert:

  • Assessment-Level 1: Die minimale Form eines Audits besteht aus einer einstufigen, reinen Dokumentenprüfung, bei der lediglich das Vorhandensein, aber nicht der Inhalt einer Selbsteinschätzung gemäß VDA ISA (Details siehe oben) geprüft wird [5]. Diese Form der Prüfung hat keine praktische Relevanz, da ihre Aussagekraft stark eingeschränkt ist.
  • Assessment-Level 2: Bei dieser Variante handelt es sich um eine zweistufige Prüfung, bei der die Selbsteinschätzung und vor allem die dazu gehörenden Nachweise nicht nur auf Vorhandensein, sondern auch auf Plausibilität geprüft werden. Die Prüfung erfolgt im Regelfall „remote“, ist jedoch gleichermaßen vor Ort möglich [5].
  • Assessment-Level 3: Diese Prüfung ist die umfangreichste der drei Assessment-Levels. Zusätzlich zu den Elementen aus Assessment-Level 2 findet zwingend eine Begehung vor Ort statt, bei der unter anderem geplante Interviews mit Prozessverantwortlichen und ungeplante Interviews mit Prozessbeteiligten durchgeführt oder auch Örtlichkeiten begutachtet und die Durchführung von Prozessen beobachtet werden [5]. Die genaue Ausgestaltung richtet sich hierbei nach dem durchführenden Auditor.

Die Ergebnisse des Assessments werden im sogenannten TISAX-Assessment-Bericht zusammengefasst und festgehalten.

Reifegradmodell

Kernstück des gesamten VDA ISA ist ein Reifegradmodell, das angibt, wie gut die oben genannten Anforderungen erfüllt werden. Sowohl für das Audit selbst als auch für die Selbsteinschätzung, die zwingend zuvor durchgeführt werden muss, ist das Modell ein sinnvolles Werkzeug, um anhand feststehender Kriterien den Status quo der Informationssicherheit in einer Organisation feststellen zu können. Der Reifegrad ist für jede Kontrollfrage im entsprechenden ISA-Kriterienkatalog zu bestimmen. Die sechs definierten Reifegrade sind in Tabelle 2 angegeben.

Tabelle 2 Reifegrade im Information Security Assessment (VDA ISA – Formulierung nach [5])
Tabelle 2 Reifegrade im Information Security Assessment (VDA ISA – Formulierung nach [5])

Für jede Kontrollfrage im VDA ISA ist ein Zielreifegrad vorgegeben, der mindestens erreicht werden muss. In der derzeit gültigen Version ist der Zielreifegrad durchgehend 3. Die Reifegrade 4 und 5 können zwar erreicht werden, allerdings findet bei allen Kontrollfragen eine sogenannte „Kürzung“ auf den Zielreifegrad statt [5]: Das bedeutet, dass die Reifegrade 4 und 5 als Reifegrad 3 in die weitere Berechnung eingehen.

Durch die Bildung des Gesamtreifegrads als arithmetisches Mittel aller einzelner Reifegrade ergibt sich in der Praxis, dass über alle Fragen hinweg ein maximaler Wert von 3,0 erreicht werden kann. Beim Audit wird eine maximale negative Abweichung von 10 % toleriert. Ein Ergebnis, das zwischen 10 % und 30 % abweicht, wird automatisch als „nebenabweichend“ bewertet. Eine Abweichung größer 30 % wird als „hauptabweichend“ bewertet. Dabei gilt es zu beachten, dass sich Abweichungen aber nicht nur rein rechnerisch, sondern auch durch andere Feststellungen im Rahmen des Audits ergeben können [5].

Neuerungen ab 2024

Sowohl die ENX Association als auch der VDA haben in einer aufeinander abgestimmten Aktion Neuerungen angekündigt. Der VDA hat bereits Version 6 des VDA ISA in finaler Fassung veröffentlicht. Assessments, die nach dem 1. April 2024 beauftragt werden, sind nach der neuen Version durchzuführen. Als Hilfe zum Umstieg von Version 5 auf 6 stellt der VDA ein Dokument bereit, in welchem die Änderungen hervorgehoben sind [6].

