Umfassende Informationen & Hilfe zum Datenschutz (DSGVO & BDSG-neu)
erhalten Sie auf unserer Spezialseite
Erfüllt ISO 9001 | ISO 27001 | ISO 22301 | DSGVO Siegel
         ISO 31000 i.V. mit ONR 49001

Wir helfen Ihnen - pragmatisch, kompetent und schnell

Direkt zum Seiteninhalt

TISAX vs. ISO27001

TISAX®
Auf der vorherigen Seite haben wir erklärt, was TISAX bedeutet und was es für eine Zielsetzung hat. Viele fragen sich nun wo ist der Unterschied zwischen TISAX zu einer ISO 27001 (ISO27002)?

ISO 27001 ist eine international anerkannte Norm für ein Informationssicherheitssystem (ISMS). Sie wurde herausgegeben von der ISO - International Organization for Standardization in Genf. Grundlage war der British Standard (BS) 7799 aus England.

Die ISO 27001 ist weltweit anerkannt, um ein ISMS nachzuweisen. Es ist eine ganze ISO 270xx Normenfamilie entstanden - welche verschiedene Bereiche wie z.B. Netzwerksicherheit oder ein ISMS für eine spezielle Branchen detaillierter regelt. Die Umsetzung der ISO 27001 Anforderungen kann sich das Unternehmen durch eine externe Zertifizierung mit einem offiziellen Zertifikat bestätigen lassen. Die Überprüfung erfolgt in einem sogenannten Audit. Hierbei ist Zertifizierungsgrundlage der Normteil ISO 27001. Dieser formuliert die Anforderungen an das ISMS.

Die ISO 27001 hat einen Anhang A. In diesem sind in den Teilen A5 bis A18 Anforderungen an Maßnahmen in verschiedenen Gebieten wie Physischer Sicherheit, ISMS Organisation, Zugriffsregelungen etc. formuliert. Dieser Anhang ist grundsätzlich nicht Bestandteil eines Zertifizierungsaudits. Die ISO 27001 hat ein Risikomanagement für Informationsicherheit als zentraler Bestandteil. In diesem werden Bedrohungen und Schwachstellen bewertet. Für die ermittelten Risiken werden Risikogegenmaßnahmen auf Basis des Anhang A zur Bewältigung herangezogen. Somit wird der Anhang A zumindest teilweise zum Zertifizierungsgegenstand.

Unternehmen haben bei der ISO 27001 eine Erklärung zu Anwendung (SoA) abzugeben. In dieser muss das Unternehmen die umgesetzten Maßnahmenempfehlungen des Anhang A auflisten, die somit zum Zertifizierungsgegenstand offiziell geworden sind. Das Zertifikat referenziert auf die Erklärung der Anwendbarkeit der ISO27001. Prüfungsorganisationen können sich für die Durchführung der Zertifizierung bei der jeweilig nationalen Akkreditierungsstelle - in Deutschland bei der Dakks akkreditieren lassen oder bieten die Zertifizierung als nicht akkreditierte Zertifizierungsgesellschaft an - was grundsätzlich erlaubt und möglich ist. Das Unternehmen kann sich auch selbst oder von Dritten die Konformität mit der Norm bestätigen lassen.

Zur ISO 27001 gibt es einen weiteren Normenteil, die ISO 27002. Die ISO 27002 nimmt sich den Anhang A5 - A18 der ISO 27001 und erläutert die Anforderungen näher - bietet somit Lösungen zu den Anforderungen an. Dabei geht die ISO 27002 aber nicht so tief wie andere Standards in der Informationssicherheit. Der BSI Grundschutz oder NIST (USA) gehen hier viel tiefer und bieten direkte Lösungsansätze.

Der Verband der Automobilindustrie e.V. (VDA) hatte schon in dem Arbeitskreis "Integraler Informationsschutz mit IT Sicherheit, Prototypenschutz und Risk Managment im Jahre 2005 die ISO27001_VDA_14516 ISO_IEC TR entwickelt.

Zielsetzung war die Anforderungen der ISO 27001 um die Anforderungen für den Produktschutz in der deutschen Automobilindustrie spezifisch zu ergänzen. Dabei ging es um die Informationssicherheit, den besonderen Schutz des Design und der Innovation im Bereich der Entwicklung oder Testbetrieb von Prototypen oder Fahrzeugkomponenten sowie der Aufbau von Designmodellen zu schützen. Car-Clinicen, Fotoshootings und Event-Marketing waren damals nicht berücksichtigt.

In den vergangenen 10 Jahren haben sich die Anforderungen an die Informationssicherheit und den Prototypenschutz stark erhöht. Dardurch sind unterschiedliche ISA-Prüfungskataloge durch den VDA entstanden. Diese beruhten alle auf der ISO 27001 und wurden von den VDA-Mitgliedsunternehmen (z.B. OEM) zur Prüfung der Umsetzung der Informationssicherheit und des Prototypenschutz bei den Lieferanten angewendet. So konnte es vorkommen, dass sich ein Lieferant mehreren Assessments durch unterschiedliche OEM oder Kunden in einem Jahr unterziehen musste.

Um dieses ISA-Prüfverfahren zu vereinfachen und Mehrfachprüfungen abzuschaffen, hat der Arbeitskreis des VDA einen Prüf- und Austauschmechanismus TISAX (Trusted Information Security Assessment Exchange) entwickelt. Dieser wurde von Mai 2016 bis 2017 als Konzeption in einer Pilotphase getestet und noch 2017 in den Betrieb überführt. Als verantwortliche Stelle wurde die im Jahre 2000 auf betreiben des VDA gegründete ENX Association - als neutrale Partei mit der Durchführung von TISAX betraut.

In dem Verfahren meldet sich der Lieferant auf der TISAX Plattform des ENX an und hinterlegt dort sein erreichtes Level der TISAX Prüfung als TISAX Label. Die Prüfung erfolgt durch bei der ENX zugelassenen Prüfungsorganisationen. Die ENX ist aber keine nationale und international anerkannte Akkreditierungsstelle im Sinne der ISO Normen! Die TISAX Labels haben eine Laufzeit von 3 Jahren - wie ISO Zertifikate auch.

In dem Prüfungskatalog Version 4.0.3 vom 15.02.2018 werden die Prüfungsgebiete 22. Informationssicherheit, 23. Anbindung Dritter, 24. Datenschutz und 25. Prototypenschutz als Prüfungsinhalt festgelegt. Dabei erfolgt die Prüfung der Informationssicherheit entlang der Anforderungen ISO 27001 und es wird direkt auf die Norm referenziert. Durch die verschiedenen Schutzziele (hoch/sehr hoch) wurden die Anforderungen der ISO 27001 für TISAX erweitert und eigene Prüfkataloge erstellt. TISAX fordert ebenfalls wie die ISO 27001 ein ein vollständiges ISMS - also ein Managementsystem. TISAX ist aber keine ISO 27001. Hinter TISAX liegt eine Methode, die auf den vier Prüfungsgebieten, Abbildung von darauf korrelierenden Schutzzielen, Reifegrad und Messparameter aufbaut. Wie die Erfahrungen der Prüfungsorganisationen zeigen, garantiert das vorhandensein eines ISMS nach ISO 27001 noch lange nicht ein erfolgreiches TISAX Assessment. Die Durchführung von TISAX Assessments auf reinen ISO 27001 ISMS führten immer zu erheblichen Abweichungen. Eine TISAX Einführung basierend auf reinem ISO 27001 Wissen reicht nicht.  

In dem Prüfungskatalog Version 4.0.4 vom 12.06.2018 werden die Prüfungsgebiete 22. Informationssicherheit, 23. Anbindung Dritter, und 25. Prototypenschutz als Prüfungsinhalt festgelegt. Der Datenschutz wurde zurückgezogen, da dieser Teil nicht mehr der aktuellen Rechtslage entspricht. Hierbei gilt weiterhin die vollständige Umsetzung der Anforderungen des Datenschutzes - nach dem Update des Arbeitskreises Datenschutz, wird dieser Prüfungskatalog wieder aufgenommen werden.

Bei der Überprüfung wird die Umsetzung und die Prozesse in Level 0-5 geprüft - quasi nach einem Reifegradmodell wie in COBIT, ISO15504 oder CMM - und bewertet.

Somit kann man sagen, dass der VDA mit ENX und dem Prüfungsverfahren TISAX eine parallele Zertifzierungs-(Prüfungs-)welt für Informationssicherheit in der Automobilindustrie installiert hat. Dieser umfasst grundsätzlich einmal die Anforderungen der ISO 27001 ergänzt um weitere spezielle zusätzliche Prüfungsfelder. TISAX ist aber eine Prüfbescheinigung (Labels) der Automobilindustrie. Ein grundsätzlicher Unterschied besteht auch in der Betrachtung der Informationssicherheit. ISO27001 hat den Fokus auf die eigene Informationssicherheit (auch mit der Regelung zu Prozessen ausserhalb des eigenen ISMS und beitgestellter Dokumente von Dritter). TISAX aber hat einen sehr großen Focus auch auf die Sicherheit der Informationen Dritter (OEM) beim Lieferanten. Dies ist auch innerhalb der Prozess- und Risikoanalyse abzubilden. Dann werden je nach Schutzziel in den Prüfungsfeldern ergänzende Maßnahmen gefordert und in einem Reifegrad bewertet.

TISAX ist keine ISO Norm und hat derzeit keine internationale Anerkennung ausserhalb der Automobilbranche - es dient der Lieferantenzulassung im Automobilbereich bei seniblen Datenverarbeitungen um die erweiterten Anforderungen im Bereich Anbindung Dritter, Datenschutz und Prototypenschutz auf einer einheitlichen Basis nachzuweisen. Dafür wurde vom Arbeitskreis auch erweiterte Anforderungen (die als MUSS umzusetzen sind) ergänzt. Damit werden über die Anforderungen der ISO27001 hinausgehende Anforderungen in bestimmten Teilen für die Automobilindustrie formuliert. Mit dem Reifegrad-Konzept versucht TISAX den Unternehmen eine Hilfestellung für die Umsetzung der Anforderungen zu geben. Zielsetzung von TISAX ist auch die internationale Anerkennung zu verstärken. Derzeit sind schon OEM wie Renault auf EU Ebene eingebunden. Durch die internationalen Produktionsstandorte reichen TISAX Assessments schon heute in Ländern wie Spanien oder Polen und bis nach CHINA. Zukünftig soll TISAX aber auch bei USA OEM eingeführt werden.

Eine ISO 27001 ist ein international anerkannter Nachweis ohne Branchenbezug, der weltweit anerkannt wird. Die zwei (TiSAX)Prüfgebiete Anbindung Dritter und Prototypenschutz sind dabei nicht Prüfungsinhalt. Bei einer ISO Zertifizierung wird auch nicht ein Umsetzungsreifegrad oder Schutzziele in Levels geprüft, sondern ob die Anforderungen erfüllt sind - also ein ja oder nein. Das Prüfungsverfahren ist somit härter! Die Erfüllung gesetzlicher Anforderungen - hier auch der Datenschutz - wird bei der ISO 27001 auch im Audit geprüft.

Es gibt unterschiedliche Ansätze zur Informationsicherheit in Deutschland. Der VDA hat das Thema im Bereich der Lieferantenzulassung für seine Mitglieder in Bezug auf Sicherheit schon seit langen Jahren bearbeitet. Das Bundesamt für Sicherheit (BSI) mit dem Grundschutz und später mit dem Grundschutz auf Basis der ISO 27001 und BSI-Zertifizierung auf Basis ISO 27001 vornehmlich für den Öffentlichen Dienst ebenso. Meist basieren aber alle Ansätze auf der ISO 27001.

In letzter Zeit beobachtet man in Deutschland unterschiedliche Bemühungen, die Sicherheit für die Informationsverarbeitung zu verbessern. So schließen sich nun auch Unternehmen wie BASF, Allianz, Bayer in Arbeitsgesellschaften zusammen um die Sicherheit gemeinsam in Deutschland zu verbessern und Ressourcen zu schonen.

In wie weit hier Zertifikate untereinander anerkannt werden, bleibt zu beobachten. Derzeit gibt es nur eine ISO 27001, die international weltweit anerkannt wird.

TISAX ist wie dargestellt - ein Prüfungsstandard der Automobilindustrie - der hauptsächlich für die Lieferantenzulassung genutzt wird um die Sicherheit der Daten in Lieferantenverhältnissen sicherzustellen. BMW und VW machen dies ab 2018 zur Bedingung. Andere werden sicherlich folgen.

Es ist aber sicherlich nicht so - wie im Internet auf manchen Seiten dargestellt wird -  dass TISAX nun die ISO 27001 ersetzt oder ein besserer Weg sei. Vielleicht besser gesagt ist es so, dass wer eine ISO 27001 bereits hat - der hat normalerweise einen kürzeren Weg zur TISAX (er hat ja schon ein ISMS umgesetzt, was aber ergänzt und angepasst werden muss!).

Wer TISAX macht, der hat fast schon ein vollständiges ISMS nach ISO 27001 erarbeitet, welches er sich normalerweise ohne viel zusätzlichen Aufwand mit einem international anerkannten ISO 27001 Zertifizierung bestätigen lassen könnte.

Ist er ein Automobillieferant hat er zustätzlich einen nun notwendigen Nachweis für den Prototypenschutz und Anbindung Dritter und ggf. Datenschutz um eine Lieferantenzulassung zu erreichen.

Das nutzt derzeit aber nur einem Lieferanten in der Automobilindustrie etwas - eben für die Lieferantenzulassung. In anderen Branchen sieht es anders aus.




+49 7031 4181 860


CONSUVATION GmbH
Ziegelstraße 20
71063 Sindelfingen
Zurück zum Seiteninhalt