AKTUELLES RUND UM TISAX®

18.01.2023

Da ist sie nun: Die Anforderung Ihres Kunden, dass Sie das TISAX®-Label nachweisen müssen.

Damit Sie gut und vorbereitet in den Prozess zum TISAX®-Assessment starten können, hat unsere Kollegin Eva Claas in diesem Video alle wichtigen Basics für Sie zusammengefasst: - Wie sehen die Vorbereitungen generell aus? - Wer aus dem Unternehmen sollte involviert sein? - Welche Dokumente und Ressourcen benötige ich? Wir zeigen Ihnen die Grundlagen, die Ihnen eine zügige und zielgerichtete Herangehensweise zum Erlangen des TISAX®-Labels ermöglicht und klären die wichtigsten Fragen.

21.12.2022

TISAX® - unser Leitfaden für Unternehmen

Ihr Kunde fordert Sie zum Nachweis des TISAX®-Labels auf. Was nun?

 

Da ist sie, die Information Ihres Kunden, dass Sie bzw. Ihr Unternehmen nun bitte ein TISAX®-Label nachweisen sollen.

Jetzt steht die Frage im Raum, was genau zu tun ist, welche Abteilungen eingebunden werden müssen und wie überhaupt der Ablauf im Prozess zum erfolgreichen Assessment nach TISAX® ist, um der Anforderung des Kunden nachzukommen.

Hier ein kurzer Leitfaden zur Orientierung:

 

Was ist TISAX® eigentlich?

TISAX®, der Standard für Informationssicherheit in der Automobilindustrie, ist ein gemeinsamer Prüf- und Austauschmechanismus, der die Erkenntnisse aus den Information Security Assessments für alle Hersteller zugänglich macht. Die Ergebnisse der Prüfungen werden in einem Reifegradmodell abgebildet. Eine Rezertifizierung erfolgt grundlegend alle drei Jahre oder zum Beispiel, wenn das teilnehmende Unternehmen ein weiteres Prüfziel nachweisen möchte oder eine größere organisatorische Änderung erfolgt ist.

Ist eine Prüfung nach TISAX® tatsächlich notwendig?

Um es kurz zu machen: Stellt ein Kunde die Anforderung, das TISAX®-Label nachzuweisen, so ist der Nachweis von TISAX in der Regel auch zwingend notwendig. Erhalten Sie jedoch weder Kundendaten oder greifen nicht auf die Systeme des Kunden zu, dann kann es in sehr seltenen Fällen sein, dass die Anforderung des Kunden haltlos ist.

Auch sollten Sie überprüfen, an welchen Standorten die tatsächliche Leistungserbringung, die das TISAX®-Assessment notwendig macht, erfolgt. Haben Sie beispielsweise mehrere Standorte ihres Unternehmens, produzieren/erbringen die Leistung aber nicht an allen diesen Standorten, dann müssen nur jene das TISAX®-Label nachweisen, an denen die Leistung für den OEM erfolgt.

Wieviel Zeit muss für das TISAX®-Label eingeplant werden?

Abhängig von der Unternehmensgröße und den Prüfzielen ist ein Zeitrahmen von mindestens 6 Monaten für eine erfolgreiches TISAX®-Assessment einzuplanen. Diese kann sich natürlich, beispielsweise abhängig von den zur Verfügung stehenden Ressourcen und dem Tagesgeschäft, bis zu 18 Monate erstrecken. TISAX® ist also nicht „einfach mal so nebenbei“ gemacht.

Wer sollte Teil des TISAX®-Teams in meinem Unternehmen werden?

TISAX® ist der Standard für Informationssicherheit in der Automobilindustrie. Sinnvoll ist es daher, Mitglieder in das Team zu integrieren, die sowohl über Kenntnisse in der IT und den Informationssicherheitsprozessen Ihres Unternehmens als auch Mitarbeiter, die in den betriebsinternen Projektleitungsbereichen über Knowhow verfügen und sich durch Kommunikationsstärke auszeichnen. Also Mitarbeiter aus allen Bereichen Ihres Unternehmens, in denen Werte (Informationen in digitaler oder physikalischer Form, Prototypen) genutzt und weitergegeben werden.

 

Wie genau sieht der Prozess zum TISAX®-Label aus?

Verfügt Ihr Unternehmen bereits über ein integriertes und von allen Mitarbeitern gelebtes Informationssicherheitsmanagementsystem (kurz ISMS), vereinfacht dies die Umsetzung des TISAX-Assessment ungemein. Ist kein ISMS vorhanden, so muss die erforderliche Dokumentation in Angemessenheit zu den Prüfzielen erstellt werden.

Den eigentlichen Ablauf des TISAX®-Assessment haben wir hier für Sie skizziert:

 

 

Welche Ressourcen benötigt TISAX®?

Der Aufwand der Ressourcen ist zu individuell, um ihn zu pauschalisieren. Wie oben erwähnt, vereinfacht zum Beispiel ein schon bestehendes ISMS das TISAX®-Assessment, da hier im Vorfeld schon die nötigen Dokumentationen erfolgen. Um den Aufwand zum TISAX®-Label im Vorfeld abschätzen zu können, bieten sich GAP-Analyse-Tools an, um den Status Quo innerhalb des Unternehmens im Verhältnis zum SOLL-Zustand transparent dar zu stellen. Die hieraus ersichtlichen strategischen und operativen Lücken geben in der Auswertung dann Aufschluss über die benötigten Ressourcen.

Gerne beraten unsere TISAX®-Experten der OPTIQUM Sie hierzu.

Müssen meine Zulieferer auch TISAX® nachweisen?

