TISAX

Der unverzichtbare Leitfaden zur TISAX®-Lieferantenbewertung und warum MSPs am wichtigsten sind

Dieser Leitfaden erläutert die Bedeutung und die Methode Ihrer TISAX®-Lieferantenbewertung.

Alex Fuerst

Alex Fuerst

- 7 Minuten lesen
Der unverzichtbare Leitfaden zur TISAX®-Lieferantenbewertung und warum MSPs am wichtigsten sind
Der wesentliche Leitfaden zur TISAX-Lieferantenbewertung und warum MSPs am wichtigsten sind

Inhaltsübersicht

Einführung

 
Sie bereiten sich auf Ihre TISAX®-Bewertung vor. Sie haben damit begonnen, Ihre internen Sicherheitsrichtlinien festzulegen, Lücken zu schließen und Ihr Team auf die bevorstehenden Aufgaben vorzubereiten. Doch dann taucht etwas Unerwartetes auf Ihrem Radar auf:

"Müssen wir auch unsere Lieferanten bewerten?"

Die Antwort lautet: Ja. Alle Anbieter, die mit sensiblen Daten umgehen oder Dienstleistungen erbringen, die sich auf Ihre Sicherheit auswirken, müssen bewertet werden. Dazu gehört alles, von Designern und Prototypenbauern bis hin zu Cloud-Anbietern.

Der Haken an der Sache ist jedoch, dass nicht alle Anbieter das gleiche Gewicht haben. Einige berühren vielleicht nur Daten mit geringem Risiko, während andere das Herzstück Ihres Betriebs sind. Und wenn es um Risiken geht, sind die Anbieter von verwalteten Diensten (MSPs) diejenigen, die Sie auf keinen Fall übersehen dürfen. Sie verwalten Ihre IT, verarbeiten Ihre Daten und haben oft privilegierten Zugang zu Ihren Systemen. Wenn sie nicht sicher sind, sind Sie nicht sicher.

Aus diesem Grund überprüft TISAX® nicht nur Ihre eigenen Kontrollen. Es wird jeder in Ihrer Lieferkette geprüft. Und wenn Ihre Lieferanten, insbesondere Ihre MSPs, nicht bewertet werden, erhalten Sie das Siegel nicht. So einfach ist das.

Warum Sie das Lieferantenrisiko nicht ignorieren können

 
TISAX® macht keinen Unterschied zwischen internen und ausgelagerten Systemen. Wenn ein Lieferant mit Ihren Daten in Berührung kommt, ist er Teil Ihres Sicherheitsbereichs.

Das bedeutet, dass jeder Anbieter wichtig ist, aber die MSPs stehen an der Spitze der Risikopyramide. Sie verarbeiten nicht nur Dateien, sondern kontrollieren oft auch die Infrastruktur, auf der Ihr Unternehmen läuft. Wenn sie ausfallen, können die Folgen genauso gravierend sein wie eine Sicherheitslücke in den eigenen vier Wänden.

Aus diesem Grund nehmen die Prüfer das Lieferantenrisiko so ernst: Wird auch nur ein einziger Hochrisikolieferant ignoriert, kann dies Ihre gesamten Bemühungen um die Einhaltung der Vorschriften untergraben.

Die 5 Hauptgründe, warum TISAX® eine Lieferantenbewertung verlangt

 

  1. Gemeinsame Verantwortung ist nicht verhandelbar
    Sie sind für alle Lieferanten verantwortlich, die mit sensiblen Informationen umgehen. MSPs sind aufgrund ihres tiefen Zugangs am kritischsten.

  2. Ihr Lieferant verwahrt Ihre "Schutzobjekte"
    Von Prototypdaten bis hin zu Kundendatensätzen - wenn ein Anbieter Zugriff hat, ist er ein Verwahrer. MSPs verfügen oft über die wertvollsten "Schutzobjekte" in Ihrer IT-Umgebung.

  3. Sie brauchen eine ganzheitliche Risikobetrachtung
    TISAX® verlangt von Ihnen, dass Sie die Risiken in Ihrer gesamten Lieferkette berücksichtigen, nicht nur intern. Lieferanten mit hohem Risiko, wie z. B. MSPs, müssen im Detail bewertet werden.

  4. Schwache Glieder brechen die Kette
    Jeder Anbieter ist Teil des Sicherheits-Ökosystems. Aber MSPs können aufgrund ihres privilegierten Zugangs das größte schwache Glied sein.

  5. Ihr TISAX®-Etikett repräsentiert mehr als nur Sie
    Wenn Ihr Lieferant nicht vertrauenswürdig ist, verlieren Ihr Etikett und Ihr Ruf an Wert. Und wenn dieser Lieferant Ihr MSP ist, vervielfacht sich das Risiko.

Die spezifischen TISAX®-Kontrollen, die dies vorschreiben

 
Zwei Kontrollen aus dem VDA ISA-Katalog Version 6.0.3 (englisch) machen eine Lieferantenbewertung zwingend erforderlich:

Kontrolle 6.1.1: Inwieweit ist die Informationssicherheit bei Auftragnehmern und Kooperationspartnern gewährleistet?

Gilt für alle Lieferanten. Sie müssen Sicherheitsverpflichtungen in Verträgen durchsetzen, ihre Einhaltung überwachen und nachweisen, dass Sie ihre Risiken beherrschen.

Kontrolle 5.3.3: Inwieweit ist die Rückgabe und sichere Entfernung von Informationsgütern aus externen IT-Diensten geregelt?

Gilt insbesondere für MSPs und IT-Dienstleister. Sie benötigen definierte Regeln für die sichere Rückgabe oder Löschung von Daten, wenn der Dienst endet.

Zusammengenommen beweisen diese Kontrollen, dass Sie keinen Anbieter ignorieren können, aber MSPs sind diejenigen, die Ihr Prüfer am genauesten unter die Lupe nehmen wird.

Was ist zu tun, wenn Ihr Lieferant nicht TISAX®-konform ist?

 

  • Führen Sie eine Risikobewertung durch: Für alle Lieferanten, aber vorrangig für MSPs, da diese ein erhöhtes Risiko darstellen.
  • Aktualisieren Sie die Verträge: Aufnahme von Sicherheitsklauseln, Berichterstattung über Vorfälle und Rückgabe/Löschung von Daten.
  • Holen Sie Beweise ein: Fordern Sie Sicherheitsnachweise an; bei MSPs sollte dies besonders gründlich sein.
  • Regelmäßige Überprüfung: Laufende Überwachung aller Zulieferer, wobei MSPs eingehender geprüft werden sollten.
  • Erstellen Sie einen Notfallplan: Schränken Sie den Zugang ein oder ersetzen Sie risikobehaftete Lieferanten, falls erforderlich.

Ihr Lieferant braucht kein TISAX®-Label, aber Sie müssen nachweisen, dass Sie ihn ordnungsgemäß verwalten, insbesondere MSPs.

Was passiert, wenn Sie diesen Schritt überspringen?

 

  • Sie könnten Ihr TISAX®-Audit nicht bestehen, wenn ein Lieferantenrisiko nicht gemanagt wird.
  • Ihr Label könnte als schwach oder unzuverlässig angesehen werden, insbesondere wenn Ihr MSP nicht abgedeckt ist.
  • Ein Verstoß gegen das Lieferantenrecht könnte Ihren Ruf schädigen.
  • Sie würden eine Chance verpassen, Ihre allgemeine Sicherheitslage zu verbessern.

Fazit: Das Ignorieren von Lieferantenbewertungen, insbesondere für MSPs, ist ein direkter Weg zur Nichteinhaltung.

Die Vorteile für Ihren Lieferanten, einschließlich Ihres MSP

 
Lieferanten betrachten TISAX®-Bewertungen oft als zusätzliche Arbeit. Aber in Wirklichkeit bringt die Zusammenarbeit echte Vorteile:

  1. Stärkere Marktposition: Compliance macht sie zu einem bevorzugten Partner.
  2. Verbesserte Sicherheitspraktiken: Beurteilungen schließen Sicherheitslücken.
  3. Größeres Vertrauen bei den Kunden: Sicherheitsbewusste Anbieter erhalten bessere Aufträge.
  4. Leichtere Vertragsverhandlungen: Weniger Widerstände, wenn die Anforderungen bereits bekannt sind.
  5. Zukunftssicher: Die Einhaltung der Vorschriften hält sie wettbewerbsfähig, wenn die Sicherheitsanforderungen steigen.

Zusatznutzen: Bereit für andere Zertifizierungen

Die Anpassung an die TISAX®-Lieferantenanforderungen bereitet MSPs und IT-Anbieter auch darauf vor:

  • ISO/IEC 27001:2022: Aufsicht über den Lieferanten erforderlich unter A.5.19- A.5.21.
  • CMMC: Lieferantenaufsicht für den Umgang mit CUI gemäß 3.12.1 und 3.1.20 erforderlich.

Durch die Erfüllung der TISAX®-Anforderungen können MSPs dieselben Dokumente und Nachweise branchenübergreifend wiederverwenden und sind damit nicht nur in der Automobilindustrie einsatzbereite Partner.

Letzte Erkenntnis: Machen Sie die Lieferantenbewertung zu einem unverzichtbaren Bestandteil

 
Wenn Sie eine TISAX®-Zertifizierung anstreben, ist die Lieferantenbewertung nicht optional. Sie ist für alle Lieferanten obligatorisch. Und bei den MSPs ist es besonders wichtig, dass sie richtig arbeiten.

Indem Sie Ihre Lieferanten bewerten, dokumentieren, durchsetzen und überwachen, schützen Sie Ihre Compliance, Ihren Ruf und Ihre Kundenbeziehungen. Und für die Lieferanten sind diese Bewertungen nicht nur eine Belastung. Sie sind eine Chance, ihr Geschäft zu stärken und sich für die Zukunft gegen weitere Zertifizierungsanforderungen zu wappnen.

Denn letztendlich geht es bei TISAX® um Vertrauen. Und Vertrauen gibt es nur, wenn die gesamte Lieferkette sicher ist, angefangen bei Ihren MSPs.

Wie wir Ihnen bei der Bewertung Ihrer Lieferanten helfen

 
Die richtige Lieferantenbewertung zu finden, kann überwältigend sein - aber Sie müssen nicht bei Null anfangen. Um diesen Prozess zu vereinfachen, haben wir drei praktische Tools entwickelt, die mit TISAX Control 6.1.1 und 5.3.3 sowie den Anforderungen der ISO 27001 für Lieferanten übereinstimmen.

Hier ist, was Sie sofort verwenden können:

1. Vorlage für die Risikobewertung der Informationssicherheit von Lieferanten

Mit dieser Vorlage können Sie jeden Anbieter anhand von vier Schlüsselfaktoren bewerten:

  • Sensibilität der Daten
  • System-Zugangsstufe
  • Auswirkungen auf das Geschäft, wenn der Dienst ausfällt
  • Zugang zu Prototypen

Es enthält ein integriertes Risikobewertungsmodell (niedrig, mittel, hoch) und gibt Ihnen Hinweise, welche Sorgfaltsprüfungsschritte auf jeder Stufe erforderlich sind: z. B. NDAs und Vertragsklauseln für niedriges Risiko, Sicherheitsfragebögen für mittleres Risiko und formale Zertifizierungen für hohes Risiko.

Nutzen Sie dies zunächst, um zu entscheiden, welche Lieferanten vorrangig einer eingehenderen Bewertung bedürfen.

2. Wesentlicher Fragebogen zur Sicherheit von Lieferanten

Dabei handelt es sich um einen Schnellcheck mit 15 Fragen, der die wichtigsten Sicherheitskontrollen von TISAX und ISO 27001 abdeckt, darunter:

  • Sicherheitspolitik und Governance
  • Zugangskontrollen (MFA, geringste Berechtigung)
  • Verschlüsselung
  • Management von Zwischenfällen und Benachrichtigung über Sicherheitsverletzungen
  • Zertifizierungen und Konformität (z. B. TISAX, ISO 27001, SOC 2)

Es verfügt über ein einfaches Punktesystem:

  • 13-15 "Ja" = Geringes Risiko
  • 10-12 "Ja" = Mittleres Risiko
  • Weniger als 10 "Ja" = hohes Risiko

Verwenden Sie dies für alle Anbieter und insbesondere, um diejenigen herauszufiltern, die die grundlegendsten Anforderungen nicht erfüllen.

3. Detaillierter Fragebogen zur Sicherheit des Lieferanten

Für kritische Anbieter wie MSPs geht dieser 11-teilige Fragebogen tief in Bereiche wie z. B.:

  • Verwaltung der Informationssicherheit und Risikomanagement
  • Sicherheit der Humanressourcen (Hintergrundüberprüfungen, Schulungen)
  • Zugangskontrolle und Kryptographie
  • Physische und ökologische Sicherheit
  • Betriebssicherheit, Patching und Überwachung
  • Reaktion auf Zwischenfälle und Geschäftskontinuität
  • Compliance, Datenschutz und Schutz der Privatsphäre
  • Cloud- und Drittanbieterdienste
  • Management von Schwachstellen

Es enthält einen Bewertungsleitfaden, der die Lieferanten auf der Grundlage der vorgelegten Nachweise in die Kategorien Geringes, Mittleres oder Hohes Risiko einteilt.

Verwenden Sie dies für Lieferanten, die bei Ihrer ersten Bewertung ein mittleres/höheres Risiko aufweisen - insbesondere für MSPs, die direkten Systemzugang haben oder mit sensiblen Daten umgehen.

Ihr nächster Schritt

Wenn Sie diese drei Instrumente zusammen verwenden, erhalten Sie einen strukturierten, vertretbaren und an TISAX ausgerichteten Ansatz für die Lieferantenbewertung:

  1. Beginnen Sie mit der Vorlage zur Risikobewertung → ermitteln Sie, welche Lieferanten ein hohes Risiko darstellen.
  2. Wenden Sie den wesentlichen Fragebogen an → prüfen Sie alle Lieferanten schnell.
  3. Verwenden Sie den detaillierten Fragebogen → gehen Sie Ihren MSPs und anderen Anbietern mit hohem Risiko auf den Grund.

Auf diese Weise erfüllen Sie nicht nur die TISAX-Anforderungen, sondern stärken auch Ihr gesamtes Lieferantenmanagement und sind auf die Anforderungen von ISO 27001 und CMMC vorbereitet.

Senden Sie einfach eine E-Mail an ix@isegrim-x.com, um die Vorlage und die Fragebögen zu erhalten.

Mehr lesen