TISAX Prototypenschutz

Warum Prototypenschutz in TISAX so wichtig ist

Prototypenschutz ist eine der anspruchsvollsten TISAX-Anforderungen und gleichzeitig die, die TISAX von allen anderen Sicherheitsstandards unterscheidet. Kein anderes Framework stellt vergleichbare Anforderungen an den physischen und digitalen Schutz von Prototypen. Für OEMs sind Prototypen Millionen wert — nicht nur in der Entwicklung, sondern auch als Wettbewerbsvorteil. Ein geleaktes Design oder ein fotografiertes Testfahrzeug kann den Markteintritt gefährden und immensen wirtschaftlichen Schaden verursachen.

Prototypenschutz-Labels erfordern immer Assessment Level 3 — ein Vor-Ort-Audit ist Pflicht. Der Auditor besichtigt Räumlichkeiten, prüft Zutrittskontrollen physisch und kontrolliert Sicherheitszonen persönlich. Remote-Audits sind für Prototypenschutz nicht zulässig.

Physische Sicherheit

Zutrittskontrollen und Zugangssteuerung

Prototypenbereiche müssen durch mehrschichtige Zutrittskontrollen geschützt sein. Der Auditor prüft: elektronische Zutrittssysteme (Chipkarten, Transponder), Schleusen-Systeme (Mantrap) für besonders sensible Bereiche, biometrische Zugangskontrollen bei "sehr hoch" und die Protokollierung aller Zutrittsereignisse. Jeder Zugang muss nachvollziehbar sein — wer hat wann welchen Bereich betreten und verlassen.

Besuchermanagement

Besucher dürfen Prototypenbereiche nur unter streng kontrollierten Bedingungen betreten. Der Auditor erwartet: vorab genehmigte Besucherlisten, NDA-Unterzeichnung vor dem Betreten, Begleitung durch einen Mitarbeiter zu jeder Zeit, Fotografierverbot (inklusive Abgabe von Smartphones oder Kameraabdeckung) und Dokumentation jedes Besuchs.

Kameraüberwachung und Alarmsysteme

Prototypenbereiche müssen durch Videoüberwachung gesichert sein. Die Kameras müssen Eingänge, Ausgänge und kritische Bereiche abdecken. Aufzeichnungen müssen für einen definierten Zeitraum gespeichert werden (typisch 30-90 Tage). Alarmsysteme müssen bei unbefugtem Zutritt oder Manipulationsversuchen auslösen. Sperrzonen müssen klar gekennzeichnet und physisch abgegrenzt sein.

Digitale Absicherung

Verschlüsselung

Alle Prototypendaten müssen verschlüsselt gespeichert (at rest) und übertragen (in transit) werden. Der Auditor prüft: Verschlüsselungsstandards (AES-256 für Speicherung, TLS 1.2+ für Übertragung), Schlüsselmanagement, Verschlüsselung von Backup-Medien und die Verschlüsselung mobiler Endgeräte (Laptops, USB-Sticks), die Prototypendaten enthalten.

DRM und Wasserzeichen

Für besonders sensible Prototypendaten (CAD-Zeichnungen, Design-Studien, Fotografien) werden Digital Rights Management (DRM) und digitale Wasserzeichen eingesetzt. DRM verhindert das unautorisierte Kopieren, Drucken oder Weiterleiten von Dokumenten. Digitale Wasserzeichen machen die Herkunft eines geleakten Dokuments nachvollziehbar. Nicht bei allen Labels verpflichtend, aber bei "Prototypenschutz sehr hoch" erwartet.

Zugriffskontrollen und Datenklassifizierung

Prototypendaten unterliegen dem Need-to-Know-Prinzip: Nur Mitarbeiter, die für ihre Arbeit Zugang benötigen, dürfen auf Prototypendaten zugreifen. Der Auditor prüft: Berechtigungskonzepte, Access Reviews, Privileged Access Management und die konsistente Datenklassifizierung (vertraulich, streng vertraulich, Prototyp).

Testfahrzeuge

Das Label "Testfahrzeuge" stellt spezifische Anforderungen an den Umgang mit Erprobungsfahrzeugen und Pre-Series-Fahrzeugen:

• Tarnfolierung: Testfahrzeuge müssen so getarnt sein, dass Design-Details nicht erkennbar sind. Die Tarnfolierung muss professionell angebracht und lückenlos sein.
• GPS-Tracking: Testfahrzeuge müssen jederzeit lokalisierbar sein. GPS-Tracker müssen manipulationssicher verbaut sein.
• Fotografierverbote: In allen Bereichen, in denen Testfahrzeuge stehen oder bewegt werden, gelten strikte Fotografierverbote. Smartphones müssen abgegeben oder gesperrt werden.
• Gesicherte Stellplätze: Testfahrzeuge dürfen nur auf gesicherten, eingezäunten und überwachten Stellplätzen abgestellt werden. Zugang nur für autorisiertes Personal.

Prototyp-Events

Wenn Prototypen auf Messen, bei Tests oder Präsentationen gezeigt oder transportiert werden, gelten spezielle Schutzmaßnahmen:

• Zugangskontrollen: Event-spezifische Zugangslisten, Teilnehmer-Überprüfung, gesicherte Bereiche für Prototypen-Präsentationen
• NDA-Management: Alle Event-Teilnehmer müssen Vertraulichkeitsvereinbarungen unterzeichnen, bevor sie Prototypen sehen
• Transportabsicherung: Geschlossene Transportmittel, GPS-Tracking während des Transports, Begleitpersonal
• Fotografierverbote: Smartphone-Abgabe oder Kameraabdeckung, Sicherheitspersonal zur Durchsetzung

NDA-Management

Vertraulichkeitsvereinbarungen (NDAs) sind ein zentrales Instrument im Prototypenschutz. Der Auditor prüft:

• Existenz von NDA-Templates für verschiedene Szenarien (Mitarbeiter, Lieferanten, Besucher, Event-Teilnehmer)
• Lückenlose Dokumentation aller unterzeichneten NDAs (Wer hat wann was unterschrieben?)
• Vertragskontrolle: Werden die NDA-Bedingungen regelmäßig überprüft?
• Nachverfolgung: Was passiert bei NDA-Verletzungen? Gibt es einen definierten Eskalationsprozess?
• Gültigkeitszeiträume: Werden abgelaufene NDAs erneuert?

Prototypenschutz erfordert die enge Zusammenarbeit von IT, Facility-Management, Einkauf und den Fachabteilungen. Es ist kein reines IT-Thema. Informiere dich auch über die passenden TISAX-Labels und die Audit-Vorbereitung, um optimal auf die AL3-Prüfung vorbereitet zu sein.