TISAX®-Hilferuf

Was ist zu tun, wenn Sie von Ihrem Kunden aus der Automobilindustrie zum Nachweis eines TISAX®-Labels aufgefordert werden?

Schon oft habe ich mitbekommen, dass ein OEM-Kunde, wie z.B. Volkswagen oder BMW, eine Nachricht an den Projektleiter oder Key Accounter geschickt hat, man solle doch ein TISAX^®-Label nachweisen. Das wäre "irgend so ein IT-Thema". Und prompt landet die E-Mail beim Systemadministrator oder IT-Leiter..."Ähm, Chef, können wir mal kurz über diese E-Mail vom Kunden sprechen? Ich glaube, da steckt mehr drin, als wir dachten..."

Den Nachweis eines TISAX^®-Labels erbringt man dadurch, dass man das Thema "Sicherheit von Informationen" (mit hohem Anteil IT, aber nicht ausschließlich!), strukturiert im Unternehmen betrachtet, organisiert und sich dabei an diejenigen Vorgaben hält, die im Dokument "Information Security Assessment" (Herausgeber ist der VDA) beschrieben sind.

Grob umrissen: Es ist ein Managementsystem für Informationssicherheit aufzubauen, das sich an der Norm ISO 27001 orientiert. Kleiner Bonus: Dieses ISMS ist von unabhängiger Instanz prüfen zu lassen.

Was also tun, wenn die Anforderung TISAX^® im Raum steht? Natürlich ist der Prozess für die Einführung eines ISMS deutlich umfangreicher – nachfolgend gehe ich lediglich auf die "Sofort-Maßnahmen", also auf die ersten Schritte ein.
 

Diesen Weg empfehle ich

1. Notwendigkeit/Plausibilität prüfen

Die Anforderung resultiert oft aus der Fachabteilung eines Automobilherstellers, der das über die internen Prozesse antriggert. Es soll sogar Hersteller geben, die selbst nicht übermäßig viel über diesen Teil der Lieferantenfreigabe wissen, bzw. nicht genau verstehen, wozu dieser Standard gut ist. So wurde bereits bei einem Kunden von mir die Anforderung nach TISAX^® verworfen, weil weder mit Kundendaten hantiert noch auf Systeme des OEM zugegriffen wurde. Dieser Fall ist aber äußerst selten.

Plausibilität ist schon ein Faktor! Beispielsweise ergibt es bei größeren Unternehmen keinen Sinn, sämtliche Standorte in den Geltungsbereich mit aufzunehmen, wenn nur an einem die tatsächliche Leistungserbringung erfolgt. Hier einfach die tatsächlichen Gegebenheiten prüfen.
 

2. Projekt aufsetzen

In den meisten Fällen ist Zeit ein kritischer Faktor. Beispielsweise ist ein Kundenprojekt bereits beauftragt, steht kurz bevor oder es bestehen langjährige Verträge, und vor dem nächsten Abruf einer Charge oder vor einem Projektschritt soll "noch schnell TISAX^® gemacht werden".

2.1. Vom Projekt zum Prozess
Grundsätzlich sollte man sich vergegenwärtigen: Es gibt ein initiales Projekt für die Einführung eines ISMS, welches dann jedoch in ein Managementsystem mündet, das als neue Instanz zu verstehen ist: Menschen im Unternehmen werden Rollen zugewiesen, mit denen diverse neue Tätigkeiten verbunden sind. Neue Prozesse sind einzuführen. Das alles betrifft nahezu das gesamte Unternehmen.

2.2. Zeitrahmen
Die Unternehmensgröße, der Geltungsbereich, die Prüfziele (Label) sowie die zur Verfügung stehenden Ressourcen sind natürlich maßgeblich für den Projekterfolg. Deshalb sollte mindestens ein Zeitraum von 6-18 Monaten eingeplant werden.

2.3. Team
Legen Sie ein Team fest, dass sich den Herausforderungen stellt. Gute Voraussetzungen hat ein Team, wenn Know-how in folgenden Bereichen vorhanden ist:

• Gute Kenntnisse über das Unternehmen
• Projektleitung & Kommunikation
• IT-Prozesse im Unternehmen
• Kenntnisse über IT-Sicherheit
• Ressourcen einplanen

2.4. Kosten
Für den Umsetzungszeitraum sollten mindestens 0,5 FTE bereitgestellt werden, dieses ist absolutes Minimum. Eher ist mit 1-2 FTE zu rechnen. Weitere zusätzliche Kosten können bei der Umsetzung von benötigten Maßnahmen (z.B. Auditierung von Dienstleistern, Anschaffung von Hardware und Software) entstehen.
 

3. Anforderungen & Geltungsbereich

Welche Kunden fordern ein TISAX^®-Label? Heute der eine, morgen ein weiterer. Deshalb konzentrieren wir uns hier auf TISAX^®: Welche Label werden verlangt?

