­čôî SEEBURGER: TISAX┬«-Zertifizierung

SEEBURGER

The Engine Driving Your Digital Transformation

Cloud

TISAX®-zertifiziert! Sicherheit für Ihre EDI/B2B-Prozesse in der SEEBURGER Cloud

|

TISAX®-zertifiziert! Sicherheit für Ihre EDI/B2B-Prozesse in der SEEBURGER Cloud

Die SEEBURGER Cloud Services sind seit Jahren nach ISO 27001 zertifiziert und nach ISAE 3402 auditiert.

Erg├Ąnzend hierzu hat SEEBURGER seine Cloud Services jetzt auch erfolgreich der automobilspezifischen TISAX┬«-Zertifizierung unterzogen. Dies gibt Unternehmen der Automobilindustrie die Sicherheit und den Nachweis, dass ihre bei SEEBURGER in der Cloud betriebenen Prozesse f├╝r B2B/EDI, CAD und mehr einem bestimmten Reifegrad gem├Ą├č den Anforderungen des ÔÇ×VDA Information Security AssessmentÔÇť (VDA ISA) entsprechen.

Was ist TISAX®?

TISAX┬« (Trusted Information Security Assessment Exchange) ist die L├Âsung des Verbands der Automobilindustrie e.V. (VDA) f├╝r den wachsenden Sicherheitsbedarf zwischen Automobilherstellern und -zulieferern im Umgang mit vertraulichen Informationen. TISAX┬« hat sich mittlerweile als Standard f├╝r Informationssicherheit in der Automobilindustrie etabliert.

TISAX┬« basiert auf ISO/IEC 27001 ÔÇô insbesondere auf den Sicherheitskontrollen aus Anhang A. TISAX┬« betrifft alle Prozesse, Verfahren und beteiligten Ressourcen im Unternehmen, die Informationen verarbeiten, die den Sicherheitsanforderungen der Partner in der Automobilindustrie unterliegen. Dies umfasst die Erfassung, Speicherung und Verarbeitung von Informationen und gilt f├╝r alle technischen Komponenten und Softwarel├Âsungen. TISAX┬« ist ein von den Automobilherstellern nicht nur anerkannter, sondern auch hinsichtlich seiner Umsetzung, durch die Automobilzulieferer eingeforderter Branchenstandard zur Schaffung von Informationssicherheit in der Automobilindustrie.

TISAX® in der Automobilindustrie

Bereits 2005 hat eine interdisziplin├Ąre Arbeitsgruppe des VDA, die sich mit Informationssicherheit befasst, damit begonnen, bestehende Standards f├╝r das Informationssicherheitsmanagement an die Bed├╝rfnisse der Automobilindustrie anzupassen. Ergebnis der gemeinsamen Arbeit war ein auf der ISO/IEC 27001 basierender Fragebogen, der die industrieweit akzeptierten Anforderungen der Automobilindustrie an die Informationssicherheit abdeckt und die Sicherheitskontrollen der ISO 27001 aus Anhang A um folgende Sicherheitskontrollen erg├Ąnzt:

  • Informationssicherheit
  • Anbindung weiterer Parteien (Lieferantenmanagement)
  • Schutz von Prototypen
  • Datenschutz

Ein weiterer wesentlicher Unterschied: Bei ISO 27001 ist der Anwendungsbereich, also der Bereich des Unternehmens, f├╝r den das Informationssicherheitsmanagement Anwendung findet (der sogenannte Scope, der Gesch├Ąftsprozesse, Anwendungen und Infrastrukturobjekte umfasst), ├╝ber weite Strecken frei gestaltbar. Der Fragebogen hingegen macht erhebliche Vorgaben.

Der Fragebogen wurde als ÔÇ×VDA Information Security AssessmentÔÇť (VDA ISA) bezeichnet und erm├Âglichte den VDA-Mitgliedern eine ÔÇ×Selbsteinsch├ĄtzungÔÇť des Reifegrades ihres internen Kontrollsystems (IKS) f├╝r das Informationssicherheitsmanagement.

