WELCHE THEMENBEREICHE BETRIFFT TISAX®?

TISAX® fokussiert ein Assessment dreier Bereiche:

Datenschutz

Die Inhalte im Bereich Datenschutz orientieren sich an der europäischen Datenschutz-Grundverordnung (DSGVO). Die Kriterien sind bei einer Auftragsverarbeitung i.S.d. Art. 28 der europäischen Datenschutz-Grundverordnung anzuwenden.

Clive Humby sagte 2006: „Data is the new oil“ – und dabei handelte es sich um eine zutreffende Einschätzung. Daten sind Informationen. Und diese nehmen einen zunehmend hohen Stellenwert ein.

Mit einem TISAX®-Assessment stellen Sie sicher, dass sowohl Ihre eigenen als auch externe Daten sicher sind – und mit dem TISAX®-Label können Sie gegenüber Kunden und Lieferanten den Nachweis dafür erbringen.

Mit TISAX® und den damit einhergehenden Richtlinien und Konzepten minimieren Sie Risiken für Ihr Unternehmen.

Durch das Informationsinventar und die einhergehend notwendige Risikobewertung managen Sie dank des TISAX®-Assessments aktiv Risiken und können frühzeitig gegensteuern.

Sie mussten bisher Kundenaudits über sich ergehen lassen? Deren Vorbereitung und Durchführung bedeutet für beide Seiten vor allem immer eines: sehr viel Aufwand.

Mit TISAX® entfällt dieses Prozedere vollständig. Die TISAX®-Labels werden von allen Teilnehmern vorbehaltlos anerkannt. In Zukunft können Sie dem jeweiligen Partner Ihr Label ganz unkompliziert über die ENX-Plattform zur Verfügung stellen.

Das schafft Vertrauen und minimiert den Aufwand enorm.

Bei allen deutschen OEM werden inzwischen vor der Auftragsvergabe TISAX®-Labels gefordert. Ärgerlich nur, wenn Sie mitten im Vergabeprozess eines Kundenauftrages von dieser Anforderung überrascht werden und keine Zeit mehr haben, zu reagieren.

Unabhängig davon, ob Sie für den Auftrag qualifiziert sind, disqualifiziert Sie ein fehlendes TISAX®-Label – ein Assessment bewahrt Sie davor.

Die zentrale Plattform zum Austausch von Prüfinformationen kann durch die gegenseitige Anerkennung innerhalb des TISAX®-Netzwerks Zeit und bares Geld sparen.

Die Kosten für die Teilnahme als Partner der ENX sind mit wenigen Hundert Euro gering und fallen nur jeweils für drei Jahre an.

Mit dem TISAX®-Label haben Sie Ihren Wettbewerbern einiges voraus – und gerade bei der Auftragsvergabe entscheidet mitunter auch der Zeitfaktor.

Neben den technischen und prozessbezogenen Vorzügen ist ein TISAX®-Assessment vor allem auch ein Vertriebsargument für die erfolgreiche Geschäftsanbahnung mit großen OEM und Tier-1-Lieferanten, die das Label verlangen.

Inzwischen werden bei der VW Group Supply, dem BMW-Einkauf und auch bei Magna oder AVL bereits künftige Lieferantensets für Anfragen, die eine Arbeit mit sensiblen Informationen erfordern, nach TISAX®-Label gefiltert. Es lohnt sich also schon heute, proaktiv TISAX® anzugehen und nicht erst auf eine explizite Kundenaufforderung zu warten!

TISAX® umfasst alle Informationsbereiche, sei es schriftlich, prozessual, technisch oder physisch.

Durch die gezielten Maßnahmen wird das geistige und materielle Eigentum Ihrer Kunden und Ihres eigenen Unternehmens wirksam geschützt. So bleibt Ihre Innovationskraft auf lange Sicht erhalten.

Durch die Einführung von TISAX®, dem zugehörigen Informationssicherheits-Managementsystem und den konkreten Arbeitsanweisungen für Ihre MitarbeiterInnen gewinnt Ihre Organisation an Professionalität und Kompetenz im Umgang mit Informationen.

Mit unserem Managementsystem und den zugehörigen Schulungen sensibilisieren Sie Ihre MitarbeiterInnen und reduzieren Risiken für Angriffe von innen und außen. 

Ein TISAX®-Assessment ist somit immer ein Gewinn für Ihre Organisation! 

Mit TISAX® als Gesamtkonzept (inkl. ISMS, Maßnahmen, Richtlinien, IT-Lösungen etc.) führen Sie ein professionelles  Sicherheitsvorfall-Management (incident management) ein.