Es stehen so einige zur Auswahl:

• Informationen mit hohem Schutzbedarf
• Informationen mit sehr hohem Schutzbedarf
• Anbindung Dritter mit hohem Schutzbedarf
• Anbindung Dritter mit sehr hohem Schutzbedarf
• Prototypenschutz mit hohem Schutzbedarf
• Prototypenschutz mit sehr hohem Schutzbedarf
• Datenschutz gemäß Auftragsdatenverarbeitung
• Datenschutz gemäß Auftragsdatenverarbeitung von personenbezogenen Daten

Was darf es sein?

3.1. Welche Anforderungen stehen noch im Raum?
Ich habe tatsächlich schon Unternehmen gesehen, die einfach Verträge unterschrieben haben, ohne sie zu lesen oder ohne sie zu verstehen. Lauern eventuell noch andere Compliance-Gaps in Ihren Kundenverträgen? Dann wäre jetzt ein guter Zeitpunkt, um mal wieder in diese zu schauen!

3.2. Geltungsbereich
Betrachten Sie, für welche Standorte ein Label benötigt wird. Wo wird die Dienstleistung erbracht? Was ist überhaupt die kritische Dienstleistung, aufgrund derer das Label gefordert wird? Mit welchen Informationen wird innerhalb dieser Prozesse gearbeitet?
Unter TISAX^® sind verschiedene Scopes festgelegt:

• Standard-Scope
• Erweiterter Scope
• Eingeschränkter Scope

Wichtig: Nur für die Scopes "Standard" und "Erweitert" kann die Zuteilung eines Labels erfolgen!
 

4. Informationssicherheit

4.1. Know-how
Nicht unwichtig für den Projekterfolg: Welches Wissen über IT, IT-Security und vor allem Informationssicherheit ist vorhanden? Verstehen Sie die Anforderungen aus dem VDA ISA wirklich vollständig und tiefgehend genug? Dieses ist ein essenzieller Punkt!

Mit oder ohne Berater: Bauen Sie intern Wissen zu dem Thema auf. Das ist in jedem Fall unausweichlich. So fällt es Ihnen später leichter, das ISMS kontinuierlich weiterzuführen. Es gibt z.B. 2-tägige Veranstaltungen von diversen Anbietern am Markt, die Sie hier bereits enorm weiterbringen.

4.2. Risikomanagement
Gibt es bereits eine Risikomanagement-Methode im Unternehmen? Können Sie diese für das ISMS nutzen? Was für eine Risikokultur wird bei Ihnen gelebt? Also, wie präsent ist die Betrachtung von Risiken in den Geschäftsprozessen implementiert und wer ist da eigentlich involviert?

Falls Sie sich dazu entscheiden, für das ISMS eine neue Risikomanagement-Methode festzulegen, rate ich Ihnen eine zu wählen, die sich an den diversen Standards orientiert (ISO 31000, ISO 27005, BSI). Es gibt sehr viele Varianten am Markt. Evaluieren Sie das, was zu Ihnen passt. Verstricken Sie sich nicht in die beliebte "Toolfrage", viel wichtiger als die Wahl einer Software ist es, eine risikoorientierte Unternehmenskultur zu fördern. Risikomanagement sollte in die Geschäftsprozesse integriert und wirklich gelebt werden.
 

5. Unterstützung

Wenn Sie bislang noch keine Erfahrungen mit dem Thema Informationssicherheit sammeln konnten, dann holen Sie sich – wenigstens für einen Tag – einen Berater mit entsprechendem "TISAX^®-Know-how". Es ist unglaublich, wieviele Informationen Sie selbst aus einem 1-Tages-Workshop mitnehmen können. Und erstaunlich, wie viele Fragen & Probleme dadurch bereits gelöst werden! In keinem anderen Format gibt es so viel Erkenntnisgewinn und dermaßen produktive Zeitnutzung, wie bei so einem Workshop.

Hiervon profitieren vor allem Unternehmen, die sich mit dem Thema vorher noch nicht beschäftigt haben. Nichts ist schädlicher für das Team oder die Person, wenn man im Trüben fischt und ein Thema vor sich hat, das so viele Unklarheiten aufführt. Es steht alles beschrieben – in der VDA ISA, in dem Teilnehmerhandbuch und auch auf vielen Webseiten der Anbieter. Klarheit aber bringt oft einfach nur ein Gespräch sowie die Beantwortung ganz konkreter Fragestellungen. Und häufig dient ein Berater auch als „Übersetzer“, zur verständlichen Aufbereitung der Anforderungen.

Disclaimer:
TISAX^® ist eine Marke der ENX Association. Es gibt keine Verbindung zwischen abat und der ENX.