🤝🏼 Wer ist Trustspace?
TrustSpace ist ein junges Unternehmen mit Sitz in Berlin und Karlsruhe und ist aktiv im Bereich Cybersecurity und Informationssicherheit.
Das Team unterstützt Unternehmen in Vorbereitung auf Audits nach ISO 27001 und TISAX und arbeitet mittlerweile mit zahlreichen jungen und schnell wachsenden Startups, großen Mittelständler und international agierende Unternehmensgruppen zusammen, um resiliente Informationssicherheits-Managementsysteme (ISMS) aufzubauen.
✅ Was sind die typischen Herausforderungen für eine TISAX Zertifizierung?
Julius Gerhard (Trustspace)
Es gibt viele Herausforderungen, die auf ein Unternehmen zukommen im Rahmen einer TISAX®-Vorbereitung. Folgende drei Herausforderungen sehen wir immer wieder vor und während der Vorbereitung auf ein TISAX-Audit:
- Auswahl eines nicht-angemessenen Schutzziels für das eigene Unternehmen
- Interpretationsspielraum der zugrundeliegenden Anforderungen
- Auswahl des für mein Unternehmen richtigen Partners
Auswahl eines nicht-angemessenen Schutzziels für das eigene Unternehmen
Die meisten Unternehmen beschäftigen sich erst mit der TISAX®, wenn ein wichtiger Kunde dahingehend Forderungen stellt. Nun kommt es oft vor, dass von Seiten des Einkaufs des Kunden pauschal das höchste Schutzziel gefordert wird.
Dies bedeutet im Endeffekt für das eigene Unternehmen eine höheren Vorbereitungsaufwand aufgrund strengerer Anforderungen. Jedoch sehen wir immer wieder, dass es sich lohnt die konkret gestellten Anforderungen zu prüfen (e.g., dass ebenfalls Prototypenschutz erfüllt sein muss) und erfolgreich die Anforderung auch abgeschwächt werden kann, wenn man mit dem eigenen Kunden in die Kommunikation geht.
Interpretationsspielraum der zugrundeliegenden Anforderungen
Viele der Anforderungen in dem jeweilig aktuellen VDA-ISA Prüfkatalog, der die Basis für das Audit darstellt, weißen einen hohen Interpretationsspielraum auf. Diesen sollte man für sich nutzen, jedoch ist dies nicht so leicht, wenn man sich zum ersten Mal mit TISAX® und den Anforderungen beschäftigt.
Auswahl des für mein Unternehmen richtigen Partners
Es gibt eine Unmenge an Anbietern und Angeboten im Bereich TISAX®-Vorbereitung bzw. ISMS allgemein. Je nach individueller Situation macht es Sinn sich „nur“ ein Dokumentenpacket zu kaufen, mit allen notwendigen Richtlinien, und die sonstige Vorbereitung intern zu steuern.
Wenn jedoch die TISAX®-Vorbereitung als zusätzliche Aufgabe zu dem Tagesgeschäft aufkommt, kann es Sinn machen, sich einen Dienstleister an die Hand zu nehmen, der das eigene Unternehmen individuell vorbereiten kann.
Alexander van der Steeg (CTO)
EntekSystems selbst ist kein Experte auf dem TISAX Gebiet. Auf Basis anderer Zertfizierungen können wir aber sagen, dass der initiale Aufwand und die Vorbereitung meistens von den Unternehmen unterschätzt wird.
Für die Unternehmen ist ordentliches Projektmanagement auch in diesem Thema unerlässlich und sorgt für die geeignete Planungssicherheit, damit notwendige Zertifizierungen für Partnerschaften und Kundenverhältnisse innerhalb der Lieferkette eingehalten werden können.
Gerade der Aspekt der Lieferkette und der Einfluss auf Sicherheitsaspekte in Produktions-, Logistik- aber auch IT-Bereichen macht die TISAX-Zertifizierung hierbei sehr komplex und braucht Unterstützung aus sehr unterschiedlichen Fachbereichen des eigenen Unternehmens oder von externen Dienstleistern wie Trustspace.
✅ Ist ein IT Asset Management gleichbedeutend mit dem TISAX Asset Management?
Julius Gerhard (Trustspace)
Nein, das ist eine auch uns vielgestellte Frage, jedoch ist Asset Management nicht gleich Asset Management.
Wie der Name schon sagt, handelt es sich bei einem IT Asset Management um die Auflistung aller Assets im IT-Kontext, z. B. alle Laptops und Mobilgeräte, Software-Lizenzen, etc.
Im Rahmen des Asset Managements nach TISAX® müssen jedoch alle im Unternehmen befindlichen (relevanten) Assets identifiziert, aufgelistet und bewertet werden, unterteilt nach Primär- und Sekundär-Assets.
Bei produzierenden Unternehmen sind bspw. die eigenen Lager- und Produktionshallen ebenfalls wichtige Assets, genauso wie die eigenen Lieferanten bspw. Gleichzeitig können im Rahmen des Asset Managements nach TISAX® verschiedene Assets zu Assetklassen zusammengefasst werden.
Bspw. können alle Endgeräte einer bestimmten Abteilung zusammengefasst werden und Daten wie Seriennummern der einzelnen Geräte sind hier weniger relevant.
Alexander van der Steeg (CTO)
Das IT-Asset-Management kann als Sockelthema in diesem Kontext gesehen werden.
Dies bedeutet, dass Daten und zusätzlich gewonnene Asset-Informationen aus der Inventarverwaltung auch der TISAX-Bewertung, -Analyse und zugleich -Zertifizierung zu Gute kommen können.
TISAX kann ohne diese Daten alleine nicht sauber funktionieren, hat aber insgesamt einen anderen Fokus als die reine Dokumentation der IT-Assets.
Gekoppelt können TISAX-Systeme und IT-Asset-Management-Systeme Ihr wahres Potenzial entfachen, denn man kann sehr unterschiedliche Konzepte gleichzeitig priorisieren und damit eine Wertschöpfung auf Ebene der IT-Prozesse, aber auch der Lieferkette oder der Compliance verbessern.
✅ Welchen zeitlichen Aufwand sollte man für eine TISAX Zertifizierung einplanen?
Julius Gerhard (Trustspace)
Typischerweise dauert die Vorbereitung auf ein TISAX®-Audit zwischen sechs bis 18 Monate.
In einem Fall haben wir die Vorbereitung auch in weniger als vier Monaten gemeistert, dies war aber ein auch auf Seiten des Kunden sehr intensive Vorbereitungszeit (e.g., mehrere Jour Fixe und Termine pro Woche).
Wie lange die Vorbereitung letztendlich dauert hängt stark davon ab, ob diese komplett intern vorangetrieben wird bzw. ob es intern jemanden gibt, der die Vorbereitung federführend mit entsprechend Zeit-Invest vorantreiben will.
Falls bspw. ein IT-Leiter oder der QMB nur nebenher unterstützen kann, aus zeitlichen Gesichtspunkten, und ein externer Partner hinzugezogen wird, kann das Projekt typischerweise beschleunigt werden.
Alexander van der Steeg (CTO)
Julius hat uns hierbei den zeitlichen Kontext nochmals genauer dargelegt, der je nach Unternehmensgröße und Komplexität von Fertigung aber auch Lieferketten schwankend sein kann.
Übertragen auf unsere Erfahrungen aus anderen ITAM-Projekten sehen wir doch Ähnlichkeiten hierbei. Unternehmen müssen sich planerisch aber auch organisatorisch gut aufstellen, um die Zeit zum Abschluss einer wiederkehrenden Prüfung bzw. Zertifizierung zu minimieren.
Der Gewinn an Schnelligkeit in der Zertifizierung ist somit ein Vorteil in unterschiedlicher Hinsicht:
- Kosten: Kürzere Bindung von Mitarbeiterkapazitäten
- Risiken: Geringere Risiken eventueller Kunden durch lange Zeiträume und Unsicherheiten zu verlieren
- Planbarkeit: Die Steigerung der Planbarkeit führt zu besseren strategischen Entscheidungen
- Technologie: Bessere Bündelung und einfacherer Mix von Technologien führt zu besseren technologischen Ökosystemen
✅ Welche Best Practices empfehlen Sie Unternehmen, die unsere IT Asset-Inventarisierungs-Software nutzen, um sicherzustellen, dass ihre IT-Assets nicht nur effizient inventarisiert, sondern auch sicher nach den Standards TISAX und ISO 27001 verwaltet werden?
Julius Gerhard (Trustspace)
Inventory360 zu nutzen ist bereits eine gute Ausgangslage, um das Asset Management gemäß dem TISAX®-Standard nachzuziehen.
Je nach individueller Nutzung der Plattform, gibt es unterschiedliche Tipps und Tricks, die man nutzen kann, um eine nachgelagerte TISAX®-Vorbereitung zu vereinfachen. Bspw. sollten die zugrundeliegenden Verträge und SLAs zu bestehenden Lizenzen über Inventory360 gemanaged werden, dadurch wird bereits ein großes typisches TISAX®-„Arbeitspacket“ abgehakt.
Gleichzeitig erleichtert es die Vorbereitung stark, wenn die Active Directory-Anbindung in Inventory360 genutzt wird und ist allen Unternehmen zu empfehlen, welche sich in Zukunft auf TISAX® (oder ISO 27001 vorbereiten wollen), da dadurch zahlreiche manuelle Prozesse automatisiert werden können.
Alexander van der Steeg (CTO)
Die Koppelung von unserer IT-Asset-Management-Lösung mit anderen Systemen, typischerweise über die API, bringt einige Vorteile mit sich.
Daten aus dem System können in Richtung der TISAX-Systeme wirken, da diese 24/7 zur Verfügung stehen. Umgekehrt kann das TISAX-System selbst auch Informationen in Richtung der IT-Asset-Management-Lösung schreiben. Hierdurch entsteht quasi ein Kreislauf im technologischen Ökosystem über Grenzen und Unternehmen hinweg.
Somit ist das "gemeinsame Ökosystem" aus unterschiedlichen Produkten der eigentliche Gewinn des Kunden und kann zu sehr großen Synergien führen.
📃 Fazit: Was hat nun IT-Asset-Management mit TISAX zu tun?
Die Verbindung zwischen ITAM und TISAX kann darin bestehen, dass Unternehmen, die in der Automobilbranche tätig sind, eine umfassende Kontrolle über ihre IT-Assets benötigen, um die Anforderungen von TISAX zu erfüllen.
Ein effektives IT-Asset-Management kann dazu beitragen, die Sicherheitsstandards gemäß TISAX einzuhalten, indem es die Identifizierung, den Schutz und die Überwachung von kritischen IT-Assets ermöglicht.
Somit empfiehlt es sich beide Themen sehr genau im Auge zu behalten, um die Synergien aus ITAM und TISAX als Unternehmen gewinnen zu können. Der Wettbewerbsvorteil obliegt in der Geschwindigkeit und der passenden Flexibilität auf sehr unterschiedliche Vorfälle auch zukünftig reagieren zu können.
