TISAX Standard: Definition, Anforderungen und rechtssichere Abbildung mit ECM-Software

Veröffentlicht 10.03.2022
Geschätzte Lesezeit 6 Min.

Jonas Hovestadt Account Executive Manufacturing d.velop

Blaues Meer, Auto

Seit wenigen Jahren setzen die großen deutschen Automobilhersteller eine TISAX Zertifizierung bei all ihren Lieferanten voraus, egal ob es sich um Karosserie-Teile, Kabelbäume oder Zierleisten handelt. Sollten Zulieferer diesen Standard nicht erfüllen, sind sie schlichtweg nicht mehr beauftragungsfähig. Die BMW Group setzt bereits heute bei allen Neuaufträgen eine TISAX Zertifizierung voraus. Bestehende Beauftragungen werden sukzessive hinsichtlich der TISAX Konformität überprüft. So werden sich Lieferanten, die langfristig im Automotive-Sektor erfolgreich sein möchten, nicht gegen diesen Standard wehren können. Ein Nichtvorhandensein ist schlichtweg existenzbedrohend.

Erfahre im Artikel, was sich hinter TISAX verbirgt, welche Anforderungen bei der Zertifizierung auf Lieferanten zukommen und wie ein ECM-System bei der Umsetzung unterstützt.

Was ist TISAX?

Definition TISAX

TISAX steht für Trusted Information Security Assessment Exchange. Im Endeffekt handelt es sich um einen Automotive-spezifischen Standard, der die Verarbeitung von vertraulichen Informationen und den Daten- sowie Prototypenschutz zwischen den OEMs und deren Dienstleistern regelt.

TISAX wurde 2017 vom Verband der Automobilindustrie (VDA) ins Leben gerufen. Dieser neue Standard orientiert sich dabei stark an der bereits bestehenden Norm ISO 27001. Der Zertifizierungsprozess wird auf Grundlage des VDA Information Security Assessment (VDA ISA) durchgeführt. Der VDA ISA ist ein standardisierter Fragenkatalog mit zusätzlichen Abfragen für die Überprüfung des Information Security Management Systems (ISMS).

Anforderungskatalog TISAX Zertifizierung

Um die TISAX Zertifizierung final zu bestehen, müssen die Lieferanten sämtliche Anforderungen erfüllen, die im VDA-ISA-Prüfungskatalog definiert worden sind. Dieser besteht aus insgesamt drei Teilen: Informationssicherheit, Datenschutz und Prototypenschutz.

Infografik Anforderungen TISAX Zertifizierung
Infografik Anforderungen TISAX Zertifizierung

Der erste Block der Informationssicherheit stellt dabei das Hauptmodul von TISAX dar. Dieses wird bei jedem Audit verpflichtend überprüft. Die drei weiteren Module werden je nach Bedarf und dem ausgewählten Assessment-Level überprüft.

Innerhalb von TISAX gibt es darüber hinaus insgesamt drei Assessment- bzw. Prüflevel. Diese orientieren sich an dem Schutzbedarf der Informationen, die zwischen den Unternehmen ausgetauscht werden. Je nachdem, ob der Schutzbedarf der Information als normal (Level 1), hoch (Level 2) oder sehr hoch (Level 3) eingeschätzt wird, kommen andere Methoden und Aufwände für die Prüfung auf den Dienstleister zu.

  • Level 1 verlangt lediglich eine Selbsteinschätzung ohne Plausibilitätsprüfung.
  • Level 2 verlangt ebenfalls eine Selbsteinschätzung. Diese wird allerdings durch einen externen Prüfdienstleister auf Plausibilität geprüft. In der Regel erfolgt diese Prüfung remote. In Ausnahmefällen kann es allerdings auch zu Vor-Ort-Prüfungen kommen, sofern der Daten- oder Prototypenschutz dieses explizit vorsieht.
  • Level 3 verlangt eine Selbsteinschätzung, auf die eine detaillierte Vor-Ort-Prüfung der TISAX Anforderungen durch den Prüfdienstleister folgt.
Übersicht TISAX Assessments

Mit einem TISAX-E-Learning Prüflevel von Mitarbeitenden nachweisen

Der Prüfungskatalog wird ab dem Schutzbedarf Assessment Level 2 auch von externen Prüfungsdienstleistern bei den betroffenen Unternehmen auf Plausibilität geprüft. Somit müssen TISAX-zertifizierte Unternehmen die absolvierte Schulung pro Beschäftigten nachweisen können. Das erfordert eine Übersicht aller Nachweise der absolvierten Schulungen sowie einen schnellen Zugriff auf Fortschrittsdaten einer Schulung, denn grundsätzlich zielt eine TISAX-Zertifizierung darauf ab, die Integrität des Informationssicherheitssystems eines Unternehmens zu gewährleisten. Um dies zu gewährleisten, bietet es sich in Zeiten von Corona und Homeoffice an, die TISAX-Schulung online in Form eines E-Learnings anzubieten.

E-Learning TISAX Paket: Datenschutz (DSGVO) & IT-Sicherheit (ISO 27001)

Was hat ECM mit TISAX zu tun?

Die Anforderungen von TISAX sind vielfältig. Egal ob im Baustein Informationssicherheit, Prototypenschutz oder Datenschutz – für die Beantwortung des VDA-Fragebogens und die Erstellung der Selbstauskunft fallen viele Dokumente und Informationen an, die adäquat verwaltet werden müssen.

Wie die Bezeichnung Enterprise Content Management bereits vermuten lässt, ist dies eine wesentliche Kernfunktion einer guten ECM-Software. Applikationen dieser Gattung können Dokumente revisionssicher archivieren, kollaborativ daran arbeiten, Unternehmensprozesse digitalisieren und damit vereinfachen. Der Einsatz einer ECM-Software unterstützt in zweierlei Hinsicht bei der Umsetzung des VDA-Standards im Rahmen einer TISAX Zertifizierung.