Urspr├╝nglich nutzten Unternehmen den VDA ISA nur f├╝r interne Zwecke. Nach und nach verwendeten ihn aber immer mehr Unternehmen auch zur Bewertung des Reifegrades ihrer Zulieferer und f├╝hrten sogar vollst├Ąndige Pr├╝fungen des IKS ihrer Zulieferer durch (einschlie├člich Pr├╝fungen vor Ort). Dies bedeutete f├╝r die Zulieferer einen nicht unerheblichen Aufwand, so dass sie bald eine verifizierte Pr├╝fung durch autorisierte Zertifizierungsdienstleister forderten, um die Kosten f├╝r wiederholte Pr├╝fungen durch verschiedene Unternehmen zu vermeiden.

Erm├Âglicht wurde dies durch den Standard TISAX┬« (Trusted Information Security Assessment Exchange), an dessen Ende das TISAX┬«-Testat bzw. die TISAX┬«-Labels stehen. Um diesen Standard zu erlangen, wird im Auftrag des jeweiligen Unternehmens eine Pr├╝fung durch einen akkreditierten Zertifizierungsdienstleister durchgef├╝hrt. Diese Pr├╝fung nennt sich bei TISAX┬« ein Assessment oder Audit.

Nach einem erfolgreichen TISAX┬« Audit wird das Unternehmen bei ENX registriert. Die ENX Association fungiert als Governance-Organisation. Sie akkreditiert die Pr├╝fdienstleister und ├╝berwacht die Qualit├Ąt der Durchf├╝hrung und der Assessment-Ergebnisse. Damit soll sichergestellt werden, dass die Pr├╝fungsergebnisse die gew├╝nschte Qualit├Ąt und Objektivit├Ąt aufweisen und dass die Rechte und Pflichten der Teilnehmer respektiert werden.

Der TISAX® Reifegrad

TISAX┬« verwendet das Konzept der ÔÇ×ReifegradeÔÇť, um die Qualit├Ąt aller Aspekte des IKS f├╝r Informationssicherheit zu bewerten. Je ausgereifter das IKS f├╝r Informationssicherheit, desto h├Âher der Reifegrad.

Das Konzept der Reifegrade geht urspr├╝nglich auf das Anfang der 1990er Jahre weit verbreitete Quality-Framework CMM (Capability Maturity Model) zur├╝ck. Doch weder das Quality-Framework CMM noch dessen Nachfolger CMMI (Capability Maturity Model Integration) spielten in der Automobilindustrie eine bedeutende Rolle. Erst mit dem Einsatz des ebenfalls mit Reifegraden operierenden Quality-Framework SPICE (Software Process Improvement and Capability dEtermination) f├╝r die Bewertung von Automobilzulieferern im Software- und Elektronikbereich verbreiteten sich Reifegradmodelle ab 2001 auch in der Automobilindustrie.

In enger Anlehnung an die Quality Frameworks CMMI und SPICE unterscheidet TISAX® sechs Reifegrade. Hinweise zur detaillierten Definition der Reifegrade finden sich im TISAX® Teilnehmerhandbuch ebenso wie die folgende konsolidierte Sicht in Form einer vereinfachten Tabelle.

Die sechs TISAX® Reifegrade:

ReifegradIn einem WortIn einem Satz
0Unvollst├ĄndigEin Prozess ist nicht (vollst├Ąndig) vorhanden.
1Durchgef├╝hrtEs existiert ein unklarer und/oder undokumentierter Prozess, der allerdings erwartungsgem├Ą├če Ergebnisse liefert.
2GesteuertF├╝r denselben Zweck existieren mehrere Prozesse, die funktionsf├Ąhig und dokumentiert sind sowie erwartungsgem├Ą├če Ergebnisse liefern.
3EtabliertEs existiert ein einheitlicher und dokumentierter Prozess, der das erwartungsgem├Ą├če Ergebnis liefert.
4VorhersagbarDer Prozess von Reifegrad 3 wird zus├Ątzlich mit Hilfe von KPIs gemessen und beurteilt.
5OptimierendDer Prozess von Reifegrad 4 unterliegt zus├Ątzlich einem kontinuierlichen Verbesserungsprozess.