TISAX richtet sich grundsätzlich an alle Zulieferer und Dienstleister in der Automobilbranche, die sensible Daten und Informationen – sowohl die eigenen als auch die der Kunden - bestmöglich schützen und dies mittels Dokumentation regelmäßig Nachweise darüber erbringen müssen.

Die Sicherheit des Informationsaustausches muss dabei in der gesamten Lieferkette sichergestellt werden und richtet sich im Prüfumfang an die jeweiligen kundenspezifischen Anforderungen. Als Analogie hierzu dient der berühmte Stein, der im Wasser Wellen schlägt: Alle Partizipanten, die mit den jeweiligen sensiblen Daten in Kontakt kommen, sind von den Wellen betroffen, müssen ergo den verantwortungsvollen und sicheren Umgang mit den betreffenden Informationen garantieren.

Doch das TISAX®-Testat ist durchaus auch als Wertezuwachs für die Partnerunternehmen der Lieferkette zu betrachten: Bei einer bestehenden Zusammenarbeit mit externen Firmen beispielsweise, die auf das interne Rechenzentrum zugreifen und dies mitnutzen, stellt wechselseitige Informationssicherheit die höchste Priorität für eine vertrauensvolle, starke Kooperation dar.

Sollte ich mir für TISAX® Unterstützung holen?

Haben Sie bis dato noch keine oder nur wenig Erfahrung im Bereich der Informationssicherheit sammeln können, so ist die Beratung durch einen erfahrenen TISAX® Experten angeraten. Hierbei lohnt sich schon ein Workshop, um im Vorfeld offene Fragen zu klären, Erkenntnisse zum Thema TISAX® und Informationssicherheit zu gewinnen und die eigene Strategie zum TISAX®-Assessment festzulegen. Die kundenspezifischen Anforderungen und Geltungsbereiche müssen sowohl im Gebiet der IT als auch im Bereich der Produktion präzise identifiziert, bewertet, analysiert und zusammengeführt werden – daher lohnt es sich, einen Partner mit dem entsprechenden Knowhow rund um TISAX® an Bord zu holen und so effizient und strategisch auf das erfolgreiche TISAX®-Label hinzuarbeiten.


29.06.2020

Brauche ich TISAX, wenn ich ISO 9001 oder ISO 27001 schon habe?

 

Um einen Überblick zu verschaffen, werden die Normen und Mechanismen kurz erläutert.

TISAX®:

TISAX® (Trusted Information Security Assessment Exchange) ist die Antwort der Automobilindustrie (VDA) auf das wachsende Sicherheitsbedürfnis der Projektpartner im Umgang mit vertraulichen Informationen. Es handelt sich hierbei um einen Prüf- und Austauschmechanismus zur Anerkennung von Prüfergebnissen der Informationssicherheit in der Automobilbranche.

ISO 9001:

ISO 9001 ist die internationale Norm für Qualitätsmanagementsysteme (QMS).

Das QMS beschreibt eine Sammlung von Prozessen, Richtlinien, festgelegten Verfahren und Aufzeichnungen. Diese Sammlung von Dokumentationen definiert eine Reihe von internen Regeln, die bestimmen, wie ein Unternehmen Produkte oder Dienstleistungen produziert und an die Kunden liefert. Das QMS soll auf die Bedürfnisse Ihres Unternehmens und die angebotenen Produkte oder Dienstleistungen zugeschnitten sein. Die Norm ISO 9001 stellt dafür eine Reihe von Richtlinien zur Verfügung. Mit diesen wird sichergestellt, dass alle wichtigen Merkmale eines erfolgreichen QMS in Ihre Strategie einbinden.

ISO 27001:

Die internationale Norm ISO/IEC 27001 spezifiziert die Anforderungen für Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines dokumentierten Informationssicherheits-Managementsystems unter Berücksichtigung des Kontexts einer Organisation. Darüber hinaus beinhaltet die Norm Anforderungen für die Beurteilung und Behandlung von Informationssicherheitsrisiken entsprechend den individuellen Bedürfnissen des Unternehmens.

Kurz gesagt: Bei der ISO 27001 handelt es sich um einen internationalen und branchenübergreifenden Standard im Bereich der Informationssicherheit.

 

Und wo liegt jetzt genau der Unterschied?

Der wichtigste Aspekt ist, dass TISAX® ein spezieller und spezifischer auf die Automobilindustrie ausgerichteter Standard für den Austausch von Prüfergebnissen der Informationssicherheit ist. Die Prüfungen basieren auf dem VDA-ISA Standard des VDA, der wiederum sich an Teile der ISO 27001 anlehnt und Bereiche genauer spezifiziert. Außerdem werden Automobilindustrie spezifische Anforderungen, wie z.B. Prototypenschutz ergänzt. Sein Hauptnutzen besteht darin, die Informationssicherheitssysteme der Automobilhersteller und deren Zulieferer zu schützen.

Es handelt sich bei TISAX® bzw. dem VDA-ISA um einen branchenspezifischen Standard, eben speziell für die Automobilindustrie, und nicht, wie bei der ISO 27001 und der ISO 9001, um eine internationale, branchenübergreifende Norm.

Die ISO 9001 bildet allerdings als Grundlage eine gute Ausgangsbasis für TISAX®: Sind die elementaren Grundlagen, Prozesse und Regularien des QMS festgelegt, kann hieraus eine zügige und unkomplizierte Überleitung zur TISAX®-Assessment erfolgen. Ersetzen kann die ISO 9001 TISAX® jedoch auf keinen Fall.

Informationssicherheit als Basis der Norm vereinen sowohl die ISO 27001 als auch TISAX®.

Doch im Gegensatz zu der eher allgemein gehaltenen Norm ISO/IEC 27001 erweitert der VDA-ISA die ISO 27001 um branchenspezifische Anforderungen der Automobilindustrie, wie z.B. dem Prototypenschutz, Anbindung Dritter und Datenschutz.