Nur mit einem derartigen System haben Sie die Möglichkeit, Sicherheitsvorfälle aktiv zu managen, (weitere) Gefahren abzuwenden und Lücken nachhaltig zu schließen.

Sind Sie jederzeit über sämtliche Informationssicherheits-Risiken oder -Vorfälle in Ihrem Unternehmen im Bilde? Genau darin besteht die Kernaufgabe eines Informationssicherheitsbeauftragten (ISB), der im Rahmen des TISAX®-Assessments die Ergebnisse seiner Arbeit in einem kontinuierlichen Prozess als Management-Reporting an die Geschäftsleitung berichtet.

In unserem Management-Review erhalten Sie alle notwendigen (und gewünschten) Informationen zum Entwicklungsstand des ISMS sowie zu Sicherheitsvorfällen, neuem wesentlichen Inventar, neuen Risiken und Maßnahmen oder auch neuen Sicherheitslücken – zusammen mit klaren und leicht umsetzbaren Handlungsempfehlungen.

Das Leitbild für den ISB muss sein, maximale Transparenz für die Geschäftsleitung zu schaffen.

Im VDA ISA-Katalog finden sich neben vielen Hinweisen und Anmerkungen die drei TISAX®-Prüfkriterien Informationssicherheit, Prototypenschutz und Datenschutz.

Der Katalog dient als Grundlage für

• ein Self-Assessment zur Bestimmung des Zustandes der Informationssicherheit in Ihrem Unternehmen (vgl. Assessment-Level 1)
• interne Audits durch Fachabteilungen oder Ihren ISB
• den Prüfer in der eigentlichen TISAX®-Prüfung als Grundlage

Hier kommen Sie direkt zum aktuellen VDA ISA-Katalog. Der Link öffnet in einem neuen Fenster.

Voller Link: https://www.vda.de/de/themen/digitalisierung/daten/informationssicherheit

WAS BRINGT MIR DER VDA ISA-KATALOG?

Im ersten Schritt dient Ihnen der VDA ISA-Katalog als Vorbereitung für die TISAX®-Prüfung zum Self-Assessment – also der eigenen Überprüfung des Standes der Informationssicherheit in Ihrem Unternehmen. Dafür laden Sie sich den Katalog herunter und füllen ihn gewissenhaft aus. Anhand des Ergebnisses können Sie feststellen, ob und inwieweit Sie „TISAX®-ready“ sind. Im Rahmen unseres gemeinsamen Projektes gehen wir das Self-Assessment gemeinsam mit Ihnen durch und leiten auch direkt Maßnahmen ab. Dies ist ein wichtiger Schritt, der nicht übersprungen werden sollte und im späteren Projektverlauf jede Menge Zeit spart.

Wie ist der ISA KATALOG aufgebaut?

In jedem der drei Tabellenblätter (Informationssicherheit, Prototypenschutz und Datenschutz) finden Sie Controls (bspw. 1.2.1), hinter denen Kontrollfragen stehen. Stellen Sie sich einfach vor, der Prüfer stellt Ihnen im Audit genau diese Fragen.

Die geforderten Antworten finden Sie in den Spalten „Anforderungen (muss)“ und „Anforderungen (sollte)“. In der Spalte „ZIEL“ wird erklärt, warum Sie die abgefragten Voraussetzungen erfüllen müssen.

Bei hohem oder sehr hohem Schutzbedarf ergänzt der Katalog noch weitere Anforderungen.

Reifegrade und Ziele

Nachdem Sie alle drei Inhaltsblätter ausgefüllt haben, finden Sie im Tabellenblatt „ERGEBNISSE“ Ihre Resultate zum Stand der Informationssicherheit in Ihrem Unternehmen.

Diese Ergebnisse Ihres TISAX®-Self-Assessments werden in einem Netzdiagramm dargestellt. Der Zielreifegrad für das Bestehen der TISAX®-Prüfung liegt sowohl für den Gesamtdurchschnitt als auch für die einzelnen Controls bei 3,00. Möglich sind Reifegrade bis 5, alle über den Zielwert von 3,00 hinausgehenden Werte spielen bei der Bewertung jedoch keine Rolle. Die Bewertung Ihrer Maßnahmen, deren Umsetzung und Wirksamkeit erfolgt anhand der Reifegrad-Definitionen im VDA ISA-Katalog.

Reifegrad 2

Gesteuert

Es wird einem Prozess gefolgt, der seine Ziele erreicht. Prozessdokumentation und Prozessdurchführungsnachweise sind vorhanden.

Reifegrad 5

Optimierend

Es wird einem vorhersagbaren Prozess gefolgt, bei dem die kontinuierliche Verbesserung wesentliches Ziel ist. Die Verbesserung wird von dedizierten Ressourcen aktiv vorangetrieben.