 

TISAX┬« ÔÇô Assessment Levels

Das Assessment Level bestimmt den H├Ąrtegrad der Pr├╝fung und wird in der Regel durch den Automobilhersteller als Pr├╝fungsanforderung vorgegeben. Der H├Ąrtegrad h├Ąngt ab von der Sensitivit├Ąt und somit dem Schutzbedarf der gepr├╝ften Daten und Prozesse im Unternehmen bzw. Standort.

TISAX® sieht in seiner Prüfmethodik eine Klassifizierung auf der Grundlage der folgenden drei Assessment Level vor:

  • Assessment Level 1 (normaler Schutzbedarf): Das Unternehmen f├╝hrt eine interne Pr├╝fung des internen Kontrollsystems (IKS) auf der Grundlage des VDA-ISA durch. Der externe Pr├╝fer pr├╝ft die Vollst├Ąndigkeit der Pr├╝fung, f├╝hrt aber selbst keine Pr├╝fungshandlungen durch. Das Assessment Level 1 kann nicht zertifiziert werden.
  • Assessment Level 2 (hoher Schutzbedarf): Ein externer Pr├╝fer f├╝hrt eine Plausibilit├Ątspr├╝fung des IKS auf Basis des VDA-ISA durch. Im Falle einer positiven Beurteilung erfolgt eine Zertifizierung.
  • Assessment Level 3 (sehr hoher Schutzbedarf): Der externe Pr├╝fer pr├╝ft und verifiziert das IKS auf Basis des VDA-ISA im Detail. Im Falle einer positiven Beurteilung erfolgt eine Zertifizierung.

Die Vergabe von Labels erfolgt unter Ausweis des gepr├╝ften Assessment Levels.

F├╝r die Erreichung des gepr├╝ften Assessment-Levels m├╝ssen die erreichten Reifegrade je Kontrolle mindestens einem durch die ENX vorgegebenen Zielwert entsprechen. Dadurch wird sichergestellt, dass alle Anforderungen des gepr├╝ften Assessment-Levels themen├╝bergreifend erf├╝llt werden und kein Ausgleich von ├╝ber- und untererf├╝llten Kontrollen stattfindet. Die ENX-Zielwerte f├╝r die einzelnen Kontrollen liegt zwischen Reifegrad 2 und 4, mit einem Durchschnittswert von 3,0.

Abschlie├čend wird der Gesamtreifegrad f├╝r das gepr├╝fte Assessment-Level als Durchschnittswert ermittelt. Dieser Durchschnittswert muss nahe am m├Âglichen Maximalwert von 3,0 liegen (mindestens 2,7), um ├╝berhaupt das TISAX┬«-Label zu erhalten.

Eine Re-Zertifizierung f├╝r die im Scope befindlichen Standorte erfolgt typischerweise alle drei Jahre oder wenn ein Unternehmen einen h├Âheren Ziel-Reifegrad erreichen m├Âchte.

Was bedeutet die TISAX®-Anforderung für Automobilzulieferer?

Immer mehr Automobilhersteller (u. a. BMW, VW-Konzern einschlie├člich Porsche) sowie zunehmend auch -zulieferer (u. a. Dr├Ąxlmeier, Ventrex) fordern von ihren Gesch├Ąftspartnern und deren Unterlieferanten eine TISAX┬«-Zertifizierung mit einem entsprechenden Assessment-Level. Die Anforderungen sind immer h├Ąufiger Bestandteil der Geheimhaltungsvereinbarungen und Einkaufsbedingungen von Automobilherstellern und -zulieferern.

Dabei ist dieser Trend keineswegs nur auf die Automobilindustrie beschr├Ąnkt. Informationssicherheit im Kontext der Digitalisierung bedeutet immer auch Risikomanagement, mit dem sich heute jeder auseinandersetzen muss. Dabei geht es nicht nur um EDI-Daten, sondern auch um Konstruktions- und Zeichnungsdaten, Kataloge, Preise usw., die zum Teil weitaus sch├╝tzenswerter sind.

