TISAX Anforderungen im SAP umsetzen
Autor: Jonas Krüger | 11. Oktober 2019
Die Zertifizierung nach TISAX (Trusted Information Security Assessment Exchange) ist eine IT-Security-Zertifizierung für die Automobilindustrie. In diesem Beitrag gebe ich einen kurzen Überblick über die Anforderungen und gebe Tipps, wie Sie Ihr SAP System fit für die Zertifizierung machen können.
Was ist TISAX und was bedeutet es für die SAP Welt?
TISAX ist eine Zertifizierung, die besonders für Unternehmen im Automobilsektor relevant ist, die Daten mit Automobilherstellern (OEMs) oder Zulieferern austauschen möchten. Das Ziel besteht darin, sensible Daten nur in Hände bzw. Systeme abzugeben, die geprüften Sicherheitsstandards gerecht werden. Dies ist erforderlich, um die Sicherheit der Daten zu gewährleisten, denn jede (Informations-)Kette ist nur so stark wie ihr schwächstes Glied. Sofern in Ihrem SAP System schützenswerte Daten verwaltet werden sollen, kann auch das SAP System den Anforderungen der Zertifizierung unterliegen.
Verschaffen Sie sich einen Überblick über Ihre Sicherheit
Gerade bei schützenswerten Daten sollte man sich stets der Security bewusst sein. Wir können Ihnen dabei helfen, wie es um die Sicherheit in Ihrem System bestellt ist. Melden Sie sich für mehr Informationen.
Die Prüfung besteht aus einer Grundprüfung sowie zwei optionalen Prüfungen. Die Grundprüfung umfasst Informationssicherheit und orientiert sich an den Anforderungen der ISO 27001/2, geht jedoch in Teilen darüber hinaus. Die optionalen Prüfungen befassen sich spezifisch mit dem Schutz von Prototypen sowie mit der Anbindung von Dritten an das eigene System.
Übertragen auf SAP betrifft dies besonders das Berechtigungskonzept für Zugriffsberechtigungen auf Daten (ändernd und lesend) sowie (RFC-)Schnittstellen in andere Systeme, insbesondere auch zu Systemen Dritter.
Wie sind die Systemanforderungen für die TISAX Prüfung?
Die Zertifizierung kann in 3 verschiedenen Levels abgelegt werden. Die Prüfung besteht aus einem Self Assessment sowie einer Prüfung durch einen Prüfdienstleister. Für das Self Assessment ist ein Fragebogen (Information Security Assessment) auszufüllen. Für die Levels 2 und 3 ist zusätzlich eine Prüfung durch den Prüfdienstleister vor Ort erforderlich, beispielsweise in Form von Interviews und Inspektionen vor Ort.
Nach der Prüfung erhalten Sie einen Bericht des Prüfdienstleisters, der die Zertifizierung bestätigt oder noch zu behebende Mängel auflistet. Sofern es nur geringe Abweichungen von den Anforderungen gab, kann die Zertifizierung schon temporär erlangt werden, während die Behebung der Mängel innerhalb einer Frist von 9 Monaten erfolgen muss.
Die genauen Anforderungen können Sie im offiziellen Information Security Assessment nachlesen, das Sie hier vom Verband der Automobilindustrie herunterladen können.
Ablauf eines TISAX Zertifizitungsprojektes
Wie können Sie Ihr SAP System auf die Zertifizierung vorbereiten?
Ich empfehle folgendes Vorgehen zur Vorbereitung auf die TISAX Zertifizierung. Gerne unterstützen wir Sie bei allen hier genannten Schritten und begleiten Sie durch die Zertifizierung.
-
- Machen Sie sich mit den relevanten Anforderungen vertraut. Laden Sie sich dazu die oben verlinkten Assessments und Mindestanforderungen herunter
- Übertragen Sie die Anforderungen auf Ihr SAP System: Welche Kriterien betreffen das SAP System?
- Überprüfen Sie, welche Anforderungen Sie bereits erfüllen. Hierbei ist es wichtig, dass die Anforderung nicht nur im System erfüllt ist, sondern auch schriftlich dokumentiert und in einen Prozess eingebettet ist
- Sofern einzelne Anforderungen noch nicht erfüllt sind, sprechen Sie uns gerne an, um gemeinsam nach einem Lösungsweg zu suchen oder Unterstützung bei der Umsetzung zu erhalten.
Zur Einschätzung Ihres Ausgangsstandes oder nach Abschluss Ihrer Vorbereitungsmaßnahmen kann ein SAP Security Check sinnvoll sein, durch den Sie vor der offiziellen Prüfung schon einschätzen können, ob und in welchen Bereichen noch Mängel bestehen. Informationen dazu finden Sie hier
Wenn bereits eine Prüfung durch den Prüfdienstleister erfolgt ist und Sie eine Mängelliste erhalten haben, die Sie bearbeiten müssen, unterstützen wir Sie ebenfalls gerne bei der Beurteilung, Maßnahmendefinition und Umsetzung.
Bitte beachten Sie jedoch, dass wir keine Zertifizierungen nach TISAX durchführen.