Jessica Doering
14. Oktober 2024
~
4
Minuten Lesezeit
ISO 27001-Zertifizierung vs. TISAX®-Label
TISAX® ist in aller Munde... Trusted Information Security Assessment Exchange! OKAYYYY klingt beschäftigt!
TISAX® scheint ein Äquivalent zu ISO 270001 zu sein.
Aber lassen Sie uns zuerst die Dinge klarstellen: Ein TISAX®-Label ersetzt nicht die ISO 27001-Zertifizierung!
TISAX® wird hier nicht geröstet, im Gegenteil, die Verbindung zwischen TISAX® und ISO 27001 sollte nicht unterschätzt werden.
Zunächst einmal ist es nicht unbedingt ein Treffen zweier Widder! ISO 27001 hat immer noch die höchste internationale Durchsetzungskraft. Aber auch Einzelgänger (mit Familie ISO 27002, ISO 27005, etc.) brauchen von Zeit zu Zeit einen zuverlässigen Kumpel an ihrer Seite, um über Dinge zu sprechen, mit denen man sich normalerweise nicht so intensiv beschäftigt.
Vor allem, wenn es um neue Reisen geht. Und dafür braucht man normalerweise ein Auto. Und hier sind wir... TISAX® bringt den BMW X6M ins Spiel. TISAX® scheint also zu wissen, welches Auto Sie sicher durch den Schnee bringt? Irgendwie schon...
Da passt es doch, was TISAX®, im wahrsten Sinne des Wortes, antreibt! TISAX® ist ein unternehmensübergreifendes Prüf- und Austauschverfahren für Informationssicherheit in der Automobilindustrie. Eine tolle Branche! Es geht um den Schutz von Daten, deren Integrität und Verfügbarkeit sowohl im Herstellungsprozess als auch im Betrieb von Fahrzeugen eine Rolle spielen.
Bauen ISO 27001 und TISAX® also aufeinander auf?
TISAX® gibt es seit 2017 und wurde aus der ISO 27001 als Anforderungs- und Prüfkatalog für die Informationssicherheit bei Zulieferern der Automobilindustrie abgeleitet.
Also plauderte der gute Kumpel ISO 27001 am gemütlichen Lagerfeuer ein wenig zu viel aus dem Nähkästchen. Und da sich TISAX® sehr für Autos interessiert, war es naheliegend, ein paar Dinge zu kopieren und mit ein paar Pferdestärken aufzupeppen.
So geht das so genannte "Information Security Self-Assessment" (TISAX®-Fragebogen) und die einzelnen Kontrollbereiche direkt auf die Norm ISO 27001 zurück.
Und wie in jeder Beziehung weichen die beiden Standards mit jeder neuen TISAX®-Version weiter voneinander ab. Inzwischen gibt es die Version 5 der TISAX® - hier sind die Ähnlichkeiten auf den ersten Blick nicht mehr ganz so offensichtlich, aber eine enge Verwandtschaft ist immer noch deutlich erkennbar. Das kommt davon, wenn ein Freund zu weit weg zieht! Bis zum nächsten Jahr mein Freund... traurig.
Was sind die Gemeinsamkeiten und Unterschiede von ISO 27001 und TISAX®?
1. Beide definieren Anforderungen an Informationssicherheitsmanagementsysteme (ISMS) von Unternehmen. In beiden Fällen geht es also eigentlich um dieselbe Sache. Aber...
ISO 27001 gilt allgemein und für alle Unternehmen, während TISAX® Anforderungen definiert, die speziell für Zulieferer in der Automobilindustrie gelten.
2. Hinter der allgemein gültigen ISO 27001 steht die International Organization for Standardization (ISO), während der Industriestandard TISAX® (Trusted Information Security Assessment Exchange) Anforderungen speziell für Zulieferer der Automobilindustrie definiert und in der internationalen Verantwortung der privatwirtschaftlich organisierten ENX Association und des Verbandes der Automobilindustrie (VDA) liegt.