Gleichzeitig treten die in diesem Beitrag beschriebenen Änderungen in Bezug auf die verfügbaren Prüfziele und somit der auf dieser Basis erteilten TISAX-Labels in Kraft. Die größten Modifikationen an den Anforderungen zielen darauf ab, die Einhaltung des Schutzziels „Verfügbarkeit“ prüfen zu können. Daher wurden vor allem Kontrollfragen zum Umgang mit Informationssicherheits-Ereignissen sowie mit Krisensituationen, zur Kontinuität von Services und zur Datensicherung angepasst.

Zusätzlich wurden die schon vorhandenen Referenzen auf andere Normen deutlich ausgeweitet. Ergänzt wurden unter anderem Verweise auf das IT-Grundschutzkompendium des BSI, auf den US-amerikanischen Standard NIST SP 800-52, auf ISA/IEC 62443-2 sowie NIST CSF. Weiterhin wurde der ISA-Kriterienkatalog „Datenschutz“ innerhalb des VDA ISA vollständig überarbeitet [6].

Ferner wird zukünftig Englisch die führende Sprache für das VDA ISA sein. Andere Sprachversionen werden als Übersetzungen bereitgestellt werden (darunter auch Deutsch), im Zweifel gilt jedoch die aus der englischsprachigen Variante abgeleitete Interpretation der Anforderungen [7].

Das TISAX-Teilnehmerhandbuch bildet bereits einen Teil der Änderungen ab – allem voran im Bereich der Prüfziele. Es ist zu erwarten, dass hier zum genannten Umstellungsdatum noch einige Anpassungen stattfinden werden. Anwender in der Praxis sollten sich regelmäßig mit offiziellen Quellen über die Neuerungen informieren, um sicherzustellen, dass alle aufgrund der bisher veröffentlichten Informationen getroffenen Annahmen korrekt sind.

Erste Schritte

Bei der Vorbereitung auf ein TISAX-Assessment gibt es keine einzig richtige Vorgehensweise, sondern der gesamte Prozess hängt vielmehr von individuellen Gegebenheiten ab. Unternehmen, die zumindest im operativen Bereich bereits vielfältige Maßnahmen ergriffen haben, um die grundlegenden Prinzipien der Informationssicherheit technisch umzusetzen (beispielsweise konsequenter Nutzung von Multi-Faktor-Authentifizierung, „sauberes“ Active-Directory-Tiering etc.), werden mit überschaubarem Aufwand die geforderten Reifegrade erreichen können. Sind im Gegensatz dazu noch viele operative Themen zu bearbeiten (bspw. Beschaffung von Zutrittskontrollsystemen, Beschaffung/Konfiguration zusätzlicher Firewalls etc.), ist eine umfangreiche Projektplanung notwendig. Dabei sollte man vor allem die drei Faktoren Zeit, Geld und Ressourcen betrachten.

Bei der Umsetzung, insbesondere bei der Planung von Maßnahmen, können auch andere Standards helfen – die im VDA ISA angegebenen Referenzen bieten hierfür gute Anhaltspunkte. Besonders lohnt sich der Blick in die DIN-EN ISO/IEC-27000-Reihe und in das IT-Grundschutz-Kompendium des BSI samt den zugehörigen weiteren Dokumenten.

Mit dem VDA ISA selbst sollte man sich intensiv befassen, da dieser Katalog nicht nur Kontrollfragen, sondern auch Hilfsmittel aufführt. Dazu gehören zum Beispiel Vorschläge für mögliche Key-Performance-Indicators (KPIs) zur Erhöhung der Messbarkeit des Niveaus der Informationssicherheit. Das bereits erwähnte TISAX-Teilnehmerhandbuch [5] kann ebenfalls zum Verständnis der Thematik beitragen – darin wird der gesamte TISAX-Prozess detailliert beschrieben.

