top of page

Wie wichtig ist IT-Security für Unternehmen? Informationssicherheit mit TISAX


Rund 203 Milliarden Euro – so hoch war der Schaden im Jahr 2022 für die deutsche Wirtschaft durch den Diebstahl von IT-Ausrüstung und Daten, Spionage und Sabotage. Für dieses Ergebnis einer Studie im Auftrag des Digitalverbands Bitkom wurden mehr als 1.000 Unternehmen quer durch alle Branchen repräsentativ befragt. Besonders alarmierend sind die Zahlen der betroffenen Unternehmen: 84 Prozent aller Unternehmen waren in jedem Fall betroffen, neun weitere nehmen an, dass auch sie Opfer wurden – und das ganz unabhängig von der Größe des Unternehmens.


Dabei nehmen die digitalen Angriffe zu: 63 Prozent berichten vom Diebstahl sensibler Daten, bei 57 Prozent wurde digitale Kommunikation ausgespäht und 55 Prozent sind von der digitalen Sabotage von Systemen oder Betriebsabläufen betroffen oder vermuten dies. Beim Diebstahl sensibler digitaler Daten haben es die Angreifer verstärkt auf Daten Dritter abgesehen. Immer öfter werden Kundendaten gestohlen (siehe Folie), was zusätzlichen Schaden für das betroffene Unternehmen bedeuten kann – der reicht von Reputationsverlust bis hin zu möglichen Bußgeldern der Aufsichtsbehörden.

Ergebnis der Bitkom-Studie "Wirtschaftsschutz 2022" zum Diebstahl digitaler Daten


Insgesamt wachsen die Sorgen vor den Folgen einer Cyberattacke auf Unternehmensseite: 45 Prozent der Unternehmen meinen, dass Cyberattacken ihre geschäftliche Existenz bedrohen können. Auch erwartet ein Großteil der befragten Unternehmen einen starken Anstieg von Cyberangriffen in der Zukunft.


Was bedeutet diese Entwicklung für Unternehmen in Deutschland? Mit steigenden Datenmengen in Folge des technologischen Fortschritts steigen auch die Anforderungen an ihre Sicherheit. Zu dieser Entwicklung trägt auch die wachsende Automatisierung und Vernetzung von Unternehmen, Unternehmensteilen, Lieferanten und Kunden und deren Prozesse bei. Die Bedeutung von Informationssicherheit für Unternehmen nimmt somit stetig zu.


Informationssicherheit ist mehr als nur IT-Sicherheit


Unter Informationssicherheit versteht man den Schutz von Informationen jeglicher Art vor Gefahren oder Bedrohungen. Dabei werden alle Informationen betrachtet, die für die Organisation von Bedeutung sind – und zwar unabhängig davon, wie oder wo diese Informationen verarbeitet oder gespeichert werden. Es geht also nicht nur um den Schutz von elektronisch gespeicherten Informationen und IT-Systemen, sondern beispielsweise auch um das Wissen in den Köpfen der Mitarbeiter oder um Papierdokumente im Archiv (siehe Abbildung).


IT-Sicherheit und Informationssicherheit


Genauer: Informationssicherheit umfasst alle Maßnahmen in technischen und nicht technischen Systemen, die die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen.


  • Vertraulichkeit: Daten dürfen lediglich von autorisierten und befugten Benutzern eingesehen und verwaltet werden.

  • Integrität: Daten dürfen nicht unbemerkt verändert oder manipuliert werden. Alle Änderungen müssen nachvollziehbar sein.

  • Verfügbarkeit: Systemausfälle müssen verhindert werden. Der Zugriff auf Daten muss innerhalb eines vereinbarten Zeitrahmens gewährleistet sein.

Mit der Einführung eines sogenannten Information Security Management System – ISMS, englisch für „Managementsystem für Informationssicherheit“ – stellen Unternehmen sicher, dass sie die genannten Anforderungen des Datenschutzes und der IT-Sicherheit systematisch erfüllen. Innerhalb des ISMS sind Regeln, Verfahren, Maßnahmen und Tools definiert, mit denen sich die Informationssicherheit dauerhaft steuern, kontrollieren, sicherstellen und optimieren lässt.


In der Praxis orientiert sich die Informationssicherheit unter anderem an der bekannten internationalen ISO/IEC-27000-Reihe. Die Norm ISO/IEC 27001 beschreibt die Anforderungen, die ein ISMS erfüllen muss. Sie betrachtet nicht nur IT-Prozesse, sondern bezieht auch Aspekte der Infrastruktur mit ein: wie Organisation, Personal und Gebäude sowie deren Umfeld.


