In diesem Artikel lesen Sie,

• was hinter TISAX steckt,
• welche Bedeutung TISAX für Automobilunternehmen hat
• und welche TISAX-Schutzbedarfsebenen die Open Telekom Cloud erfüllt.
   

„Haben Sie eine TISAX-Zertifizierung?“ Unternehmen, die IT-Dienstleistungen, beispielsweise Cloud Services, für Unternehmen im Automobilumfeld anbieten, können sich sehr schnell mit dieser Frage konfrontiert sehen.

Häufig verlangen Automobilunternehmen von IT-Dienstleistern – egal ob für eine projektbezogene oder eine langfristige Zusammenarbeit – eine TISAX-Zertifizierung. Diese belegt, dass verschiedene Aspekte der IT- und Datensicherheit erfüllt werden. Nachvollziehbar, denn in den umfangreichen Lieferketten der Automobilindustrie spielen häufig schützenswerte Daten eine wichtige Rolle. Das können personenbezogene Daten sein wie der Name eines Empfängers, aber auch geistiges Eigentum wie Informationen aus Forschung und Entwicklung, das zwischen Entwicklungspartnern ausgetauscht wird. 

TISAX steht für Trusted Information Security Assessment Exchange. Der Verband der Automobilindustrie in Deutschland (VDA) hat den branchenspezifischen Standard erst im Jahr 2017 gemeinsam mit der ENX Association entwickelt. Im Oktober 2020 wurde Version 5.0 publiziert. Ein TISAX-Zertifikat stellt sicher, dass der jeweilige Anbieter – das muss nicht unbedingt ein IT-Provider sein – Sicherheitsmaßnahmen implementiert hat, um vertrauliche Informationen und den sicheren Austausch von Daten entlang der automobilen Lieferkette zu gewährleisten. Dabei werden die Anforderungen des VDA-ISA (Information Security Assessment) zugrunde gelegt. Dieses wiederum basiert auf international gängigen Standards wie der DIN ISO 27001. Je nach Anforderungsniveau wird das TISAX-Zertifikat in vier Schutzbedarfsebenen ausgestellt.

Beim Niveau 1 (Basic Protection) garantieren Dienstleister grundlegende IT-Sicherheitsmaßnahmen und die Einhaltung von allgemeinen Datenschutzbedingungen. Auf Niveau 2 (Enhanced Protection) müssen IT-Dienstleister ein umfassendes Informationssicherheit-Managementsystem (ISMS) implementiert haben. Das Niveau 3 (High Protection) sieht darüber hinaus ein Risikomanagement vor, das robuste Kontrollen zur Identifizierung, Bewertung und Behandlung von Informationssicherheitsrisiken bietet. Das Niveau 4 (Very High Protection) umfasst spezielle Sicherheitsanforderungen für kritische Infrastrukturen oder besonders vertrauliche Informationen.

Weitere Informationen zu TISAX bietet das ENX-Handbuch. 

Die Open Telekom Cloud wurde bereits 2018, kurz nach der Einführung von TISAX, im Rahmen eines T-Systems-weiten Prozesses zertifiziert und kann damit problemlos für Automobilprojekte eingesetzt werden. 2023, zwischen Januar und Juni, nahm die DEKRA eine Überprüfung und Rezertifizierung nach TISAX vor. Dabei entschloss sich das Team der Open Telekom Cloud auch die neuen Standorte Alsmeer und Almere in die Zertifizierung einzubeziehen.

Die Open Telekom Cloud erreichte so auch für die Region Niederlande das Schutzbedarfsniveau drei, das einem hohen Schutzgrad für sensible Daten entspricht. Der offizielle Eintrag der Open Telekom Cloud findet sich auf dem Portal der ENX Association, die im TISAX-System als zentrale Governance-Organisation fungiert unter dem Kürzel P0R4YM. Interessenten können den offiziellen Prüfbericht der DEKRA auf Anfrage unter service@open-telekom-cloud.com erhalten.

Die TISAX-Zertifizierung belegt, dass die Open Telekom Cloud ihre Nutzer in der Automobilindustrie u.a. vor Datenschutzverletzungen, Datenlecks, Cyberangriffe und Industriespionage schützt bzw. die Auswirkungen derartiger Sicherheitsvorfälle minimiert.

Damit können Automobilunternehmen nun nicht nur Leistungen aus der Region EU-DE, sondern auch aus EU-NL für die Unterstützung ihrer Businessprozesse einsetzen. Das kann sinnvoll sein, um Georedundanz zu realisieren oder aber um für Services in UK oder Benelux geringe Latenzen sicherzustellen.