Der TISAX-Prozess: Informationssicherheit in der Automobilindustrie
Die Informatik hat den klassischen Ingenieurssektor Automobilindustrie eingeholt. Mittlerweile sind Informatiker in Teilen der Branche mehr gefragt als Ingenieure. Das hat seine Gründe: Industrie 4.0 in der Produktion, Vernetzung des Automobils und autonomes Fahren sowie die neue EU-Datenschutzgrundverordnung. Bei diesen Entwicklungen nimmt das Thema Daten und der richtige Umgang damit einen besonders hohen Stellenwert ein. Die Informationssicherheit steht dabei aus unterschiedlichen Gründen besonders im Fokus. Einerseits haben die Hersteller selbst ein Interesse daran, ihre Daten und Informationen zu schützen, die sie für Produkt- und Prozessentwicklung in ihrer Lieferkette bereitstellen. Gleiches gilt für Daten, die Dienstleistern wie beispielsweise Beratungs- oder Werbeagenturen zur Verfügung gestellt werden. Ein weiterer besonders wichtiger Aspekt ist der Schutz der Daten, die durch die Nutzung von Autos entstehen. Viele moderne Autos senden regelmäßig Daten über den aktuellen Status an den Hersteller – Digitalisierung à la Silicon Valley lässt grüßen. Damit hängt ein weiter „Antreiber“ für das Thema Informationssicherheit in der Automobilindustrie zusammen: die neue EU-Datenschutzgrundverordnung.
Auch der Verband der Automobilindustrie (VDA) befasst sich seit mehr als zehn Jahren in einem Arbeitskreis mit dem Thema Informationssicherheit. Das jüngste und wichtigste Ergebnis dieses Arbeitskreises: Ein neues Prüfverfahren basierend auf dem Fragenkatalog (ISA – Information Security Assessment). Grundlage dieses Assessments ist die Internationale Norm ISO/IEC 27001. Der Fragenkatalog besteht aktuell aus einem Basismodul, sowie jeweils einem Modul zu den Themen Prototypenschutz, Anbindung Dritter und Datenschutz.
Anwendung findet er sowohl bei den Herstellern für interne Zwecke, als auch in der Lieferkette und bei Dienstleistern der Automobilindustrie. Die Prüfungen insbesondere bei Lieferanten und Dienstleistern haben die Automobilhersteller in der Vergangenheit unabhängig voneinander und somit unkoordiniert durchgeführt. TISAX ist nun ein gemeinsamer Prüf- und Austauschmechanismus, der die Erkenntnisse aus den Information Security Assessments für alle Hersteller zugänglich macht. Die Ergebnisse der Prüfungen werden in einem Reifegradmodell abgebildet. Eine Rezertifizierung erfolgt grundlegend alle drei Jahre oder beispielsweise wenn das teilnehmende Unternehmen ein höheres Reifegrad-Level nachweisen möchte.
Eine Vereinigung aus Unternehmen und Verbänden, die ENX Association, fungiert als Governance-Organisation. Sie akkreditiert die Prüfdienstleister und kontrolliert die Qualität der Prüfungen. Die am TISAX-Verfahren teilnehmenden Unternehmen wenden sich ebenfalls mit ihrem Anliegen zuerst an die ENX Association. Diese stellt dann den Kontakt zum Prüfdienstleister her. Alle drei Parteien: ENX Association, Prüfdienstleister und teilnehmendes Unternehmen sind durch ein Vertragsdreieck rechtlich verbunden.
Seit Anfang des Jahres hat die DGQ das Training für TISAX – Foundation Level im Programm. In diesem Training machen sich Teilnehmer mit den Grundlagen des TISAX-Standards vertraut und erfahren alles, was für eine Begutachtung ihres Unternehmens nötig ist. Praktische Übungen und Diskussionen stehen dabei besonders im Fokus.