IT-Dokumentation - Der Blog

TISAX – Eine Herausforderung für IT-Verantwortliche

Di, 9. November 2021

Als IT-Verantwortlicher, der seine IT-Anlagen und Netzwerke für eine TISAX-Zertifizierung vorbereiten muss, gibt es so wichtige Dinge zu beachten, wie zum Beispiel das regelmäßige Erstellen aktueller Dokumentationen oder die periodische Berichterstattung an die Organisationsleitung. Wir zeigen Ihnen, worauf dabei besonderes Augenmerk zu richten ist und wie man effizient und mit möglichst geringem Aufwand an die Herausforderung TISAX-Zertifizierung herangehen kann.

Wenn Ihr Unternehmen als Automobil-Zulieferer tätig ist oder mit dem Gedanken spielt, sich als solcher in der Automobil-Branche einzubringen, steht neben den entsprechenden Verhandlungen mit den Partnern auch ein weiteres und für diese Branche grundlegendes Thema auf der Liste: Eine Zertifizierung nach dem TISAX-Standard. Was aber verbirgt sich hinter diesem Standard?

In diesem Artikel erklären wir Ihnen, welche Idee hinter TISAX eigentlich steckt, welche Problematik gelöst werden muss und worauf Sie im Besonderen achtgeben müssen.

TISAX – Standard in der Automobilbranche

In nahezu jeder Branche spielt die IT eine zentrale Rolle. Daten- und Informationssicherheit sind dabei zentrale Schwerpunkte, mit denen sich jeder IT-Verantwortliche intensiv befassen muss. In einigen Branchen spielen diese Punkte aber nicht nur für die interne Sicherheit eine Rolle. In der Automobilbranche wird von den Zulieferern und Partnern erwartet, dass bestimmte, vor allem die Daten- und Informationssicherheit betreffende Kriterien penibel genau erfüllt werden. Um dies zu garantieren, setzt diese auf den von der ISO 2700x abgeleiteten Standard TISAX.

Spricht man über das Thema Automobilindustrie, denkt nahezu jeder automatisch an die großen, bekannten und seit Jahrzehnten etablierten deutschen Automobilhersteller. Weltweit stehen diese Fahrzeuge als höchst qualitative und exzellente Fahrzeuge hoch im Kurs. Manch einer bezeichnet die Qualitätsanmutung mit dem Ausdruck „wie aus einem Guss“. Doch anders als ein Künstler, der eine Figur aus einem einzigen Stein haut, passt dieser Ausdruck im eigentlichen Sinne so überhaupt gar nicht zu einem modernen Fahrzeug.

Auch wenn sich die Wertigkeit so anfühlen mag, setzt sich ein modernes Automobil aus unzähligen Einzelteilen und Komponenten zusammen. Und nur einen Teil erzeugt der Autohersteller selbst. Den größeren Anteil davon liefert die Zulieferindustrie, die mit ihren Errungenschaften und Komponenten dazu beitragen, dass aus der rohen Karosserie ein vollständiges Fahrzeug wird.

Je nach Komponentenart kommen verschiedene Spezialunternehmen mit ihren eigenen Zulieferketten zum Zug. Mal liefert ein Spezialist aus Italien die viel georderten Lederlenkräder, die zentrale Recheneinheit vom Elektronikspezialisten kombiniert ein Assemblierer in Polen mit einem Display aus Südkorea, Motoren- und Allradtechnologie aus dem Nachbarland und das neueste Getriebe vom heimischen Spezialisten aus Friedrichshafen.

Damit hier nicht zu viele Köche den Brei verderben, müssen viele Vereinbarungen und Abläufe zwischen den Herstellern und den Zulieferern abgeschlossen werden. Neben den qualitativen Anforderungen der Bauteile müssen aber auch Bedingungen für die Informations- und Datensicherheit geschaffen werden.

Damit eine Zulieferfirma in die Auswahl kommt, einen Autohersteller mit Teilen zu beliefern, bedarf es eben sehr ausgeklügelter Voraussetzungen und komplexer Vereinbarungen. Immerhin werden die Lieferanten nicht nur mit der Herstellung und Lieferung von Komponenten betreut, sondern sind auch an der Entwicklung von Prototypen beteiligt. Dass hier besondere Vorsichtsmaßnahmen in Bezug auf Daten- und Informationssicherheit nötig sind, liegt auf der Hand. Schließlich möchte kein Hersteller eines neuen Fahrzeugs die Errungenschaften der Entwicklungen von Technik und Verfahren in die falschen Hände legen. Für die komplette Entwicklung eines neuen Fahrzeugs investiert ein Hersteller mehrere Milliarden Euro und leistet sich dabei ständig ein Innovationsrennen mit den anderen Herstellern.

