Der Anspruch an Informationssicherheit steigt mit Gesetzen, Vorschriften und dem Digitalisierungsgrad der Unternehmen. Viele Zulieferer der Automobilindustrie müssen konkrete Anforderungen Ihrer Kunden einhalten und stehen vor der Herausforderung, diese schnell und kostenbewusst zu erreichen. Grundlage ist oft der Anforderungskatalog der VDA ISA (ISA – Information Security Assessment) TISAX (Trusted Information Security Assessment Exchange). Seit Anfang 2017 bildet dieser eine Vertrauensplattform, um unternehmensübergreifend Prüf- und Austauschmechanismen bereitzustellen.

Was ist TISAX?
TISAX ist ein Standard für Informationssicherheitsmanagementsysteme, der auf ISO 27001 aufbaut und um die konkreten Anforderungen der Automobilbranche erweitert. Damit möchten die Automobilhersteller für eine hohe Verfügbarkeit bei Ihren Zulieferern und die damit verbundene Planungssicherheit in der Produktion sorgen. Dies ist natürlich verständlich, da die Automobilbranche sehr abhängig von der optimalen Funktionalität der just-in-time oder sogar just-in-sequence Prozesse ist. Zudem möchten sie sich dadurch auch im Wettbewerb schützen, da in der Regel auch die Produktion von neuen Prototypen vom Kleinteil bis zu größeren Baugruppen bei den Lieferanten statt findet. Da neue Technologien nicht vor Marktreife bekannt werden sollen, möchten sich auch die Automobiler, wie jedes anderes Unternehmen, vor Spionage und Know-How Diebstahl schützen.

Für wen gilt denn TISAX?
TISAX ist in der Regel ein selbst auferlegter Standard für die Automobiler, aber diese verpflichten eben auch ihre Lieferanten dazu, TISAX konform zu arbeiten. Dabei heißt es ganz klar, entweder man verpflichtet sich dazu als Lieferanten und lässt sich zertifizieren oder der Automobiler sucht sich einen anderen Lieferanten.

Wie hoch ist der Aufwand TISAX zu implementieren?
Das richtet sich natürlich komplett danach, wie das Unternehmen bisher aufgestellt ist. Der Aufwand reduziert sich, wenn bereits vorher effektive Kontrollsysteme im Unternehmen implementiert sind und nach standardisierten Prozessen gearbeitet wurde. Des weiteren  reduziert sich der Aufwand auch, wenn bereits in anderen Bereichen Managementsysteme vorhanden sind, an die man anknüpfen kann. Je höher hingegen die Individualität in Systemen und Prozessen ist, umso größer wird auch der Aufwand.
Wenn man wirklich kein Anknüpfungspunkt vorhanden ist oder nur im geringen Maße zuvor mit Managementmethoden gearbeitet wurde, kann sich der Aufwand deutlich nach oben skalieren. Der Aufwand für den Aufbau eines konformen Informationssicherheitsmanagementsystems bewegt sich schon zwischen 100 bis 140 Arbeitstage, je nach Komplexität, wenn sich Experten darum kümmern und Ihnen einen Großteil abnehmen. Darin sind dann noch keine Audit- und Zertifizierungskosten berücksichtigt, die sich die Prüfer noch mal zusätzlich bezahlen lassen und durch den Lieferanten in voller Höhe übernommen werden müssen. Dementsprechend höher wird der Aufwand dann natürlich, wenn man sich in die Thematik rein arbeiten muss und auf „gut Glück“ versucht durch das Audit zu kommen.

Kann man das als Unternehmen denn so einfach selbst stemmen? 
Man kann es versuchen, das ist natürlich auch eine Frage dessen, wie man bereits Erfahrungen dazu sammeln konnte und wie groß auch der zeitliche Druck zur Umsetzung ist. Generell braucht es deutlich Zeit schon allein das Know-How aufzubauen, das es technisch und betriebswirtschaftlich benötigt, um so ein Projekt zu stemmen. Zudem gibt es in dem Bereich der Standards auch nicht sonderlich viel Anleitung dazu, welche Managementmethoden angebracht sind und wie diese umgesetzt werden oder worauf der Prüfer am Ende genau schaut. Manchmal können dann auch Banalitäten zu Feststellungen führen, die letztendlich aber fatale Konsequenzen für das Unternehmen bedeuten und auch nicht in der relativ kurzen Nachbesserungszeit mehr stemmbar sind. Hier benötigt es auch spezifisches Wissen in dem Bereich der Standards und die Argumentation zur Umsetzung. Da werden aus 100 bis 140 Arbeitstagen auch schnell 200 bis 300 interne Arbeitstage ohne die Investitionskosten für Maßnahmen.
Hinzu kommt, dass das Ganze ja auch später gelebt und kontinuierlich kontrolliert und verbessert werden muss. Daher benötigt es nicht nur das Fachwissen, sondern auch noch das Feingefühl und methodische Vorgehen, um Mitarbeiter in einem Changeprozess mitzunehmen.
Leider scheitern viele Unternehmen daran oder das Informationssicherheitsmanagementsystem endet als totes System in einem Stapel Papier. Daher empfiehlt es sich zumindest beratende Unterstützung zu holen.
Doch bitte Vorsicht! Viele Beratungsunternehmen bieten an sie zu beraten und am Ende das Zertifikat über Ihre Konformität auszustellen. Das ist ein Interessenkonflikt, da Zertifikate von unabhängigen, akkreditierten Gesellschaften ausgestellt werden müssen. In der Regel ist dann die Beratungsleistung nicht sonderlich gut und das ausgestellte Zertifikat auch direkt für den Mülleimer.

Wie wird ein Audit durchgeführt?
Hier hat die Automobilbranche die nächste Stufe erreicht. Früher hat jeder Automobiler durch ein Experten Team eigenen Audits per Zufall bei den Lieferanten durchgeführt. Seit Anfang 2017 werden die Prüfungen durch eine zentrale Instanz der VDA ISA koordiniert. Die Automobiler bekommen dann nur noch den Prüfungsbericht durch die akkreditieren Prüfungsgesellschaften bereitgestellt. Das Ziel davon war den Auditierungsaufwand für die Zulieferer zu reduzieren. Als generelle Orientierungshilfe dient der VDA ISA-Fragenkatalog.

Wie kann eine Beratung zu TISAX aussehen?
Da gibt es mehrere Möglichkeiten. Man kann das ganz klassische Modell der reinen Beratungsleistung nehmen. Das bedeutet, dass lediglich die Anleitung gegeben wird, was dokumentiert und implementiert werden muss. Die nächste Stufe wäre dann die direkte Umsetzungs- und Dokumentationsunterstützung bei dem Aufbau der Richtlinien, Konzepte, Prozesse und Kontrollen. Die weitere Ausweitung wäre dann, dass man direkt als Kontrollinstanz oder auch bei Schulungen und Umsetzungen der durchzuführenden Maßnahmen unterstützt. Die Leistungen können dann ausgeweitet werden bis hin einen externen Informationssicherheitsbeauftragten einzubeziehen, der dann auch interne Tätigkeiten wie die Unterstützung in Projekten oder eben die Betreuung der externen Audits durchführt.