Bereits Anfang 2017 hat der Verband der Automobilindustrie (VDA) mit dem Prüf- und Austauschmechanismus TISAX® einen Standard für die Bewertung des Informationssicherheitsstatus geschaffen und im Katalog der ISA-Anforderungen (Information Security Assessment) festgeschrieben.
TISAX® steht für „Trusted Information Security Assessment Exchange“ und hat das Ziel, ein einheitliches Niveau der Informationssicherheit zu schaffen. TISAX® ist eine eingetragene Marke und unterliegt der ENX Association (https://enx.com/tisax). Die Bewertung der Unternehmen darf ausschließlich von akkreditierten Prüfungsanbietern durchgeführt werden, die regelmäßig ihre Qualifikation nachweisen.
© ENX Association (https://enx.com/tisax).
Die eXXcellent solutions in Ulm bestand auf Anhieb den TISAX®-Prozess durch den TISAX®-Prüfungsanbieter DEKRA und gehört seit dem 01.12.2020 zu den Dienstleistern der deutschen Automobilbranche, die den TISAX®-Prozess erfolgreich abgeschlossen haben.
Das TISAX®-Bewertungsergebnis ist im ENX-Portal unter https://portal.enx.com/en-us/TISAX/tisaxassessmentresults/ verfügbar und kann von registrierten Unternehmen eingesehen werden:
- Scope-ID: S98PM8
- Assessment-ID: ACWMXO-1
- Hinweis: TISAX®- und TISAX®-Ergebnisse sind nicht für die breite Öffentlichkeit bestimmt.
Gibt es einen Unterschied zwischen TISAX® und ISO/IEC 27001?
Die ISO/IEC 27001 ist eine internationale Norm für Informationssicherheit in privaten, öffentlichen oder gemeinnützigen Organisationen und Unternehmen und beschreibt die Anforderungen für das Einrichten, Realisieren, Betreiben und Optimieren eines dokumentierten Informationssicherheits-Managementsystems. Sie ist die anerkannteste Form der sicheren Verarbeitung von vertraulichen und sensiblen Informationen und enthält alle erprobten und bewährten Best Practices - gewissermaßen ist die ISO/IEC 27001 eine Universallösung für die gängigsten Herausforderungen beim Schutz von Informationen.
Aber wenn zwei Unternehmen vertrauliche Daten austauschen müssen, sind allgemeingültige und universelle Standards meistens nicht mehr ausreichend.
In diesem Fall ist es wichtig, dass die Standards der beteiligten Unternehmen eine gemeinsame Basis haben, wie beim TISAX®-Standard. Er wurde weitestgehend auf der Grundlage des internationalen Standards ISO/IEC 27001 erstellt, ist aber auf die spezifischen Bedürfnisse der Automobilindustrie zugeschnitten und berücksichtigt bestimmte branchenspezifische Herausforderungen und Fragestellungen.
Das bedeutet, während die ISO/IEC 27001 allgemein die Richtung zur Informationssicherheit vorgibt, gibt es bei der TISAX® in vielen Bereichen ganz konkrete Vorgaben, die die Anforderungen der Automobilindustrie berücksichtigt.
Ein weiterer Unterschied zur ISO/IEC 27001 ist die Gültigkeitsdauer. Findet bei der ISO/IEC 27001 jährlich ein Audit und alle drei Jahre eine Rezertifizierung statt, ist das TISAX®-Label volle drei Jahre gültig.
© eXXcellent solutions
Warum ist Informationssicherheit heute wichtiger denn je?
Daten sind heute der Grundstock vieler Unternehmen und umso mehr müssen diese Daten geschützt werden. In der Informationssicherheit geht es im Wesentlichen darum, wie wir mit diesen wichtigen Daten umgehen und was wir tun, um sie vor Verlust oder auch Datendiebstahl zu schützen. Das bedeutet:
- Wie gehen wir mit Datenträgern und Dokumenten, auf denen die Daten gespeichert sind, um?
- Wie schützen wir die Daten vor Zerstörung oder Verlust (beispielsweise durch Stromausfälle oder Wasserschäden)?
- Wie verhindern wir das Eindringen von Schadsoftware und schützen somit die sensiblen Informationen vor Zerstörung, Diebstahl und Missbrauch?
- Wie stellen wir nach einem Verlust die Wiederherstellung der Daten sicher?
- Wie schulen wir die Mitarbeiter:innen in der Informationssicherheit?
In sogenannten Schutzbedarfsanalysen wird im Kontext der zu erwartenden Schäden und Folgeschäden, die bei einer Beeinträchtigung von Vertraulichkeit, Integrität oder Verfügbarkeit entstehen können, der Schutzbedarf ermittelt für:
- die Geschäftsprozesse,
- die Daten und
- die Hardware-Komponenten.
Diese Schutzbedarfsfeststellungen und die daraus abgeleiteten Maßnahmen und Prozesse sind wichtig, denn gehen die Daten verloren, können die Unternehmen handlungsunfähig sein, was wiederum erhebliche wirtschaftliche Schäden nach sich ziehen kann. Im schlimmsten Fall kann beispielsweise ein einziger Cyber-Angriff die Existenz des gesamten Unternehmens bedrohen (Stichwort Industriespionage und der Diebstahl von Geschäftsgeheimnissen).
Laut einer Studie des Branchenverbandes BITCOM (Quelle: bitkom.org, 02.2021) nehmen kriminelle Attacken auf Unternehmen zu und verursachen allein in Deutschland jährlich einen Gesamtschaden von 102,9 Milliarden Euro. Unter anderem zielen kriminellen Online-Attacken darauf ab, verschiedenste Daten abzugreifen:
- 46% Kommunikationsdaten, z.B. E-Mails
- 26% Finanzdaten
- 25% Mitarbeiterdaten
- 23% Kundendaten
- 12% Marktanalysen
Bei 21% der 1.000 befragten Unternehmen sind bereits sensible Daten “abgeflossen”, bei 17% wurden IT- und Produktionssysteme digital sabotiert und immerhin noch bei 13% wurde die digitale Kommunikation ausgespäht. Das zeigt einmal mehr, wie wichtig die Informationssicherheit ist.
Fazit
Wir sind bereits seid 3 Jahren ISO/IEC 27001 zertifiziert und mit dem Erhalt des TISAX®-Labels haben wir die nächste Stufe unseres kontinuierlichen Verbesserungsprozesses erreicht.
Wir nehmen den Schutz der sensiblen und vertraulichen Informationen unserer Kunden sehr ernst und mit unseren sehr umfangreichen und auditierten Maßnahmen erhalten unsere Kunden und Geschäftspartner einen vertrauenswürdigen Beleg dafür, dass wir auf höchstem Niveau der Informationssicherheit arbeiten. Wir freuen uns sehr über das Ergebnis.
Weitere Informationen
Haben Sie weitere Fragen zu Datenschutz und Informationssicherheit? Unsere Experten Dennis Görlach (ISMB) und Udo Brauch (DSB) freuen sich auf Ihre Kontaktaufnahme!
Übrigens: eXXcellent solutions hat neben unterschiedlichen ISO-Zertifizierungen auf Basis einer Vielzahl von Standards und Ausbildungsplänen zahlreiche weiter Zertifizierungen erlangt. |