{"id":4548,"date":"2024-11-12T09:25:00","date_gmt":"2024-11-12T09:25:00","guid":{"rendered":"https:\/\/www.forenova.com\/tisax-requirements-checklist-for-german-automotive-suppliers\/"},"modified":"2025-02-27T12:07:58","modified_gmt":"2025-02-27T12:07:58","slug":"automotive-compliance-requirements-checklist-for-german-automotive-suppliers","status":"publish","type":"post","link":"https:\/\/www.forenova.com\/de\/blog\/automotive-compliance-requirements-checklist-for-german-automotive-suppliers\/","title":{"rendered":"Checkliste f\u00fcr Compliance-Anforderungen im Automobilbereich f\u00fcr deutsche Automobilzulieferer"},"content":{"rendered":"\n

\u201eTISAX\u00aeStufe-1-Bewertung\u201c oder Trusted Information Security Assessment Exchange ist ein Sicherheitszertifizierungsverfahren, das alle deutschen Automobilunternehmen und \u2010zulieferer anstreben. Der Verband der Automobilindustrie (VDA<\/a>) hat die Zertifizierung entwickelt.\u201c<\/p>\n\n\n\n

\"A<\/span>Wie andere Branchenzertifizierungen ist auch TISAX\u00ae<\/a> nicht verpflichtend. Automobilhersteller, darunter BMW und Audi, verlangen von ihren Zulieferern, dass sie verschiedene Bewertungs- und Reifegrade erreichen. Diese Branchenf\u00fchrer verlangen die TISAX-Zertifizierung f\u00fcr alle Zulieferer innerhalb ihrer Automobil-Lieferketten. BMW und Audi bevorzugen Zulieferer mit TISAX\u00ae-Zertifizierung gegen\u00fcber deutschen Zulieferern, insbesondere kleinen und mittleren Unternehmen, die nicht zertifiziert sind. Die TISAX-Zertifizierung hilft den Unternehmen, sich auf dem Automobilteilemarkt zu profilieren.<\/p>\n\n\n\n

Deutsche Zulieferer, die ihre TISAX\u00ae-Zertifizierung aufrechterhalten wollen, m\u00fcssen alle ihre kritischen Systeme vor Cyberangriffen sch\u00fctzen. Zulieferer setzen weiterhin auf Managed Detection and Response (MDR)-L\u00f6sungen von Anbietern wie Forenova<\/strong><\/a>, um die laufenden TISAX\u00ae-Betriebsanforderungen zu erf\u00fcllen und ihre Sicherheitslage zu verbessern.<\/p>\n\n\n\n

Die Bedeutung von TISAX\u00ae f\u00fcr Automobilzulieferer<\/strong><\/h2>\n\n\n\n

TISAX\u00ae ist ein umfassendes Zertifizierungsprogramm f\u00fcr Informationstechnologie (IT) und Cybersicherheit, das viele branchenspezifische Sicherheitsanforderungen enth\u00e4lt. Dazu geh\u00f6rt die kontinuierliche \u00dcberwachung aller kritischen Systeme, einschlie\u00dflich der Anwendungen, die auf sensible Design- und Fertigungsprozesse in der Automobilindustrie zugreifen. Um die TISAX\u00ae-Konformit\u00e4t zu erreichen, m\u00fcssen Automobilzulieferer mehrere Schritte durchf\u00fchren, um sicherzustellen, dass ihre verschiedenen Systeme gesch\u00fctzt bleiben, ihre Sicherheitsfunktionen<\/strong><\/a> funktionieren und ihre laufende \u00dcberwachung und Berichterstattung aktiv und genau bleiben.<\/p>\n\n\n\n

10-Step-Checklist f\u00fcr TISAX\u00ae-Compliance<\/span>\u00a0<\/span><\/h2>\n\n\n\n
    \n

  1. 0\u00a0 Verstehen der TISAX\u00ae-Anforderungen und des VDA<\/span><\/span><\/h3>

    Der Schritt zum Erreichen von TISAX\u00ae beginnt damit, dass der Automobilzulieferer oder \u2010hersteller versteht, warum er in diese Zertifizierung investiert und auf welchem Niveau. Anhand der <\/span>VDA-Bewertungsdokumentation<\/strong><\/a> m\u00fcssen die Unternehmen \u00fcberlegen, welche Bewertungsstufe sie anstreben. Diese Entscheidung muss mit den Unternehmenszielen und den langfristigen Zielen in Einklang gebracht werden. Wenn das Ziel des Zulieferers darin besteht, ein Tier-1-Anbieter f\u00fcr BMW oder andere Branchenf\u00fchrer zu werden, muss er die h\u00f6chste Stufe erreichen. Angenommen, das Gesch\u00e4ftsziel des Anbieters besteht eher darin, ein grundlegendes Engagement innerhalb einer Automobilzuliefererkette zu bieten. In diesem Fall k\u00f6nnte er seine anf\u00e4nglichen Bem\u00fchungen auf die niedrigste Bewertungsstufe konzentrieren.<\/span><\/p><\/li>\n\n\n\n

  2. Zum Verst\u00e4ndnis der verschiedenen TISAX\u00ae-Bewertungsstufen<\/span><\/span><\/h3>

    Die VDA-Dokumentation gliedert die TISAX\u00ae-Bewertungen<\/a> in drei Stufen:\u00a0<\/p>