So hat TISAX® im Vergleich zur ISO 27001 mehr und spezifischere Anforderungsbereiche – auch im Bereich ISMS.

Für alle Zulieferer der OEM – und das schließt auch Medienagenturen, Druckereien, Marketingfirmen, Messebauer, Fotografen etc. ein, die mit Auftraggebern aus der Automobilindustrie zusammenarbeiten -ist TISAX® eingesetzter Standard und notwendig, um im Wettbewerb bestehen zu können. Vielfach wird ein TISAX® Label bereits in den Ausschreibungen gefordert.

 

Gerne beraten wir Sie im Erstgespräch unverbindlich, wenn Sie Fragen oder Zweifel haben, ob TISAX® in ihrem Unternehmen notwendig ist.

Kontakt +49 221 82 95 91 0 oder vda-isa-berater(at)optiqum.de

09.03.2020

Unternehmensprozesse einfach verstehen und gleichzeitig Informationen schützen – Quam® und OPTIQUM machen’s möglich!

 

Wer macht was, womit und nach welchen Regeln?

Abläufe, Prozesse und die dazugehörigen Regeln im Unternehmen sind häufig komplex und stark vernetzt – und dadurch oftmals nur schwer verständlich.

Quam® bringt hier nicht nur Licht ins Dunkle, die Prozessmanagement Software bietet neben der einfachen, nutzerfreundlichen Abbildung komplexer Unternehmensstrukturen auch viele weitere, individualisierbare und nützliche Features.

Und als Bonus ist TISAX® eine von vielen Normen und Standards, die sich durch das Zusammenspiel von Quam® und OPTIQUM jetzt noch schneller und einfacher erfüllen lassen.

 

Wie funktioniert das?

Ihr Unternehmen besteht aus vielen unterschiedlichen Prozessen, Strukturen, Regeln, Systemen und natürlich auch Menschen, die verschiedene Rollen und Funktionen in Ihrer Organisation ausüben. Um eine schnelle, proaktive Handlungsfähigkeit zu erhalten und das Unternehmen zu verbessern, ist der ganzheitliche Überblick und das Verstehen dieser weit verzweigten Verbindungen und vernetzten Prozesswelten essenziell. Und ohne eine Software-Unterstützung auch fast unmöglich.

Quam® bildet Ihr Unternehmenswissen einfach und digital ab. Es informiert Sie und Ihre Mitarbeiter über Veränderungen innerhalb der Organisation und managt deren Verbesserungen. Dadurch wird Quam zum digitalen Zwilling und „Betriebssystem“ Ihres Unternehmens.

Welche Vorteile ergeben sich daraus?

Mit Hilfe von Quam® organisieren Sie Ihr Unternehmen konsequent entlang des Prozesses. Die bedienerfreundliche Oberfläche bietet den Nutzern eine einfache Prozessübersicht über Ihre Organisation und ermöglich damit eine leichte Orientierung.

Von dieser Übersicht aus gelangt man mit maximal 3 Klicks zu wirklich allen relevanten Informationen, egal ob es sich beispielsweise um Regeln, anzuwendende Vorlagen oder zu nutzende IT-Systeme handelt. Auch Abläufe und Zusammenhänge, abteilungsübergreifende Verbindungen und die Beteiligung von Rollen und Partnern an einzelnen Prozessschritt lassen sich so nachvollziehbar einsehen.

Sie erhalten einen Überblick über alle Ihre betriebswichtigen Informationen, und damit den Vorteil der einfachen Nachvollziehbarkeit und Kontrolle. Es begünstigt auch einen flexiblen Informationsaustausch und die schnelle Informationsweitergabe, welche entscheidend sind für Ihre Wettbewerbsfähigkeit.

Zügige Fehlerbehebung dank Digitalisierung

Durch die Vernetzung und Digitalisierung der Prozessbeschreibungen und Regelwerke fällt es erheblich leichter, Lücken oder Fehler in den Prozessen zu finden, denn Sie müssen sich nicht erst umständlich durch Excel-Dateien oder gar Papierordner arbeiten.

Durch die sinnvolle und vor allem sichere Verwaltung von Regularien und Dokumentationen und die Abbildung aller Prozesse, Strukturen, Regeln und Informationen Ihres Unternehmens entsteht nachhaltig mehr Transparenz und Effizienz.

Quam® bietet individuelle Betrachtungsmöglichkeiten je nach Bedürfnissen der Benutzer, so dass Ihre gesamte Organisation in einem übersichtlichen System abgebildet werden kann und Informationen nicht redundant gepflegt werden müssen.  

Prozessberatung und prozessintegriertes ISMS

Für die optimale, ganzheitliche Einrichtung und Funktion der Prozesse arbeiten Quam® und OPTIQUM Hand in Hand.

Unsere Experten von OPTIQUM beraten Sie ganzheitlich und individuell zur Strukturierung und Optimierung Ihrer Prozesse. Wir entwerfen nicht nur verständliche, sondern auch effiziente, praxisgerechte Prozesslandschaften, die zu Ihrem Unternehmen und Ihren Abläufen passen, und Sie im Alltag unterstützen.

Diese Prozesse pflegen wir für Sie als Grundlage Ihres Prozessmanagements in Quam® und schaffen so die optimale Ausgangsbasis zur anwenderfreundlichen Nutzung der Software.

Gemäß den charakteristischen Anforderungen, die Ihr Unternehmen in punkto Risiko- und Gefährdungspotenzialen an das Informationssicherheits-Managementsystem stellt, sorgen wir von OPTIQUM außerdem für den Aufbau und die Implementierung eines ISMS in Ihrer Organisation.