Stolperfallen

Wie bei der Vorbereitung auf Audits nach anderen Standards gibt es auch im Bereich von TISAX vor allem in der tatsächlichen praktischen Umsetzung einige Fallstricke zu beachten. Einer der wichtigsten Aspekte bei der Vorbereitung auf die Zertifizierung ist die Fähigkeit eines Unternehmens, sein aktuelles Niveau der Informationssicherheit anhand des VDA ISA realistisch einzuschätzen. Um den geforderten Zielreifegrad 3 für die Kontrollfragen zu erreichen, genügt es nicht, dass Vorgaben zur Informationssicherheit und technische Einrichtungen vorhanden sind – vielmehr ist deren Einsatz und Anwendung über einen längeren Zeitraum hinweg zu dokumentieren. Diesen Nachweis zu führen, erfordert einen Aufwand, der nicht unterschätzt werden sollte. Auch hier lässt sich der VDA ISA direkt als Hilfsmittel nutzen: Der Katalog enthält nämlich Beispiele, wie die jeweiligen Nachweise erbracht werden können. Ebenso sind Fragen aufgeführt, die ein Auditor in ähnlicher Form im Rahmen eines Assessments stellen könnte.

Nicht zu unterschätzen ist die Dauer zwischen Beauftragung und Durchführung des Audits: In der Praxis sind lange Vorlaufzeiten von sechs Monaten und mehr nicht auszuschließen, da Prüfdienstleister in der Regel gut ausgelastet sind. Herrscht aufgrund der Anforderung eines Kunden oder Partners Zeitdruck hinsichtlich eines möglichst zügigen Nachweises bestimmter TISAX-Labels, sollte rechtzeitig ein Prüfdienstleister ausgewählt und bei diesem das Audit verbindlich beauftragt und terminiert werden.

Organisationen, deren Informationssicherheits-Prozess bereits weiter fortgeschritten ist, neigen unter Umständen dazu, den zu erbringenden Aufwand falsch einzuschätzen: Das Vorhandensein einer Zertifizierung nach DIN EN ISO/IEC 27001 ist zwar ein Indikator für ein bestimmtes Niveau der Informationssicherheit, bedeutet aber keinesfalls, dass auch die Vorgaben nach TISAX erfüllt werden. In diesem Fall ist eine detaillierte Gap-Analyse zielführend.

Da TISAX-Labels standardmäßig drei Jahre lang gültig sind, ist überdies die Auswahl der Prüfziele und der Assessment-Level von großer Bedeutung – sofern diese nicht ohnehin kundenseitig fest vorgegeben sind. In den meisten Fällen in der Praxis unterscheidet sich der Vorbereitungsaufwand für Prüfungen nach Assessment-Level 2 nicht von denen mit Assessment-Level 3. Es erscheint deshalb lohnenswert, ein Prüfziel zu wählen, das eine Prüfung nach Assessment-Level 3 nach sich zieht [5].

Die Zuweisung einzelner Anforderungen an die oben genannten Kapitel ist nicht immer ohne Weiteres ersichtlich – gerade Kapitel 5 vereint viele verschiedene Themenbereiche, die sich aus einem anderen Blickwinkel heraus auch anders zusammenfassen lassen würden.

Ein besonderes Augenmerk sollte man zudem – auch nach einem erfolgreich verlaufenen Audit und dadurch erhaltenen TISAX-Labels – auf das Teilen beziehungsweise den Austausch der Prüfergebnisse legen. Eine der Prämissen des Austauschs auf der zu TISAX gehörenden Plattform ist, dass einmal bereitgestellte Prüfergebnisse nicht zurückgezogen werden können [5]. Es sollte also genau geplant werden, welche Informationen man mit welchem Partner teilen will. Hierfür sind verschiedene sogenannte Sharing-Level vorgesehen:

  • A: Informationen zum Assessment
  • B: Gesamtübersicht Prüfergebnisse
  • C: Zusammenfassung der Ergebnisse des Assessments
  • D: Reifegrade gemäß VDA-ISA
  • E: detaillierte Ergebnisse zum Assessment

Höhere Sharing-Level enthalten dabei immer alle Informationen der niedrigeren Stufen – in Sharing-Level D sind beispielsweise alle Informationen der Sharing-Level A, B und C enthalten.

