TISAX-Assessments: Geprüfte Informationssicherheit in der Automobilbranche

Wer als Lieferant in der Automobilindustrie tätig ist, arbeitet oft mit hochsensiblen Daten seiner Auftraggeber. Über den Prüf- und Austauschmechanismus TISAX können Automobilzulieferer und -dienstleister die Informationssicherheit der von ihnen verarbeiteten Daten einfach nachweisen. Transparent, vergleichbar und zeitsparend.

Anforderungsgerechte Prüfung: Drei Assessment-Level je nach Schutzbedarf

Abhängig vom Schutzbedarf der im spezifischen Fall geteilten Daten und Informationen unterscheidet TISAX drei verschiedene Assessment-Levels mit klar beschriebenen Leistungsumfängen. Diese sind für alle Unternehmen entlang der Automotive-Wertschöpfungskette anwendbar.

Dabei bestimmt das jeweilige Level die Tiefe und die Methoden der Prüfung. Grundsätzlich gilt: Je höher das Assessment-Level, desto intensiver die Prüfung; die höheren Stufen schließen dabei immer auch die niedrigeren mit ein und erfüllen somit automatisch deren Anforderungen.

Selbsteinschätzung bis Vor-Ort-Prüfung

Level 1 umfasst lediglich eine interne Selbsteinschätzung ohne TISAX-Label und hat eine niedrige Vertrauensstufe. Die Prüfergebnisse werden nicht in der TISAX-Plattform geführt. Dennoch fordern Geschäftspartner vereinzelt ein solches „Self Assessment“ auf Einsteigerniveau.

Bei Assessment-Level 2 wird anhand von Nachweisen und Interviews die Plausibilität der Selbsteinschätzung für alle im Scope enthaltenen Standorte geprüft. Dies erfolgt in der Regel per Telefonkonferenz und elektronischem Versand der Nachweise. Auf Wunsch führt der Prüfer die Interviews aber auch persönlich durch oder überprüft vor Ort etwa vertrauliche Dokumente, die nicht versendet werden sollen.

Unter bestimmten Bedingungen – beispielsweise, wenn ein Unternehmen unabhängig vom tatsächlichen Schutzbedarf das Prüfziel „Prototypenschutz“ oder „Anbindung Dritter“ verfolgt – ist jedoch immer eine Vor-Ort-Prüfung nötig. Das führt wiederum automatisch zu einem Assessment des Levels 3.

Assessment-Level 3 enthält die gleichen Tests wie Level 2, allerdings sind die Kontrollen noch gründlicher. Der Umgang mit dem Thema Informationssicherheit wird auf diesem Level immer vor Ort und in persönlichen Gesprächen umfassend unter die Lupe genommen.

Hohe Prüfziele wählen

Die Wahl des Prüfziels und damit auch des Assessment-Levels ist in der Regel von den Anforderungen des Geschäftspartners vorgegeben. Für Unternehmen, die es nach eigenem Ermessen festlegen können, empfiehlt es sich, Prüfziele zu wählen, die ein Level 3-Assessment implizieren. Die Resultate einer TISAX-Prüfung sind bis zu drei Jahre gültig.

Mit dem TISAX-Assessment haben Zulieferer und Dienstleister in der Automobilbranche eine einfache Möglichkeit, ihr IT-Sicherheitsniveau nachzuweisen. Dank dem anerkannten Prüf- und Austauschmechanismus sind Zeit- und kostenintensive Mehrfachprüfungen endlich passé. Und die Auftraggeber aus der Automobilindustrie können mit einem Klick auf die Assessment-Ergebnisse zugreifen und sich bestätigen lassen, dass die Informationssicherheit beim gewünschten Lieferanten im grünen Bereich liegt.

Inhaltsverzeichnis