PRÜFZIELE

Das Prüfziel bestimmt die Anforderungen, die Ihr Informationssicherheits-Managementsytem (ISMS) erfüllen muss. Es hängt ausschließlich davon ab, welche Arten von Informationen Sie verarbeiten. Wem die Daten gehören, ist dabei irrelevant – ausschlaggebend ist, dass sie sich in Ihrem Besitz befinden.

Das TISAX®-Label ist die formelle Bestätigung, dass Sie ein Prüfziel bestanden haben. Beispiel: Ihr Kunde fordert das Label „Informationen mit hohem Schutzbedarf“ – dann legen Sie als Prüfziel „Informationen mit hohem Schutzbedarf“ für Ihre TISAX®-Prüfung fest.

Fördermöglichkeiten

Es gibt eine Vielzahl von möglichen staatlichen Förderungen zur Erhöhung der Informationssicherheit in Ihrem Unternehmen. EU- und Bundesmittel sind bundesweit abrufbar, Landesmittel variieren in Abhängigkeit von den Förderprogrammen im jeweiligen Bundesland.

Vor dem Start Ihres TISAX®-Projektes sollten Sie unbedingt prüfen, welche Fördermöglichkeiten Ihnen offen stehen. Denn mit Fördergeldern können Sie die Kosten des Projektes maßgeblich reduzieren. Gerne unterstützen wir Sie bei der Auswahl geeigneter Förderprogramme und übernehmen für Sie die Antragstellung.

Fördermittel der LänDer

Es gibt keine zentrale Übersicht der Fördermittel aller Bundesländer in Hinblick auf ein TISAX®-Assessment. Das Institut für Digitale Transformation hat eine sehr gute Zusammenfassung aktueller Förderprogramme erstellt, auf die wir hier gerne verweisen möchten:

https://transformation-it.de/foerderprogramme-digitalisierungsprojekten-durch-die-bundeslaender/

[Externer Link; wir übernehmen keine Haftung für deren Vollständigkeit oder Richtigkeit]

FÖRDermittel des Bundes

Auf Bundesebene ist das überarbeitete Programm „Digital jetzt – Investitionsförderungen für KMU“ das wohl zweckmäßigste Förderprogramm für Ihr TISAX®-Projekt und das TISAX®-Assessment.

Abhängig von Ihren Voraussetzungen können Sie zwischen 40 und 70 % der gesamten Projektkosten als einmaligen Projektzuschuss vom BMWi erhalten. Der maximale Förderbetrag liegt bei 50.000 EUR, bei abhängigen Unternehmensgruppen bei 100.000 EUR.

Informationen darüber, ob und wie TISAX® in Ihrem Unternehmen gefördert werden kann, entnehmen Sie bitte der offiziellen Projektseite des BMWi. Die korrespondierende Richtlinie haben wir Ihnen hier verlinkt. [Externe Links] 

Selbstverständlich unterstützen wir Sie bei der Antragstellung, fertigen für Sie den Digitalisierungsplan an und begleiten Sie beim Beantragungsprozess.

Verrechnung mit Ihrem Kunden

Sie werden sich bei der Überschrift sicher fragen, wie wir auf diese Idee kommen – mein Kunde soll für meine TISAX®-Zertifizierung bezahlen?

Die klare Antwort lautet: JA!

TISAX® wurde von den OEM der Automobilindustrie ins Leben gerufen. Mit einem TISAX®-Assessment sicherstellen, dass ihre Lieferanten und Dienstleister ein einheitlich hohes Niveau in der Informationssicherheit garantieren können. Daher finden wir es keineswegs abwegig, dass Ihre Kunden sich daran beteiligen.

So wurden in einigen Fällen Einmalzahlungen vom OEM an den Lieferanten zur Kompensation der Aufwände vereinbart. Alternativ konnten einige unserer Kunden die entstandenen Kosten für TISAX® über eine definierte Zeit (meist 1 bis 3 Jahre) auf ihre Verkaufspreise umlegen.

In Einzelfällen wurden wir direkt vom OEM beauftragt, den Lieferanten im TISAX®-Prozess zu unterstützen. Hier wurden unsere Kosten, wie auch die des Prüfdienstleisters, vom OEM getragen. Allerdings handelte es sich hier um zeitlich hochkritische Fälle („von 0 auf 100“ in unter 3 Monaten) mit Strategic Key Suppliers des jeweiligen OEM.

Auf dem Weg zum TISAX®-Label unterstützen wir Sie natürlich ebenfalls! Es reicht nicht aus, nur die Prüfung zu bestehen. Wir glauben, dass eine echte Steigerung der Informationssicherheit nur durch eine dauerhafte und bewusste Implementierung des ISMS erreicht werden kann. Und das ist es, was Ihr Kunde letztendlich von Ihrer TISAX®-Zertifizierung verlangt: sich auf Ihre Informationssicherheitsstandards verlassen zu können. Mehr zur Zertifizierung finden Sie hier.

Wir erstellen zu Beginn den Projektplan und legen fest, welche Bereiche, Prozesse und Systeme geprüft werden müssen. Außerdem bewerten wir die bestehende Informationssicherheit in Ihrem Unternehmen. Wir finden dadurch sämtliche Lücken und wissen besser, was zu tun ist. Die Maßnahmen werden entwickelt und umgesetzt, um jene Lücken zu schließen. Ihre Mitarbeiter schulen wir abschließend, um die organisatorischen und personellen Maßnahmen in der Belegschaft zu verankern. Zu guter Letzt führt ein akkreditierter Prüfdienstleister die Prüfung durch und vergibt TISAX®-Label.

Wir empfehlen Ihnen unbedingt, im Falle einer verpflichtenden TISAX®-Umsetzung bei Ihrem Kunden eine entsprechende Unterstützung einzufordern.

ISO/IEC 27001 und TISAX® sind gar nicht so verschieden

Beide Normen bzw. Regelwerke unterscheiden sich nicht sehr in ihrem Inhalt oder ihrer Form. Die Ziele der ISO/IEC 27001 und TISAX® decken sich im Wesentlichen und haben ihren gemeinsamen Nenner in der Verbesserung der Informationssicherheit.

Die inhaltliche Basis für die Kategorie „Informationssicherheit“ in TISAX® bildet genau die ISO/IEC 27001.

In der Dokumentation des ISMS sind die Unterschiede marginal. Wir verbinden bei Doppelprüfungen beide Standards in einem ISMS. Die ISO/IEC 27001 unterscheidet sich lediglich im Aufbau und in einigen Details.

TIPP: Wenn Sie Kunden außerhalb der Automotive-Industrie haben, bietet sich die Doppelprüfung an. Der Mehraufwand für die Erweiterung von TISAX® zu ISO/IEC 27001 ist nicht sehr hoch.

Bei der ISO/IEC 27001 ist unserer Erfahrung nach ein tiefergehender Blick in die Umsetzung der Prozesse zu werfen. Gerade weil die Prüfung hier wesentlich umfangreicher und detaillierter ist. Weiterhin sind Sie bei der ISO/IEC 27001 nicht vor zusätzlichen Kundenaudits gefeit wie bei TISAX®. 

Die größten Unterschiede finden sich im Ablauf und den Rahmenbedingungen der Prüfung bzw. des Audits:

Willkommen beim Abakus Quick-Check nach VDA ISA und TISAX®

Es ist schön, dass Sie sich für unseren kostenlosen Quick-Check entschieden haben, um zu erfahren, ob und wie wichtig ein TISAX®-Assessment in Ihrem Fall ist. Wie bedeutend die Überprüfung der unternehmensinternen Informationssicherheit ist, beweisen folgende Zahlen:

2019 wurden 61 % aller Unternehmen in Deutschland mit Cyberangriffen konfrontiert. Der Gesamtschaden für das Jahr wurde auf 51 Mrd. Euro beziffert. Neben den finanziellen Auswirkungen sind vor allem die Reputationsschäden durch die Meldepflicht bei Kunden und Behörden ein großes Problem. Um diese Gefahren abzuwehren, haben wir im Abakus Information Security Lab umfangreiche Prozesse und Methoden entwickelt, mit denen Ihr Schutz umfassend sichergestellt werden kann. Mit TISAX® zeigen Sie nach außen, dass Sie abgesichert sind.

*Sämtliche von Ihnen in der Online-Befragung gemachten Angaben werden vertraulich und unter Einhaltung der gesetzlichen Datenschutzbestimmungen gemäß der europäischen Datenschutzgrundverordnung (DSGV) behandelt. Die Antworten im Fragebogen werden ausschließlich im Rahmen der Evaluation Ihres Standes der Informationssicherheit verwendet. Personenbezogene Daten werden nicht an Dritte und an der Untersuchung nicht beteiligte Personen bzw. Institutionen weitergegeben. Die Teilnahme an der Befragung ist selbstverständlich freiwillig und anonym. Bitte beantworten Sie die Fragen ehrlich, es gibt keine falschen Antworten. Aus Gründen der leichteren Lesbarkeit wird auf eine geschlechtsspezifische Differenzierung, wie z. B. Teilnehmer/Innen, verzichtet. Entsprechende Begriffe gelten im Sinne der Gleichbehandlung für beide Geschlechter.