TISAX: Die Dualität der Sicherheit – Automobilindustrie verstärkt Maßnahmen im Bereich Informationssicherheit
Tresorit hilft Unternehmen beim Erlangen einer TISAX-Zertifizierung
Traditionell ist Sicherheit – im Sinne von Schutz vor physischem Schaden – schon immer die Devise der Automobilindustrie gewesen. Sicherheit ist aber nicht gleich Sicherheit: Da Sicherheit inzwischen zunehmend von Software angetrieben wird – sei es beim autonomen Fahren oder in der Car2x-Technologie – und Digitalisierung langsam die Arbeitswelt verändert, hat Datensicherheit und IT-Security im gleichen Maße an Wichtigkeit gewonnen. Entsprechend fordern Auftraggeber von ihren Lieferanten regelmäßig einen Nachweis, dass sie hohe Anforderungen in Bezug auf die Informationssicherheit erfüllen.
TISAX – Was, wo und warum?
TISAX, oder auch Trusted Information Security Assessment Exchange, ist ein gängiger Sicherheitsstandard in der Automobilindustrie, um alle während des Entwicklungs- und Produktionsprozesses entstehenden Daten zu schützen. TISAX wurde vom Verband der Automobilindustrie (VDA) in Zusammenarbeit mit der ENX Association ins Leben gerufen und reguliert unter anderem Informationssicherheit, Datenschutz und Prototypenschutz. Jedes an der Lieferkette der betroffenen Automobilhersteller beteiligte Unternehmen muss diesen Richtlinien nachkommen – egal, wo auf der Welt es sich befindet. Der Vorteil einer derartigen standardisierten Zertifizierung ist, unnötigen Mehraufwand von individuellen Sicherheitsprüfungen für Hersteller und Zulieferer zu vermeiden.
Was sind die Auswirkungen, wenn die TISAX-Richtlinien nicht befolgt werden?
Bei TISAX handelt es sich um eine der Selbstregulierungsinitiativen der Automobilbranche. Nur einige wenige Institutionen haben die Erlaubnis TISAX-Zertifizierungen durchzuführen. Mit der Governance von TISAX und dem Betrieb der Plattform ist die ENX Association betraut. Unternehmen, die gemäß dem Standard einen Reifegrad von Stufe 3 oder höher erzielen, werden in der TISAX-Datenbank aufgeführt. Lassen diese ihre Ergebnisse auf der Plattform freischalten, teilen sie damit ihren direkten Geschäftspartnern und allen teilnehmenden Unternehmen mit, dass ihre Informationssicherheit TISAX-konform ist. Es gibt keine Drittaufsichtsbehörde, die langfristige Compliance erzwingen kann.
Dennoch bedeutet der Mangel an einer TISAX-Zertifizierung, dass Unternehmen vom Handel mit Erstausrüstern der Fahrzeugindustrie und deren Zulieferern ausgeschlossen werden. Da gleichzeitig immer mehr Unternehmen in der Branche diese hohen Sicherheitsstandards erwarten, wächst der Druck in der Branche stetig.
Wie können Sie Ihr TISAX-Label erhalten?
TISAX ist eine standardisierte Methode zum Nachweisen Ihrer Compliance mit den Anforderungen des VDA ISA Fragenkatalogs und zum Austausch Ihrer Assessment-Ergebnisse mit anderen TISAX-Mitgliedern. Unternehmen werden meist von ihren Partnern in der Automobilbranche aufgefordert, ihre TISAX-Compliance zu belegen oder lassen sich proaktiv zertifizieren. Ein TISAX-Audit umfasst in der Regel folgende Schritte:
- Vorbereitung: TISAX erfordert von allen Unternehmen eine gründliche Planung. Davon sind auch diejenigen Unternehmen keine Ausnahme, bei denen Informationssicherheit ganz oben auf der Agenda steht. Der Weg zu Ihrem TISAX-Label beginnt mit einer Recherche - dabei bietet Ihnen das TISAX-Teilnehmerhandbuch einen guten Ausgangspunkt
- Registrierung: Als ersten Schritt müssen die Teilnehmer sich auf der ENX-Plattform registrieren. Der TISAX-Prüfungsumfang ist vordefiniert. Das heißt, Ihre Partner werden nur diejenigen Ergebnisse akzeptieren, die Ihre Compliance im Hinblick auf den Standardumfang bescheinigen. Die Teilnehmer müssen die Prüfziele während der Registrierung auswählen. Diese richten sich nach den Datentypen, die die Unternehmen im Auftrag Ihres Partners verarbeiten. Da die Audits standortspezifisch durchgeführt werden, müssen Sie ggf. den Umfang jeweils nach Standort definieren.
- Selbsteinschätzung: Nutzen Sie den VDA ISA Fragenkatalog zur Beurteilung, ob Ihr Informationsmanagementsystem fit für TISAX ist. Da der Zeitraum für den offiziellen Audit-Prozess auf neun Monate beschränkt ist, empfiehlt es sich, die erforderlichen Maßnahmen im Voraus ohne Zeitdruck zu ergreifen.
