Trusted Information Security Assessment Exchange (TISAX) Deutschland

Über TISAX

Um die stetig wachsende Vernetzung in der Automobilindustrie zu sichern, hat der Verband der Automobilindustrie (VDA) einen Kriterienkatalog zur Bewertung der Informationssicherheit entwickelt. Das VDA Information Security Assessment (Deutsch und Englisch) basiert auf den Grundlagen der internationalen Normen ISO/IEC 27001 und 27002, die an die Automobilindustrie angepasst sind. Im Jahr 2017 wurde es aktualisiert, um die Kontrollen für die Nutzung von Clouddiensten abzudecken.

VDA-Mitgliedsunternehmen nutzten dieses Instrument sowohl für interne Sicherheitsbewertungen als auch für Bewertungen von Lieferanten, Dienstleistern und anderen Partnern, die sensible Informationen in ihrem Auftrag verarbeiten. Da diese Auswertungen jedoch von jedem Unternehmen einzeln durchgeführt wurden, verursachte dies eine Belastung der Partner und doppelten Aufwand der VDA-Mitglieder.

Um die Bewertungen zu rationalisieren, hat der VDA einen gemeinsamen Bewertungs- und Austauschmechanismus, den Trusted Information Security Assessment Exchange (TISAX), eingerichtet. Der Katalog der zugrunde liegenden TISAX-Anforderungen, der Fragebogen zur Überprüfung der Bewertung der Informationssicherheit und des Informationssicherheitsmanagements, Vers. 4 (Deutsch und Englisch), bietet gemeinsame Standards für IT-Sicherheitsmaßnahmen und ermöglicht es in TISAX registrierten Unternehmen, die Ergebnisse der Bewertung auszutauschen. Der VDA beauftragte einen neutralen Drittanbieter, die ENX Association, mit der Implementierung von TISAX. In diesem Zusammenhang akkreditiert sie Prüfungsanbieter (Prüfer), hält die Akkreditierungskriterien und Bewertungsanforderungen ein und überwacht die Qualität der Umsetzung und der Bewertungsergebnisse.

Microsoft und TISAX

Europäische Automobilunternehmen verlassen sich bei der Entwicklung, dem Bau und dem Betrieb von Neuwagen auf Vertrauen. Sie verwenden den Trusted Information Security Assessment Exchange (TISAX), um eine gemeinsame Informationssicherheitsbewertung für interne Analysen, eine Bewertung von Lieferanten und als Informationsaustauschmechanismus bereitzustellen. Ein unabhängiger, von der ENX akkreditierter Prüfer hat die TISAX-Bewertung von Microsoft-Rechenzentren und Betriebszentren nach TISAX-Spezifikationen und IT-Sicherheitsanforderungen abgeschlossen. Diese TISAX-zertifizierten Rechenzentren stellen die physische Infrastruktur für die im Bewertungsbericht beschriebenen Microsoft-Onlinedienste zur Verfügung. Zu diesen Diensten gehören Azure, Dynamics 365 und Microsoft 365.

Automobilunternehmen auf der ganzen Welt können nun die TISAX-Bewertung von Microsoft bewerten, um Cloud-Lösungen zu entwickeln, die starke Informationssicherheit und Datenschutz integrieren. Unternehmen können mit der TISAX-Bewertung von Microsoft einen sicheren Datenaustausch mit Lieferanten durchführen, die Workstations auf Basis von Microsoft 365 Cloud Services nutzen.

Microsoft hat eine Selbsteinschätzung seiner Clouddiensten vorgenommen, und der Prüfer hat darauf aufbauend zwei Bewertungsebenen durchgeführt. (Die Bewertungsebene bestimmt die Tiefe der Bewertung und die Methoden, welche die Prüfer anwenden.)

  • Microsoft-Rechenzentren in Nordeuropa (Region Dublin, Irland) und Westeuropa (Region Amsterdam, Niederlande), Deutschland (Berlin, Frankfurt), und Korea (Busan, Seoul) wurden auf Stufe 3 (AL3) bewertet. Die Prüfungen umfassten eine gründliche Überprüfung der Sicherheitsprozesse, eine umfassende Inspektion vor Ort sowie persönliche Interviews. Eine AL3-Bewertung ist erforderlich für Daten mit hohem Schutzbedarf, wie z. B. Daten, die als streng vertraulich oder geheim eingestuft sind, Daten aus Crashtest- und Strömungssimulationen sowie KI-Systeme (Künstliche Intelligenz).
  • Ausgewählte globale Rechenzentren von Microsoft wurden auf Stufe 2 (AL2) auf der Grundlage von Remote-Interviews bewertet. Für Daten mit hohem Schutzbedarf, wie beispielsweise als vertraulich eingestufte Daten, ist eine AL2-Bewertung erforderlich.

Prüfungen, Berichte und Zertifikate

Branchenvertreter, die bei ENX registriert sind, können Details zur TISAX-Bewertung von Microsoft auf dem ENX-Portal finden. Um nach Microsoft-Bewertungsergebnissen zu suchen, melden Sie sich bei Ihrem bestehenden TISAX-Konto an und suchen Sie nach Microsoft. Alternativ können Sie Ihre Suche auch über die folgenden Informationen einschränken:

  • Microsoft Participant ID: PGKYK0
  • Microsoft Corp. EU Assessment Level (AL) 3 scope ID: SY869K
  • Microsoft Corp. WORLD Assessment Level (AL) 2 scope ID: S08NT9

Diese Bewertung gilt für drei Jahre.

Implementierung

Produktions-Anwendungsfälle

Verwenden Sie Fallübersichten, Lösungsleitfäden, Lernprogramme und andere Ressourcen, um Azure-Lösungen zu erstellen.

Häufig gestellte Fragen

Warum kann ich eine Kopie der Microsoft TISAX-Zertifizierung nicht sehen?

ENX stellt die Zertifizierungsbestätigung nur registrierten Branchenvertretern über das ENX-Portal zur Verfügung. Einzelheiten zur Vorgehensweise finden Sie im Abschnitt „Prüfungen, Berichte und Zertifikate“ oben.

Verwenden von Microsoft Compliance-Manager zur Einschätzung des Risikos

Microsoft Compliance Manager ist eine Funktion im Microsoft 365 Compliance Center, die Ihnen hilft, die Compliance-Position Ihres Unternehmens zu verstehen und Maßnahmen zu ergreifen, um Risiken zu reduzieren. Compliance Manager bietet eine Premiumvorlage für die Erstellung einer Bewertung für diese Verordnung. Suchen Sie die Vorlage auf der Seite Bewertungsvorlagen im Compliance Manager. Erfahren Sie, wie Sie Bewertungen im Compliance-Manager erstellen.

Ressourcen