TISAX┬« und auch die 2018 eingef├╝hrte DSGVO (Datenschutzgrundverordnung) haben diesen Trend weiter beschleunigt. Grunds├Ątzlich ben├Âtigt jedes Unternehmen, das f├╝r Kunden in der Automobilindustrie t├Ątig ist, seit Anfang 2018 eine TISAX┬«-Zertifizierung. Zulieferer in der Automobilindustrie ben├Âtigen die TISAX┬« Zertifizierung, um Auftr├Ąge zu erhalten. Und auch au├čerhalb der Automobilindustrie wird die Informationssicherheit immer wichtiger.

TISAX┬« gewinnt daher immer mehr an Bedeutung. Dies stellt Automobilzulieferer und -Dienstleister vor gro├če Herausforderungen, die ├╝ber die bisher ├╝blichen Industriestandards hinausgehen. Neben der H├Ąrte der Anforderungen ist die Breite, in der die Automobilhersteller von der Mehrzahl ihrer Zulieferer die Einhaltung der Norm verlangen, au├čerordentlich gro├č. Dies trifft kleinere Unternehmen besonders hart.

Zusammenfassend l├Ąsst sich feststellen, dass TISAX┬« deutlich h├Âhere Anforderungen an das interne Kontrollsystem des gepr├╝ften Unternehmens stellt als bisher ├╝bliche Industriestandards wie ISO 27001 oder spezifische Pr├╝fungen von Automobilherstellern.

TISAX® und Supply Chain Management

TISAX┬« hat Auswirkungen auf alle in der Lieferkette (Supply Chain) verwendeten IT-Prozesse. Dabei kommt dem Supply Chain Management (SCM) aufgrund der engen Verzahnung in der Automobilindustrie eine gro├če Bedeutung zu. Alle realen Warenfl├╝sse m├╝ssen ├╝ber entsprechende Informationsfl├╝sse gesteuert werden, deren Sicherheitsmanagement im Fokus von TISAX┬« steht. Aus diesem Grund konzentriert sich TISAX┬« auch auf Warenwirtschaftsprozesse und EDI (Electronic Data Interchange).

TISAX®: So unterstützt SEEBURGER beim Eigenbetrieb des EDI-Systems

Damit Lieferanten die von ihren Kunden geforderte TISAX┬«-Zertifizierung mit dem angestrebten Assessment Level erf├╝llen k├Ânnen, m├╝ssen sowohl technische als auch organisatorische Vorkehrungen getroffen werden. Beispielsweise m├╝ssen unbefugte Zugriffe vermieden werden und die Schutzziele der Informationssicherheit (Vertraulichkeit, Verf├╝gbarkeit und Integrit├Ąt) sichergestellt sein. Und die verwendete EDI-L├Âsung muss so konzipiert und aufgebaut sein, dass sie zertifiziert werden kann.

Sollten Sie die Anforderung einer TISAX┬«-Zertifizierung haben, unterst├╝tzt Sie SEEBURGER auch gerne bei der technischen Konfiguration Ihres SEEBURER BIS. ├ťber die reine Beratungst├Ątigkeit hinaus bietet SEEBURGER auch Software-Module der Business Integration Suite (BIS) zur Unterst├╝tzung Ihrer technischen Ausstattung. Diese unterst├╝tzen Sie beim Betrieb f├╝r h├Âhere Informationssicherheit, darunter BIS Secure Proxy, BIS Data Store Extension, BIS FX oder auch EPX7 f├╝r CAD.

