TISAX Anforderungen im SAP umsetzen

Autor: Jonas Krueger | 11. Oktober 2019

2 | #sap security, #TISAX
TISAX in SAP umsetzen

Die Zertifizierung nach TISAX (Trusted Information Security Assessment Exchange) ist eine IT-Security-Zertifizierung für die Automobilindustrie. In diesem Beitrag gebe ich einen kurzen Überblick über die Anforderungen und gebe Tipps, wie Sie Ihr SAP System fit für die Zertifizierung machen können.

Was ist TISAX und was bedeutet es für die SAP Welt?

TISAX ist eine Zertifizierung, die besonders für Unternehmen im Automobilsektor relevant ist, die Daten mit Automobilherstellern (OEMs) oder Zulieferern austauschen möchten. Das Ziel besteht darin, sensible Daten nur in Hände bzw. Systeme abzugeben, die geprüften Sicherheitsstandards gerecht werden. Dies ist erforderlich, um die Sicherheit der Daten zu gewährleisten, denn jede (Informations-)Kette ist nur so stark wie ihr schwächstes Glied. Sofern in Ihrem SAP System schützenswerte Daten verwaltet werden sollen, kann auch das SAP System den Anforderungen der Zertifizierung unterliegen.

Die Prüfung besteht aus einer Grundprüfung sowie zwei optionalen Prüfungen. Die Grundprüfung umfasst Informationssicherheit und orientiert sich an den Anforderungen der ISO27001/2, geht jedoch in Teilen darüber hinaus. Die optionalen Prüfungen befassen sich spezifisch mit dem Schutz von Prototypen sowie mit der Anbindung von Dritten an das eigene System.

Übertragen auf SAP betrifft dies besonders das Berechtigungskonzept für Zugriffsberechtigungen auf Daten (ändernd und lesend) sowie (RFC-)Schnittstellen in andere Systeme, insbesondere auch zu Systemen Dritter.

Wie sind die Systemanforderungen für die TISAX Prüfung?

Die Zertifizierung kann in 3 verschiedenen Levels abgelegt werden.  Die Prüfung besteht aus einem Self Assessment sowie einer Prüfung durch einen Prüfdienstleister. Für das Self Assessment ist ein Fragebogen (Information Security Assessment) auszufüllen. Für die Levels 2 und 3 ist zusätzlich eine Prüfung durch den Prüfdienstleister vor Ort erforderlich, beispielsweise in Form von Interviews und Inspektionen vor Ort.

Luca Cremer
Benötigen Sie Unterstützung bei der Umsetzung der TISAX Anforderungen in Ihrem SAP System?
Fachbereichsleiter Luca Cremer
Meine Kollegen und ich sind erfahrene Berater für SAP Security und unterstützen Sie gerne bei der Vorbereitung auf die Zertifizierung oder bei der Abarbeitung festgestellter Mängel.

Wenn Sie Unterstützung benötigen, sprechen Sie mich gerne an!

Sie erreichen mich per Telefon 0211.9462 8572-25 oder per E-Mail cremer@rz10.de.

Nach der Prüfung erhalten Sie einen Bericht des Prüfdienstleisters, der die Zertifizierung bestätigt oder noch zu behebende Mängel auflistet. Sofern es nur geringe Abweichungen von den Anforderungen gab, kann die Zertifizierung schon temporär erlangt werden, während die Behebung der Mängel innerhalb einer Frist von 9 Monaten erfolgen muss.

Die genauen Anforderungen können Sie im offiziellen Information Security Assessment nachlesen, das Sie hier vom Verband der Automobilindustrie herunterladen können.

Ablauf eines TISAX Zertifizitungsprojektes

Ablauf einer TISAX PrüfungWie können Sie Ihr SAP System auf die Zertifizierung vorbereiten?

Ich empfehle folgendes Vorgehen zur Vorbereitung auf die TISAX Zertifizierung. Gerne unterstützen wir Sie bei allen hier genannten Schritten und begleiten Sie durch die Zertifizierung.

    1. Machen Sie sich mit den relevanten Anforderungen vertraut. Laden Sie sich dazu die oben verlinkten Assessments und Mindestanforderungen herunter
    2. Übertragen Sie die Anforderungen auf Ihr SAP System: Welche Kriterien betreffen das SAP System?
    3. Überprüfen Sie, welche Anforderungen Sie bereits erfüllen. Hierbei ist es wichtig, dass die Anforderung nicht nur im System erfüllt ist, sondern auch schriftlich dokumentiert und in einen Prozess eingebettet ist
    4. Sofern einzelne Anforderungen noch nicht erfüllt sind, sprechen Sie uns gerne an, um gemeinsam nach einem Lösungsweg zu suchen oder Unterstützung bei der Umsetzung zu erhalten.

Zur Einschätzung Ihres Ausgangsstandes oder nach Abschluss Ihrer Vorbereitungsmaßnahmen kann ein SAP Security Check sinnvoll sein, durch den Sie vor der offiziellen Prüfung schon einschätzen können, ob und in welchen Bereichen noch Mängel bestehen. Informationen dazu finden Sie hier

Wenn bereits eine Prüfung durch den Prüfdienstleister erfolgt ist und Sie eine Mängelliste erhalten haben, die Sie bearbeiten müssen, unterstützen wir Sie ebenfalls gerne bei der Beurteilung, Maßnahmendefinition und Umsetzung.

Bitte beachten Sie jedoch, dass wir keine Zertifizierungen nach TISAX durchführen.


Artikel war hilfreichArtikel empfehlen


Dieser Beitrag ist auch als Download verfügbar:
Jonas Krueger

Autor

Jonas Krueger

B.Sc. Angewandte Informatik

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Unsere Top-Downloads

Angebot anfordern
Preisliste herunterladen
Expert Session
Support