3. Wie bei ISO 27001 kann die Wirksamkeit des ISMS nach TISAX® durch Audits nach der VDA-ISA nachgewiesen werden. Bei erfolgreichem Audit vergibt ein Auditor der ENX Association (im Auftrag des deutschen VDA) das TISAX®-Label. Achtung! Die Konformität nach TISAX® bezeichnet man als "Label" nicht "Zertifikat". Dieses Label wird von allen VDA-Mitgliedern und Fahrzeugherstellern anerkannt. Es wird sogar von großen Unternehmen wie BMW, Daimler, Porsche, Continental und Volkswagen gefordert.
Das gilt nicht nur für Deutschland, made by Germans. TISAX® ist international genauso anerkannt wie ISO 27001! Angenommen, Sie sind Lieferant, Dienstleister oder Partner eines VDA-Mitglieds, dann brauchen Sie höchstwahrscheinlich TISAX®.
Wie bereits erwähnt, wurde TISAX® von ISO 27001 abgeleitet, aber die beiden Normen existieren völlig unabhängig voneinander. Schließlich sind sie nur befreundet und nicht verheiratet! Auch in Bezug auf Audits und Zertifizierungen gibt es keine gegenseitigen Abhängigkeiten.
4. Der Anwendungsbereich: Wenn Sie gut aufgepasst haben, können Sie bereits erkennen, dass der Hauptunterschied zwischen ISO 27001 und TISAX® der Anwendungsbereich ist.
Siehe vorangehenden Blogs: Die ISO 27001-Zertifizierung erlaubt es Unternehmen, ihren eigenen Geltungsbereich innerhalb des vorgegebenen Rahmens zu definieren. Die Norm beschreibt allgemeine Anforderungen an die Einrichtung, Umsetzung, den Betrieb, die Überwachung, die Kontrolle, die Kontinuität und die kontinuierliche Verbesserung eines ISMS, überlässt aber die Wahl des Anwendungsbereichs den Anwendern selbst.
Konkret bedeutet dies, dass es für Unternehmen durchaus möglich ist, einen bestimmten Standort, einzelne Produktlinien oder Dienstleistungen oder sogar das gesamte Unternehmen nach ISO 27001 zertifizieren zu lassen. Letzteres ist aber nicht zwingend. Ein gesundes Verhältnis - alles ist möglich, nichts ist ein Muss.
Anders verhält es sich bei TISAX®. Hier stehen immer das jeweilige Gesamtunternehmen und seine Informationssicherheitsprozesse auf dem Prüfstand.
5. Zertifikat? Nun, Unternehmen erhalten nur dann ein Zertifikat, wenn sie die Anforderungen der ISO 27001 erfüllen. Auch wenn Kumpel ISO 27001 nach dem vierten Bier am Lagerfeuer ein bisschen zu viel geplappert hat, am Ende gewinnt immer der Widder. Trotz Naivität!
1:0 für ISO 27001, denn es gibt kein Zertifikat für die Einhaltung von TISAX®. Auch darf ein erfolgreiches TISAX-Audit nicht für die öffentliche Werbung genutzt werden. Im Gegensatz zu einem ISO 27001-Zertifikat, das man stolz an Wänden oder auf Websites präsentieren kann.
Allerdings ist hier auch Vorsicht bei der Formulierung geboten. TISAX® ist ein Mechanismus, keine Norm!
Und für den Zweck braucht sich dieser Mechanismus auch nicht zu verstecken! Denn als TISAX®-Mitglied gehören Sie zu einem ausgewählten Kreis:
Denn das Ergebnis eines TISAX®-Audits kann nur von anderen TISAX®-Mitgliedern eingesehen werden.
