Sicherheit Sicherheitskonzepte

Prüfmodell in der Supply-Chain im Kontext der Automobil- und Zulieferindustrie

10. September 2025
von Dr. Martin Unterberger
Nahaufnahme von Vorhängeschloss auf Laptoptastatur.
@ Rainer Puster

Bezug nehmend auf den Beitrag vom 03.09.2025 präsentiert der vorliegende Artikel ein Prüfmodell auf Basis des VDA-ISA, das Prüfungen durch ein einzelnes Unternehmen überflüssig macht und eine allgemeine Anerkennung als eine Form von „Zertifizierung“ bietet.[1]

Inhaltliche Zusammenfassung aus dem Beitrag „Assessment-Standard für Informationssicherheit in der Automobil- und Zulieferindustrie“:

Zunächst nur interne Anwendung

Im Laufe der Anwendung des VDA-ISA in Eigenständigkeit durch die Mitgliedsfirmen hat sich als großer Nachteil herausgestellt, dass Prüfungen nur intern verwendet, aber nicht der gesamten Mitgliedschaft zur Verfügung gestellt wurden Dies war einerseits darauf zurückzuführen, dass ein Automobilhersteller seine Zulieferer bzw. Lieferanten proprietär für sich behalten wollte, andererseits der Hersteller seine eigenen Aufwände nicht honoriert bekam.

Das hatte zur Folge, dass der Anforderungskatalog zwar breite Anwendung gefunden hatte, jedoch die Prüfergebnisse für andere Interessierte nicht zugänglich waren (Konkurrenzsituation).

Supply-Chain im Fokus

Wurde zu Beginn der VDA-ISA lediglich als Anforderung der Automobilhersteller in der Zusammenarbeit mit ihren hauptsächlichen Zulieferern und Lieferanten gesehen, so hat sich das Bild dergestalt geändert, dass die komplette Lieferkette (Supply-Chain) in den Vordergrund gerückt ist. Dies betrifft nicht nur die Vertraulichkeit von Informationen, sondern im besonderen Maße auch die Verfügbarkeit, was sich in der jüngsten Version als weiterer wesentlicher Aspekt widerspiegelt.

Nachteile der proprietären Vorgehensweise

Im Laufe der Zeit zeigten sich folgende Nachteile einer proprietären Vorgehenseise:

  • Die Beurteilung einer Vielzahl von Lieferanten und Zulieferern ohne gesamthafte Betrachtung der Supply-Chain stellt sich als schwierig bzw. mangelhaft dar.
  • Abhängig von den Anforderungen der einzelnen Automobilhersteller existiert ein unterschiedlicher Schutzbedarf.
  • Das Sicherheitsniveau ist in einer Lieferkette teilweise uneinheitlich.
  • Fehlende oder mangelnde Ende-zu-Ende-Betrachtung der gesamten Lieferkette führt zu weißen Flecken in der Testierung.
  • Sublieferanten werden häufig nicht oder nicht hinreichend berücksichtigt; eine gesonderte Bewertung erfolgt meist nicht.
  • Automobilhersteller, Lieferanten und Zulieferer kennen ihr Sicherheitsniveau gegenseitig in den wenigsten Fällen.
  • Teilweise Durchführung von redundanten Sicherheitsüberprüfungen, die durch verschiedene Unternehmen veranlasst werden.
  • International agierende Lieferanten benötigen z. T. mehrfache Sicherheitsüberprüfungen, was erhöhte Aufwände und Verzögerungen mit sich bringt.
  • Beschaffungen ziehen sich durch fehlende Sicherheitsprüfungen unnötig in die Länge.
TISAX-Prüfmodell

Um diesen offensichtlichen Nachteilen nachhaltig zu begegnen, wurde von Vertretern des Arbeitskreises „Informationssicherheit“ des VDA und der ENX Association in den Jahren 2015/2016 ein Konzept entwickelt, das im Rahmen seiner Umsetzung als TISAX-Prüfmodell (Trusted Information Security Assessment Exchange = Vertrauenswürdiger Austausch von Informationssicherheitsprüfungen) inzwischen einen sehr hohen Bekanntheits- und auch Verbreitungsgrad erhalten hat und innerhalb der Automobil- und Zulieferindustrie große Anerkennung gefunden hat.

Grundlegendes Konzept von TISAX

Das grundlegende Konzept von TISAX sieht vereinfacht gesprochen vor, dass Prüfungen zur Informationssicherheit durch sog. zugelassene Prüfungsdienstleister im Auftrag eines geprüften Unternehmens durchgeführt werden. Die Dachorganisation, auch Governance genannt, stellt einen „Vertrauensanker“ für die Prüfergebnisse dar.

Die geprüften Unternehmen selbst sind Herr ihrer Prüfergebnisse und können diese mit beliebigen Unternehmen in der Community teilen. Diese Governance-Stelle und Verwaltung der Prüfergebnisse obliegt der ENX Association.

Information Consumer und Information Contributor

Besonders hervorzuheben ist, dass nur diejenigen Unternehmen an dem System teilnehmen, die sich bei der ENX Association für TISAX als Teilnehmer registriert haben. Innerhalb des TISAX gibt es zwei Rollen, und zwar den Informationsempfänger („Information Consumer“), der Prüfergebnisse einsehen kann, sofern er für ein Prüfergebnis zugelassen ist, und den Teilnehmer („Information Contributor“), der ein Prüfergebnis in das TISAX einbringt und sein Ergebnis für einen oder mehrere bzw. alle Informationsempfänger in der TISAX-Datenbank zur Verfügung stellt. Ein Unternehmen kann prinzipiell beide dieser Rollen einnehmen.

Verschiedene Labels

TISAX kennt verschiedene Labels, um eindeutig zu kennzeichnen, welches Sicherheitsniveau entsprechend des Schutzbedarfs einzelner Prüfungskategorien das jeweilige Unternehmen besitzt. Insbesondere beim Modul „Prototypenschutz“ werden zudem noch Anwendungsfälle unterschieden, wie „echte“ Prototypen, Testfahrzeuge und Veranstaltungen.

Nähere Einzelheiten sind dem Teilnehmerhandbuch zu TISAX zu entnehmen. Dort findet man auch weiterführende, wertvolle Informationen zu TISAX, sei es als potenzieller Prüfungsdienstleister oder als Teilnehmer am TISAX-Prozess.

Der Prüfprozess

Das TISAX-Konzept lässt sich folgendermaßen im Zusammenhang beschreiben, wobei an dieser Stelle nur auf den Prüfprozess selbst eingegangen wird:

  • Ein Unternehmen A fordert von einem Unternehmen B ein TISAX-Zertifikat mit einem definierten Schutzziel bzw. Label ein, zumal Unternehmen B noch keine Prüfung im TISAX nachweisen kann.
  • Das Unternehmen B sucht sich einen zugelassenen TISAX-Prüfungsdienstleiters, beauftragt diesen kostenpflichtig und vereinbart einen Assessment-Termin.
  • Im Rahmen des Assessments werden ggf. Haupt- und Nebenabweichungen festgestellt, die vor endgültiger Zertifikatserteilung behoben sein müssen.
  • Das Unternehmen B lässt das Prüfungsergebnis in die TISAX-Datenbank einstellen und teilt das Ergebnis innerhalb der Community.
TISAX-Prüfungsdienstleister

Die TISAX-Prüfungsdienstleister unterliegen einem strengen Zulassungsverfahren durch die Governance-Stelle, also der ENX. Diese lässt Prüfdienstleister zu oder lehnt sie auch ab. Somit lässt sich einerseits die Unabhängigkeit und andererseits die Neutralität und Qualität der TISAX-Prüfungsdienstleister sicherstellen.

Ein TISAX-Zertifikat wird für die Dauer von drei Jahren ausgestellt und muss danach erneut erworben werden. Eine aktuelle Information zum Abschluss: Unternehmen mit einer TISAX-Prüfung erfüllen bereits heute alle relevanten Anforderungen der NIS-2-Richtlinie – von Risikomanagement über Incident Response bis hin zu technischen Schutzmaßnahmen.

Fazit

Mit der Etablierung von TISAX in der Automobil- und Zulieferindustrie ist es gelungen, eine gegenseitige Vertrauensbasis unter dem Aspekt der Informations- und Cybersicherheit zu schaffen. Aufwände für Prüfprozesse können minimiert und Sicherheitsprozesse effizient gestaltet werden. Schlussendlich hat man mit TISAX ein transparentes und auch höheres Sicherheitsniveau in der Automobil- und Zulieferindustrie erzielen können. Sowohl TISAX als auch der VDA-ISA-Katalog sind nicht nur auf die Automobil- und Zulieferindustrie beschränkt, sondern können universell für beliebige Branchen eingesetzt und verwendet werden.

Auch KRITIS-relevante Unternehmen können potenziell damit zertifiziert werden, auch wenn an der einen oder anderen Stelle Ergänzungen notwendig werden. Auf jeden Fall stellt TISAX ein Instrument dar, welches die Supply-Chain Ende-zu-Ende hinsichtlich ihres Sicherheitsniveaus bewerten und abbilden kann.

Mehr Informationen zu TISAX und dem Prüfprozess finden Sie unter:

https://www.enx.com/de-de/TISAX/

https://www.enx.com/en-us/TISAX/

[1] Dr. Martin Unterberger hat gemeinsam mit den Vertretern weiterer Hersteller und Lieferanten das TISAX-Modell zusammen mit der ENX Association (gegr. im Jahr 2000 unter dem Dach des Verbandes der Automobilindustrie – VDA) entwickelt. Er war zudem bis 2018 als Vorsitzender des TISAX-Komitees tätig.

Das könnte Sie auch interessieren