Zertifizierte Informationssicherheit in der Automobilbranche

So gelingt der Weg zur TISAX- bzw. ISO 27001-Zertifizierung

© PwC

23.03.2021

Seit 2017 hat es schwer, wer die großen Automobilunternehmen beliefern will und dabei ein ganz bestimmtes Gütesiegel nicht vorweisen kann: Die Rede ist von TISAX (Trusted Information Security Assessment Exchange), einem von der Automobilindustrie definierten Standard für Informationssicherheit.

Der Großteil der deutschen Automobilhersteller sowie deren Zulieferer haben diese Zertifizierung zur Bedingung für eine Zusammenarbeit gemacht, um zum Beispiel sensible Daten zu ihren neuesten, noch nicht auf dem Markt erhältlichen Modellen - den sogenannten Erlkönigen - zu schützen. Der TISAX-Standard basiert auf einem Katalog aus 52 Kontrollen, den der Verband der Automobilindustrie (VDA) von der internationalen Industrie-Norm ISO/IEC 27001 abgeleitet und speziell an die Anforderungen der Automobilindustrie angepasst hat.

Warum ist Informationssicherheit in der Automobilindustrie besonders wichtig?

Daten zu neuen Fahrzeugteilen bzw. zu ihren zugehörigen Modellen sind hochsensibel, da sie das Ergebnis jahrelanger Forschung und Entwicklung sind. Daher liegt es im Interesse eines Fahrzeugherstellers, diese Daten zu schützen - nicht nur im eigenen Unternehmen, sondern auch bei sämtlichen Unternehmen in der Lieferkette. Dabei geht es nicht nur um physischen Schutz, z. B. die sichere Vernichtung von Bauteilen nach Crashtests. Es geht insbesondere um Informationsschutz, etwa für welches Modell ein gezeichnetes Bauteil bestimmt ist, oder wo die Schwachstellen im Crashtest lagen. Dies setzt sichere Netzwerke zum Datenaustausch, ein gesteigertes Bewusstsein bei Mitarbeiterinnen und Mitarbeitern sowie physische Schutzmaßnahmen wie Zutrittsmanagement oder Sichtschutzschleusen voraus. “Der TISAX-Standard bescheinigt einem Unternehmen, dass es strukturelle Informationsrisiken erkannt hat und diesen proaktive Maßnahmen entgegensetzt”, erklärt Peter Kleebauer von PwC Österreich, Experte für Cybersicherheit und Datenschutz sowie TISAX-Auditor am Standort Linz.

Der Weg zur TISAX-Zertifizierung: Auf die richtige Kombination kommt es an!

Aller guten Dinge sind drei, wenn es um die richtige Beteiligung an einer TISAX-Zertifizierung geht: Das traf auch auf die erfolgreiche Zertifizierung der MIC Datenverarbeitung GmbH zu, die sich gemeinsam mit dem Consultingunternehmen UNINET it-consulting GmbH sowie den Auditoren von PwC auf den Weg zum Gütesiegel machte. PwC-Experte Kleebauer startete mit einer Readiness-Analyse, in deren Rahmen sämtliche Anforderungen an die MIC aus Auditorensicht besprochen und evaluiert wurden. “Gemeinsam nahmen wir sämtliche relevanten Unternehmenssysteme und -prozesse unter die Lupe und führten eine Gap-Analyse durch, an welchen Stellen noch Verbesserungsbedarf bestand, um die TISAX-Standards zu erfüllen”, schildert Kleebauer. Robert Kolmhofer, Geschäftsführer der UNINET, schnürte aus diesem Assessment gemeinsam mit dem Team von MIC ein Maßnahmenpaket: Es wurden ein Notfallkonzept erstellt und umgesetzt, technische und organisatorische Sicherheitsmaßnahmen getroffen sowie Workshops mit Mitarbeiterinnen und Mitarbeitern durchgeführt. “Für die Zertifizierung an sich sollte man sich als Daumenregel zumindest fünf Werktage einplanen, um gemeinsam mit dem Auditor sämtlich Punkte abzuarbeiten”, so Kolmhofer. “Der Weg zur Zertifizierung kann - je nach Reifegrad des Unternehmens - etwas länger dauern. Für gewöhnlich arbeitet unternehmensseitig 1 FTE (Vollzeit Mitarbeiter) daran, das Unternehmen ‘TISAX-fit’ zu machen.”

Vom Automobilstandard TISAX zum branchenübergreifenden Zertifikat ISO 27001 ist der Sprung nicht mehr weit...

“Seit 2020 sind wir nun für die nächsten drei Jahre TISAX-zertifiziert”, erklärt Ursula Schöneborn-Siligan, Vice President of Finance and Legal bei MIC Datenverarbeitung GmbH. “Aber wir haben schon die nächste Zertifizierung im Auge und werden auch dabei auf die bewährte Kombination von MIC, PwC und UNINET setzen”, verrät sie. Denn: Von den 52 Kontrollen des TISAX-Standards sind es nur noch einmal genauso viele auf die ISO(IEC 27001 Zertifizierung, die branchenübergreifend, also nicht nur für den Automobilsektor, relevant ist. “Auf diese Weise können wir uns als globaler Zoll- und Trade-Compliance Softwareanbieter nicht nur am Automobilmarkt, sondern auch darüber hinaus als verlässlicher Partner etablieren”, so Schöneborn-Siligan.

Kontakt

PwC Oberösterreich Wirtschaftsprüfung und Steuerberatung GmbH
Softwarepark 21
4232 Hagenberg
www.pwc.com


zur Übersicht

Das könnte Sie auch interessieren: