„Regelmäßig“ im TISAX-Kontext: Ein Leitfaden für Unternehmen und Berater

Im Rahmen des TISAX® (Trusted Information Security Assessment Exchange) Verfahrens, welches auf dem VDA ISA (Verband der Automobilindustrie Information Security Assessment) aufsetzt, nimmt der Begriff „regelmäßig“ eine entscheidende Rolle ein. Dieser Artikel richtet sich an Unternehmen, die ein TISAX-Label anstreben sowie deren Berater, er beleuchtet die spezifische Bedeutung sowie Interpretation des Begriffs „regelmäßig“ im TISAX-Kontext und wird ergänzt durch praktische Tipps zur Umsetzung.

Definition von „regelmäßig“ im TISAX-Kontext

Bereits 2019 wurde festgelegt, dass das Wort „regelmäßig“ im TISAX-Verfahren keine festgelegten Zeitintervalle beschreibt, sondern die wiederkehrende Aktivität. Diese Definition erlaubt es Unternehmen die Häufigkeit der betreffenden Maßnahmen flexibel an ihre spezifischen Anforderungen und Risiken anzupassen, zumal der dem Assessment zugrundeliegende VDA ISA sowohl Anforderungen mit als auch ohne spezifische Zeitvorgaben enthält. Bei Anforderungen ohne konkrete Zeitangabe haben Unternehmen somit den Spielraum eine Frequenz festzulegen, die ihren individuellen Bedürfnissen entspricht. Diese Flexibilität erlaubt eine effiziente und risikoorientierte Gestaltung der Kontrollmaßnahmen.

Beispiel: Überprüfung von Zugriffsrechten

Ein konkretes Beispiel aus dem VDA ISA illustriert den Umgang mit spezifischen Zeitvorgaben:

Hierbei gibt der VDA ISA eine Orientierung für die Frequenz. Unternehmen sollten sich daran halten oder schlüssig begründen können, warum sie davon abweichen.

Risikoorientierter Ansatz

Bei der Festlegung von Überprüfungsintervallen ist ein risikoorientierter Ansatz unerlässlich. Unternehmen sollten folgende Aspekte berücksichtigen:

• Kritikalität der Systeme und Daten

• Häufigkeit von Änderungen in der Organisationsstruktur

• Fluktuation der Mitarbeiter

• Compliance-Anforderungen der Branche

• Ergebnisse früherer Überprüfungen

Hinweis: Um den Anforderungen gerecht zu werden, können Unternehmen bei bestimmten Themen im VDA ISA auch auf moderne technische Lösungen zurückgreifen, die eine kontinuierliche Kontrolle ermöglichen. Der Einsatz solcher Technologien ermöglicht es von den starren Überprüfungszyklen zu einem dynamischen, risikobasierten Ansatz zu wechseln und operative Aufwände zu reduzieren. 

💡 Wenn Sie mehr darüber erfahren wollen, schreiben Sie mich gerne in LinkedIn an: https://www.linkedin.com/in/borgers/

Best Practices für die Umsetzung

Um den TISAX-Anforderungen gerecht zu werden, empfehlen sich folgende Best Practices:

• Dokumentation: Entscheidungen zur Frequenz sollten gründlich dokumentiert werden.

• Anpassungsfähigkeit: Intervalle sollten regelmäßig überprüft und bei Bedarf angepasst werden.

• Automatisierung: Prozesse zur Überprüfung von Zugriffsrechten und Konten sollten, wo möglich, automatisiert werden.

• Schulung: Administratoren sollten geschult werden, um Anomalien zu erkennen.

• Integration in Geschäftsprozesse: Überprüfungen sollten in bestehende Prozesse integriert werden.

• Eskalationsprozesse: Klare Eskalationsprozesse, z.B. im Rahmen des Incident Management Prozesses, sollten definiert sein für den Fall von Unregelmäßigkeiten.

Herausforderungen und Lösungen

Unternehmen könnten auf folgende Herausforderungen stoßen:

• Ressourcenengpässe: Automatisierungstechnologien und Risiko-Priorisierung bieten Abhilfe.

• Komplexität der IT-Landschaft: Zentralisierte Identity-Management-Systeme können helfen.

• Dynamische Unternehmensstrukturen: Integration von HR-Systemen mit IAM-Lösungen zur automatischen Aktualisierung bei Personaländerungen.

• Compliance: Eine umfassende Compliance-Strategie, insbesondere im Bereich der Interessenskonflikte, ist notwendig.

Die Rolle des Auditors

Auch die Rolle des Auditors ist von entscheidender Bedeutung, wenn es um die Interpretation und Umsetzung des Begriffs „regelmäßig" geht. Der Auditor hat im TISAX-Verfahren die Aufgabe, die vom Unternehmen gewählten Frequenzen und Maßnahmen zu bewerten und ihre Angemessenheit im Kontext der Informationssicherheit sowie des im VDA ISA genannten Ziels zu beurteilen.

TISAX-Teilnehmerhandbuch: Kapitel 5.2.2.6

„Wichtiger Hinweis: Es ist sehr wichtig, dass Sie verstehen, dass Sie jede Anforderung im Kontext und im Sinne des Ziels interpretieren müssen. Selbst wenn Sie eine Anforderung buchstabengetreu erfüllen, ist das keine Garantie dafür, dass der Prüfdienstleister bestätigt, dass Sie sie im Kontext und im Sinne des Ziels (Spalte J) erfüllen. Die Anforderungen und deren Formulierung basieren auf einer theoretischen Umsetzung durch ein fiktionales Durchschnittsunternehmen unbekannter Größe. Der Prüfdienstleister muss immer das Ziel gegen die einzigartige Umsetzung in Ihrem Unternehmen abwägen. Was für das durchschnittliche Unternehmen angemessen ist, kann in Ihrer speziellen Situation nicht ausreichend sein.“

Quelle: https://www.enx.com/handbook/tisax-teilnehmerhandbuch.html#ID8926 (Linkdatum 30.08.2024)

Bei Anforderungen mit spezifischen Zeitvorgaben, wie im Beispiel der vierteljährlichen Überprüfung von Zugriffsrechten, prüft der Auditor, ob die vom Unternehmen gewählte Frequenz dieser Vorgabe entspricht oder ob sie zumindest so nah an dieser Vorgabe liegt, sodass die Informationssicherheit nicht gefährdet ist und das vorgeschriebene Ziel in Spalte J erreicht wird.

In Fällen, in denen keine spezifische Frequenz im VDA ISA angegeben wurde, liegt es in der Verantwortung des Auditors zu beurteilen, ob die vom Unternehmen gewählte Frequenz angemessen und ausreichend ist, um die Anforderung zu erfüllen sowie das vorgeschriebene Ziel in Spalte J zu erreichen. Hierbei berücksichtigt der Auditor verschiedene Faktoren wie die Größe des Unternehmens, die Art der verarbeiteten Informationen, das Risikoumfeld und die implementierten technischen Lösungen. Der Auditor prüft auch, ob das Unternehmen seine Entscheidungen bezüglich der Frequenzen ausreichend dokumentiert und begründet hat. Eine gut dokumentierte Risikoanalyse und klare Begründungen für die gewählten Frequenzen können dem Auditor helfen, die Angemessenheit der Maßnahmen zu beurteilen.

Es ist wichtig zu betonen, dass der TISAX-Auditor nicht nur die Einhaltung von Vorgaben prüft, sondern auch immer die Erreichung des in Spalte J vom VDA ISA genannten Ziels überprüft.