In Quam® 6.0 ist auch ein DSGVO-Modul integriert, welches über ein erweitertes Datenmodell verfügt und Standardinhalte zur DSGVO bereitstellt. So können Nutzer die Art der personenrelevanten Daten erfassen und zu Prozessen und verarbeitenden Systemen zuordnen. Bei Bedarf können diese ausgewertet werden so dass das Datenschutzmanagement bequem digital hinterlegt ist.

TISAX®– schneller zum Zertifikat durch Quam® und OPTIQUM

Anforderungen von neuen Normen, Richtlinien oder Gesetzen an das eigene Unternehmen lassen sich durch die Beratung von OPTIQUM und die Nutzung von Quam®wesentlich schneller prüfen – dies ermöglicht das Zusammenspiel der Fachexpertise vor Ort durch OPTIQUM und die digitale Unterstützung der Prozessmanagementsoftware Quam®.

Außerdem lassen sich die erforderlichen Anpassungen, die für eine Implementierung der TISAX notwendig sind, einfacher identifizieren. Diese Anpassungen werden durch OPTIQUM entworfen und implementiert, so dass schlussendlich die Erfüllung der Anforderungen dokumentiert sind. Bei der Implementierung der Anpassungen kann auf alle bestehenden Prozesse, Organisationsstrukturen, Rollen, Ressourcen und das bereits hinterlegte Compliance-System zurückgegriffen werden.

Unser Partner Join https://www.join.de/ist der Implementierungspartner für Quam® 6.0 und darauf spezialisiert das Quam auf die individuellen Bedürfnisse des Kunden anzupassen. Join unterstützt Sie nicht nur bei der Implementierung des Quam, sondern ermöglicht auch die technische und konfigurative Anpassung, sowie – wenn gewünscht – den Betrieb.

Zusammen ebnen wir Ihnen den Weg zum digitalen, einfachen und effizienten Prozessmanagement und zu Ihrem Assessment nach TISAX®!

Sie haben Fragen? Gerne sind wir für Sie da +49 221 82 95 91 0 oder vda-isa-berater@optiqum.de

 

 

 


06.01.2020

Tipps für mehr Informationssicherheit

Informationssicherheit wird unter zunehmenden Cyber-Attacken ein immer größerer Stellenwert zuteil. Doch dieses Thema rückt bei vielen Unternehmen nur langsam in den Fokus. Wir haben für Sie Tipps zusammengestellt, wie Sie die Sicherheit in Ihrem Unternehmen effektiv und nachhaltig verbessern können.

Mitarbeiterschulungen

Das mit Abstand größte Risiko für Datensicherheit in Unternehmen stellen mangelnde Mitarbeiterkenntnis dar. Trotzdem geben lediglich knapp ein Drittel der Unternehmen an, ihre Mitarbeiter mindestens einmal pro Jahr zu schulen.

Durch regelmäßige Mitarbeiterschulungen kann jedoch das Risiko eines Datenverlustes leicht minimiert werden. Ihre Mitarbeiter lernen effektiv, wie sie Gefahren von außen erkennen und abwehren können und wie sie tagtäglich zu mehr Informationssicherheit beitragen.

Zuteilen von Verantwortlichkeiten

Bestimmen Sie einen IT-Verantwortlichen sowie dessen Stellvertretung. Delegieren Sie der verantwortlichen Person alle Sicherheitsaufgaben und lassen Sie sich regelmäßig über die Informationssicherheit in Ihrem Unternehmen unterrichten.

Rat von Datenschutzexperten

Wenn in einem Unternehmen mehr als neun Mitarbeiter regelmäßig personenbezogene Daten verarbeiten, ist laut Gesetz (§ 4f BDSG) ein Datenschutzbeauftragter zu bestellen. Zwar verfügen fast alle großen Unternehmen bereits über einen internen Datenschutzbeauftragten gemäß DSGVO und BDSG, drei Viertel der kleineren- und mittelständischen Unternehmen jedoch nicht. Unternehmen sollten daher ihre Richtlinien auf Einhaltung gesetzlicher Vorschriften prüfen und den Rat professioneller Datenschutzbeauftragter für die korrekte Umsetzung von Datenschutzrichtlinien suchen. Auch wenn die laut Gesetz keinen Datenschutzbeauftragten benötigen, ist es ratsam sich mal von einem externen Datenschutz Profi beraten zu lassen.

Clean-Desk-Policy

Datenschutzrichtlinien lassen sich sehr konkret umsetzen. Beispielsweise durch eine Clean-Desk-Policy: der Benutzerrichtlinie für den Arbeitsplatz. Sie erwartet von den Mitarbeitern, dass am Ende des Arbeitstages der physikalische wie auch der virtuelle Schreibtisch aufgeräumt sind. Allerdings ist es im Endeffekt viel mehr als nur ein aufgeräumter, sauberer Arbeitsplatz. Dahinter verbirgt sich ein Prinzip, das zur Organisation und somit Produktivitätssteigerung, als auch zum Datenschutz für Kunden beiträgt. Denn sorglos umherliegende Dokumente laden praktisch dazu ein, auch von Unbefugten gelesen zu werden. Damit die Beschäftigten genau wissen, wie sie sich zu verhalten haben, sollten Unternehmen hier klare Richtlinien erarbeiten.

Rechtliche Beratung

Rechtlich einzuhaltende Rahmenbedingungen sind komplex und die DSGVO umfangreich.  Rechtsexperten helfen Ihnen dabei, schützenswerte Daten zu identifizieren und Unternehmen zu beraten, wie diese rechtlich konform geschützt werden können.