TISAX®: So profitieren Sie von den SEEBURGER Cloud Services

Mit seinen Betriebsmodellen Full Service und iPaaS bietet SEEBURGER Unternehmen eine schnelle und sichere ├ťbertragung hochwertiger Daten in der Cloud. Dies gilt auch f├╝r spezielle fachliche Services wie den Supplier Portal Service zur Anbindung nicht EDI-f├Ąhiger Lieferanten per WebEDI. Mit der TISAX┬«-Zertifizierung weist SEEBURGER nach, dass die angebotenen Cloud Services den branchenspezifischen Anforderungen der Automobilindustrie an die Leistungsf├Ąhigkeit eines Informationssicherheitsmanagementsystems sowie einem bestimmten TISAX┬« Assessment Level entsprechen.

Dies erleichtert es Ihnen als Zulieferer der Automobilindustrie, Ihren eigenen TISAX® Assessment Level gegenüber Ihren Kunden nachzuweisen.

Mit TISAX®-Zertifizierung baut SEEBURGER führende Position als EDI-Cloud-Anbieter aus

SEEBURGER hat sich in mehr als 30 Jahren einen hervorragenden Ruf im Bereich der B2B-Integration erworben ÔÇô seit ├╝ber 15 Jahren auch in der Cloud ÔÇô und hat der Informationssicherheit stets einen hohen Stellenwert beigemessen. Seit September 2020 sind die SEEBURGER Cloud Services f├╝r den Standort Bretten nun auch TISAX┬«-zertifiziert, mit dem Assessment Level 2 (hoher Schutzbedarf). Bei der Erstbewertung wurde ein Gesamtreifegrad von 2,9 vom maximal m├Âglichen 3,0 f├╝r das Assessment Level 2 berechnet.

TISAX Pr├╝fbericht

Die TISAX┬«-Zertifizierung bezieht sich nicht nur auf den Austausch von EDI-Daten, sondern schlie├čt auch den Austausch von Daten im Umfeld CAD/CAx sowie f├╝r weitere Prozesse wie API-Integration, API-Management, MFT, Industrial IoT und internationales E-Invoicing mit ein.

ÔÇ×Die TISAX┬«-Zertifizierung ist f├╝r SEEBURGER ein weiterer Beleg f├╝r die hohe Prozess-Qualit├Ąt und eine konsequente Weiterentwicklung, die bereits mit der erfolgreichen Zertifizierung und Umsetzung von ISO 27001 sowie ISAE 3402 begonnen wurdeÔÇť, so Uwe Heber, Vice President Operation, Cloud & Managed Services, SEEBURGER AG.

Wollen Sie den Anforderungen an Informationssicherheit, die Ihre Kunden und deren Kunden an Sie stellen, voll entsprechen?

Wollen Sie von der Informationssicherheit profitieren, die Ihnen SEEBURGER im Kontext seiner Cloud- Services bietet?

Melden Sie sich bei uns. Wir zeigen Ihnen gerne auf, wie wir Sie TISAX┬«-konform bei Ihren Digitalisierungsinitiativen unterst├╝tzen k├Ânnen.

Haben Sie Fragen oder Anmerkungen?

Wir freuen uns hier ├╝ber Ihre Nachricht.

Teilen Sie diesen Beitrag, w├Ąhlen Sie Ihre Plattform!
Thomas B├Ązner

├ťber den Autor:

Thomas B├Ązner, Account Executive, ist seit mehr als 25 Jahren bei SEEBURGER t├Ątig. In verschiedenen Funktionen hat er jahrelang Know-how in Zusammenhang mit den digitalen Anforderungen, Prozessen und L├Âsungen mit Schwerpunkt auf der Automobilindustrie aufgebaut. Zus├Ątzlich zu den Prozessen mit klassischen Formaten und Protokollen ist er auch daf├╝r verantwortlich, neue Prozesse mit modernen M├Âglichkeiten im Umfeld API, MFT, E-Invoicing und Industrie 4.0/IIoT zu identifizieren und umzusetzen. Dabei arbeitet er mit den Branchenverb├Ąnden Odette und VDA zusammen. Aufgrund seiner Branchen-Expertise unterst├╝tzt er auch f├╝hrende Unternehmen mit internationalem Footprint mit L├Âsungen rund um die digitale Transformation.