TÜV SÜD als „TISAX®“-Prüfstelle akkreditiert

Filed under Allgemein

IT-Sicherheit in der Automobilbranche

TISAX® gilt als aktueller Standard für den Nachweis der Informationssicherheit in der Automobilbranche. Hersteller verlangen von ihren Zulieferern und Dienstleistern immer häufiger eine zugehörige Zertifizierung. Die Deutsche Akkreditierungsstelle hat TÜV SÜD Product Service als eine der ersten Prüfstellen dafür anerkannt. Die Vor-Ort-Audits in Garching, Mannheim und Straubing wurden innerhalb nur eines Jahres erfolgreich abgeschlossen.

„Weil die meisten Hersteller ihre Zulieferer eng in die Produktentwicklung einbeziehen, muss das IT-Sicherheitsniveau hoch sein“, sagt Karl Meier, Bereichsleiter Transportation bei TÜV SÜD. „Ein regelmäßiger Nachweis, dass die TISAX-Anforderungen erfüllt werden, ist daher obligatorisch.“ Bisher prüfte jeder Auftraggeber selbst nach dem ISA-Standard des Verbands der Automobilindustrie. Die Folge war, dass zahlreiche Unternehmen die Erfüllung der damit verbundenen Anforderungen mehrmals nachweisen mussten.

Eine TISAX-Zertifizierung reduziert diesen Aufwand für alle Beteiligten erheblich, auch weil die Prüfergebnisse online ausgetauscht werden können. Die zugehörige ENX-Plattform betreibt die European Network Exchange Association – ein Zusammenschluss von Autoherstellern, zulieferern und -verbänden. Unternehmen, die sich hier freischalten lassen, dokumentieren gegenüber ihren Geschäftspartnern, dass ihre Informationssicherheit TISAX®-konform ist.

Dreistufiges Assessment nach Sensibilität der Daten

Karl Meier: „Ein wichtiger Punkt bei der IT-Sicherheit ist beispielsweise das Management von Zugriffsberechtigungen. Vor allem wenn eine Vielzahl von Mitarbeitern oder Subunternehmen an einem Projekt arbeitet, sollten die Unternehmen wiederkehrend kontrollieren, wer welche Rechte hat oder ob diese noch benötigt werden.“ Da Daten unterschiedlich sensibel sind, können Lieferanten verschiedene Assessment-Level mit unterschiedlichem Prüfumfang wählen. Das reicht von einem Self-Assessment ohne TISAX®-Label (Level 1) bis zu einer intensiven Vor-Ort-Prüfung der Informationssicherheit und Managementprozesse (Level 3). Die Prüfergebnisse gelten bis zu drei Jahre lang.

Das Vorgehen: Zunächst entscheiden die Unternehmen, welche TISAX-Anforderungen erfüllt sein müssen und welches Level auf dieser Basis benötigt wird. Nach der Registrierung bei der ENX erhält das Unternehmen eine Scope-ID. Dann prüft TÜV SÜD auf Basis der Anforderungen des Assessment-Levels und übermittelt den Audit-Bericht. Daraufhin behebt das Unternehmen etwaige identifizierte Schwachstellen. Ein vorläufiges Ergebnis darf bereits auf der Online-Plattform eingestellt werden. Nach einem Folge-Audit wird das Endergebnis eingestellt. Alle Daten sind ausschließlich für registrierte Nutzer und nur nach Freigabe durch das auditierte Unternehmen sichtbar.

Über TISAX und ENX

Der Verband der Deutschen Automobilindustrie hat 2017 den Standard zur Informationssicherheit „Trusted Information Security Assessment Exchange“ definiert. Er orientiert sich an der internationalen Norm ISO/IEC 27001, die an die Anforderungen der Automobilindustrie angepasst wurde. Die ENX- Website www.enx.com zum Datentausch bietet zudem einen Anforderungskatalog und Fragebogen zum Informationsmanagement sowie eine Liste akkreditierter Prüfstellen.

Mehr zum TISAX®-Assessment unter tisax@tuvsud.com, Tel. 0800 / 5791-5000 oder https://www.tuvsud.com/de-de/dienstleistungen/auditierung-und-zertifizierung/cyber-security-zertifizierung/tisax.

Informationen zu TISAX®: https://enx.com/de-de/TISAX/

Weiterführende Links

• Originalmeldung von TÜV SÜD AG
• Alle Meldungen von TÜV SÜD AG
• [PDF] Pressemitteilung: TÜV SÜD als "TISAX®"-Prüfstelle akkreditiert