    <\/span>Stufe-1-Bewertung<\/span><\/h4>

    Die Stufe 1 der TISAX\u00ae-Bewertung verlangt von den Automobilherstellern die Durchf\u00fchrung einer Selbstbewertung gem\u00e4\u00df VDA ISA 6.0. Der Abschluss der Selbstbewertung hilft dem Unternehmen, seine aktuellen F\u00e4higkeiten zum Schutz der Cybersicherheit zu verstehen, welche Richtlinien derzeit zur Verf\u00fcgung stehen und welche \u00dcberwachungs- und Reaktionsfunktionen es nutzt.<\/span><\/span><\/span><\/p>

    Stufe 2-Bewertung<\/span><\/h4>

    F\u00fcr die Bewertung der Stufe 2 m\u00fcssen Automobilunternehmen ebenfalls eine Selbstbewertung durchf\u00fchren und einen externen Pr\u00fcfer mit der Validierung ihrer Ergebnisse beauftragen. Der Abschluss einer Stufe-2-Bewertung erweitert die M\u00f6glichkeiten des Unternehmens, eine gr\u00f6\u00dfere Menge sensibler Daten innerhalb der Lieferkette oder direkt von Branchenf\u00fchrern zu bewerten.<\/span><\/p>

    \u00a0<\/p>

    Stufe 3-Bewertung<\/strong><\/span><\/h4>

    Die Bewertung der Stufe 3 erfordert eine umfassende Selbstbewertung, Penetrationstests durch Dritte, Schwachstellenbewertungen, die Validierung durch externe Dritte und Besuche vor Ort mit pers\u00f6nlichen Gespr\u00e4chen. Das Erreichen der Stufe 3 erweitert die F\u00e4higkeit des Lieferanten, auf die h\u00f6chste Stufe sensibler Informationen innerhalb der Lieferkette oder direkt von Branchenf\u00fchrern zuzugreifen. Unternehmen, die eine TISAX\u00ae-Zertifizierung der Stufe 3 anstreben, m\u00fcssen damit rechnen, dass der Prozess bis zu drei Jahre dauert.<\/span><\/p> <\/span><\/li>\n\n\n\n

  3. Co-Durchf\u00fchrung einer Gap-Analyse mit VDA<\/span><\/span><\/h3>

    Nachdem das Unternehmen seine Arbeit an der ordnungsgem\u00e4\u00dfen Bewertung abgeschlossen hat, arbeitet es an der Durchf\u00fchrung einer Gap-Analyse auf der Grundlage der VDA-Dokumentation, die von entscheidender Bedeutung ist. Auf der Grundlage der Bewertungsergebnisse bietet der VDA ein Beispiel f\u00fcr eine L\u00fcckenanalyse, mit der die Unternehmen feststellen k\u00f6nnen, welche Probleme angegangen werden m\u00fcssen, um die verschiedenen Stufen zu erreichen. Die L\u00fcckenanalyse hilft bei der Festlegung einer Priorit\u00e4tenfolge, welche Probleme je nach der angestrebten Bewertungsstufe zuerst behoben werden m\u00fcssen.<\/span><\/p> <\/span><\/li>\n\n\n\n

  4. Entwickeln Sie einen Umsetzungsplan, um L\u00fccken zu schlie\u00dfen.<\/span><\/span><\/h3>

    Die Selbst- oder Fremdbewertung kann Probleme aufdecken, die die Firma nicht zu l\u00f6sen braucht. Wenn die Firma nur Stufe 1 anstrebt, kann sie die Behebung der M\u00e4ngel aufschieben. Firmen, die Stufe 2 oder 3 anstreben, k\u00f6nnen in Erw\u00e4gung ziehen, alle relevanten Probleme zu beheben. In der L\u00fcckenanalyse werden auf der Grundlage des VDA-Dokuments ein Element der Ausrichtung und eine Priorit\u00e4t festgelegt. Im Folgenden sind einige allgemeine Schritte aufgef\u00fchrt, die Unternehmen im Rahmen ihres Implementierungsplans befolgen sollten: Gem\u00e4\u00df dem aktuellen \u00c4nderungskontrollprozess des Unternehmens m\u00fcssen alle \u00c4nderungen an den Produktionssystemen innerhalb des genehmigten Ausfallzeitraums abgeschlossen werden.<\/span> <\/span><\/p> <\/li>\n\n\n\n

  5. Implementierung oder Aktualisierung des bestehenden ISMS auf der Grundlage von ISO 27001<\/span><\/span><\/h3>

    Sobald das Unternehmen den auf der L\u00fcckenanalyse basierenden Sanierungsplan abgeschlossen hat, besteht der n\u00e4chste kritische Schritt in der Implementierung oder Aktualisierung des bestehenden Informationssicherheits-Managementsystems (ISMS), um die aufgrund der L\u00fcckenanalyse und des Sanierungsplans installierten Sanierungsma\u00dfnahmen und zus\u00e4tzlichen Sicherheitskontrollen zu ber\u00fccksichtigen. Unternehmen der Automobilindustrie, die ihre Strategie zum Schutz der Cybersicherheit weiter ausbauen wollen, setzen weiterhin auf den ISO 27001-Rahmen.<\/p>\n