Die wachsende Bedeutung von Business Continuity Management (BCM) im Zusammenhang mit der TISAX Zertifizierung

Einführung TISAX und BCMS

TISAX (Trusted Information Security Assessment Exchange) ist ein für die Automobilindustrie spezifischer Prüfstandard für die Informationssicherheit.

TISAX wurde von den Mitgliedern des Verbandes der Automobilindustrie e.V. anhand der ISO/IEC 27001 für Informationssicherheitsmanagementsysteme (ISMS) entwickelt und an die Bedürfnisse und Besonderheiten der Automobilindustrie angepasst. Behandelt wird

• Die sichere Verarbeitung von vertraulichen Informationen,
• Der Prototypenschutz und
• der Datenschutz

in den Geschäftsbeziehungen zwischen Automobilhersteller und ihren Dienstleistern sowie Lieferanten.

Das Business Continuity Management System (BCMS) soll den Fortbestand des Unternehmens und die Aufrechterhaltung wichtiger Geschäftsprozesse durch ein ganzheitliches Krisenmanagement auch in Krisen- und Notfallsituationen sichern.

Die zugehörige ISO 22301 fordert eine ganzheitliche Risikobetrachtung, damit alle wichtigen Prozesse und Abläufe geschützt sind, die Auswirkung auf kritische Geschäftsfunktionen haben, und ein Normalbetrieb bei unerwarteten Störungen schnellstmöglich wieder hergestellt wird.

Schnittstellen TISAX – BCMS

Das Vorgehen im BCMS (ISO 22301) als auch im ISMS (ISO 27001) weist ähnliche Anforderungen und Herangehensweisen auf, die auch im Rahmen einer TISAX Zertifizierung gefordert werden. So zum Beispiel eine fundierte Risikomethodik. Mit einem veränderten Scope kann eine Risikomethodik beide Bereiche abdecken.

Auch Teile eines BCMS werden bei TISAX durch die Anforderung innerhalb von Ausnahmesituationen gefordert, wobei dort der Fokus auf informationssicherheitsrelevanten Szenarien liegt. Dennoch kommt dadurch die Forderung nach einem funktionierenden Krisenstab sowie regelmäßigen Notfallübungen auf.

Krisenmanagement – Wachsende Bedeutung im TISAX

Die Transformation in der Automobilbranche hin zum autonomen Fahren, zu Hybrid- und Elektrofahrzeugen, vernetzten Fahrzeugen und der Möglichkeiten der 5G-Technologie, bietet im Bereich der Cybersecurity stets größer werdende Risiken und Gefahren für Zulieferer, OEMs und den Fahrzeugnutzenden.

Neue und außergewöhnliche Gefahren- und Schadenlagen im Kontext der Transformation außerhalb von Informationsrisiken können durch eine TISAX-Zertifizierung allein kaum adressiert werden. Wenn trotz der erfüllten Anforderungen des TISAX ein Zwischenfall auftritt, ist ein systematischer und geübter Umgang mit jenen Situationen umso wichtiger, damit der eingetretene Schaden möglichst gering bleibt. Ein etabliertes Krisenmanagement gilt daher als wichtiger und ergänzender Baustein im Umfeld des TISAX.

BCM als Mehrwert im TISAX

Business Continuity Management betrachtet Risiken nicht nur auf Ebene der Informationssicherheit wie das TISAX. Im BCM gibt es keinen Fokus auf einzelne Bereiche oder Prozesse, im Mittelpunkt steht allein die Minimierung von Auswirkungen auf kritische Geschäftsfunktionen durch geeignete Prävention und adäquate Reaktion. Wie soll und kann gehandelt werden, wenn die Anforderungen an den Prototypenschutz, der Perimetersicherung des Firmengeländes oder der IT-Sicherheit nicht ausgereicht haben? Das BCM bietet hierfür Werkzeuge, Handlungsmaßnahmen zu entwickeln, und unternehmensweit zu etablieren, die das TISAX um Bewältigungsstrategien ergänzt und die Resilienz bei Störungen, Notfällen oder Krisen verbessert.

Trend zum Nachweis eines Krisenmanagements zur Erlangung neuer Aufträge

Die Resilienz von Unternehmen gegenüber Gefahren und Risiken wird in Zeiten von u.a. zunehmenden Cyberattacken, angespannten Lieferketten und klimawandelbedingten Extremwetterereignissen immer stärker beansprucht. Um die Forschung sowie das Laufen der Fließbänder in der Automobilbranche möglichst resilient zu gestalten, wird die Forderung nach Krisenmanagementsystemen bei allen Unternehmen entlang der Lieferkette immer lauter. Dies äußert sich auch in Forderungen nach einem etablierten Krisenmanagement als Voraussetzung zur Auftragvergabe zusätzlich zum TISAX. Möglichst geringe Auswirkungen ausgehend von Störungen bis hin zu Krisen auf die Geschäftsprozesse der Automobilbranche können dabei erreicht werden, wenn eine TISAX-Zertifizierung mit der Einführung eines BCMS kombiniert wird.