ECM-Software erleichtert die Erfüllung der TISAX Anforderungen

Informationssicherheit

Eine ECM-Software erleichtert grundsätzlich die Erfüllung der hohen Anforderungen von TISAX im Bereich der Informationssicherheit. Eine Kernanforderung besteht beispielsweise in der Erstellung von Sicherheitsrichtlinien, die allen Mitarbeiter:innen zugänglich gemacht werden müssen. In der Praxis stellt sich dies gerade bei produzierenden Unternehmen als schwierig dar, da ein einfacher Aushang in der Produktion häufig als nicht ausreichend bewertet wird.

Abbildung des gesamten Prozesses

Mittels eines ECM-Systems, wie beispielsweise d.velop documents, ist es möglich den gesamten Prozess von der kollaborativen Richtlinienerstellung, über die automatisierte Freigabe durch das Management mittels eines eigenen QM-Workflows, bis hin zur Verteilung der Richtlinie an alle Mitarbeiter:innen über eine Mitarbeiter-App zu digitalisieren. Darüber hinaus ist es verpflichtend, die Sicherheitsrichtlinien regelmäßig zu überprüfen und zu aktualisieren.

Dokumentationspflicht

Aufgrund der im Standard von d.velop documents enthaltenen Versionshistorie, kann die Dokumentationspflicht einfach erfüllt werden. Sind QM-Prozesse dieser Art erst einmal digitalisiert und somit dokumentiert, fällt das Bestehen von TISAX und anderen Normen wie der ISO 27001 oder der ISO 16949 sehr viel leichter.

Klassifizierung des Schutzbedarfs

Wie bereits erwähnt, besteht eine weitere Kernanforderung der TISAX in der Klassifizierung des Schutzbedarfs von Informationen. Unternehmen sind verpflichtet, Projekte und die damit einhergehenden Geschäftsdokumente anhand der Informationssicherheit zu klassifizieren. Bereits heute nutzen eine Vielzahl an Automotive Kunden d.velop Lösungen für genau diesen Zweck. Innerhalb der Software gibt es die Möglichkeit, jedes eingehende Dokument, egal ob papierbasiert oder digital, zu kategorisieren. Die Schutzklassen lassen sich dabei frei konfigurieren. Selbstverständlich gibt es auch bereits vorgefertigte Templates für eine TISAX konforme Klassifizierung. Ein ECM-System versetzt Mitarbeitende somit in die Lage, sich jederzeit einen Überblick über sämtliche Dokumente einer gewissen Sicherheitsklasse oder eines gewissen Projektes zu verschaffen. Durch die initiale Klassifizierung können zudem Berechtigungen hinterlegt werden, sodass nur die Kollegen:innen oder Auditoren:innen Zugriff auf die Dokumente erhalten, die über die nötigen Berechtigungen verfügen.

TISAX-Anforderungen rechtssicher und effizient erfüllen.

ECM-Software erleichtert die operative Umsetzung der TISAX Zertifizierung

Des Weiteren unterstützt ein ECM-System bei der operativen Umsetzung der TISAX Zertifizierung. Egal ob Dokumentationen, Richtlinien, Nutzdokumente oder Organigramme – bei der initialen Vorbereitung auf den Audit fallen eine Vielzahl von Dokumenten an. All diese Informationen können zentral im ECM abgelegt werden. Das System bietet darüber hinaus die Möglichkeit, die Dokumente in einer standardisierten TISAX Akte anzeigen zu lassen. Die Aktenstruktur inklusive Unterordner richtet sich dabei nach dem Aufbau des VDA Fragebogens. Auf diese Weise behalten die internen Verantwortlichen zu jeder Zeit die Übersicht über sämtlichen erarbeiteten Dokumenten zu einem gewissen Subkapitel. Ein ECM bietet allerdings nicht nur die Möglichkeit der einfachen Archivierung. Dokumente können auch gemeinsam, kollaborativ erarbeitet werden. Aufgrund der Versionshistorie ist darüber hinaus zentral dokumentiert, welche:r User:in welche Änderung zu welchem Zeitpunkt vorgenommen hat. Letztendlich können diese gemeinsam erarbeiteten Dokumente, beispielweise Richtlinien, voll digital von Management freigegeben und über die ECM-Plattform an alle Mitarbeiter:innen verteilt werden. Nichtdestotrotz ist eine TISAX Zertifizierung für Lieferanten mit hohen Kosten und einem hohen Arbeitsaufwand verbunden.

Zusammenfassend kann festgehalten werden, dass die Nutzung eines ECM-Systems die erfolgreiche Absolvierung von TISAX erleichtert. Ist eine solche Lösung erst einmal in der Unternehmung implementiert, spart man sich viel Aufwand bei der initialen Prüfung. Darüber hinaus unterstützt der Einsatz eines adäquaten ECM-Systems bei der initialen Umsetzung der TISAX Zertifizierung und sorgt langfristig für eine TISAX konforme Arbeitsweise.

Mit TISAX langfristig beauftragungsfähig bleiben

TISAX bietet alles in allem viele Vorteile für Unternehmen des Automotive-Sektors. So werden die Unternehmenswerte geschützt, es wird die Grundlage für weitere Zertifizierungen dargelegt, wie beispielsweise die ISO27001 und sicherlich der größte Vorteil: die Beauftragungsfähigkeit bleibt weiterhin gesichert.

Im Webinar zeigen Experten:innen der d.velop, wie mit Unterstützung von d.velop Lösungen die TISAX Zertifizierung erfolgreich im Unternehmen umgesetzt werden kann. ▶ Jetzt ansehen