- Implementierung von Lösungen: Passen Sie Ihre internen und externen Arbeitsabläufe an, um Compliance mit dem Kapitel „Informationssicherheit“ oder mit anderen für Ihre Prüfziele relevanten Kriterien des VDA ISA Katalogs zu erzielen. Stellen Sie Tresorit für Ihr Unternehmen bereit, um eine Ende-zu-Ende-verschlüsselte Speicherung zu ermöglichen und den Datenaustausch mit Ihren internen und externen Partnern abzusichern. Ganz egal, wie viele Standorte Sie für die Prüfung registrieren: Tresorit kann einfach bereitgestellt werden, um den Datentransfer über Ihren internationalen Betrieb hinweg zu schützen.
- Offizielle Prüfung: Wählen Sie einen Prüfdienstleister aus und leiten Sie somit den offiziellen Assessment-Prozess ein. Dieser beginnt mit einer Erstprüfung, im Zuge derer die zu behebenden Probleme identifiziert werden. Nachdem der Maßnahmenplan vom Prüfdienstleister bestätigt wurde, können dementsprechend weitere Verbesserungen vorgenommen werden. Zuletzt wird im Rahmen der Follow-up-Prüfung bewertet, ob die Abweichungen beseitigt wurden; und auch Ihre Compliance mit den TISAX-Standards bestätigt. Mit einer gründlichen Planung und Umsetzung einer geeigneten IT-Security-Tool-Suite können Unternehmen diese Phase schneller in den Griff bekommen.
- Erlangen des TISAX-Labels: Wenn das Audit erfolgreich verlaufen ist, werden die am Anfang der Registrierung festgelegten Prüfziele in Labels umgewandelt – diese werden für einen Zeitraum von drei Jahren gültig sein. Einige TISAX-Labels sind hierarchisch verknüpft. Das heißt, wenn Sie ein bestimmtes TISAX-Label erhalten, erhalten Sie damit automatisch auch alle TISAX-Labels unterhalb dieses Labels.
- Austausch von Prüfergebnissen: Die TISAX-Assessment-Berichte können über die ENX-Plattform freigeschaltet werden. Da der gesamte Audit-Prozess über die Plattform geregelt wird, können Sie Ihr TISAX-Label auf einfachem Weg veröffentlichen und mit anderen Mitgliedern teilen, um Ihre Compliance branchenübergreifend nachzuweisen.
Wie unterstützt Tresorit Compliance mit TISAX?
TISAX gibt klare Richtlinien für die Kommunikation und den Datentransfer innerhalb der Automobilindustrie. Diese verlangen von Unternehmen sicherzustellen, dass alle Daten beim Transfer verschlüsselt werden. Um jedoch einen höheren Reifegrad zu erlangen müssen Firmen garantieren, dass jegliche Kommunikation mit extern gehosteten IT-Systemen und alle in diesen Systemen gespeicherten Daten mit Ende-zu-Ende-Verschlüsselung (E2EE) geschützt sind. Dies kann Kopfzerbrechen verursachen, wenn Daten zwischen Knotenpunkten einer Firma oder mit externen Partnern geteilt werden. Glücklicherweise bietet Tresorit eine Vielzahl von Funktionalitäten, die Unternehmen auf ihrem Weg zum Erlangen einer TISAX-Zertifizierung unterstützen:
- Sicherer Speicher: Der von Tresorit zur Verfügung gestellte Zero-Knowledge-Speicher mit E2EE garantiert Datensicherheit at-Rest und in-Transit. Alle Informationen werden in mehreren unterschiedlichen Speicherzentren verwahrt, um Datenverlusten vorzubeugen.
- Teilen von Anhängen mittels sicherer Links: E-Mail-Anhänge sind unsicher und nicht TISAX-konform – besonders, wenn der E-Mail-Verkehr nicht verschlüsselt ist. Ersetzen Sie Anhänge durch Tresorit-Links, um Compliance zu gewährleisten. Durch das Festlegen eines Passworts und Ablaufdatums und das Deaktivieren von Downloads behalten Mitarbeiter die volle Kontrolle über geteilte Dateien.
- Integrieren Sie Tresorit mit Leichtigkeit in bereits vorhandene, auf Office 365 basierende Arbeitsabläufe: TISAX-Regeln können gut eingespielte Arbeitsabläufe erheblich aus dem Gleichgewicht bringen. Mit Tresorits Outlook-Integration wird die Komplexität von Arbeitsabläufen auf ein Minimum reduziert. Nutzer haben die Möglichkeit Dateien zu teilen, ohne dafür Ihren E-Mail-Client verlassen zu müssen, außerdem werden jegliche Anhänge automatisch in sichere Tresorit-Links umgewandelt.
- Administrative Effizienz garantiert minimale Unterbrechungen: Tresorit beinhaltet eine Reihe von Admin-Tools, inklusive einer Admin-API und SSO-Integrationen, um den Arbeitsablauf großer Betriebe minimal zu unterbrechen. Vorlagen für Zugriffsberechtigungen und das Admin-Center sorgen dafür, dass Administratoren niemals in nicht enden wollenden Verwaltungsaufgaben ersticken.
- Sichere Zusammenarbeit mit Partnern: E2EE-Dateianforderungen ermöglichen es Entwicklungsabteilungen Dokumente von externen Zulieferern auf sichere Weise zusammenzutragen.
Da die Wichtigkeit von Datensicherheit für die Automobilindustrie stetig zunimmt, ist dies der ideale Zeitpunkt, um Ihre Reise zur TISAX-Compliance zu beginnen. Erfahren Sie hier mehr über Tresorits Lizenzen und Preise.