TISAX und ISO2700x

Bei der hohen Anzahl an Zulieferfirmen ist es daher wichtig, dass die Informationen, die untereinander ausgetauscht werden, auch absolut sicher und geheim bleiben. Dafür sind auch in kleineren Betrieben umfangreiche Maßnahmen erforderlich, um diese Anforderungen zu gewährleisten.

Damit hier nicht mit jedem Unternehmen eine Spezialvereinbarung eingegangen werden muss, bedient sich die Industrie allgemein verschiedensten Normen. Natürlich gilt das insbesondere auch für die Automobilindustrie. Die Mitgliedsunternehmen des Verbands der Automobilindustrie e. V. (VDA) haben dafür einen Katalog erstellt, der im Grunde auf einer Anpassung der allgemeinen Industrie-Norm ISO/IEC 27001 beruht. Dieser Standard nennt sich TISAX (Trusted Information Security Assessment Exchange) und ist speziell an die Anforderungen der Automobilindustrie angepasst. Da in den allgemeinen Normen nicht alle Spezialfälle zur Anwendung kommen, gibt es mit TISAX eben einen speziell auf die Fahrzeugindustrie konfektionierten Standard. So kann damit zum Beispiel auch die Handhabung der speziellen Anforderung zur Daten- und Informationssicherheit reguliert werden, die bei Prototypenherstellung zur Anwendung kommen.

Wer bestimmt, was sicher ist und was nicht?

Wer in den Genuss einer TISAX-Zertifizierung kommen möchte, muss nicht nur entsprechende Voraussetzungen erfüllen, sondern sich dahingehend auch von einer externen Stelle prüfen lassen.

Prüfungen nach VDA ISA, insbesondere bei Dienstleistern und Lieferanten, werden von sogenannten „TISAX Prüfdienstleistern“ durchgeführt. Die ENX Association mit Sitz in Frankfurt am Main agiert in dem System als Governance-Organisation. Sie lässt die Prüfdienstleister zu und überwacht die Qualität der Durchführung und der Assessment-Ergebnisse.

Besteht ein Unternehmen die Prüfung durch einen autorisierten Prüfdienstleister, kann dieses Ergebnis mit anderen Unternehmen geteilt werden und somit die Erfüllung der Sicherheitsanforderungen der Hersteller garantiert werden. Durch die von den VDA-Mitgliedern akzeptierten Prüfungen muss eine TISAX-Zertifizierung nicht für jeden Hersteller erneut durchgeführt werden. Allerdings beträgt die Gültigkeitsdauer der Zertifizierung maximal drei Jahre. Danach muss diese erneut durch einen Prüfer bestätigt werden.

Um sich einen Überblick über die umfangreichen Anforderungen zur TISAX-Zertifizierung zu verschaffen, verweisen wir auf das TISAX-Teilnehmerhandbuch der ENX Association.

Phase I – Selbsteinschätzung

Eine der ersten Phasen der TISAX-Zertifizierung beginnt mit der Selbsteinschätzung zu den in den Katalog gestellten Fragen. Um hierauf eine seriöse Antwort geben zu können, wird idealerweise auf eine komplett dokumentierte Firmeninfrastruktur zurückgegriffen.

Neben den allgemeinen Sicherheitsvorkehrungen, wie zum Beispiel die Verwaltung der Schlüssel, Zutrittskontrollen zu Entwicklungsabteilungen, Verwahrung von vertraulichen Dokumenten, sind heutzutage vor allem IT-Anlagen ein Schwerpunkt, wenn es um relevante Sicherheitsfragen geht.

Insbesondere bei der Informations- und Datensicherheit trifft mittlerweile jedes Unternehmen eine hohe Verantwortung. Denn nahezu jedes Unternehmen steuert seinen eigenen Informationsfluss inner- und außerhalb der Organisation mittels elektronischer Datenverarbeitung und dem Internet.

Daher fordert die VDA in ihrem Whitepaper „Risikomanagement in der Informationssicherheit“ explizit eine Dokumentation der Maßnahmen, welche auch regelmäßig an die Organisationsleitung zu berichten ist.

Phase II – Prüfung – Zugang zu Berichten und Dokumentation

Die erhobenen Daten müssen den Prüforganen zur Verfügung gestellt werden, damit eine Verifizierung möglich wird. Da mit einem professionellen Dokumentationssystem eine derartige Berichtserstellung leicht verfügbar gemacht werden kann, steht dem eigentlichen Prüfungs- und Verifizierungsvorgang nichts mehr im Weg.

Übersichtlich und klar gegliedert können IT-Netzwerkpläne, Wartungsverträge, IT-Anlagen, eingesetzte Betriebssysteme und sogar deren Patch-Stände jederzeit nachvollzogen werden. Die in den Berichten enthaltenen Daten sind mit einer professionellen Lösung stets auf aktuellstem Stand.

Phase III – Regelmäßige Berichterstattung an die Organisationsleitung

Die Zeiten ändern sich und so auch die Anforderungen an die IT-Sicherheit. In immer kürzeren Abständen sind Aktionen und Reaktionen auf neue Gefahrenquellen nötig. Auch hier müssen die verantwortlichen Personen in der Lage sein, jederzeit Auskunft über die aktuelle Situation der internen IT-Anlagen geben zu können. Auch in Zukunft werden neue Sicherheitslücken in den eingesetzten Server- und Betriebssystemen ans Tageslicht gefördert. Aber nur, wer den aktuellen Stand parat hat, kann fehlerhafte Systeme und Anlagen erkennen und Gegenmaßnahmen ergreifen.

Dies gilt natürlich auch für die Leitung der Organisation, die sich nicht direkt mit den internen IT-Angelegenheiten beschäftigen können. Allerdings können diese Stellen mit regelmäßigen Übersichtsberichten jederzeit auf den aktuellsten Stand gebracht werden. Der Aufwand hierfür hält sich bei einer guten Dokumentationslösung in Grenzen. Im Idealfall wird ein automatisierter Bericht in regelmäßigen Abständen mit allen erforderlichen Daten generiert und an die Geschäftsleitung übermittelt.

Die automatisierte und ständig aktuelle IT-Dokumentation und -Inventarisierung.

Viele Unternehmen haben sich schon mit einer IT-Dokumentation auseinandergesetzt. Bei einigen blieb es beim Wunsch, andere starteten erste Gehversuche und mit einer manuellen Erfassung des Inventars.

Das Hauptproblem bei den manuell erfassten Daten ist die Aktualität derer. Insbesondere im Bereich der IT können sich Situationen ergeben, die sich schneller ändern, als eine IT-Abteilung dies zu erfassen, dokumentieren und berichten imstande ist.

Besonderes Augenmerk ist hier wiederum auf die Sicherheit der Systeme gerichtet. Wie auch in allen anderen Branchen trifft es auch die Automobil-Zulieferindustrie, wenn etablierte Systeme von IT-Marktführern von kritischen Fehlern und Sicherheitslücken betroffen sind und beispielsweise der Mail-Server freundlich seine Daten und E-Mails im Internet den wissbegierigen Hackern preisgibt.

Hier muss nicht nur im Eigeninteresse rasch gehandelt werden, sondern auch im Interesse der Geschäftspartner. Und wer sich für eine TISAX-Zertifizierung registriert hat, dem muss klar sein, dass eine veraltete und undokumentierte IT ein Hindernis darstellt.

Damit überhaupt Daten zur Auswertung und Berichtserstellung zur Verfügung stehen, müssen diese erst erhoben werden. Da sich in einem IT-Netzwerk nicht nur Computer und Server befinden, sondern meist eine große Anzahl an zusätzlichen Geräten (wie zum Beispiel Drucker, Router, Switches, WLAN-Stationen) mit dem Netzwerk verbunden ist, läuft man schnell Gefahr, selten genutzte oder gut versteckte Gerätschaften bei einer manuellen Inventarisierung zu übersehen.

Nutzt man dabei eine professionelle Inventarisierungs- und Dokumentationssoftware wie Docusnap, ist nicht nur der zeitliche Aufwand deutlich geringer. Aufgrund der vielfältigen Scan-Modi durchsucht die Software automatisch nach allen Geräten, die sich im Netzwerk befinden. Dabei beschränkt sich eine gute Software nicht nur auf das IP-Protokoll, sondern nutzt unterschiedliche Scan-Techniken, um jedes Gerät aufzuspüren und zu inventarisieren.

Docusnap macht dies ohne jegliche Agents. Das heißt, dass auf keinem Gerät im Netzwerk eine zusätzliche Software installiert werden muss. Das hat vor allem den großen Vorteil, dass weder Sicherheitslücken durch eine zusätzliche Software auftreten können, noch dass einzelne Systeme wie oben beschrieben vergessen oder übersehen werden.

Docusnap sammelt die Daten zentral in einer SQL-Datenbank in ihrem eigenen Netzwerk. Ebenso werden andere Standorte oder Filialen, die mit ihrem Netzwerk verbunden sind, automatisch mit inventarisiert. Gerade bei örtlich getrennten Betriebsstätten ist dies ein großer Vorteil, da nicht immer in allen Außenstellen geschultes IT-Personal vor Ort ist.

Die grundlegende Inventarisierung geht mit Ausnahme der Ersteinrichtung größtenteils automatisch und erfordert sehr wenig zusätzliche Arbeit.

Etwas aufwändiger wird dann die Verknüpfung der Geschäftsprozesse mit den Daten in Docusnap. Dies ist nur mit manuellem Aufwand und vor allem Know-How aus ihrem eigenen Geschäftsbereich zu bewältigen. Allerdings entsteht dadurch eine einzigartige Möglichkeit, innerhalb eines Systems, mit ständig aktuellen Daten, eine umfassende Datenbasis mit genialen Fähigkeiten zu schaffen.

Bereits jetzt ist man in der Lage, Notfallpläne und Notfallhandbücher zu erstellen, die sich ebenso automatisch mit allen Änderungen im Netzwerk aktualisieren und immer auf dem neuesten Stand bleiben. Ebenso sind Sie damit bereits in der Lage, Netzwerkpläne und Topologie-Pläne grafisch darzustellen.

Da Docusnap bereits von Anfang an eine Vielzahl an unterschiedlichen Berichten zur Verfügung stellt, sind Kontrollen über den Zustand der gesamten IT-Systeme nur mehr ein geringer Aufwand. Nicht nur, dass sich so auch leicht veraltete Betriebssysteme aufspüren lassen. Die Informationen gehen sogar so weit, dass sogar Softwarestände bzw. eingespielte Patch-Versionen auswertbar sind. Vollautomatisch und ohne weiteres Zutun sind diese Berichte auswählbar.

Das kann jeder

Docusnap hat selbstverständlich auch eine eigene Berechtigungshierarchie. Denn grundsätzlich braucht man keine hochspezialisierten Profis, um Docusnap zu bedienen. Im Gegenteil. Docusnap ist so aufgebaut, dass auch Nutzer, die sonst wenig mit IT-Technik zu tun haben, keine Probleme haben, die Software zu bedienen. So ist es ein leichtes, unterschiedlichen Verantwortungsbereichen Personen zuzuordnen und Ihnen die erforderlichen Informationen zur Verfügung zu stellen. Diese können dann ohne Zutun der IT-Abteilung selbständig alle erforderlichen Berichte erstellen und an die Vorgesetzten oder Geschäftsleitung übermitteln.

Support und Hersteller aus Deutschland

Oft ist es der Fall, dass Software aus anderen Ländern kommt. Häufig auch außerhalb der EU. Und nicht immer sind die dortigen Regeln mit unseren Gesetzen und Vorschriften eins zu eins umsetzbar. Docusnap wird in Deutschland (Bayern) entwickelt. Auch der komplette Support findet durch den Hersteller selbst statt. Anstatt eines Call-Centers mit nervenaufreibenden Telefonaten stehen die Spezialisten der Softwareherstellers selbst Rede und Antwort und unterstützen Sie bei Ihren Anliegen.

Falls Sie Ihre IT von einem externen Dienstleister betreuen lassen, bietet Docusnap auch für diesen Fall eine geniale Funktion. Dadurch, dass Docusnap auch mandantenfähig sein kann, sind externe IT-Dienstleister in der Lage, mittels Docusnap all die Vorteile zu erhalten, in dessen Genuss auch eine eigene, interne IT-Abteilung kommen würde. Und nicht nur für die Anforderungen der TISAX oder die Einführung der ISO-Norm 2700x ist Docusnap eine geniale Ausgangsbasis, sondern auch für alle anderen Tätigkeiten innerhalb der IT. Denn nicht nur Systeme finden Eingang in die Datenbasis, sondern auch Wartungsverträge (Subscriptions) mit Laufzeiten, Lizenzverträge mit Ablaufdaten oder auch Dokumentationen über durchgeführte Arbeiten im System (sowohl interne Durchführung als auch durch externe Dienstleister).

Wer sich selbst ein wenig den Schrecken nehmen möchte, den Anforderungen der TISAX gerecht zu werden, bedient sich sinnvollerweise der ausgeklügelten und etablierten Dokumentationssoftware vom deutschen Marktführer Docusnap.

Sie haben noch Fragen oder benötigen Hilfe? Nutzen Sie einfach die Möglichkeit, Docusnap 30 Tage kostenlos zu testen. Wir gewähren Ihnen auch innerhalb der 30 Tage den professionellen Support unseres Teams – ebenfalls ohne Kosten.

Links: