TISAX-Beratung nach VDA-ISA für die Automobil-Lieferkette.

Wer als Zulieferer in der Automobil-Lieferkette arbeitet, kommt an TISAX nicht vorbei. Das gemeinsame Sicherheitsprüfverfahren der deutschen Automobil-Industrie verlangt regelmäßige Assessments. Wir bringen ISA6-Schulungen und Erfahrung aus mehreren TISAX-Vorbereitungsprozessen mit und begleiten den Prozess vom ersten Self-Assessment bis zum Label. Das formelle Assessment führt ein von der ENX Association akkreditierter Audit-Provider durch.

8 Minuten Lesezeit · Themen: VDA-ISA 6, Assessment Level, Prototypenschutz
Inhalt
7 Abschnitte · 8 Minuten Lesezeit
  1. 01Was ist TISAX und wer steht dahinter?1 min
  2. 02Wer TISAX braucht — und ab wann1 min
  3. 03Assessment Level: AL1, AL2 und AL32 min
  4. 04Der TISAX-Prozess von Self-Assessment bis Label2 min
  5. 05Die drei Prüfkataloge: Informations-, Daten- und Prototypenschutz1 min
  6. 06ISA 6 — was sich gegenüber älteren Versionen geändert hat1 min
  7. 07Häufig gestellte Fragen3 min

Was ist TISAX und wer steht dahinter?

TISAX steht für Trusted Information Security Assessment Exchange — ein gemeinsames Sicherheitsprüfverfahren der deutschen Automobil-Industrie. Es wurde vom Verband der Automobilindustrie (VDA) entwickelt und wird von der ENX Association betrieben. TISAX basiert auf dem Prüfkatalog VDA-ISA (Information Security Assessment), der inhaltlich stark an ISO 27001 angelehnt ist, aber zusätzliche Anforderungen für die Automobil-Branche enthält.

Das Verfahren entstand aus einem praktischen Problem: Jeder Automobilhersteller forderte von seinen Zulieferern eigene Sicherheits-Audits. Ein Zulieferer, der mehrere OEMs belieferte, musste sich mehrfach prüfen lassen — mit jeweils unterschiedlichen Anforderungen. TISAX vereinheitlicht dieses Verfahren: Eine bestandene Prüfung ist über das ENX-Portal für alle teilnehmenden OEMs sichtbar und wird gegenseitig anerkannt.

Wer TISAX braucht — und ab wann

TISAX ist nicht gesetzlich vorgeschrieben. Es ist eine vertragliche Voraussetzung. Wer als Zulieferer mit den großen deutschen OEMs (Volkswagen, BMW, Mercedes-Benz, Porsche, Audi) zusammenarbeitet, wird in der Regel vertraglich zur TISAX-Teilnahme verpflichtet. Das gleiche gilt für viele Tier-1-Zulieferer (Bosch, Continental, ZF), die ihrerseits ihre Zulieferer prüfen lassen.

Typische TISAX-Pflichtige:

  • Komponenten- und Modul-Zulieferer
  • Engineering-Dienstleister mit Entwicklungsdaten-Zugriff
  • IT- und Software-Dienstleister für die Automobil-Branche
  • Logistik- und Lager-Dienstleister mit Zugriff auf sensible Daten
  • Werkstätten und Service-Partner mit Zugriff auf Prototypen

Der typische Trigger für TISAX-Mandate ist eine Anfrage des OEM oder Tier-1-Kunden: „Wir brauchen Ihren TISAX-Label-Nachweis bis Datum X.“ Wer dann beginnt, hat in der Regel 6 bis 9 Monate Zeit — knapp, aber machbar.

Assessment Level: AL1, AL2 und AL3

TISAX unterscheidet drei Assessment Level mit unterschiedlicher Prüfungstiefe. Die Wahl des Levels hängt vom Schutzbedarf der zu verarbeitenden Daten ab.

Assessment Level 1 (AL1) — reine Selbsteinschätzung. Wird in der Praxis kaum verlangt und reicht nur für unkritische Lieferanten ohne Zugriff auf sensible Daten.

Assessment Level 2 (AL2) — Self-Assessment mit Plausibilitätsprüfung durch einen Auditor. Der häufigste Level für Standard-Zulieferer mit normalem Schutzbedarf. Die Prüfung erfolgt remote, der Auditor stichprobenartig.

Assessment Level 3 (AL3) — Vollständiges Vor-Ort-Audit durch einen Auditor. Notwendig bei besonders hohem Schutzbedarf — insbesondere wenn Prototypendaten verarbeitet werden oder besonders schutzwürdige personenbezogene Daten beteiligt sind. AL3 ist deutlich aufwendiger als AL2 und entsprechend teurer.

Welcher Level relevant ist, definiert der OEM oder Kunde im Rahmen seiner Lieferanten-Anforderungen. Häufig: AL2 für Standardprozesse, AL3 für Bereiche mit Prototypen oder besonders sensiblen Daten.

Der TISAX-Prozess von Self-Assessment bis Label

Der TISAX-Prozess folgt einem klar strukturierten Ablauf in vier Phasen:

  1. Registrierung bei ENX und Scope-Definition. Anmeldung im ENX-Portal, Festlegung des Assessment-Scope (welche Standorte, welche Prozesse, welche Daten), Wahl des Assessment Levels.
  2. Self-Assessment nach VDA-ISA. Strukturierte Selbstbewertung gegen den ISA-Katalog. Bei AL1 ist der Prozess hier zu Ende, bei AL2 und AL3 folgt die Prüfung durch einen externen Auditor.
  3. Externes Assessment. Der Auditor prüft das Self-Assessment auf Plausibilität (AL2) oder führt ein vollständiges Vor-Ort-Audit durch (AL3). Bei Findings müssen Mängel innerhalb definierter Fristen behoben werden.
  4. TISAX-Label-Vergabe. Nach bestandener Prüfung wird das TISAX-Label im ENX-Portal vergeben. Das Label ist für alle teilnehmenden Unternehmen sichtbar und ersetzt einzelne Audits durch die OEMs.

Das Label ist drei Jahre gültig. Vor Ablauf erfolgt ein Re-Assessment im selben Verfahren.

Die drei Prüfkataloge: Informations-, Daten- und Prototypenschutz

VDA-ISA besteht aus drei Prüfkatalogen, die je nach Bedarf einzeln oder kombiniert angewendet werden:

  • Informationssicherheit (Basis). Der Kern-Katalog mit Anforderungen analog zu ISO 27001. Immer Bestandteil eines TISAX-Assessments.
  • Datenschutz. Erweiterter Katalog bei Verarbeitung besonders schutzwürdiger personenbezogener Daten. Inhaltlich am DSGVO-Rahmen orientiert.
  • Prototypenschutz. Sehr spezifischer Katalog für Unternehmen mit Zugriff auf Prototypen-Fahrzeuge oder -Komponenten. Hier geht es um physische Schutzmaßnahmen, Geheimhaltungs-Konzepte und besondere Zugriffs-Kontrollen.

Welche Kataloge geprüft werden, hängt vom Scope und den Anforderungen des OEM ab. Wer keine Prototypen verarbeitet, braucht den entsprechenden Katalog nicht. Wer Prototypen verarbeitet, kommt um AL3 in Verbindung mit dem Prototypenschutz-Katalog nicht herum.

ISA 6 — was sich gegenüber älteren Versionen geändert hat

Die aktuelle Version des VDA-ISA-Katalogs ist ISA 6. Sie wurde gegenüber den Vorgängerversionen erheblich überarbeitet:

  • Stärkere Ausrichtung an ISO/IEC 27001:2022
  • Neue Anforderungen zu Cloud-Sicherheit und Lieferketten-Risiken
  • Schärfere Vorgaben zu Datenklassifizierung und Zugriffskontrolle
  • Erweiterte Anforderungen im Prototypenschutz
  • Klarere Bewertungsskala für Self-Assessments

Wer in den letzten Jahren ein TISAX-Label nach älteren ISA-Versionen erworben hat, muss beim nächsten Re-Assessment auf ISA 6 umstellen. Das ist in der Regel mit zusätzlichem Aufwand verbunden — insbesondere bei den Themen Cloud-Sicherheit und Lieferanten-Bewertung.

Häufig gestellte Fragen

Sechs Fragen, die in fast jedem TISAX-Erstgespräch vorkommen. Klicken Sie eine Frage an, um die Antwort zu sehen.

Wie lange dauert eine TISAX-Zertifizierung typischerweise?

Bei AL2 sind 4 bis 6 Monate von Registrierung bis Label realistisch — bei vorhandener ISMS-Struktur. Ohne ISMS-Basis können 8 bis 12 Monate nötig sein. AL3 dauert in der Regel etwas länger, vor allem wegen der aufwendigeren Vor-Ort-Prüfung. Wer von einem Kunden eine konkrete Deadline bekommt, sollte sofort beginnen.

Reicht unser ISO-27001-Zertifikat für TISAX?

Nein, ISO 27001 ersetzt TISAX nicht — aber es macht den Weg zu TISAX erheblich kürzer. ISA 6 hat eine sehr hohe inhaltliche Überdeckung mit ISO 27001:2022. Wer ISO-27001-zertifiziert ist, hat in der Regel 80 Prozent der TISAX-Anforderungen bereits erfüllt. Die Lücken liegen meist im Prototypenschutz und in branchenspezifischen Anforderungen.

Was kostet TISAX?

Die Kosten setzen sich aus drei Teilen zusammen: der ENX-Registrierungsgebühr, den Audit-Kosten beim externen Auditor (je nach Assessment Level und Scope) und den internen Vorbereitungskosten, die häufig der größte Posten sind. Registrierung und externes Audit sind Fremdkosten, die unabhängig von uns anfallen. Unseren eigenen Vorbereitungs-Aufwand kalkulieren wir mandatsspezifisch und aufwandsbasiert — eine pauschale Aussage ist nicht möglich.

Können wir das Self-Assessment selbst durchführen?

Grundsätzlich ja — das Self-Assessment ist Pflicht. Aber: Ohne Vorerfahrung mit VDA-ISA wird das Self-Assessment häufig zu großzügig durchgeführt. Beim externen Audit fallen dann Mängel auf, die teure Nacharbeit erfordern. Wir empfehlen, das Self-Assessment intern zu erstellen und vor der externen Prüfung gegenchecken zu lassen.

Wir verarbeiten Prototypen. Wie aufwendig ist das?

Prototypenschutz ist der anspruchsvollste TISAX-Bereich. Erforderlich sind physische Schutzmaßnahmen (Zutrittskontrolle, Sichtschutz, Foto-Verbote), organisatorische Maßnahmen (Geheimhaltungs-Erklärungen, Schulungen) und prozessuale Maßnahmen (Dokumentation der Prototyp-Zugriffe, Notfall-Prozesse bei Verlust). AL3 mit Prototypenschutz erfordert in der Regel deutliche bauliche oder organisatorische Anpassungen.

Was passiert, wenn wir das TISAX-Label nicht erhalten?

Bei mittleren Findings müssen Mängel innerhalb definierter Fristen behoben werden — danach erfolgt ein erneuter Audit. Bei schweren Findings wird das Label vorerst nicht vergeben. Solange kein Label vorliegt, riskiert man den Verlust der Geschäftsbeziehung zum OEM — in der Praxis ist das die wichtigere Konsequenz als jedes Bußgeld.

Unser Ansatz

Wie wir Sie zum TISAX-Label führen.

Wir kennen die VDA-ISA-Anforderungen aus eigener ISA6-Schulung und mehreren TISAX-Vorbereitungsprozessen. Das bedeutet: Wir wissen, was beim externen Audit konkret geprüft wird, und können das Self-Assessment so vorbereiten, dass es einer kritischen Prüfung standhält. Mandate reichen von kleineren Zulieferern mit AL2-Scope bis zu größeren Engineering-Dienstleistern mit AL3 und Prototypenschutz.

Unser Vorgehen ist pragmatisch: Erst Bestandsaufnahme gegen ISA 6, dann gezielte Maßnahmen für die identifizierten Lücken, parallel Aufbau der nötigen Dokumentation. Das Self-Assessment erstellen wir gemeinsam mit Ihren Verantwortlichen, sodass intern Know-how aufgebaut wird statt externer Abhängigkeit. Auf Wunsch begleiten wir auch das externe Audit und die Re-Audits im Drei-Jahres-Zyklus.

Erstgespräch zur TISAX-Vorbereitung.

30 Minuten. Wir klären, welcher Assessment Level zu Ihrer Situation passt, wie lange die Vorbereitung realistisch dauert und wo Ihre größten Lücken liegen.

Erstgespräch buchen Methodik kennenlernen →
Verwandte Themen

TISAX baut auf einem soliden ISMS-Fundament auf.

Bei Automobil-Zulieferern überschneiden sich häufig folgende Themen:

Informationssicherheits-Managementsystem Ein ISO-27001-ISMS deckt rund 80 Prozent der ISA-6-Anforderungen ab NIS-2-Umsetzung Größere Zulieferer fallen häufig zusätzlich unter NIS-2 Security Awareness Schulung Awareness-Konzepte sind Pflicht-Bestandteil jedes TISAX-Audits