Wer zu diesem Kreis der TISAX®-Mitglieder gehört und die Anforderungen in welchem Umfang auch immer erfüllt, soll nach dem Willen der Automobilindustrie in erster Linie brancheninterne Information bleiben. Aus diesem Grund dürfen die Unternehmen auch nicht öffentlich damit werben, dass sie die TISAX®-Anforderungen erfüllen. Die CIA hebt schon die Augenbraue..
Wie funktioniert das TISAX®-Portal?
Die Teilnehmer am TISAX®-Prozess tauschen ihren Informationssicherheitsstatus über ein gemeinsames Online-Portal aus. Im ersten Moment klingt das ein bisschen wie Uber... was wiederum mit Autos zu tun hat!
Die Registrierung auf diesem Portal ist eine Voraussetzung für die Teilnahme an einem TISAX®-Verfahren. Neben dem Austausch von Bewertungsdaten ermöglicht das Portal auch die Kontaktaufnahme zwischen Teilnehmern und Testdienstleistern.
Kurz gesagt, was geschieht auf diesem Online-Portal? Bestimmte Prüfkriterien sind für die Automobilindustrie relevant. Ebenso die nachgewiesene Testqualität und deren Ergebnisse. Die Informationen auf dieser Plattform sind homogen und von hoher Qualität.
Im Gegensatz zu ISO 27001 sind die Prüf- und Berichtsverfahren standardisiert, so dass die Vergleichbarkeit und Aussagekraft der Ergebnisse hoch ist.
Damit wird eine breite Akzeptanz in der Automobilindustrie erreicht und eine konsequente Ausrichtung auf die Kundenbedürfnisse geschaffen.
ISO 27001-Audit vs. TISAX®-Audit
Im Grunde folgen beide dem gleichen Prüfungsverfahren.
Mit anderen Worten: Welche Maßnahmen ergreift ein Unternehmen, wie werden diese Maßnahmen umgesetzt, und welche Nachweise gibt es für sie? Das Management eines Unternehmens trägt hier die volle Verantwortung!
Es gibt jedoch Unterschiede:
Bei einer ISO 27001-Zertifizierung ist der Aufwand für die interne Vorbereitung der Belegschaft etwas höher, da auch Mitarbeiter in Maßnahmen und entsprechende Prozesse einbezogen werden können. Bei einem TISAX®-Audit hingegen werden nur die Geschäftsführung und allenfalls der Informationssicherheitsbeauftragte befragt.
Tatsache: Die ISO 27001-Zertifizierung deckt ein breiteres Spektrum an Informationssicherheitsprozessen ab als das TISAX®-Label. Die Auditfragen sind jedoch weniger tiefgreifend. Wenn eine Maßnahme nachweislich umgesetzt wird, ist man mit dem ISO 27001-Audit soweit zufrieden. Das TISAX®-Audit hingegen prüft auch den Reifegrad der Umsetzung.
Das TISAX®-Zeichen ist ebenfalls drei Jahre lang gültig. Es finden jedoch keine jährlichen Überwachungsaudits wie bei ISO 27001 statt.
Warum beschäftigt sich TISAX® mehr mit dem Datenschutz als ISO 27001?
TISAX® verwendet einen Kriterienkatalog für die allgemeine Informationssicherheit, einen für den Prototypenschutz und einen dritten für den Datenschutz. Prototypenschutz, okay, den hatten wir noch nicht.
TISAX® wurde in erster Linie entwickelt, um ein grundlegendes Niveau der Informationssicherheit in der Automobilindustrie zu schaffen. Patente, Prototypen, Forschung und Entwicklung im Allgemeinen, dann können Sie sich nur vorstellen, wie viele verschiedene Interessengruppen beteiligt sind. Einen Erlkönig an der Tankstelle zu sehen, gibt manchen immer noch einen kleinen Kick ;). Die Entwicklung der neuesten Elektro-SUVs bis zur Markteinführung ist ein Multimillionen-Dollar-Geschäft.
