Schritt für Schritt zum TISAX-Label
13.04.2021
Seit einigen Jahren „geistert“ der Begriff TISAX (Trusted Information Security Assessment Exchange) bereits durch die Automotive Zulieferindustrie. „Aufgrund einer aktuellen Umfrage des Automobil-Cluster OÖ haben wir gesehen, dass das Thema immer relevanter für unsere Partnerunternehmen wird. Daher haben wir in Zusammenarbeit mit dem Information Security Network zu einer Online-Veranstaltung eingeladen“, erklärt Wolfgang Kurz, Projektmanager des Automobil-Clusters. DEKRA und Ernst & Young fungierten als Kooperationspartner, 48 Teilnehmer*innen verfolgten die Vorträge und Erfahrungsberichte.
TISAX ist in der Regel kein Thema, mit dem man sich aus reinem Interesse beschäftigt. Der typische Fall könnte so aussehen: Ein Automobilzulieferer geht seinem täglichen Geschäft nach. Er ist davon überzeugt, die Informationssicherheit im Griff zu haben und die Zusammenarbeit mit dem größten Kunden, ein deutsches OEM, läuft stabil. Und plötzlich flattert eine dringende Aufforderung ins Haus: Das OEM möchte, dass sich der Automobilzulieferer für TISAX registriert. Dabei handelt es sich nicht nur um ein „nice to have“, denn wenn sich das Unternehmen weiterhin für Ausschreibungen qualifizieren möchte, ist TISAX unumgänglich. Nun gilt es zu handeln.
Hohe Anforderungen mit vielen Hausaufgaben
Viele wenden sich hilfesuchend an Unternehmen wie DEKRA. Das Hauptgeschäft von Wolfgang Glowatzki, Auditor bei DEKRA, liegt mittlerweile tatsächlich bei TISAX. In seinem Vortrag räumt er mit Falschinformationen auf: „Man bekommt bei TISAX kein Zertifikat. In der Vergangenheit gab es zehn Labels, die man erreichen kann, abgestuft nach hohem bis sehr hohem Schutzbedarf. Zukünftig gibt es nur noch acht Labels – vier davon aus dem Prototypenbereich, zwei aus der Informationssicherheit und weitere zwei zum Thema Datenschutz. Der Großteil spielt sich aber tatsächlich in der Informationssicherheit ab.“ Gottfried Tonweber, Leiter Cyber Security & Data Privacy bei Ernst & Young, beschrieb in seinem Vortrag den Weg zur Implementierung. Er rät: „Bloß nicht unbedacht registrieren! Sobald man den Button gedrückt hat, bleiben nur neun Monate für die Umsetzung. Man muss strukturiert an TISAX herangehen, dafür sind in der Umsetzungsphase viele Hausaufgaben zu machen. Wichtig ist auch, sich zu überlegen, ob man mehrere Standorte in einem TISAX-Assessment behandelt. Das hat durch den homogenen Report und die potenziell geringeren Kosten Vorteile, allerdings hängen auch alle anderen Standorte mit dran, wenn einer die Standards nicht erfüllt.“ Bernhard Zacherl, Senior Manager bei Ernst & Young, weist darauf hin, dass die Eckpunkte an ISO 27001 angelehnt sind, die Anforderungen bei TISAX jedoch sehr viel höher und detaillierter sind, da besonders auf die Gegebenheiten im Automobilsektor eingegangen wurde. Man komme trotz ISO-Zertifizierung kaum um TISAX herum. Thomas Flemming von DEKRA umschreibt die vier Schritte zum TISAX-Label: 1. Registrierung auf der Plattform, 2. einen durch ENX akkreditierten TISAX-Prüfdienstleister auswählen, 3. das TISAX-Assessment durchführen und 4. Hochladen und Austauschen der TISAX-Assessmentergebnisse auf der Plattform. Der Proof kann danach für andere sichtbar gemacht werden. Mit dem einmaligen Ablauf ist es jedoch nicht getan, denn bei TISAX gibt es keine Rezertifizierung. Nach etwa 27 Monaten beginnt das gesamte Prozedere von vorne, um weiterhin das Label tragen zu können.
Stimmen aus der Praxis
Drei Unternehmen haben sich bereiterklärt, ihre bisherigen Erfahrungen zu teilen. Das Grazer Unternehmen VENTREX wurde beispielsweise Ende 2018 von einem deutschen OEM zu TISAX verpflichtet. COO Günter Hascher unterstützte das Projektteam federführend. „Mein Tipp: Man sollte in die Vorphase Aufwand stecken, um später Zeit und Mühen zu sparen. Wir haben insgesamt ein Jahr gebraucht. Unsere Erfolgsfaktoren waren, dass wir einen Projektleiter bestimmt haben und zusätzlich externe Berater, auch für interne Audits, engagiert haben.“ Andreas Kuhn, geschäftsführender Gesellschafter bei ANDATA, plädierte dafür, nicht nur die Anforderungen an die IT zu beachten, sondern die gesamten Prozesse der Organisation, denn „der Teufel steckt im Detail“. Sascha Hönigsberger von TTTECH wurde ebenfalls durch eine Aufforderung eines OEM mit TISAX konfrontiert. „Wir haben die Anforderungen Ende 2019 abgeschlossen, aber es braucht auch danach noch seine Zeit.“ Generell stellt er fest: „Wenn eine Organisation mit so einem System noch nicht vertraut war, muss man dafür sorgen, dass man es auch in den darauffolgenden Jahren noch schafft.“
Next Steps zur Unterstützung
Auf Wunsch können ab sofort Einzelgespräche in Anspruch genommen werden. Bis zu acht Unternehmen werden dabei in je ein bis zwei Stunden beraten. Durch eine Förderung des Information Security Networks sind die Termine kostenlos. Außerdem ist eine Erfahrungsaustauschrunde (ERFA) geplant, die bei Bedarf durch externe Inputs unterstützt wird. In beiden Fällen können sich interessierte Unternehmen bis 23. April mit ihren Themen und Fragestellungen an Doris Straub wenden.
Dieses Projekt und das Information Security Network werden gefördert aus der Leitinitiative Digitalisierung des Landes Oberösterreich.
Das könnte Sie auch interessieren:
