SEEBURGER: TISAX®-Zertifizierung

SEEBURGER

The Engine Driving Your Digital Transformation

Cloud

TISAX®-zertifiziert! Sicherheit für Ihre EDI/B2B-Prozesse in der SEEBURGER Cloud

| | Account Executive, SEEBURGER AG
TISAX®-zertifiziert! Sicherheit für Ihre EDI/B2B-Prozesse in der SEEBURGER Cloud

Die SEEBURGER Cloud Services sind seit Jahren nach ISO 27001 zertifiziert und nach ISAE 3402 auditiert.

Ergänzend hierzu hat SEEBURGER seine Cloud Services jetzt auch erfolgreich der automobilspezifischen TISAX®-Zertifizierung unterzogen. Dies gibt Unternehmen der Automobilindustrie die Sicherheit und den Nachweis, dass ihre bei SEEBURGER in der Cloud betriebenen Prozesse für B2B/EDI, CAD und mehr einem bestimmten Reifegrad gemäß den Anforderungen des „VDA Information Security Assessment“ (VDA ISA) entsprechen.

Was ist TISAX®?

TISAX® (Trusted Information Security Assessment Exchange) ist die Lösung des Verbands der Automobilindustrie e.V. (VDA) für den wachsenden Sicherheitsbedarf zwischen Automobilherstellern und -zulieferern im Umgang mit vertraulichen Informationen. TISAX® hat sich mittlerweile als Standard für Informationssicherheit in der Automobilindustrie etabliert.

TISAX® basiert auf ISO/IEC 27001 – insbesondere auf den Sicherheitskontrollen aus Anhang A. TISAX® betrifft alle Prozesse, Verfahren und beteiligten Ressourcen im Unternehmen, die Informationen verarbeiten, die den Sicherheitsanforderungen der Partner in der Automobilindustrie unterliegen. Dies umfasst die Erfassung, Speicherung und Verarbeitung von Informationen und gilt für alle technischen Komponenten und Softwarelösungen. TISAX® ist ein von den Automobilherstellern nicht nur anerkannter, sondern auch hinsichtlich seiner Umsetzung, durch die Automobilzulieferer eingeforderter Branchenstandard zur Schaffung von Informationssicherheit in der Automobilindustrie.

TISAX® in der Automobilindustrie

Bereits 2005 hat eine interdisziplinäre Arbeitsgruppe des VDA, die sich mit Informationssicherheit befasst, damit begonnen, bestehende Standards für das Informationssicherheitsmanagement an die Bedürfnisse der Automobilindustrie anzupassen. Ergebnis der gemeinsamen Arbeit war ein auf der ISO/IEC 27001 basierender Fragebogen, der die industrieweit akzeptierten Anforderungen der Automobilindustrie an die Informationssicherheit abdeckt und die Sicherheitskontrollen der ISO 27001 aus Anhang A um folgende Sicherheitskontrollen ergänzt:

  • Informationssicherheit
  • Anbindung weiterer Parteien (Lieferantenmanagement)
  • Schutz von Prototypen
  • Datenschutz

Ein weiterer wesentlicher Unterschied: Bei ISO 27001 ist der Anwendungsbereich, also der Bereich des Unternehmens, für den das Informationssicherheitsmanagement Anwendung findet (der sogenannte Scope, der Geschäftsprozesse, Anwendungen und Infrastrukturobjekte umfasst), über weite Strecken frei gestaltbar. Der Fragebogen hingegen macht erhebliche Vorgaben.

Der Fragebogen wurde als „VDA Information Security Assessment“ (VDA ISA) bezeichnet und ermöglichte den VDA-Mitgliedern eine „Selbsteinschätzung“ des Reifegrades ihres internen Kontrollsystems (IKS) für das Informationssicherheitsmanagement.

Ursprünglich nutzten Unternehmen den VDA ISA nur für interne Zwecke. Nach und nach verwendeten ihn aber immer mehr Unternehmen auch zur Bewertung des Reifegrades ihrer Zulieferer und führten sogar vollständige Prüfungen des IKS ihrer Zulieferer durch (einschließlich Prüfungen vor Ort). Dies bedeutete für die Zulieferer einen nicht unerheblichen Aufwand, so dass sie bald eine verifizierte Prüfung durch autorisierte Zertifizierungsdienstleister forderten, um die Kosten für wiederholte Prüfungen durch verschiedene Unternehmen zu vermeiden.

Ermöglicht wurde dies durch den Standard TISAX® (Trusted Information Security Assessment Exchange), an dessen Ende das TISAX®-Testat bzw. die TISAX®-Labels stehen. Um diesen Standard zu erlangen, wird im Auftrag des jeweiligen Unternehmens eine Prüfung durch einen akkreditierten Zertifizierungsdienstleister durchgeführt. Diese Prüfung nennt sich bei TISAX® ein Assessment oder Audit.

Nach einem erfolgreichen TISAX® Audit wird das Unternehmen bei ENX registriert. Die ENX Association fungiert als Governance-Organisation. Sie akkreditiert die Prüfdienstleister und überwacht die Qualität der Durchführung und der Assessment-Ergebnisse. Damit soll sichergestellt werden, dass die Prüfungsergebnisse die gewünschte Qualität und Objektivität aufweisen und dass die Rechte und Pflichten der Teilnehmer respektiert werden.

Der TISAX® Reifegrad

TISAX® verwendet das Konzept der „Reifegrade“, um die Qualität aller Aspekte des IKS für Informationssicherheit zu bewerten. Je ausgereifter das IKS für Informationssicherheit, desto höher der Reifegrad.

Das Konzept der Reifegrade geht ursprünglich auf das Anfang der 1990er Jahre weit verbreitete Quality-Framework CMM (Capability Maturity Model) zurück. Doch weder das Quality-Framework CMM noch dessen Nachfolger CMMI (Capability Maturity Model Integration) spielten in der Automobilindustrie eine bedeutende Rolle. Erst mit dem Einsatz des ebenfalls mit Reifegraden operierenden Quality-Framework SPICE (Software Process Improvement and Capability dEtermination) für die Bewertung von Automobilzulieferern im Software- und Elektronikbereich verbreiteten sich Reifegradmodelle ab 2001 auch in der Automobilindustrie.

In enger Anlehnung an die Quality Frameworks CMMI und SPICE unterscheidet TISAX® sechs Reifegrade. Hinweise zur detaillierten Definition der Reifegrade finden sich im TISAX® Teilnehmerhandbuch ebenso wie die folgende konsolidierte Sicht in Form einer vereinfachten Tabelle.

Die sechs TISAX® Reifegrade:

ReifegradIn einem WortIn einem Satz
0UnvollständigEin Prozess ist nicht (vollständig) vorhanden.
1DurchgeführtEs existiert ein unklarer und/oder undokumentierter Prozess, der allerdings erwartungsgemäße Ergebnisse liefert.
2GesteuertFür denselben Zweck existieren mehrere Prozesse, die funktionsfähig und dokumentiert sind sowie erwartungsgemäße Ergebnisse liefern.
3EtabliertEs existiert ein einheitlicher und dokumentierter Prozess, der das erwartungsgemäße Ergebnis liefert.
4VorhersagbarDer Prozess von Reifegrad 3 wird zusätzlich mit Hilfe von KPIs gemessen und beurteilt.
5OptimierendDer Prozess von Reifegrad 4 unterliegt zusätzlich einem kontinuierlichen Verbesserungsprozess.

 

TISAX® – Assessment Levels

Das Assessment Level bestimmt den Härtegrad der Prüfung und wird in der Regel durch den Automobilhersteller als Prüfungsanforderung vorgegeben. Der Härtegrad hängt ab von der Sensitivität und somit dem Schutzbedarf der geprüften Daten und Prozesse im Unternehmen bzw. Standort.

TISAX® sieht in seiner Prüfmethodik eine Klassifizierung auf der Grundlage der folgenden drei Assessment Level vor:

  • Assessment Level 1 (normaler Schutzbedarf): Das Unternehmen führt eine interne Prüfung des internen Kontrollsystems (IKS) auf der Grundlage des VDA-ISA durch. Der externe Prüfer prüft die Vollständigkeit der Prüfung, führt aber selbst keine Prüfungshandlungen durch. Das Assessment Level 1 kann nicht zertifiziert werden.
  • Assessment Level 2 (hoher Schutzbedarf): Ein externer Prüfer führt eine Plausibilitätsprüfung des IKS auf Basis des VDA-ISA durch. Im Falle einer positiven Beurteilung erfolgt eine Zertifizierung.
  • Assessment Level 3 (sehr hoher Schutzbedarf): Der externe Prüfer prüft und verifiziert das IKS auf Basis des VDA-ISA im Detail. Im Falle einer positiven Beurteilung erfolgt eine Zertifizierung.

Die Vergabe von Labels erfolgt unter Ausweis des geprüften Assessment Levels.

Für die Erreichung des geprüften Assessment-Levels müssen die erreichten Reifegrade je Kontrolle mindestens einem durch die ENX vorgegebenen Zielwert entsprechen. Dadurch wird sichergestellt, dass alle Anforderungen des geprüften Assessment-Levels themenübergreifend erfüllt werden und kein Ausgleich von über- und untererfüllten Kontrollen stattfindet. Die ENX-Zielwerte für die einzelnen Kontrollen liegt zwischen Reifegrad 2 und 4, mit einem Durchschnittswert von 3,0.

Abschließend wird der Gesamtreifegrad für das geprüfte Assessment-Level als Durchschnittswert ermittelt. Dieser Durchschnittswert muss nahe am möglichen Maximalwert von 3,0 liegen (mindestens 2,7), um überhaupt das TISAX®-Label zu erhalten.

Eine Re-Zertifizierung für die im Scope befindlichen Standorte erfolgt typischerweise alle drei Jahre oder wenn ein Unternehmen einen höheren Ziel-Reifegrad erreichen möchte.

Was bedeutet die TISAX®-Anforderung für Automobilzulieferer?

Immer mehr Automobilhersteller (u. a. BMW, VW-Konzern einschließlich Porsche) sowie zunehmend auch -zulieferer (u. a. Dräxlmeier, Ventrex) fordern von ihren Geschäftspartnern und deren Unterlieferanten eine TISAX®-Zertifizierung mit einem entsprechenden Assessment-Level. Die Anforderungen sind immer häufiger Bestandteil der Geheimhaltungsvereinbarungen und Einkaufsbedingungen von Automobilherstellern und -zulieferern.

Dabei ist dieser Trend keineswegs nur auf die Automobilindustrie beschränkt. Informationssicherheit im Kontext der Digitalisierung bedeutet immer auch Risikomanagement, mit dem sich heute jeder auseinandersetzen muss. Dabei geht es nicht nur um EDI-Daten, sondern auch um Konstruktions- und Zeichnungsdaten, Kataloge, Preise usw., die zum Teil weitaus schützenswerter sind.

TISAX® und auch die 2018 eingeführte DSGVO (Datenschutzgrundverordnung) haben diesen Trend weiter beschleunigt. Grundsätzlich benötigt jedes Unternehmen, das für Kunden in der Automobilindustrie tätig ist, seit Anfang 2018 eine TISAX®-Zertifizierung. Zulieferer in der Automobilindustrie benötigen die TISAX® Zertifizierung, um Aufträge zu erhalten. Und auch außerhalb der Automobilindustrie wird die Informationssicherheit immer wichtiger.

TISAX® gewinnt daher immer mehr an Bedeutung. Dies stellt Automobilzulieferer und -Dienstleister vor große Herausforderungen, die über die bisher üblichen Industriestandards hinausgehen. Neben der Härte der Anforderungen ist die Breite, in der die Automobilhersteller von der Mehrzahl ihrer Zulieferer die Einhaltung der Norm verlangen, außerordentlich groß. Dies trifft kleinere Unternehmen besonders hart.

Zusammenfassend lässt sich feststellen, dass TISAX® deutlich höhere Anforderungen an das interne Kontrollsystem des geprüften Unternehmens stellt als bisher übliche Industriestandards wie ISO 27001 oder spezifische Prüfungen von Automobilherstellern.

TISAX® und Supply Chain Management

TISAX® hat Auswirkungen auf alle in der Lieferkette (Supply Chain) verwendeten IT-Prozesse. Dabei kommt dem Supply Chain Management (SCM) aufgrund der engen Verzahnung in der Automobilindustrie eine große Bedeutung zu. Alle realen Warenflüsse müssen über entsprechende Informationsflüsse gesteuert werden, deren Sicherheitsmanagement im Fokus von TISAX® steht. Aus diesem Grund konzentriert sich TISAX® auch auf Warenwirtschaftsprozesse und EDI (Electronic Data Interchange).

TISAX®: So unterstützt SEEBURGER beim Eigenbetrieb des EDI-Systems

Damit Lieferanten die von ihren Kunden geforderte TISAX®-Zertifizierung mit dem angestrebten Assessment Level erfüllen können, müssen sowohl technische als auch organisatorische Vorkehrungen getroffen werden. Beispielsweise müssen unbefugte Zugriffe vermieden werden und die Schutzziele der Informationssicherheit (Vertraulichkeit, Verfügbarkeit und Integrität) sichergestellt sein. Und die verwendete EDI-Lösung muss so konzipiert und aufgebaut sein, dass sie zertifiziert werden kann.

Sollten Sie die Anforderung einer TISAX®-Zertifizierung haben, unterstützt Sie SEEBURGER auch gerne bei der technischen Konfiguration Ihres SEEBURER BIS. Über die reine Beratungstätigkeit hinaus bietet SEEBURGER auch Software-Module der Business Integration Suite (BIS) zur Unterstützung Ihrer technischen Ausstattung. Diese unterstützen Sie beim Betrieb für höhere Informationssicherheit, darunter BIS Secure Proxy, BIS Data Store Extension, BIS FX oder auch EPX7 für CAD.

TISAX®: So profitieren Sie von den SEEBURGER Cloud Services

Mit seinen Betriebsmodellen Full Service und iPaaS bietet SEEBURGER Unternehmen eine schnelle und sichere Übertragung hochwertiger Daten in der Cloud. Dies gilt auch für spezielle fachliche Services wie den Supplier Portal Service zur Anbindung nicht EDI-fähiger Lieferanten per WebEDI. Mit der TISAX®-Zertifizierung weist SEEBURGER nach, dass die angebotenen Cloud Services den branchenspezifischen Anforderungen der Automobilindustrie an die Leistungsfähigkeit eines Informationssicherheitsmanagementsystems sowie einem bestimmten TISAX® Assessment Level entsprechen.

Dies erleichtert es Ihnen als Zulieferer der Automobilindustrie, Ihren eigenen TISAX® Assessment Level gegenüber Ihren Kunden nachzuweisen.

Mit TISAX®-Zertifizierung baut SEEBURGER führende Position als EDI-Cloud-Anbieter aus

SEEBURGER hat sich in mehr als 30 Jahren einen hervorragenden Ruf im Bereich der B2B-Integration erworben – seit über 15 Jahren auch in der Cloud – und hat der Informationssicherheit stets einen hohen Stellenwert beigemessen. Seit September 2020 sind die SEEBURGER Cloud Services für den Standort Bretten nun auch TISAX®-zertifiziert, mit dem Assessment Level 2 (hoher Schutzbedarf). Bei der Erstbewertung wurde ein Gesamtreifegrad von 2,9 vom maximal möglichen 3,0 für das Assessment Level 2 berechnet.

TISAX Prüfbericht

Die TISAX®-Zertifizierung bezieht sich nicht nur auf den Austausch von EDI-Daten, sondern schließt auch den Austausch von Daten im Umfeld CAD/CAx sowie für weitere Prozesse wie API-Integration, API-Management, MFT, Industrial IoT und internationales E-Invoicing mit ein.

„Die TISAX®-Zertifizierung ist für SEEBURGER ein weiterer Beleg für die hohe Prozess-Qualität und eine konsequente Weiterentwicklung, die bereits mit der erfolgreichen Zertifizierung und Umsetzung von ISO 27001 sowie ISAE 3402 begonnen wurde“, so Uwe Heber, Vice President Operation, Cloud & Managed Services, SEEBURGER AG.

Wollen Sie den Anforderungen an Informationssicherheit, die Ihre Kunden und deren Kunden an Sie stellen, voll entsprechen?

Wollen Sie von der Informationssicherheit profitieren, die Ihnen SEEBURGER im Kontext seiner Cloud- Services bietet?

Melden Sie sich bei uns. Wir zeigen Ihnen gerne auf, wie wir Sie TISAX®-konform bei Ihren Digitalisierungsinitiativen unterstützen können.

Haben Sie Fragen oder Anmerkungen?

Wir freuen uns hier über Ihre Nachricht.

Teilen Sie diesen Beitrag, wählen Sie Ihre Plattform!
Thomas Bäzner

Über den Autor:

Thomas Bäzner, Account Executive, ist seit mehr als 25 Jahren bei SEEBURGER tätig. In verschiedenen Funktionen hat er jahrelang Know-how in Zusammenhang mit den digitalen Anforderungen, Prozessen und Lösungen mit Schwerpunkt auf der Automobilindustrie aufgebaut. Zusätzlich zu den Prozessen mit klassischen Formaten und Protokollen ist er auch dafür verantwortlich, neue Prozesse mit modernen Möglichkeiten im Umfeld API, MFT, E-Invoicing und Industrie 4.0/IIoT zu identifizieren und umzusetzen. Dabei arbeitet er mit den Branchenverbänden Odette und VDA zusammen. Aufgrund seiner Branchen-Expertise unterstützt er auch führende Unternehmen mit internationalem Footprint mit Lösungen rund um die digitale Transformation.