Datensicherheit: 4 Gründe, warum TISAX für Kreativagenturen besser ist als ISO 27001

Kreativagenturen mit Automobilmarken im Portfolio kennen das: Um für Kunden wie Audi oder BMW arbeiten zu können, müssen sie seit 2014 in regelmäßigen Abständen nachweisen, dass sie den Datensicherheitsstandards der Kunden gerecht werden. Ein notwendiges Übel, das für eine erfolgreiche Zusammenarbeit jedoch nicht vermeidbar war. Dass darunter auf Dauer das Tagesgeschäft der Kreativen leidet, musste hingenommen werden. Doch nun scheint eine Lösung für das Problem der immer wiederkehrenden Audits gefunden: Seit Anfang 2017 gibt es mit TISAX eine neue Form der Datensicherheitskontrolle. Eine gute Nachricht für Agenturen – und das gleich aus mehreren Gründen.

4 Vorteile von TISAX

 

  1. TISAX schlägt ISO 27001 und stichproben-Audits nach VDA Information Security Assessment (ISA)

    Viele Kreativagenturen mussten auf Wunsch ihrer Kunden bereits eine Auditierung über sich ergehen und sich stichprobenartig nach VDA Information Security Assessment (ISA) überprüfen lassen – mit oder ohne ISO-Zertifikat. Das wird sich nun ändern: Ab 2018 wird es für Automotive-Auftragnehmer nur noch eine einzige TISAX-Prüfung geben.

    Die weniger gute Nachricht dabei: TISAX prüft nicht mehr nur stichpunktartig, sondern alles im Detail.

    Die gute Nachricht: TISAX definiert erstmals einen gemeinsamen Nenner, der sämtliche Anforderungen aus dem VDA Information Security Assessment beinhaltet.

  2. Mit TISAX sind Agenturen unabhängig in der Kundenakquise

    Agenturen erreichen neue Kunden meist über Referenzen bzw. ihr Portfolio. Doch was passiert, wenn es die Datensicherheitsauflagen sind, die plötzlich darüber entscheiden, ob eine neue Kundenbeziehung aufgebaut werden kann?

    Hier leistet TISAX einen entscheidenden Beitrag – denn mit der Zertifizierung wurde ein Standard geschaffen, der von allen VDA-Mitgliedern (z. B. Audi, BMW, Volkswagen und Mercedes-Benz) anerkannt wird. Ein Kundenwechsel ist somit unkomplizierter möglich – beispielsweise wenn eine Agentur nach Jahren von BMW zu Audi wechselt. Dank TISAX muss man in solch einem Fall keinen neuen Maßnahmenkatalog in Sachen Datensicherheit erfüllen. Zum Vergleich: Mit der bisher stichprobenartigen VDA-ISA-Überprüfung kam auf eine betroffene Agentur bei einem Kundenwechsel erst einmal ein mehrmonatiges IT-Projekt zu, bevor sie überhaupt anfangen konnte, für den neuen Kunden zu arbeiten!

  3. Mit TISAX kommen Agenturen schneller an den Auftrag

    Dass TISAX wirklich für jede Agentur, die für die großen Automobilhersteller arbeitet, Pflicht wird, ist bereits jetzt erkennbar. BMW hat im Februar diesen Jahres TISAX in seinen Einkaufsbedingungen hinterlegt. Branchen-Insider sind sich einig: Ab 2018 wird TISAX bei allen Automobilherstellern zwingende Voraussetzung für die Zusammenarbeit.

    Auch wenn TISAX Pflicht wird und zunächst als notwendiges Übel erscheint: Inhabern des Zertifikats werden die zusätzlichen Audits durch die einzelnen Automobilhersteller erspart bleiben. Auch wird der Freigabeprozess bis zur endgültigen Zusammenarbeit beschleunigt. Denn: Bei einer infrage kommenden Zusammenarbeit sprechen die Agenturen und andere Dienstleister üblicherweise mit dem Einkauf des Automobilherstellers. Bisher musste danach ein zeit- und kostenintensives Audit stattfinden. Mit TISAX hat man dagegen von Beginn an einen zuverlässigen Nachweis für den Einkauf – und erhält so eine schnellere Freigabe.

  4. TISAX ist das perfekte Qualitätssiegel für Agenturen gegenüber Industriekunden

    Aktuell ist TISAX ausschließlich für die Automobilbranche relevant. Doch die Chancen stehen gut, dass auch weitere Großkunden wie z. B. Telekom, Siemens oder Allianz das Qualitätssiegel bei der Wahl ihrer Partner berücksichtigen werden.
    Denn auch deren Einkauf überprüft beim Agenturscreening, welche Zertifizierungen mit Blick auf die Datensicherheit bei potenziellen Agenturpartnern vorhanden sind.

    Eine TISAX-Zertifizierung ist hier das beste Aushängeschild, um dem potenziellen Neukunden zu signalisieren, dass der Auftragsvergabe, zumindest was die Datensicherheit angeht, nichts im Wege steht. Wer schnell ist, hat hier also einen echten Wettbewerbsvorteil.

Der richtige Zeitpunkt ist 2017: Das Zeitfenster für die Abkürzung zu TISAX 2018

Manchmal scheint Abwarten bei Neuerungen wie der TISAX-Zertifizierung die richtige Taktik. Doch diesmal nicht. Agenturen sollten genau jetzt handeln! Warum? Die TISAX-Pflicht kommt 2018 – mit Sicherheit. Alle Agenturen, die dieses Jahr noch ein VDA-ISA-Audit bestehen, bekommen das TISAX-Zertifikat mit Sternchen (sozusagen das kleine Zertifikat).

Wer das kleine bekommt, hat es später leichter, das große Zertifikat zu erhalten. Das ist mit weniger Aufwand und weniger Kosten verbunden. Noch mal ein Vergleich: Alleine das Vor-Ort-Audit findet bei der stichprobenartigen VDA-ISA-Prüfung im Regelfall an einem Tag statt. Die kommende Zertifizierung wird dagegen mehrere Tage in Anspruch nehmen.

Mit einem TISAX-Zertifikat überholen Agenturen die Wettbewerber, die bisher mit ihrem ISO-27001-Zertifikat punkten konnten! Ich kann Agenturchefs daher nur empfehlen, noch dieses Jahr ein ISMS einzuführen und sich dem VDA-ISA-Audit zu unterziehen. Als TISAX-Zertifikatsinhaber der ersten Stunde kann man 2018 dann entspannt entgegenblicken.

 

UPDATE (September 2017): tisax wird ab sofort auch in den Einkaufsbedingungen von Volkswagen gefordert (bei BMW bereits seit Anfang 2017).

 


Meine Blogreihe zum Thema Audit und Informationssicherheit:
Wer hat Angst vorm Audit? (Teil 2)