Fazit

Das unter der Führung der ENX Association herausgegebene Rahmenwerk TISAX kann als umfangreich, aber stringent anzuwenden angesehen werden. Das daraus resultierende Erfordernis des Aufbaus eines Informationssicherheits-Systems sorgt für entsprechenden Aufwand bei den davon betroffenen Unternehmen.

Gleichzeitig sind die Anforderungen recht praxisnah gestaltet, weshalb deren Umsetzung nicht nur in greifbaren Maßnahmen mündet, sondern sich auch eine tatsächliche Steigerung des Niveaus der IT- und Informations-Sicherheit erreichen lässt. Aufgrund des verwendeten Reifegradmodells lässt sich TISAX auch in Firmen anwenden, die dies eigentlich nicht müssten, um eine Selbstkontrolle durchzuführen und so den eigenen Stand in Bezug auf die IT- und Informations-Sicherheit zu ermitteln. Weiterhin lässt sich der Standard als vorbereitender Zwischenschritt für eine mögliche Zertifizierung nach DIN EN ISO/IEC 27001 nutzen.

Benedikt Schmieder ist hauptberuflich angestellter Leiter IT-Sicherheit in der Freizeit- und Tourismusbranche und bietet darüber hinaus nebenberuflich Unternehmen Unterstützung als selbstständiger IT-Berater an.

 Literatur

[1] Bundesamt für Sicherheit in der Informationstechnik (BSI), Branchenlagebild Automotive – Cyber-Sicherheit in der Automobilbranche 2022/2023, September 2023. [Branchenlagebild Automotive – Cyber-Sicherheit 2022/2023] (www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Branchenlagebild/branchenlagebild-automotive-2022-2023.html)

[2] Verband der Automobilindustrie (VDA) e. V., Informationssicherheit in Unternehmen, Portalseite. [Informationssicherheit in Unternehmen] (www.vda.de/de/themen/digitalisierung/daten/informationssicherheit)

[3] Christian Otto, „TISAX: Zertifiziert oder außen vor,“ Vogel Communications Group, Automobil Industrie online, Juli 2019 / Mai 2021. [TISAX: Zertifiziert oder außen vor] (www.automobil-industrie.vogel.de/tisax-zertifiziert-oder-aussen-vor-a-841535/)

[4] Immo Wehrenberg, „Neue TISAX Labels für Verfügbarkeit,“ ENX Association News, Oktober 2022. [Neue TISAX Labels für Verfügbarkeit] (www.enx.com/de-de/news/new-tisax-labels-for-availability/)

[5] Florian Gleich, „TISAX-Teilnehmerhandbuch,“ ENX Association, Version 2.6, August 2023. [PDF des TISAX-Teilnehmerhandbuchs] (https://enx.com/tphde.pdf) – [Onlineversion des TISAX-Teilnehmerhandbuchs](www.enx.com/handbook/tisax-teilnehmerhandbuch.html)

[6] Immo Wehrenberg, „Änderungen an TISAX-Labels in Verbindung mit ISA 6 Veröffentlichung,“ ENX Association News, Oktober 2023. [Änderungen an TISAX-Labels in Verbindung mit ISA 6 Veröffentlichung] (https://portal.enx.com/de-DE/news/Changes-to-TISAX-Labels-ISA-six-Release/)

[7] Immo Wehrenberg, „ISA Version 6 nun Verfügbar,“ ENX Association News, Oktober 2023. [ISA Version 6 nun Verfügbar](https://portal.enx.com/de-DE/news/ISA-Version-6-Now-Available/)

[8] Verband der Automobilindustrie (VDA) e. V., Information Security Assessment (ISA) Questionnaire, Excel-Datei, Version 6, Oktober 2023. [ISA Questionnaire Version 6] (www.enx.com/ISA6-EN.xlsx)

Diesen Beitrag teilen: