Herr Funk, hat msg das TISAX-System für den VDA entwickelt?
Nein, das sogenannte "TISAX Label" wurde 2017 über den europäischen Branchenverband ENX eingeführt. Die Historie geht jedoch bis ins Jahr 2005 zurück. Damals klärten die Automobilhersteller ihre Sicherheitsanforderungen an spezifische Zulieferer auf Basis eines Fragebogens des Verbands der Automobilindustrie VDA. Mit dem TISAX Label ist dieser Prozess nun vereinfacht, da es einen gemeinsamen, standardisierten Zertifizierungsprozess gibt, der über akkreditierte Auditoren umgesetzt wird. msg tritt in diesem Zusammenhang in zwei Rollen auf: Zum einen als Zulieferer der Automobilindustrie sind einzelne Geschäftseinheiten beziehungsweise Standorte der msg nach TISAX zertifiziert. Zum anderen unterstützt die msg Unternehmen bei der Erlangung einer Zertifizierungsreife für TISAX sowie für andere gängige Standards des Informationssicherheitsmanagements.
Was verstehen Sie unter "Assessments der Informationssicherheit"?
Bei einem "Assessment der Informationssicherheit" handelt es sich um eine strukturierte Bewertung, die in der Regel Technologie, Prozesse und Menschen umfasst. Dies kann auf Basis der Dokumentenlage durchgeführt werden oder auch im Rahmen von Interviews, Vor-Ort-Begehungen und technischen Sicherheitsprüfungen. Um das TISAX-Label zu erhalten, muss das Unternehmen den Auditoren eine Selbstauskunft in Form eines umfassenden Fragebogens vorlegen. Diese wird dann durch die Auditoren geprüft. Für die höchste Stufe des Labels werden die Auditoren Interviews und Vor-Ort-Begehungen durchführen. Der zugrundeliegende VDA-ISA Anforderungskatalog ist an die Sicherheitsnormen ISO 27001 und ISO 27002 angelehnt, in der Tiefe der einzelnen Anforderungsspezifikationen aber detaillierter gestaltet. Das Label dient gegenüber der Automobilindustrie als Nachweis, dass ein Lieferant über ein bestimmtes Sicherheitsniveau verfügt. Es muss alle drei Jahre erneuert werden.
Wie viel Prozent der Zulieferer in Deutschland hat noch kein Informationssicherheitssystem?
Uns liegen dazu keine Zahlen vor, aber unseren Erfahrungen nach variiert das stark zwischen Branchen und Unternehmensgrößen. Außerdem gibt es hier viele Grauzonen: Möchte ich ein Informationssicherheitsmanagementsystem (ISMS) in Teilen einführen oder vollumfänglich? Soll das Unternehmen nach gängigen Standards wie ISO 27001 oder TISAX in der Automobilbranche formell zertifiziert werden oder genügt schon eine "Zertifizierungsreife"? Typischerweise sind Kunden- oder regulatorische Anforderungen ein wichtiger Treiber für die Einführung eines ISMS. Es sind aber nicht nur große Unternehmen, die ein ISMS implementieren. Gerade der Mittelstand tut sich aufgrund der geringeren Komplexität der Organisation leichter mit der Einführung und Zertifizierung eines ISMS. Allerdings fehlen bei kleinen und mittelständischen Unternehmen oft die notwendigen Ressourcen dafür.
Auf Grundlage welcher Basis können OEMs die Zertifizierung vom Zulieferer einfordern?
OEMs fordern immer häufiger das TISAX-Label von ihren Zulieferern. Dies geschieht auf Basis einer vertraglichen Grundlage. In neuen Leistungsausschreibungen werden die anbietenden Zulieferer im Falle einer Beauftragung zum Beispiel dazu verpflichtet, Zertifikate nach bestimmten Standards vorzulegen. Oft haben die Zulieferer dann noch eine "Karenzzeit" von zwölf Monaten. Legt ein Lieferant die erforderlichen Nachweise dann nicht vor, hat der OEM das Recht, die Beauftragungen einzustellen.
Welche Alternativen zu TISAX gibt es aktuell?
Der globale, branchenübergreifende Standard für das Informationssicherheitsmanagement ist die ISO 27001. Wenn ein Unternehmen nach dieser Norm zertifiziert ist, wird es sich vergleichsweise einfach tun, zusätzlich das TISAX Label zu erhalten. Allerdings ist das Prüfverfahren bei TISAX in der Regel etwas detaillierter. Dort wird zum Beispiel sehr konkret nach Nachweisen für die Umsetzung einer Sicherheitsprotokollierung und für das Erfassen und Auswerten von Schwachstelleninformationen gefragt. Manche OEMs akzeptierten in der Vergangenheit ein ISO 27001 Zertifikat als Alternative zu TISAX – der Trend geht nun offenbar aber in die Richtung, dass auch das TISAX Label gefordert wird. Zwei andere Standards, die BSI IT-Grundschutz-Methodik und ISIS-12, sind aus Zertifizierungssicht in der Automobilbranche nicht relevant.
Was kostet die TISAX-Zertifizierung bzw. mit welchen Folge-Kosten ist sie für die Zulieferer verbunden?
Das lässt sich so pauschal nicht sagen. Die Kosten für das externe Audit hängen vom Prüfungsumfang und der Anzahl der zu prüfenden Standorte ab und beginnen bei rund 8000 Euro aufwärts. Im Vorfeld kommen die Kosten für die Vorbereitung zur Erlangung der Zertifizierungsreife hinzu – diese hängen freilich vom Ausgangsreifegrad der Organisation ab. Bei den Folgekosten schlagen in erster Linie die Aufwände für das Aufrechterhalten des ISMS zu Buche. Bei kleineren mittelständischen Unternehmen bis etwa 500 Mitarbeitern sind das typischerweise 50 bis 100 Personentage pro Jahr. Bei größeren Unternehmen bedarf es mindestens einer Vollzeitkraft, die sich permanent um das Informationssicherheitsmanagement kümmert.
Warum ist ein "dynamisches" Sicherheitsmanagement sinnvoller und was genau verstehen Sie darunter?
Unter einem dynamischen Sicherheitsmanagement würde ich ein Managementsystem verstehen, das einem kontinuierlichen Verbesserungsprozess unterliegt. Es ist also kein Projekt, das zu einem definierten Zeitpunkt abgeschlossen ist, sondern ein fortlaufender Prozess. Das bedeutet auch, dass die Reise mit einer erfolgreichen Erstzertifizierung nicht abgeschlossen ist. Das Unternehmen muss vielmehr den Sicherheitsprozess stetig verbessern und dynamisch auf Veränderungen im Umfeld reagieren. Dazu gehören zum Beispiel neue Technologien, Bedrohungen, Schwachstellen oder auch Änderungen in der Tätigkeit der Organisation wie etwa neue Geschäftsfelder.
Lesen Sie auch:
Sicherheit von vernetzten Autos: "Connectivity erhöht die Angriffsmöglichkeiten dramatisch"
Digitale Sicherheit: DAD und Kroschke jetzt zertifiziert
Infineon-Manager Schiefer: "Cybersicherheit gelingt nur gemeinsam"
Dazu aus dem Datencenter:
Die 25 größten IT-Dienstleister in der deutschen Autoindustrie 2018