Angemessene Passwörter und Benutzernamen

Diese Forderung nach dem Einrichten von Passwörtern und Benutzernamen für den Rechnerzugang ergibt sich schon allein aus der Datenschutzgrundverordnung und den geigneten technischen und organisatorischen Maßnahmen.. Doch wie sieht ein gutes Passwort aus? Starke Passwörter bestehen niemals aus einfach zu merkenden Worten oder Wort-Zahlen-Kombinationen, sondern aus einer auf den ersten Blick unlogischen Reihenfolge von Groß- und Kleinbuchstaben, Zahlen sowie Sonderzeichen. Außerdem gilt: Je länger ein Passwort, desto sicherer ist es. Ein Passwort sollte wie Unterwäsche behandelt werden: öfter wechseln, nicht teilen, nicht liegen lassen, raffiniert sein und man sollte auf die Länge achten. Und selbstverständlich sollte sein: Niemals das Passwort ohne spezielles Tool auf dem PC speichern!

Daten sichern

Informationssicherheit ist nicht nur der Schutz vor Angriffen, sondern auch das Sicherstellen der Betriebsfähigkeit des Unternehmens. Datenverluste können zum Beispiel auch durch Hardwareschäden auftreten oder durch Unachtsamkeit. Sorgen Sie daher für kontinuierliche Datensicherungen, deren Funktionsfähigkeit ebenso regelmäßig überprüft werden muss, zum Beispiel durch Restore-Versuche. Gerade zurzeit, wo viele Verschlüsselungsviren, wie z.B. Emotet, viele Unternehmen und Behörden lahm legt, kann eine gut geplante Sicherung das Überleben ihres Unternehmens bedeuten.

Delegieren

Geschäftsinhaber lassen sich oft ungern die Zügel aus der Hand nehmen und möchten vieles selbst machen. Dies ist verständlich, doch kann es die Produktivität sehr beeinträchtigen, wenn es um IT und Informationssicherheit geht. Das soll nicht heißen, dass ein CEO oder der Geschäftsinhaber nicht eine gute Sicherheitspolitik einführen kann. Oft brauchen Sie für die Einführung aber sehr viel mehr Zeit, als wenn es ein Fachmann tun würde.

Dasselbe gilt für die laufende Sicherheitswartung – ohne dabei zu berücksichtigen, wie oft die Industrie sich ändert. Sich ständig mit den Änderungen bezüglich der Sicherheitsstandards auf dem Laufenden zu halten, kann ein Vollzeit-Job sein. Es kann daher für die Produktivität sehr gut sein, einen Experten einzustellen oder zu beauftragen, der sich um Ihre Sicherheitsprotokolle und -praktiken Ihres Unternehmens kümmert.

Daten klassifizieren

Legen Sie eine Klassifizierungsregelung fest, die den Umgang mit Informationen in ihrem Unternehmen für jeden Mitarbeiter, egal ob intern oder extern, aber auch für jeden ihrer Partner festlegt.

Deklarieren Sie alle Firmen-Informationen als «intern». Besonders schützenswerte Informationen sind «vertraulich» und öffentlich zugängliche Informationen sind «öffentlich». Darauf aufbauend sollen die Zugriffsrechte soweit eingeschränkt werden, wie sie für die Wahrnehmung der Aufgaben erforderlich sind («need to now»-Prinzip).

 

Haben Sie noch Fragen? Gerne sind wir für Sie da!

19.11.2019

TISAX® – die verschiedenen Assessmentlevel und Prüfziele

Innerhalb von TISAX® gibt es je nach Schutzbedarf 3 Assessementlevel (AL1-3) und 10 Prüfziele, auch TISAX®-Label genannt. Je nach Anforderung Ihrer Auftraggeber müssen Sie die entsprechenden ALs und Prüfziele auswählen.
Für den besseren Durchblick haben wir Ihnen hier eine Übersicht dazu erstellt:

 

Die Assessmentlevel


Assessmentlevel 1
Normaler Schutzbedarf
Das niedrigste Level: Bei dem AL1 handelt es sich um eine reine Selbstauskunft und es ist in der gängigen Praxis kaum gebräuchlich. Sie dient vorrangig internen Zwecken, haben geringe Aussagekraft und werden in TISAX® nicht verwendet. Das AL1 ist identisch mit dem Fragebogen des VDA-ISA mit dem Unterschied, dass die Ergebnisse gleichzeitig über die TISAX®-Plattform geteilt werden.


Assessmentlevel 2
Hoher Schutzbedarf
Zusätzlich zu einer eigenen Einschätzung des Sicherheitsgrades erfolgt bei dem AL2 eine Plausibilitätsprüfung durch ein Telefoninterview eines externen Prüfdienstleister.
Ein Besuch vor Ort kann ergänzend zu diesem Telefonat stattfinden, etwas bei:

  • Unklarheiten und Abweichungen
  • Prüfziel „Prototypenschutz“ (unabhängig vom Schutzbedarf)
  • Prüfziel „Anbindung Dritter“ (unabhängig vom Schutzbedarf)

 

Assessmentlevel 3
Sehr hoher Schutzbedarf
Bei dem AL3 findet immer eine direkte Plausibilitätsprüfung Ihrer Selbsteinschätzung vor Ort durch einen akkreditierten Prüfer statt.


Die Prüfziele / TISAX®-Label


Das Prüfziel Info high „Informationen mit hohem Schutzbedarf“ ist das Minimum für eine TISAX-Prüfung. Zusätzliche Prüfziele sind optional. Abhängig von den Informationen, die Sie verarbeiten, müssen Sie gegebenenfalls weitere Prüfziele hinzufügen.

 

1. Info high (AL2) 
Informationen mit hohem Schutzbedarf    
2. Info very high (AL3) 
Informationen mit sehr hohem Schutzbedarf

Der Schutzbedarf kann möglicherweise aus der Dokumentenklassifikation Ihres Partners abgeleitet werden.

3. Con high (AL2)
Anbindung Dritter mit hohem Schutzbedarf

4. Con very high (AL3)
Anbindung Dritter mit sehr hohem Schutzbedarf

Gilt in der Regel, wenn Sie einen eigenen Standort auf dem Gelände Ihres Partners haben und über direkte Netzwerkverbindungen auf die Anwendungen und Informationen Ihres Partners zugreifen.

5. Data (AL2)
Datenschutz
6. Special Data (AL3)
Datenschutz bei besonderen Kategorien personenbezogener Daten

Data bei personenbezogenen Daten gemäß Art. 28 DSGVO.
Special Data bei zusätzlich besonderen Kategorien, wie Gesundheit oder Religionszugehörigkeit.

 

7. Proto parts (AL3) Schutz von Prototypenbauteilen und -komponenten
8. Proto vehicles (AL3) Schutz von Prototypenfahrzeugen    
9. Test vehicles (AL3) Umgang mit Erprobungsfahrzeugen
10. Events + Shootings (AL3) Schutz von Prototypen während Veranstaltungen und Film- & Fotoshootings

 

Für alle Unternehmen, die
7. als schutzbedürftig klassifizierte Bauteile oder Komponenten an eigenen Standorten herstellen, lagern oder zur Nutzung überlassen bekommen.
8. als schutzbedürftig klassifizierte Fahrzeuge an eigenen Standorten herstellen, lagern oder Nutzung überlassen bekommen.
9. als schutzbedürftig klassifizierte Fahrzeuge zur Durchführung von Tests und Erprobungsfahrten überlassen bekommen.
10. als schutzbedürftig klassifizierte Fahrzeuge, Komponenten oder Bauteile für die Durchführung von Ausstellungen und Veranstaltungen oder Film- & Fotoshootings überlassen bekommen.

Bei Fragen zu Ihren Assessmentleveln und Prüfzielen und auch, wenn wir Ihnen sonst behilflich sein können, sind unsere Experten von OPTIQUM gerne für Sie da.

Rufen Sie uns einfach an.

05.11.2019

Vertrauensgrundlage schaffen mit TISAX®

 

Warum die Zertifizierung nach TISAX für Medienagenturen und Dienstleister der Bereiche Druck, Events und Veranstaltung in Zusammenarbeit mit der Automobilbranche essenziell ist.

TISAX® dient der unternehmensübergreifenden Anerkennung von Assessments der Informationssicherheit in der Automobilindustrie und schafft hierfür einen gemeinsamen Prüf- und Austauschmechanismus. Mit diesem Label soll sichergestellt werden, dass in allen Stufen der Lieferkette höchste Standards beim Handling und Austausch mit Daten eingehalten werden.


Hierzu zählen Produzenten und Zulieferer, jedoch genauso Dienstleister aus den Bereichen Druckereien, Veranstaltungstechnik, Event- und Medienagenturen.


Besonders im Messebau, der Fotografie oder Werbung werden häufig interne Informationen, wie zum Beispiel erste Bilder eines Prototyps, noch vor allgemeiner Bekanntmachung und Veröffentlichung verarbeitet. Ein Leck solcher Daten kann für das betroffene verantwortliche Unternehmen verheerende Folgen haben und rechtliche Konsequenzen sowie hohe Strafen nach sich ziehen. Den Umgang bei Film- und Fotoshootings, den daraus resultierenden Daten sowie Anforderungen bei Events und Veranstaltungen bildet der VDA-ISA Katalog eigens im Abschnitt Prototypenschutz „Anforderungen für Veranstaltungen und Shootings“ deutlich ab.


Immer häufiger werden in Ausschreibungen TISAX® Labels als Voraussetzung genannt oder Aufträge nur noch an Unternehmen vergeben, die am TISAX Prozess teilnehmen und OEMs setzten eine gültige Zertifizierung bereits als Bedingung für die Zusammenarbeit voraus.


Was bedeutet dies für Ihr Unternehmen?
Mit der Zertifizierung nach TISAX® garantieren Sie höchsten Einsatz und Sicherheitsmaßnahmen für den Datenschutz Ihrer Kunden und Partner. Und genau dieser nachgewiesene sichere Umgang mit Informationen von hohem Schutzbedarf stellt die Basis in der Zusammenarbeit mit den Kunden dar, sichert sie doch die Vertrauensgrundlage in eine gemeinsame Partnerschaft.
Sie unterstreichen mit einer Zertifizierung nach TISAX®, dass durch Ihre Prozesse ein sehr hohes Niveau hinsichtlich der Informationssicherheit gewährleistet ist. Unsere Experten von OPTIQUM helfen Ihnen dabei, dass Sie in all Ihren Projekten und Kooperationen mit denen am TISAX-System teilnehmenden Automobilherstellern hervorragend vorbereitet sein werden.
Denn die Partizipanten aller Stufen der Lieferketten weisen durch das TISAX®-Label nach, dass sie die notwendigen, technischen und organisatorischen Maßnahmen umgesetzt haben, welches ein wirksames Managementsystem für Informationssicherheit (ISMS) nach heutigem Stand der Technik fordert.


Bereits in der Vergangenheit hat OPTIQUM Unternehmen dieser Branche erfolgreich auf dem Weg zum TISAX®-Label unterstützt.

Nutzen Sie den Wettbewerbsvorteil und gehen Sie mit dem TISAX Label einen weiteren Schritt in die digitale Zukunft.


Rufen Sie uns einfach an unter +49 221 82 95 91 0
 

23.10.2019

Spannende Zeiten in der Automobilbranche –
IT-Sicherheit in Deutschland

 

Cyberattacken gehören im globalen Newsfeed mittlerweile zum Alltag. Kaum ein Tag, an dem man nicht von Angriffen auf die IT durch Cyberkriminelle liest oder hört. Und gerade in der nahen Vergangenheit sind namenhafte Unternehmen der Automobilbranche Opfer solcher Cyberangriffe geworden – wir geben einen kleinen Ausblick auf die Entwicklung der IT-Sicherheit in der Automobilindustrie:

 

Cyberkriminelle sind ziemlich findig, wenn es darum geht, immer neuen Lücken in der digitalen Unternehmensstruktur zu identifizieren und auszunutzen, um Breschen zu schlagen – und das, trotz steigender Investitionen in die IT-Security.  Denn die Digitalisierung der Fahrzeugtechnik und innerhalb der Produktion bringt neue Herausforderungen mit sich.

Ransomware gehört dabei nach wie vor zu den größten Bedrohungen für Unternehmen und Organisationen. Immer wieder kommt es zu Komplettausfällen von Rechnern und Netzwerken, aber auch von Produktionsanlagen. Zuletzt so geschehen bei dem namenhaften Automatisierungsspezialisten Pilz, der Opfer eines Hackerangriffes wurde und dessen Produktion auf Grund dessen komplett stillstand, wie das Handelsblatt am 15.10.2019 berichtete.

Laut Bundesamt für Sicherheit in der Informationstechnik ist nach wie vor eine hohe Dynamik in der Entwicklung von Malware und Angriffswegen festzustellen. Besonders hervorzuheben ist hierbei auch die große Anzahl an Identitätsdiebstählen, zum Beispiel über Soziale Netzwerke sowie die gigantische Menge der abgeflossenen und im Internet veröffentlichen Daten. Unter dem Aspekt des Prototypenschutzes ist dies natürlich besonders in der Automobilbranche ein wunder Punkt. Denn welcher Hersteller will nicht sichergehen, dass sein Knowhow und seine wettbewerbswichtigen Informationen da verbleiben, wo sie sicher sind: Innerhalb des Unternehmens.

Um die Integrität und die Sicherheit eines Unternehmens zu gewährleisten und das Vertrauen in die Zusammenarbeit mit Partnern zu stärken, ist es daher wichtig, alle Mitarbeiter eines Unternehmens zum verantwortungsbewussten digitalen Handeln zu bewegen und Schutzvorkehrungen zu treffen.

Unternehmen sollten in diesem Zuge multidisziplinäre Ansätze verfolgen, die Methoden zur Risikoidentifikation und -minderung umfasst, um Pläne für Anlagen, Einrichtungen und Ausrüstungen zu entwickeln und zu verbessern.
Da sich Cybersicherheit nicht auf die Supportfunktionen und Bürobereiche mit Computern beschränkt, sondern auch die Fertigung computergestützte Kontrollen und Geräte verwendet, die für Cyberangriffe gefährdet sind, müssen auch solche Bereiche abgesichert und geschützt werden. Diese Ergänzung treibt die Implementierung der notwendigen Schutzvorkehrungen voran, um den weiteren Betrieb und die Produktion entsprechend den Kundenanforderungen sicherzustellen.


Unser Expertenteam von OPTIQUM berät Sie gerne, wie auch Sie den aktuellen und zukünftigen Herausforderungen im Bereich IT-Sicherheit und Informationsschutz wirkungsvoll und zeitnah begegnen können.

Rufen Sie uns einfach an +49 221 82 95 91 0.

14.10.19

Automobil-Industrie aufgepasst:

IATF erweitert Thema Cybersecurity und Cybersicherheit im Bereich Produktionsinfrastruktur signifikant.

 

In den letzten Jahren sind vermehrt Besonderheiten bei den Angriffen auf die IT-Security in der Fertigungsindustrie auffällig geworden. So werden gerade in dieser Branche besonders häufig die Netzwerke von Unternehmen ausgespäht und sind somit anfälliger für Cyberangriffe und Cyberkriminalität. Dem soll nun entgegengewirkt werden.

 

So hat die IATF aktuell das CB-Kommuniqué 2019-009 veröffentlicht, in dem zusätzliche sanktionierte Interpretationen (kurz, SI´s) zur Norm IATF 16949 angekündigt wurden.  Diese ändern/ergänzen die bestehenden Anforderungen der Norm IATF 16949 in Kapitel 6.1.2.3 & 7.1.3.1 im Hinblick auf die Produktionsinfrastruktur und das Notfallmanagement deutlich. Als Resultat kann die Nicht-Einhaltung der neuen Anforderungen im Bereich Cybersecurity nun als Abweichung in Audits definiert werden.

Doch zurück zum eigentlichen Inhalt der neuen Anforderungen:

Was wurde geändert/erweitert und was gilt es nun zu beachten?

Ganz konkret sind die Anforderungen der bestehenden Bereiche Cybersecurity und Cybersicherheit in Punkto Produktionssicherheit erweitert worden:

Zusätze im Bereich Notfallplan

Ab sofort müssen in Unternehmen Notfallpläne für Cyberangriffe auf Informationstechnologiesysteme implementiert werden.

Begründet wurde diese Erweiterung, dass sich Unternehmen mit der Möglichkeit eines Cyberangriffs befassen müssen, der die Produktions- und Logistikbetriebe des Unternehmens beeinträchtigen könnte. Unternehmen müssen sicherstellen, dass sie auf einen Cyber-Angriff vorbereitet sind.

Außerdem müssen Unternehmen die periodische Überprüfung der Notfallpläne auf Wirksamkeit (z.B. durch Simulationen) einführen. Cybersicherheitstests können eine Simulation eines Cyberangriffs, regelmäßige Überwachung auf spezifische Bedrohungen, Identifizierung von Abhängigkeiten und Priorisierung von Schwachstellen beinhalten.

Da Cybersicherheit ein wachsendes Risiko für die Nachhaltigkeit der Fertigung in allen Produktionsstätten, einschließlich der Automobilindustrie, geworden ist, wurden diese Notfalltests als klärungsbedürftiger Bereich identifiziert. Cybersicherheitstests können sowohl intern von dem Unternehmen durchgeführt als auch extern vergeben werden.

Zusätze im Bereich Anlagen-, Betriebsmittel- und Ausrüstungsplanung

Das Unternehmen muss einen multidisziplinären Ansatz verfolgen, der Methoden zur Risikoidentifikation und -minderung umfasst, um Pläne für Anlagen, Einrichtungen und Ausrüstungen zu entwickeln und zu verbessern. Bei der Gestaltung von Anlagenlayouts soll das Unternehmen den Cyberschutz von Geräten und Systemen zur Unterstützung der Fertigung implementieren.

Da sich Cybersicherheit nicht auf die Supportfunktionen und Bürobereiche mit Computern beschränkt, sondern auch die Fertigung computergestützte Kontrollen und Geräte verwendet, die für Cyberangriffe gefährdet sind, ist dieser Zusatz von der IATF als notwendig erachtet worden.  Diese Ergänzung treibt die Implementierung der notwendigen Schutzvorkehrungen voran, um den weiteren Betrieb und die Produktion entsprechend den Kundenanforderungen sicherzustellen.

Möglichkeiten der Umsetzung

Um der eingangs erwähnten Nicht-Einhaltung und damit der möglichen Abweichung bei Audits und Zertifizierungen vorzubeugen, gibt es sinnvolle Maßnahmen, die Ihnen zur Verfügung stehen.

So bietet die Zertifizierung nach TISAX oder ISO 27001 ein probates Mittel, die Themenbereiche der Cybersecurity in Bezug auf die Produktionsinfrastruktur abzubilden und die entsprechende Sicherheit zu gewährleisten, ohne ein Parallelsystem und somit vermeidbare Redundanz aufzubauen.

Und auch ohne die Zertifizierung der oben genannten Normen besteht die Möglichkeit, die genannten Anforderungen in Ihrem Unternehmen pragmatisch, wirksam und zielgerichtet zu verwirklichen.

Hierzu beraten Sie unsere Experten von OPTIQUM jederzeit gerne und helfen Ihnen bei der Umsetzung.

Rufen Sie uns einfach an unter +49 221 82 95 91 0

Um was handelt es sich bei der IATF?

Bei der International Automotive Task Force, kurz IATF, handelt es sich um eine Arbeitsgruppe, die sich aus Vertretern von meist nordamerikanischen und europäischen Automobilhersteller und -verbänden zusammensetzt und sich mit der Vereinheitlichung der Standards und Normen zur Verbesserung der Produktqualität für Automobilkunden befasst.

Was ist die IATF 16949?

Der von der IATF festgelegte Qualitätsmanagementsystem-Standard der Automobilindustrie, „IATF 16949“, legt zusammen mit entsprechenden kundenspezifischen Anforderungen der Automobilindustrie sowie den Anforderungen aus ISO 9001:2015 und der ISO 9000:2015 die grundlegenden Anforderungen an Qualitätsmanagementsysteme für die Serien- und Ersatzteilproduktion in der Automobilindustrie fest.

Wie definiert sich ein Cyberangriff?

Ein Cyberangriff ist ein Versuch, sich illegalen Zugang zu einem Computer oder Computersystem zu verschaffen, um Schaden anzurichten.  Eine Cyberattacke ist oft eine bewusste Ausnutzung von Schwächen in der Sicherheit von Computersystemen oder Netzwerken, um Zugang zu Daten zu erhalten, Computercode, Logik oder Daten zu ändern.  Diese Maßnahmen können schädliche Folgen haben, die vertrauliche Daten gefährden und zu Cyberkriminalität führen können. So zum Beispiel Informations- und Identitätsdiebstahl, automatisierungsbedingte Betriebsunterbrechungen, Verschlüsselung unternehmenskritischer Daten oder illegale Fernsteuerung von Systemen oder Daten. 

 

Cyberangriffe und Cyberkriminalität sind nicht immer das Ergebnis einer ausgeklügelten Reihe von Aktionen zum Erraten von Passwörtern mit leistungsstarken Computerprogrammen, die von Teams von Personen an einem entfernten Ort ausgeführt werden.  Oft handelt es sich um Aktionen, die darauf abzielen

  • Einzelpersonen davon zu überzeugen, sensible oder private Informationen durch E-Mail-Notizen (typischerweise Phishing) herauszugeben
  • Vorgeschütze Telefonanrufe, bei denen sich der Anrufer als vertrauenswürdige Person oder Regierungsbeamter ausgibt, um persönliche Informationen zu erhalten
  • visuelles Lesen von eingegebenen Passwörtern
  • Infizieren beliebter Websites mit Malware
  • Textnachrichten mit Links zu Websites, die Malware installieren
  • USB-Sticks auf Schreibtischen, die als legitim erscheinen und an PCs angeschlossen sind
  • Diebstahl von verworfenen Materialien, die vertrauliche Computerinformationen enthalten etc.

Darüber hinaus könnte ein Cyberkrimineller, nachdem er Zugang zum System eines Unternehmens erhalten hat, die kritischen Daten des Unternehmens verschlüsseln und ein Lösegeld verlangen, um die Daten zu entschlüsseln. 

 

Auch die  DSGVO (Datenschutzgrundverordnug) in Europa oder ähnliche Anforderungen in anderen Regionen legen fest, dass Unternehmen dafür verantwortlich sind, sicherzustellen, dass die von dem Unternehmen gespeicherten personenbezogenen Daten jederzeit geschützt und gesichert sind, was die Bedeutung der Vorbereitung im Falle von Cyberangriffen unterstreicht.