Wissensglossar
Hier finden Sie Erklärungen und FAQs zu den (Fach-) Begriffen rund um unsere Lösungen.
WISSENS-GLOSSAR
Hier finden Sie Erklärungen und FAQs zu den (Fach-) Begriffen rund um unsere Lösungen.
TISAX®
Sie sind Zulieferer oder Dienstleister der Automobilbranche? Um auch zukünftig wettbewerbsfähig zu bleiben, sollten Sie bis 2023 dringend eine sog. TISAX® Zertifizierung erwerben. Es handelt sich hierbei um eine anerkannte Zertifizierung Ihrer Informationssicherheitsstandards.
TISAX® steht für Trusted Information Security Assessment Exchange und ist eine Marke der ENX Association. Es handelt sich um einen Prüf- und Austauschmechanismus der Automobilbranche. Das TISAX® Zertifikat gilt seit 2017 als einheitlicher Nachweis für die Informationssicherheit von Unternehmen in der Automotive-Industrie. Es wird von allen Automobilherstellern anerkannt.
TISAX® ist inhaltlich an die Norm ISO 27001 (eine internationale Norm für die Informationssicherheit) sowie die damit verbundene Einführung eines ISMS (Information Security Management System) angelehnt. Der TISAX® Prüfprozess erfolgt auf Basis eines Fragenkatalogs des Verbands der Automobilindustrie (VDA), welcher die speziellen Anforderungen an die Informationssicherheit im Automotive-Bereich umfasst.
Noch ist die TISAX® Zertifizierung keine Pflicht. Viele OEMs (Original Equipment Manufacturer) / Erstausrüster /Automobilhersteller) stellen die Zertifizierung jedoch als Bedingung für eine Zusammenarbeit. Hierunter fallen beispielsweise Audi, BMW, Mercedes-Benz, Porsche, VW oder deren Tochterunternehmen. Es ist jedoch ebenso zu beobachten, dass mittlerweile auch die die Tier-1 und Tier2* Zulieferer das TISAX® Zertifikat als Bedingung an ihre Zulieferer stellen.
Ob Sie die TISAX® Zertifizierung benötigen, hängt von ihren bestehenden oder potentiellen Vertragspartnern ab. Sollten Sie noch von keinem OEM aufgefordert worden sein, können Sie auch abwarten, bis Sie aktiv auf das Thema TISAX® angesprochen werden. Aufgrund der steigenden Relevanz empfehlen unsere Experten für Informationssicherheit Alex Fürst und Michael Kirsch jedoch, sich freiwillig bzw. proaktiv auf den Weg zum TISAX® Label zu begeben. So sind Sie bereits vorbereitet, wenn das Thema früher oder später auch auf Ihre To-do-Liste rutscht. Denn oft gehen mit dem Zertifizierungsprozess viele Monate und hohe Kosten einher. Da ist es besser, sich frühzeitig zu kümmern.
Wenn Sie sich nun dafür entscheiden, eine TISAX® Zertifizierung zu erlangen, müssen Sie ebenfalls festlegen, welches Assessment Level Sie anstreben möchten. In manchen Fällen gibt Ihnen auch Ihr Vertragspartner vor, ob Sie das Assessment Level 2 oder 3 benötigen.
*Tier wird aus dem Englischen von „tier“ abgeleitet, was Ebene bedeutet. Gemeint sind also die Ebenen der Zulieferpyramide, abhängig vom Abstand zum OEM.
Die Kosten für TISAX® variieren ebenso stark wie die Dauer des Prozesses. Auch hier spielen viele Faktoren hinein. Bestimmte Fixkosten für den Auditor, die Prüfung selbst sowie ggf. eine Nachprüfung sind jedoch für alle Unternehmen gegeben. Durchschnittlich kann es zu Kosten zwischen 50.000 – 200.000 Euro bis zum Assessment kommen.
Durch eine effiziente Vorbereitung auf das TISAX® Assessment lässt sich jedoch einiges an Kosten einsparen. Für unvorbereitete Unternehmen fallen ansonsten Kosten für Optimierungen während des laufenden Prüfungsprozesses an.
Sie möchten als klein- oder mittelständisches Unternehmen eine TISAX® Zertifizierung erlangen, doch der hohe Kosten- und Zeitaufwand schreckt Sie ab? Dann freuen wir uns, Ihnen unsere Lösung „NORM X“ vorstellen zu dürfen.
Mit NORM X gelangen Sie auf der Überholspur zum TISAX® Assessment! Unsere Lösung basiert auf einer vollautomatisierten Software und spart Ihnen mithilfe von effektiven Prozessen und der Leitung eines Informationssicherheitsbeauftragten (ISB) bis zu 70% Zeit und Kosten auf Ihrem Weg zum TISAX® Assessment.
Durch eine effiziente Vorbereitung auf das TISAX® Assessment lässt sich jedoch einiges an Kosten einsparen. Für unvorbereitete Unternehmen fallen ansonsten Kosten für Optimierungen während des laufenden Prüfungsprozesses an.
Die Dauer der Assessments kann stark variieren und ist von verschiedenen Faktoren, wie beispielsweise der Größe Ihres Unternehmens und der Anzahl der Unternehmensstandorte, abhängig. Bei durchschnittlicher Unternehmensgröße reichen für das Prüfverfahren selbst 2-3 Tage vor Ort aus. Was hingegen mit höherem Zeitaufwand verbunden sein kann, ist die Vorbereitung auf das Assessment. Die Prüfung bzw. das Audit sollte erst durchgeführt werden, wenn Sie die TISAX® Anforderungen aus dem VDA-ISA Fragenkatalog auch erfüllen. Andernfalls werden Sie das Audit nicht bestehen und erhalten auch kein Zertifikat. Es besteht die Gefahr, dass Sie eine Nachprüfung absolvieren müssen, was wiederum mit Mehrkosten verbunden ist.
Die Vorbereitung und der Prüfungsprozess können bis zu 8 – 12 Monate dauern. Der reine Prüfungsprozess darf ab Anmeldung nicht länger als 9 Monate dauern, ansonsten erhalten Sie kein Label. Eine ausreichende Vorbereitung auf das Assessment ist also ausschlaggebend!
Level 1 fordert ein normales Maß an Schutzbedarf. Bei Level 2 wird Ihr Unternehmen auf Informationssicherheit nach hohem Schutzbedarf geprüft und bei Level 3 nach sehr hohem Schutzbedarf.
Normal: Der potenzielle Schaden für die Organisation ist begrenzt und überschaubar.
Hoch: Der potenzielle Schaden für die Organisation kann beträchtlich sein.
Sehr hoch: Der potenzielle Schaden kann ein für die Organisation existenziell bedrohlich katastrophales Ausmaß erreichen.
Wie sich vermuten lässt, unterscheiden sich auch die Prüfmethode und der damit verbundene Aufwand je nach Assessment Level.
Level 1
Das Level 1 Assessment erfolgt mithilfe einer Selbsteinschätzung, die nicht durch einen Dienstleister geprüft wird. Es wird daher i.d.R. nur für interne Zwecke gebraucht. Diese Prüfergebnisse haben nur eine geringe Aussagekraft und stellen kein geltendes TISAX® Label dar. Daher fordern die meisten Hersteller mindestens das Assessment Level 2.
Level 2
In diesem Fall erfolgt die Prüfung der Selbsteinschätzung durch einen anerkannten Prüfdienstleister. Diese Prüfungen werden oft telefonisch durchgeführt. Eine vor-Ort-Prüfung erfolgt lediglich, wenn Sie das Modul „Prototypenschutz“ prüfen lassen oder die vor-Ort-Prüfung ausdrücklich wünschen.
Level 3
In diesem Assessment Level erfolgt eine umfassende Vor-Ort-Prüfung Ihrer Selbsteinschätzung durch einen Prüfdienstleister. Diese dauert im Durchschnitt 2-3 Tage.
Für einen tiefergehenden Einblick empfehlen wir unseren Beitrag zum Thema TISAX:
INFORMA-TIONSSICHER-HEIT
Wie der Name vermuten lässt, versteht man unter Informationssicherheit den Schutz von Informationen und entsprechenden Systemen zur Informationsverarbeitung und -speicherung. Diese können technischer oder nicht-technischer Art sein.
Die Informationssicherheit zielt darauf ab, die Eigenschaften dieser Systeme so sicher wie möglich zu gestalten und zu halten. Hierbei kann vor allem die Einführung eines ISMS (Information Security Management System) helfen. Dieses erleichtert einem Unternehmen, die Schutzziele der Informationssicherheit zu definieren, zu erreichen und dauerhaft zu kontrollieren.
Für mehr Informationen empfehlen wir unseren Wissens-Artikel:
BEGRIFFS-ABGREN-ZUNGEN
Wo genau liegt eigentlich der Unterschied zwischen Informationssicherheit, IT-Sicherheit und Datenschutz?
Die IT-Sicherheit kann als ein Teilaspekt der Informationssicherheit verstanden werden. Der Begriff IT-Sicherheit umfasst den Schutz von Daten und Informationen, die elektronisch gespeichert und verarbeitet werden – also in IT-Systemen. Diese müssen durch entsprechende Maßnahmen geschützt werden.
Während die IT-Sicherheit sich auf den Schutz von technischen Systemen bezieht, geht es in der Informationssicherheit allgemein um den Schutz von Informationen. Denn diese können nicht nur in technischen Systemen vorliegen, sondern ebenso in einem Papierarchiv oder im Kopf der Mitarbeitenden. Auch die Sicherung des Betriebsgeländes zählt dazu.
Die Informationssicherheit ist also noch etwas umfassender als die IT-Sicherheit und tritt daher im Sprachgebrauch häufiger auf. Ebenso oft begegnen einem mittlerweile die englischen Versionen der Fachbegriffe, wie Information Security, Cyber Security oder IT Safety.
Unter Datenschutz wird der Schutz von personenbezogenen Daten verstanden. Hierzu zählen beispielsweise Name, Adresse, Telefonnummer, Sozialversicherungsnummer, usw. – im Prinzip alle Daten, anhand derer sich ein direkter Personenbezug herstellen lässt.
Im Datenschutz liegt der Schwerpunkt nicht auf dem Inhalt der Daten selbst, sondern auf dem Recht der Verarbeitung dieser Informationen. Mit Einführung der DSGVO 2018 wurden gesetzliche Spezifikationen für den europäischen Raum festgelegt und maßgeblich verschärft. Die DSGVO thematisiert die rechtlichen Voraussetzungen, unter denen personenbezogene Daten erhoben, verarbeitet oder genutzt werden dürfen. Ziel ist es, die Privatsphäre eines jeden Menschen zu schützen, indem die Möglichkeit zur informationellen Selbstbestimmung geboten wird. Erreicht wird dieses Ziel durch entsprechende Maßnahmen, die sich an der DSGVO orientieren.
Wie die IT-Sicherheit ist auch der Datenschutz ein Teilgebiet der umfassenderen Informationssicherheit.
KÜNSTLICHE INTELLIGENZ (KI)
Die KI soll menschliches Lernen und Denken auf Computersysteme übertragen und ihnen damit auf künstliche Weise Intelligenz verleihen. So lernt das Computersystem eigenständig und muss nicht für jeden Fall neu programmiert zu werden. Eine KI kann beispielsweise eigenständig Antworten finden und selbstständig kleinere Probleme lösen.
Für mehr Informationen lesen Sie gerne folgenden Artikel von der WFB:
