Was ist TISAX?

TISAX steht für Trusted Information Security Assessment Exchange und ist ein branchenspezifischer Standard für Informationssicherheit in der Automobilindustrie. Das Verfahren wurde vom Verband der Automobilindustrie (VDA) entwickelt und wird seit 2017 über die ENX Association betrieben — ein europäischer Verband, der digitale Sicherheitsstandards für die Automobilbranche koordiniert.

Der Hintergrund: Automobilhersteller wie BMW, Volkswagen, Mercedes-Benz oder Stellantis tauschen täglich hochsensible Daten mit Hunderten von Zulieferern aus — von CAD-Daten über Prototypenbilder bis hin zu personenbezogenen Informationen. Ein Sicherheitsvorfall bei einem einzigen Zulieferer kann die gesamte Lieferkette gefährden. TISAX schafft hier ein einheitliches, gegenseitig anerkanntes Bewertungssystem, das kostspielige Einzelaudits durch jeden OEM ersetzt.

TISAX basiert auf dem VDA ISA-Katalog (Information Security Assessment) und orientiert sich inhaltlich stark an der internationalen Norm ISO 27001. Während ISO 27001 ein allgemeines Framework für Informationssicherheit darstellt, ist TISAX speziell auf die Anforderungen und Risiken der Automobilbranche zugeschnitten.

Das Ergebnis einer TISAX-Prüfung — das sogenannte TISAX-Label — wird über die ENX-Plattform geteilt. OEMs können dort die Labels ihrer Zulieferer einsehen, ohne eigene Audits durchführen zu müssen. Das spart Zeit und Ressourcen auf beiden Seiten.

TISAX-Anforderungen im Überblick: Der VDA ISA Katalog

Die konkreten TISAX-Anforderungen sind im VDA ISA-Katalog (Information Security Assessment) definiert. Dieser Katalog umfasst derzeit über 60 Kontrollbereiche, die in Kapitel und Unterkapitel gegliedert sind. Die aktuelle Version ist der VDA ISA 6.0.

Die Hauptbereiche des VDA ISA umfassen:

• Informationssicherheitsrichtlinien und -organisation: Gibt es eine dokumentierte IS-Politik? Ist die Verantwortung klar geregelt? Existiert ein ISMS?
• Personelle Sicherheit: Überprüfung von Mitarbeitern, Schulungen, Bewusstsein für Sicherheitsrisiken
• Physische und umgebungsbezogene Sicherheit: Zutrittskontrolle, Schutz von Serverräumen, sichere Bereiche
• Asset Management: Inventarisierung, Klassifizierung und Handhabung von Informationswerten
• Zugangskontrolle: Benutzerrechte, Passwortrichtlinien, privilegierte Zugriffe
• Kryptografie: Verschlüsselung, Schlüsselverwaltung
• Betriebssicherheit: Change Management, Kapazitätsplanung, Malware-Schutz
• Kommunikationssicherheit: Netzwerktrennung, Dateiübertragungen, E-Mail-Sicherheit
• Lieferantenbeziehungen: Anforderungen an Unterauftragnehmer, Vertragsgestaltung
• Informationssicherheits-Vorfallmanagement: Erkennung, Reaktion und Meldung von Sicherheitsvorfällen
• Business Continuity: Notfallplanung, Wiederherstellung nach Ausfällen
• Compliance: Einhaltung rechtlicher Anforderungen und interner Richtlinien

Ergänzend zu den allgemeinen Informationssicherheitsanforderungen enthält der VDA ISA spezifische Module für Prototypenschutz und Datenschutz, die je nach gewünschtem TISAX-Prüfziel relevant werden.

Jede Anforderung im Katalog ist nach Reifegrad bewertet: Von Stufe 0 (keine Anforderung erfüllt) bis Stufe 5 (kontinuierliche Verbesserung etabliert). Für eine TISAX-Freigabe ist in der Regel mindestens Reifegrad 3 (definierter Prozess, vollständig implementiert) erforderlich.

Die 3 TISAX-Prüfziele

TISAX unterscheidet drei verschiedene Prüfziele, die unterschiedliche Aspekte der Informationssicherheit abdecken. Welches Prüfziel ein Unternehmen benötigt, hängt von den Anforderungen des OEMs und der Art der ausgetauschten Informationen ab.

1. Informationssicherheit

Das grundsätzliche TISAX-Prüfziel bewertet, ob das Unternehmen einen angemessenen Schutz von sensiblen Informationen gemäß VDA ISA sicherstellt. Dies umfasst die klassischen Schutzziele der Informationssicherheit — Vertraulichkeit, Integrität und Verfügbarkeit — im Kontext automobilspezifischer Daten.

Typische Anwendungsszenarien: Unternehmen, die vertrauliche Konstruktionsdaten, Verträge, Preislisten oder strategische Informationen von OEMs verarbeiten.

2. Prototypenschutz

Der Prototypenschutz ist eine automotive-spezifische Erweiterung, die besonders strenge Anforderungen an den Umgang mit nicht-öffentlichen Fahrzeugprototypen stellt. Hierzu gehören physische Sicherheitsmaßnahmen wie:

• Verdeckung von Prototypen bei Transport und Fotoshootings
• Kontrolle von Kameraausrüstung in Entwicklungsbereichen
• Sichere Lagerung und Dokumentation von Prototypenteilen
• Zutrittsregelungen für Entwicklungs- und Testbereiche

Unternehmen, die physisch mit Prototypen in Berührung kommen (z. B. Designstudios, Erprobungsdienstleister, Fotografen), benötigen dieses Prüfziel.

3. Datenschutz

Das Prüfziel Datenschutz bewertet die Einhaltung der DSGVO-Anforderungen im Kontext der Automobilbranche. Relevant ist dies insbesondere für Unternehmen, die im Auftrag von OEMs personenbezogene Daten verarbeiten — etwa Kundendaten, Mitarbeiterdaten oder Telematikdaten von Fahrzeugen.

Die Kombination aus Informationssicherheit und Datenschutz wird häufig verlangt, wenn Zulieferer sowohl technische Fahrzeugdaten als auch personenbezogene Informationen verarbeiten.

TISAX-Assessment-Level: AL 1, AL 2 und AL 3

TISAX definiert drei Assessment-Level (AL), die den Prüfungsumfang und die -tiefe bestimmen. Das erforderliche Assessment-Level wird vom anfragenden OEM vorgegeben und hängt vom Schutzbedarf der ausgetauschten Informationen ab, der im Rahmen einer strukturierten Schutzbedarfsanalyse ermittelt wird.

Assessment-Level 1 (AL 1)

AL 1 ist das niedrigste Assessment-Level und gilt für Informationen mit normalem Schutzbedarf. Das Assessment erfolgt als Selbsteinschätzung: Das Unternehmen bewertet sich anhand des VDA ISA selbst und lädt die Ergebnisse auf die ENX-Plattform hoch. Eine externe Prüfung durch einen akkreditierten Auditor findet nicht statt.

AL 1 ist vergleichsweise selten in der Praxis — die meisten OEMs fordern mindestens AL 2.

Assessment-Level 2 (AL 2)

AL 2 gilt für Informationen mit hohem Schutzbedarf und ist das in der Praxis am häufigsten geforderte Level. Das Assessment wird durch einen akkreditierten externen Auditor durchgeführt, der die implementierten Maßnahmen prüft und bewertet.

Das Audit umfasst typischerweise:

• Dokumentenprüfung (Richtlinien, Prozesse, Nachweise)
• Interviews mit Verantwortlichen
• Begehung der relevanten Standorte
• Technische Überprüfungen

Assessment-Level 3 (AL 3)

AL 3 gilt für Informationen mit sehr hohem Schutzbedarf, etwa für Daten, die strategisch besonders kritisch sind oder bei denen ein Sicherheitsvorfall schwerwiegende Folgen hätte. Das Assessment ist besonders intensiv und umfasst zusätzlich zu den AL-2-Maßnahmen eine tiefergehende technische Prüfung.

AL 3 wird typischerweise für Zulieferer verlangt, die Zugang zu besonders sensiblen Entwicklungsdaten haben, etwa bei der Entwicklung autonomer Fahrsysteme oder bei Sicherheitssystemen.

TISAX vs. ISO 27001 — Unterschiede und Gemeinsamkeiten

TISAX und ISO 27001 verfolgen ähnliche Ziele, unterscheiden sich aber in wichtigen Punkten. Ein Verständnis dieser Unterschiede ist wichtig für Unternehmen, die beide Standards berücksichtigen müssen.

Kriterium	TISAX	ISO 27001
Branche	Automobilindustrie (spezifisch)	Branchenübergreifend
Grundlage	VDA ISA Katalog	ISO/IEC 27001 Norm
Ergebnis	TISAX-Label (zeitlich begrenzt, 3 Jahre)	ISO-Zertifikat (3 Jahre + jährl. Überwachungsaudit)
Anerkennung	ENX-Plattform (Automobilbranche)	International, branchenübergreifend
Teilen des Ergebnisses	Über ENX-Plattform (kontrolliertes Sharing)	Zertifikat öffentlich oder auf Anfrage
Prototypenschutz	Explizit enthalten (Prüfziel)	Nicht spezifisch adressiert
ISMS-Pflicht	Nein (aber empfohlen)	Ja, zwingend erforderlich
Kosten	Tendenziell geringer	Tendenziell höher

Synergiepotenzial: Unternehmen, die bereits nach ISO 27001 zertifiziert sind, haben bei TISAX erhebliche Vorteile, da viele Anforderungen überlappen. Eine ISO-27001-Zertifizierung kann den TISAX-Aufwand um 30–50 % reduzieren. Umgekehrt legt eine TISAX-Vorbereitung eine gute Basis für eine spätere ISO-27001-Zertifizierung.

TISAX-Zertifizierung: Ablauf in 5 Schritten

Der Weg zum TISAX-Label folgt einem standardisierten Prozess, der über die ENX Association koordiniert wird. Hier ist der typische Ablauf:

Schritt 1: Registrierung bei ENX

Das Unternehmen registriert sich auf der ENX-Plattform (enx.com) und legt ein TISAX-Teilnehmerprofil an. Dabei werden Unternehmensdaten, die zu prüfenden Standorte und das gewünschte Prüfziel (Assessment-Scope) definiert. Die Registrierungsgebühr beträgt einmalig 100 Euro.

Schritt 2: Selbsteinschätzung anhand VDA ISA

Das Unternehmen führt eine interne Selbsteinschätzung (Gap-Analyse) anhand des VDA ISA-Katalogs durch. Dabei werden bestehende Maßnahmen bewertet und Lücken identifiziert. Diese Phase dient der Vorbereitung auf das externe Audit und zeigt, wo noch Handlungsbedarf besteht.

Für diesen Schritt empfiehlt sich die Unterstützung durch einen erfahrenen Informationssicherheitsbeauftragten, der den VDA ISA kennt und typische Schwachstellen identifizieren kann.

Schritt 3: Auswahl eines akkreditierten Prüfdienstleisters

Für AL 2 und AL 3 wählt das Unternehmen einen durch die ENX Association akkreditierten Audit Provider aus. Die Liste akkreditierter Anbieter ist auf der ENX-Website verfügbar. Bekannte Anbieter sind u. a. TÜV Rheinland, TÜV SÜD, Bureau Veritas, SGS und spezialisierte IT-Sicherheitsunternehmen.

Schritt 4: Externes Assessment

Der Audit Provider führt das Assessment durch. Bei AL 2 umfasst dies typischerweise:

• Kickoff-Gespräch und Planung (remote oder vor Ort)
• Dokumentenprüfung (Richtlinien, Prozessdokumentationen, Nachweise)
• Vor-Ort-Audit mit Interviews und Begehungen
• Nachbereitung und Erstellung des Assessment-Berichts

Das Assessment dauert je nach Unternehmensgröße und Vorbereitung zwischen 2 Tagen (kleines Unternehmen, gut vorbereitet) und mehreren Wochen (großer Konzern, mehrere Standorte).

Schritt 5: Label-Vergabe und Sharing

Nach erfolgreichem Assessment lädt der Auditor den Bericht auf die ENX-Plattform hoch. Das TISAX-Label wird vergeben und ist für 3 Jahre gültig. Das Unternehmen kann das Label dann gezielt mit den anfragenden OEMs über die Plattform teilen — vollständig datenschutzkonform und kontrolliert.

Wichtig: Das TISAX-Label ist nicht öffentlich zugänglich. Es wird nur an explizit freigeschaltete Partner auf der ENX-Plattform weitergegeben.

Kosten einer TISAX-Zertifizierung

Die Kosten für TISAX variieren stark je nach Unternehmensgröße, Anzahl der Standorte, Assessment-Level und Vorbereitungsstand. Die folgende Übersicht gibt einen realistischen Rahmen:

Direkte Kosten

• ENX-Registrierung: Einmalig 100 Euro
• Audit-Kosten (AL 2, kleines Unternehmen, 1 Standort): 3.000 – 8.000 Euro
• Audit-Kosten (AL 2, mittleres Unternehmen, 1–3 Standorte): 8.000 – 20.000 Euro
• Audit-Kosten (AL 3): 15.000 – 40.000+ Euro
• Re-Assessment nach 3 Jahren: Ähnliche Kosten wie Erstassessment

Indirekte Kosten (Vorbereitung)

• Interner Aufwand: 50–200 Personentage, je nach Ausgangssituation
• Externe Beratung/ISB: 5.000 – 30.000 Euro (abhängig von Umfang)
• Technische Maßnahmen: Sehr variabel — von 0 Euro (bereits gut aufgestellt) bis zu sechsstelligen Investitionen (komplett neu aufbauen)

Kosteneinflussfaktoren

Folgende Faktoren senken die Gesamtkosten erheblich:

• Vorhandene ISO-27001-Zertifizierung: Reduzierung um 30–50 %
• Gut dokumentierte bestehende Sicherheitsmaßnahmen
• Klarer definierter Scope (weniger Standorte, enger Umfang)
• Frühzeitige externe Beratung zur gezielten Vorbereitung

TISAX für Zulieferer — Warum es Pflicht wird

Für viele Automobilzulieferer ist TISAX längst keine freiwillige Option mehr, sondern eine faktische Marktzugangsvoraussetzung. Die großen deutschen OEMs — BMW, Volkswagen, Mercedes-Benz, Audi, Porsche, aber auch internationale Hersteller wie Stellantis und Renault — fordern TISAX zunehmend als Vertragsvoraussetzung.

Die Tendenz ist eindeutig: Was vor fünf Jahren noch bei wenigen Premium-OEMs Standard war, hat sich inzwischen auf nahezu die gesamte Branche ausgeweitet. Auch Tier-2- und Tier-3-Zulieferer (Lieferanten von Lieferanten) geraten zunehmend in den Fokus, da OEMs von ihren direkten Zulieferern verlangen, dass auch deren Unterlieferanten angemessene Sicherheitsstandards einhalten.

Wer benötigt TISAX?

TISAX ist relevant für:

• Direktzulieferer (Tier 1): Fast immer verpflichtend bei Zusammenarbeit mit großen OEMs
• Ingenieurbüros und Engineering-Dienstleister: Wenn sie Zugang zu sensiblen Entwicklungsdaten haben
• IT-Dienstleister in der Automobilindustrie: Bei Betrieb von automotive-kritischen Systemen
• Designstudios und Fotografen: Wenn sie mit Prototypen arbeiten (Prüfziel Prototypenschutz)
• Rechtsanwälte, Berater, Wirtschaftsprüfer: Bei Zugang zu vertraulichen OEM-Informationen
• Logistikdienstleister: Bei Transport sensibler Fahrzeugteile oder Prototypen

Konsequenzen ohne TISAX

Unternehmen, die kein TISAX-Label vorweisen können, riskieren:

• Verlust bestehender Kundenbeziehungen zu OEMs
• Ausschluss aus Ausschreibungen und Vergabeverfahren
• Reputationsschäden im Automotive-Umfeld
• Vertragsstrafen bei bestehenden Rahmenverträgen mit TISAX-Klausel

Angesichts der wachsenden Bedeutung von Lieferkettensicherheit und der zunehmenden Digitalisierung der Fahrzeugentwicklung wird der Druck auf Zulieferer weiter steigen. Wer heute mit der TISAX-Vorbereitung beginnt, sichert sich langfristig Wettbewerbsvorteile.

Häufige Fragen zu TISAX (FAQ)

Wie lange ist ein TISAX-Label gültig?

Ein TISAX-Label ist 3 Jahre gültig. Nach Ablauf muss ein neues Assessment durchgeführt werden. Es gibt kein jährliches Überwachungsaudit wie bei ISO 27001, was den laufenden Aufwand reduziert. Allerdings sollten Unternehmen die Maßnahmen kontinuierlich aufrechterhalten, da das Re-Assessment die gleiche Prüftiefe hat wie das Erstassessment.

Kann ich TISAX selbst vorbereiten oder brauche ich externe Unterstützung?

Grundsätzlich ist eine eigenständige Vorbereitung möglich, jedoch für die meisten Unternehmen nicht empfehlenswert. Der VDA ISA-Katalog erfordert tiefes Wissen über Informationssicherheitsstandards. Ein erfahrener ISB oder TISAX-Berater kann den Aufwand erheblich reduzieren und typische Fallstricke vermeiden — was sich in der Regel durch kürzere Vorbereitungszeiten und weniger Nachbesserungen beim Audit bezahlt macht.

Was passiert, wenn das Assessment Mängel aufdeckt?

Werden beim TISAX-Assessment Mängel (sogenannte „Findings“) festgestellt, hat das Unternehmen die Möglichkeit, diese innerhalb einer vereinbarten Frist zu beheben und Nachweise beim Auditor einzureichen. Erst nach Bestätigung der Behebung wird das Label vergeben. Bei schwerwiegenden Mängeln kann ein erneutes Vor-Ort-Audit erforderlich sein.

Muss jeder Unternehmensstandort separat geprüft werden?

Grundsätzlich wird der Scope (Umfang) der TISAX-Prüfung zu Beginn definiert. In der Regel werden alle Standorte geprüft, an denen relevante Informationen verarbeitet werden. Bei mehreren Standorten mit ähnlichen Prozessen können unter Umständen Stichproben oder gemeinsame Audits effizienter gestaltet werden — dies hängt vom Auditor und den spezifischen Anforderungen ab.

Ist TISAX auch für kleine Unternehmen relevant?

Ja, TISAX ist ausdrücklich auch für KMU konzipiert. Der Aufwand ist für kleinere Unternehmen in der Regel geringer, da der Scope enger definiert werden kann. Viele Anforderungen lassen sich in kleinen Unternehmen pragmatischer und kostengünstiger umsetzen als in Konzernen. Gerade für spezialisierte Ingenieurbüros oder Designstudios kann ein TISAX-Label ein wichtiger Wettbewerbsvorteil sein.

TISAX-Beratung für Automobilzulieferer — Jetzt starten

Die TISAX-Anforderungen sind komplex, aber mit der richtigen Vorbereitung gut beherrschbar. Als erfahrener Informationssicherheitsbeauftragter unterstützen wir Unternehmen in Dresden, Sachsen und deutschlandweit bei der strukturierten TISAX-Vorbereitung und -Begleitung.

Unser Ansatz:

• Initiale Gap-Analyse anhand des VDA ISA-Katalogs
• Priorisierter Maßnahmenplan mit realistischen Umsetzungsfristen
• Unterstützung bei der Dokumentation (Richtlinien, Prozesse, Nachweise)
• Begleitung des externen Audits als sachkundiger Ansprechpartner
• Aufbau nachhaltiger Strukturen für das Re-Assessment in 3 Jahren

Durch unsere Expertise in ISO 27001 und dem Aufbau von ISMS können wir Synergien nutzen und den Gesamtaufwand für Sie minimieren. Sprechen Sie uns an — wir beraten Sie unverbindlich und kostenlos zu Ihren TISAX-Anforderungen.

Kostenlose TISAX-Erstberatung anfragen →

Verwandte Themen

• IT-Grundschutz
• ISO 27000 Normenreihe
• ISO 27002 Maßnahmen
• ISMS-Tools
• Cyber-Versicherung
• Datensicherheit
• SIEM
• Phishing-Schutz