TISAX®-Zertifizierung: Informationssicherheit in der Automobilindustrie


Eng an die Norm ISO/IEC 27001 angelehnt ist der Standard zum sicheren Austausch digitaler Daten „TISAX“ (Abk. für „Trusted Information Security Assessment Exchange“). Aus der Arbeitsgruppe VDA ISA entstanden („VDA Information Security Assessment“), ist TISAX ein ISMS, welches über die Anforderungen der Norm ISO/IEC 27001 hinausgeht, indem es Ergänzungen und Optimierungen speziell für die Automobilbranche enthält. Folgende Sicherheitskontrollen wurden hinzugefügt:


  • Informationssicherheit

  • Anbindung weiterer Parteien (Lieferantenmanagement)

  • Schutz von Prototypen

  • Datenschutz

Bei einer TISAX-Prüfung wird untersucht, ob ein angemessenes Managementsystem zur Informationssicherheit vorliegt – entlang der gesamten Wertschöpfungs- und Lieferkette. Denn die Digitalisierung von Geschäftsprozessen über Unternehmensgrenzen hinweg erfordert ein vergleichbares Informationssicherheitsniveau aller Beteiligten. Folgende Sicherheitsthemen bzw. „Controls“ werden unter anderem geprüft:


  • Sensibilisierung und Schulung der Mitarbeiter

  • Benutzer-Registrierung

  • Change Management

  • Schutz gegen Malware

  • Informationssicherheit (Backup)

  • Schwachstellenverfolgung (Patch-Management)

  • Verarbeitung von Informationssicherheitsvorfällen

Dabei gibt es drei Prüfmethoden zur Auswahl, die sogenannten „TISAX Assessment Level“ (AL). Das jeweilige Level bestimmt den Härtegrad der Prüfung:


  • AL 1 (normaler Schutzbedarf): Das AL 1 besteht aus einer Selbsteinschätzung des zu prüfenden Unternehmens. Es kann nicht zertifiziert werden und hat daher in der Praxis keine Relevanz.

  • AL 2 (hoher Schutzbedarf): Das AL 2 schließt eine Plausibilitätsprüfung der Nachweise und Selbstauskünfte durch einen externen Prüfer ein. Interviews finden meist per Telefon statt. Im Falle einer positiven Beurteilung erfolgt eine Zertifizierung.

  • AL 3 (sehr hoher Schutzbedarf): Das AL 3 schließt eine umfangreiche und detaillierte Überprüfung der Nachweise und Selbstauskünfte ein. Es findet eine Begehung und Prüfung durch einen externen Prüfer vor Ort statt. Im Falle einer positiven Beurteilung erfolgt eine Zertifizierung.


Am Ende dieses sogenannten Assessments oder Audits durch einen akkreditierten Zertifizierungsdienstleister erhält das getestete Unternehmen ein TISAX-Label, welches das geprüfte Assessment Level ausweist. Zusätzlich verwendet TISAX das Konzept der „Reifegrade“: Je ausgereifter das Informationssicherheitsmanagementsystem eines Unternehmens ist, desto höher wird sein Reifegrad sein (vgl. Tabelle).


Die sechs TISAX Reifegrade


Nach einem erfolgreichen TISAX-Audit erfolgt die Eintragung in eine Datenbank, die von der ENX Association geführt wird. Die ENX Association fungiert als Dachorganisation und stellt einen Zusammenschluss europäischer Automobilhersteller, -zulieferer und -verbände dar. Indem die ENX die Prüfdienstleister akkreditiert und die Qualität der Durchführung und der Assessment-Ergebnisse überwacht, soll die Qualität und Objektivität der Prüfungsergebnisse sichergestellt werden. Diese zentrale Lösung ermöglicht einen tagesaktuellen Überblick über die Gültigkeit des Informations-Sicherheitsstatus eines Lieferanten oder eines Unternehmens.


Unser TISAX®-Label: Informationssicherheit bei HS Development & Services


Wir sind stolz darauf, bekannt geben zu können, dass HS Development & Services nach externer Prüfung das offizielle TISAX®-Label Level 3 (Schutzklasse „sehr hoch“) erhalten hat. Mit unserer erfolgreichen TISAX-Zertifizierung wird offiziell bestätigt, dass HS Development & Services objektive Standards beim Aufbewahren, Verarbeiten und Austausch von sensiblen Informationen und Daten einhält – und damit höchste Informationssicherheit bietet.


Darauf legen wir als Anbieter von digitalen Lösungen für die Automobilindustrie besonderen Wert: Unsere Kunden – ob aus Automotive oder anderen Branchen – können sich darauf verlassen, dass wir bei unserer Arbeit die strengsten Sicherheitsstandards einhalten. Dazu zählen Maßnahmen zum Schutz vor Cyberangriffen und Sicherheitsverstößen sowie die Einhaltung von branchenspezifischen Vorschriften und Richtlinien.


Das Ergebnis unseres Audits ist ausschließlich über das ENX-Portal abrufbar. Für mehr Informationen rund um unsere Informationssicherheit kontaktieren Sie uns!

Comentários


bottom of page