Anfang August veröffentlichte der Verband der Automobilindustrie (VDA) die neue Version seines Standards für Informationssicherheit TISAX® mit der Versionsnummer 5.01.
Der VDA spricht selber davon, dass bei der neuen Version eine grundlegende Überarbeitung im Vordergrund stand, was sowohl strukturelle als auch inhaltliche Änderungen mit sich bringt. Ziel sollte sein, „die Arbeit mit dem Katalog einfacher und effizienter zu gestalten und damit Aufwände für Unternehmen und Prüfer zu reduzieren.“ – das hört sich zunächst einmal gut und sinnvoll an.
Alles neu?
Sehen wir uns zunächst einmal die neue Struktur an, die sich in den Tabellenblättern der zugrunde liegenden Excel-Datei widerspiegelt. Bei der ersten Durchsicht fällt auf, dass das bisherige eigenständige Tabellenblatt mit den TISAX®-Anforderungen zu der Anbindung externer Parteien entfallen ist und sich jetzt zum größten Teil in den Anforderungen zur Informationssicherheit befinden.
Als zweites fällt auf, dass ein neues Tabellenblatt „Ergebnisse (ISA5)“ eingefügt wurde. Dieses stellt die erreichten Ergebnisse im Vergleich zu der bisherigen Ergebnisdarstellung nach ISA4 (welches weiterhin vorhanden ist) in einer vereinfachten Form in einem Spinnendiagramm dar. Der Zielreifegrad ist bei allen Controls nun der Wert 3 (=etabliert), während in der vorherigen Version bei einigen Controls auch der Reifegrad 2 (=gesteuert) oder 4 (=vorhersagbar) gefordert wurde.
Ein großer Unterschied zu der Version 4 des TISAX®-Standards liegt in den Tabellenblättern zu den Modulen zur Informationssicherheit, Prototypenschutz und Datenschutz. Während in der bisherigen Version die Anforderungen zur Informationssicherheit in einer vertikalen, blockweisen Anordnung abgefragt wurden und eher unübersichtlich waren, hat man sich bei TISAX® 5 entschieden, dies auf eine horizontale bzw. zeilenorientierte Struktur zu ändern. Dies bringt Vorteile in der Übersichtlichkeit, da in der linken Spalte das eigentliche Control als Frage formuliert ist (und damit auch fixiert werden kann) und dann horizontal in den einzelnen Spalten die eigentlichen Anforderungen, gegliedert nach „Muss“, „Sollte“ und Zusatzanforderungen bei hohem bzw. sehr hohem Schutzbedarf, aufgelistet sind. Die bisherige Einstufung „Kann“ ist ersatzlos gestrichen worden. Zudem lassen sich durch die zeilenweise Einteilung einzelne Punkte besser filtern und exportieren.
Bei der inhaltlichen Betrachtung der verschiedenen Controls und Anforderungen zeigt sich, dass die Fragen zum Teil präziser formuliert wurden. Weiterhin wurden verschiedene „alte“ Controls in neue Controls mit einem erweiterten Betrachtungswinkel integriert. Dadurch verringert sich auch die Anzahl der Controls z.B. im Tabellenblatt „Informationssicherheit“ von 52 auf 41. Ohne jetzt auf die einzelnen Verschiebungen im Detail einzugehen, zeigt sich, dass das alte Control 12.9 „Inwieweit wurden Auswirkungen kritischer Funktionen von Cloud-Diensten berücksichtigt?“ sich nicht mehr in der neuen Version wiederfindet. Dafür sind allerdings die neuen Controls 2.1.1 „Eignung von Mitarbeitern, 2.14 „Mobiles Arbeiten“ sowie 4.1.1 „Umgang mit Identifikationsmitteln“ hinzugekommen.
Zusätzlich gibt es zu einigen Controls noch Hilfestellungen und Beispiele, wie die Anforderungen umgesetzt werden können.
Manches bleibt.
Im Bereich Prototypenschutz haben sich so gut wie keine Änderungen ergeben.
Die potentiellen zu verwendenden KPIs sind wie bisher auch in der neuen Version auf einem eigenen Tabellenblatt dargestellt, wobei durch die Absenkung des Zielreifegrades auf 3 für alle Controls keine KPIs mehr umgesetzt werden müssen (wobei dies zur Überprüfung der Wirksamkeit der umgesetzten Maßnahmen natürlich sehr hilfreich sein kann).
Während die Version 4 des TISAX®-Standards noch stark an die ISO 27001 angelehnt war, ist ein direkter Vergleich aufgrund der Umstrukturierung in der neuen Version erschwert. Dies ist aus unserer Sicht ein Kritikpunkt, da sich ohne Not von einem international anerkannten Standard zur Informationssicherheit entfernt wurde und somit für Unternehmen – insbesondere solche, die sich nach beiden Standards zertifizieren – das Ausfüllen unnötig erschwert. Allerdings gibt es für die TISAX®-Anforderungen eine Referenzspalte mit den jeweils passenden Controls aus der ISO 27001. Wobei es durch die Umstrukturierung dazu kommt, dass Anforderungen aus unterschiedlichen Bereichen der ISO 27001 in einer TISAX®-Anforderung zusammengefasst werden.
Ab wann gilt die neue Version des TISAX®-Standards?
Bereits laufende Assessments auf Grundlage von TISAX® 4.1.1 können natürlich auch auf diesem Standard abgeschlossen werden – Stichtag ist hier der 31. März 2021 als letztmöglicher Audittag. Anschließend besteht noch eine Frist von neun Monaten, um etwaige Normabweichungen, die beim Audit festgestellt wurden, zu beseitigen. Für neue Assessments ist jedoch seit dem 01. Oktober die neue Version 5.0 verpflichtend.
Fazit:
Die neue Version 5.01 des TISAX®-Standards für Informationssicherheit im Automobilbereich ist insgesamt übersichtlicher, präziser und auch schlanker geworden. Als Kritikpunkt bleibt festzuhalten, dass die neue Version doch stark von dem internationalen Standard ISO 27001 entfernt. Mit neuen Controls wie z.B. mobiles Arbeiten zieht die aktuelle Version auch neue Entwicklungen in der Arbeitswelt verstärkt in die Sicherheitsbetrachtung ein.