Daher ist die Informationssicherheit von entscheidender Bedeutung für eine reibungslose und sichere Lieferkette in der Automobilbranche.
Das Besondere an einem TISAX®-Audit bei einem Zulieferer ist, dass der Erstausrüster (OEM) festlegt, welche Kriterien in den Mittelpunkt des Audits gestellt werden. Anschließend wird der erforderliche Reifegrad der Implementierung bestimmt. Die Bewertungsstufen reichen von 1 für "normal" bis 3 für "sehr hoch". Bei Stufe 3 sind die Anforderungen deutlich höher als bei einem ISO 27001-Audit. Stufe 3 bedeutet, dass intensive Vor-Ort-Audits durchgeführt werden.
ISO 27001-Zertifikat vs. TISAX®-Label
Warum also ein ISO 27001-Zertifikat? Als Automobilzulieferer mit einem erfolgreichen TISAX®-Audit sollten Sie doch ausreichend gerüstet sein, oder?
So einfach ist das nicht! Wie bereits erwähnt, kann nur ein ISO 27001-Zertifikat offiziell vorgelegt werden und somit Informationssicherheit demonstrieren und sich auf dem Markt positionieren.
Ein erfolgreiches TISAX®-Audit ist eine andere Geschichte. Ein Automobilzulieferer braucht jedoch nicht unbedingt eine ISO 27001-Zertifizierung, um Teil einer industriellen Lieferkette zu werden. Vielmehr ist TISAX® in dieser Branche unerlässlich.
Aber Vorsicht, es gibt genügend Erstausrüster, die von ihren Lieferanten zusätzlich zu TISAX® ein ISO 27001-Zertifikat erwarten. Das Bündel ist also sehr empfehlenswert!
Kann man TISAX® und eine ISO 27001 in einem Audit abschließen?
Um es noch einmal zu sagen: Formal gibt es keine Verbindung und damit auch keine Abhängigkeiten zwischen ISO 27001 und TISAX®. Es ist nicht wie in der ISO 27k-Familie, wo jedes ISO 27k-Mitglied mit dem anderen streitet, aber schlussendlich trotzdem dem anderen eine Niere spenden würde. TISAX® und ISO 27001 tanzen im selben Club, haben aber ihre eigenen Leute mitgebracht.
Die Normen sind völlig unabhängig voneinander. Das heißt aber nicht, dass die verschiedenen Gruppenmitglieder hier keine schöne Beziehung eingehen könnten. Das wäre ja schließlich keine Inzucht! Für diejenigen, die bereits über ein ISO 27001-Zertifikat verfügen, stellt TISAX® keine allzu große Herausforderung mehr dar.
Und trotz der Ähnlichkeiten ist eine gemeinsame Prüfung immer noch nicht möglich. Aber warum? Die Prüfungsperspektiven sind einfach zu unterschiedlich.
Bei ISO 27001 betrachten die Auditoren die Risiken und alle Maßnahmen zur Informationssicherheit aus der Sicht des Unternehmens.
TISAX® hingegen zielt darauf ab, eine sichere Lieferkette für den Erstausrüster zu schaffen, der von seinem Lieferanten ein TISAX®-konformes Managementverfahren erwartet. Das Hauptaugenmerk liegt auf der Perspektive des Endkunden.
Unternehmen können also die TISAX®-Kriterien erfüllen UND gleichzeitig nach ISO 27001 zertifiziert sein, oder sie können nur eine der beiden Normen erfüllen.
Das klingt nach einer emotional anstrengenden Beziehung. Aber diese kann funktionieren und ist gar nicht so kompliziert, wie es klingt! Denn es können Synergien genutzt werden! Die beiden Normen ergänzen sich gegenseitig so gut, so dass die Einhaltung beider Normen für Anbieter sehr empfehlenswert ist!!!
Secfix hilft bei diesem Bündel! Buchen Sie eine Beratung mit uns!
