Seite wählen

TISAX® Audit 2026: Was Automobilzulieferer jetzt beachten müssen

von | März 5, 2026 | Allgemein | 0 Kommentare

Die Automobilindustrie ist einer der stärksten Wirtschaftsmotoren in Sachsen. Vom Großwerk in Leipzig und Zwickau bis hin zum hochspezialisierten Zulieferer in Dresden oder Chemnitz – die Lieferketten sind tief verzweigt. Um diese sensiblen Ketten vor Cyberangriffen und Datendiebstahl zu schützen, verlangen die großen OEMs (Original Equipment Manufacturer) von ihren Partnern zwingend ein TISAX®-Label (Trusted Information Security Assessment Exchange).

Was ist ein TISAX® Audit?

Ein TISAX® Audit ist eine standardisierte Überprüfung der Informationssicherheit speziell für die Automobilindustrie. TISAX wurde vom Verband der Automobilindustrie (VDA) entwickelt und wird von der ENX Association verwaltet. Im Kern basiert TISAX auf dem ISA-Fragenkatalog (Information Security Assessment), der sich eng an die ISO 27001 anlehnt, aber um branchenspezifische Anforderungen ergänzt wird.

Im Unterschied zu einer klassischen ISO-27001-Zertifizierung ist TISAX kein allgemeines Zertifikat, sondern ein brancheninterner Prüfmechanismus. Das bedeutet: Ein TISAX-Label wird nicht öffentlich vergeben, sondern über die ENX-Plattform mit definierten Geschäftspartnern geteilt. OEMs wie Volkswagen, BMW, Mercedes-Benz, Porsche oder Audi fordern von ihren Zulieferern ein gültiges TISAX-Label, bevor sie vertrauliche Konstruktionsdaten, Prototypen-Informationen oder Produktionspläne weitergeben.

Für sächsische Automobilzulieferer – ob in Dresden, Chemnitz, Zwickau oder Leipzig – ist TISAX damit keine freiwillige Maßnahme, sondern eine geschäftskritische Voraussetzung, um überhaupt in der Lieferkette verbleiben zu können.

TISAX Assessment Level: AL 1, AL 2 und AL 3

TISAX unterscheidet drei Assessment Levels (AL), die den Prüfungsumfang und die Prüftiefe bestimmen. Welches Level erforderlich ist, hängt von der Art der zu schützenden Informationen ab:

AL 1 – Selbstbewertung (Self-Assessment)

Bei AL 1 bewertet sich das Unternehmen selbst anhand des ISA-Fragenkatalogs. Eine externe Prüfung findet nicht statt. Dieses Level wird in der Praxis kaum von OEMs akzeptiert und ist daher für die meisten Zulieferer nicht ausreichend.

AL 2 – Plausibilitätsprüfung (Remote oder vor Ort)

AL 2 umfasst eine Prüfung durch einen akkreditierten TISAX-Prüfdienstleister. Die Prüfung kann teilweise remote erfolgen. Der Prüfer verifiziert die Selbstbewertung anhand von Stichproben und Dokumentenprüfungen. AL 2 ist das am häufigsten geforderte Level für Zulieferer, die mit vertraulichen Informationen arbeiten.

AL 3 – Vollständiges Audit (vor Ort)

AL 3 ist die umfassendste Prüfung. Sie erfordert ein vollständiges Vor-Ort-Audit durch den Prüfdienstleister. Jede Anforderung des ISA-Katalogs wird detailliert geprüft, inklusive Begehung der Räumlichkeiten, Interviews mit Mitarbeitern und technischer Kontrollen. AL 3 wird für den Schutz von Prototypen (Prototypenschutz) und besonders vertraulichen Daten verlangt.

Typische Zuordnung: Unternehmen, die mit Konstruktionsdaten oder Prototypen arbeiten, benötigen AL 3. Zulieferer mit Zugang zu vertraulichen Geschäftsinformationen kommen in der Regel mit AL 2 aus.

Neue Anforderungen und Kataloge

TISAX entwickelt sich ständig weiter, um auf neue Bedrohungsvektoren zu reagieren. Die Auditierungskataloge (ISA – Information Security Assessment) werden regelmäßig überarbeitet. Zulieferer, die vor der Re-Zertifizierung stehen oder TISAX neu einführen müssen, sehen sich oft mit gestiegenen Anforderungen in Bereichen wie Cloud-Security, Identitäts- und Zugriffsmanagement (IAM) und Incident-Response-Planung konfrontiert.

Seit der ISA-Version 6 sind unter anderem folgende Themen stärker gewichtet:

  • Cloud-Security: Detaillierte Anforderungen an die Nutzung von Cloud-Diensten, einschließlich Datenklassifizierung und Verschlüsselung
  • Mobile Device Management (MDM): Kontrolle über Smartphones und Tablets, die auf Unternehmensdaten zugreifen
  • Supply-Chain-Security: Absicherung der eigenen Lieferantenkette und Nachweise über Sicherheitsmaßnahmen bei Subunternehmern
  • Datenschutz (DSGVO-Konformität): Integration von Datenschutzanforderungen in das Informationssicherheitskonzept

Vorbereitung auf das TISAX Audit – Checkliste

Eine strukturierte Vorbereitung ist der Schlüssel zum erfolgreichen TISAX-Audit. Die folgende Checkliste gibt einen Überblick über die wichtigsten Vorbereitungsschritte:

  1. Scope definieren: Welche Standorte, Abteilungen und Prozesse sind vom TISAX-Assessment betroffen? Klare Abgrenzung spart Zeit und Kosten.
  2. ISA-Katalog durcharbeiten: Jede Kontrollfrage des aktuellen ISA-Fragenkatalogs systematisch beantworten. Ehrliche Selbstbewertung als Ausgangspunkt.
  3. Gap-Analyse durchführen: Wo bestehen Abweichungen zwischen Ist-Zustand und TISAX-Anforderungen? Prioritäten nach Risiko und Aufwand setzen.
  4. ISMS aufbauen oder erweitern: Ein funktionierendes ISMS ist die Grundlage. Richtlinien, Prozesse und Verantwortlichkeiten dokumentieren.
  5. Technische Maßnahmen umsetzen: Firewalls, Verschlüsselung, MFA, Patch-Management, Backup-Konzepte – alle technischen Anforderungen implementieren.
  6. Mitarbeiter schulen: Awareness-Schulungen für alle Mitarbeiter. TISAX prüft auch, ob Mitarbeiter Sicherheitsrichtlinien kennen und einhalten.
  7. Dokumentation vervollständigen: Alle Richtlinien, Prozessbeschreibungen, Risikoanalysen und Nachweise zusammenstellen. TISAX ist dokumentationsintensiv.
  8. Internes Audit durchführen: Vor dem externen TISAX-Assessment ein internes Audit durchführen, um letzte Schwachstellen aufzudecken.
  9. Prüfdienstleister beauftragen: Akkreditierten TISAX-Prüfdienstleister über die ENX-Plattform auswählen und Assessment-Termin vereinbaren.

Ablauf und Dauer eines TISAX Audits

Der gesamte TISAX-Prozess gliedert sich in mehrere Phasen:

Phase 1: Registrierung (1–2 Wochen)

Das Unternehmen registriert sich auf der ENX-Plattform, definiert den Scope und wählt das erforderliche Assessment Level. Die Registrierungsgebühr fällt direkt an.

Phase 2: Vorbereitung (3–6 Monate)

Die eigentliche Vorbereitungszeit variiert stark je nach Reifegrad der bestehenden Informationssicherheit. Unternehmen mit einem bestehenden ISO-27001-zertifizierten ISMS können die Vorbereitung in 2–3 Monaten abschließen. Unternehmen ohne bestehende Strukturen sollten mindestens 6 Monate einplanen.

Phase 3: Assessment (1–5 Tage vor Ort)

Das eigentliche Audit durch den Prüfdienstleister dauert je nach Unternehmensgröße und Scope zwischen einem und fünf Tagen. Bei AL 3 ist mit längeren Prüfzeiten zu rechnen.

Phase 4: Nachbesserung (optional, bis 9 Monate)

Werden Abweichungen festgestellt, hat das Unternehmen bis zu 9 Monate Zeit, diese zu beheben und einen Nachweisaudit durchzuführen. Schwerwiegende Abweichungen (Major Non-Conformities) müssen priorisiert werden.

Phase 5: Label-Vergabe (3 Jahre gültig)

Nach erfolgreichem Assessment erhält das Unternehmen sein TISAX-Label, das über die ENX-Plattform mit Geschäftspartnern geteilt werden kann. Das Label ist drei Jahre gültig.

Kosten eines TISAX Audits

Die Kosten für ein TISAX-Assessment setzen sich aus mehreren Komponenten zusammen:

  • ENX-Registrierungsgebühr: Ca. 2.500–4.500 € je nach Scope und Standortanzahl
  • Prüfdienstleister-Honorar: Ca. 5.000–15.000 € für das eigentliche Assessment (abhängig von AL, Unternehmensgröße und Standorten)
  • Vorbereitungskosten: Ca. 10.000–50.000 € für externe Beratung, Gap-Analyse und Maßnahmenumsetzung – hier variieren die Kosten am stärksten
  • Interne Personalkosten: Nicht zu unterschätzen – die Vorbereitung bindet erhebliche interne Ressourcen

Für ein mittelständisches sächsisches Unternehmen mit einem Standort und AL 2 sollten Sie mit Gesamtkosten von 20.000–40.000 € rechnen. Bei AL 3 oder mehreren Standorten können die Kosten deutlich höher liegen.

Wichtig: Eine bereits bestehende ISO-27001-Zertifizierung reduziert den Vorbereitungsaufwand erheblich, da viele Anforderungen bereits erfüllt sind. Die Investition in ein ISMS zahlt sich also doppelt aus.

TISAX und ISO 27001 – Eine sinnvolle Synergie

Viele Unternehmen stellen fest, dass der TISAX-Katalog stark an die ISO 27001 angelehnt ist. Ein bereits bestehendes, sauberes ISMS nach ISO 27001 bildet das perfekte Fundament. TISAX ergänzt dies um branchenspezifische Zusatzanforderungen wie den Schutz von Prototypen oder spezielle Vorgaben an die Anbindung von Produktionsnetzwerken (OT-Security).

Die Synergien im Detail:

  • Risikoanalyse: Sowohl ISO 27001 als auch TISAX fordern eine systematische Risikoanalyse. Wer diese nach ISO 27001 bereits durchgeführt hat, muss sie für TISAX nur um branchenspezifische Assets erweitern.
  • Dokumentation: Die ISMS-Dokumentation nach ISO 27001 (Richtlinien, Verfahren, Aufzeichnungen) deckt ca. 70–80 % der TISAX-Dokumentationsanforderungen ab.
  • Kontinuierliche Verbesserung: Beide Standards fordern einen PDCA-Zyklus (Plan-Do-Check-Act). Ein gelebtes ISMS erfüllt diese Anforderung automatisch.
  • Auditierung: Die Erfahrung aus ISO-27001-Audits erleichtert die Vorbereitung auf TISAX-Assessments erheblich.

Unser Tipp für ISMS-Beratung: Bauen Sie Ihr ISMS von Anfang an so auf, dass es sowohl ISO-27001- als auch TISAX-Anforderungen erfüllt. Das spart langfristig Kosten und Aufwand.

Häufige Fehler bei der TISAX-Vorbereitung

Aus unserer Beratungspraxis kennen wir die typischen Stolpersteine, an denen TISAX-Projekte scheitern oder sich unnötig verzögern:

  1. Zu spät angefangen: Viele Unternehmen beginnen erst mit der Vorbereitung, wenn der OEM eine konkrete Frist setzt. Bei einem Vorlauf von wenigen Wochen ist ein seriöses Assessment kaum noch zu schaffen.
  2. Dokumentation unterschätzt: TISAX ist extrem dokumentationsintensiv. Mündliche Absprachen oder „wir machen das schon so“ reichen nicht. Jede Maßnahme muss schriftlich dokumentiert und nachvollziehbar sein.
  3. Scope zu weit oder zu eng gefasst: Ein zu weiter Scope erhöht unnötig den Aufwand. Ein zu enger Scope führt dazu, dass der Prüfer relevante Bereiche nachfordert.
  4. IT-Security mit Informationssicherheit verwechselt: TISAX prüft nicht nur technische Maßnahmen, sondern auch organisatorische Prozesse, physische Sicherheit und Mitarbeiter-Awareness.
  5. Keine Managementunterstützung: Ohne klares Commitment der Geschäftsführung scheitern TISAX-Projekte regelmäßig an fehlenden Ressourcen und Prioritäten.
  6. Prototypenschutz vergessen: Unternehmen, die mit physischen Prototypen arbeiten, unterschätzen häufig die Anforderungen an den physischen Schutz (Zugangskontrollen, Fotografieverbot, Besucherverwaltung).

Warum externe Hilfe entscheidend ist

Das Lesen des TISAX-Prüfkatalogs ist das eine, die pragmatische, audit-sichere Umsetzung das andere. Oft scheitern interne IT-Teams an den strengen Dokumentationspflichten und den prozessualen Vorgaben. Ein erfahrener externer Informationssicherheitsbeauftragter führt zunächst eine Lückenanalyse (Gap-Analyse) durch, identifiziert die Abweichungen zum TISAX-Standard und erstellt einen effizienten Projektplan zur Schließung dieser Lücken bis zum Audit-Termin.

Die DATUREX GmbH unterstützt sächsische Automobilzulieferer in Dresden, Chemnitz, Zwickau und Leipzig bei der gesamten TISAX-Vorbereitung – von der ersten Gap-Analyse bis zum erfolgreichen Assessment. Profitieren Sie von unserer Erfahrung mit ISO 27001, TISAX und ISMS-Beratung.

Häufig gestellte Fragen (FAQ)

Wie lange ist ein TISAX-Label gültig?

Ein TISAX-Label ist drei Jahre gültig. Nach Ablauf muss ein Re-Assessment durchgeführt werden, um das Label zu erneuern. Wir empfehlen, spätestens sechs Monate vor Ablauf mit der Vorbereitung auf das Re-Assessment zu beginnen, um Lücken rechtzeitig zu schließen.

Kann ich TISAX ohne ISO 27001 erreichen?

Ja, eine bestehende ISO-27001-Zertifizierung ist keine Voraussetzung für TISAX. Allerdings erleichtert ein vorhandenes ISMS nach ISO 27001 die Vorbereitung erheblich, da viele Anforderungen bereits abgedeckt sind. Unternehmen ohne ISMS müssen mit einem deutlich höheren Vorbereitungsaufwand rechnen.

Was passiert, wenn ich das TISAX-Assessment nicht bestehe?

Werden beim Assessment Abweichungen festgestellt, unterscheidet der Prüfer zwischen Minor und Major Non-Conformities. Das Unternehmen hat bis zu neun Monate Zeit, die Abweichungen zu beheben und einen Korrekturnachweis vorzulegen. Erst wenn alle Abweichungen geschlossen sind, wird das TISAX-Label vergeben. Gelingt die Nachbesserung nicht innerhalb der Frist, muss das Assessment komplett neu gestartet werden.

IT-Sicherheit für Ihr Unternehmen in Sachsen

Bedrohungen und Cyberangriffe zeigen täglich, wie wichtig ein ganzheitliches Informationssicherheits-Managementsystem (ISMS) ist. Als zertifizierter externer Informationssicherheitsbeauftragter (ISB) und spezialisierter IT-Dienstleister in Dresden und ganz Sachsen unterstützt die DATUREX GmbH Sie bei der proaktiven Absicherung Ihrer Systeme. Wir bereiten Sie effizient auf Audits nach ISO 27001, TISAX und BSI IT-Grundschutz vor und helfen Ihnen bei der rechtssicheren Umsetzung der NIS-2-Richtlinie. Kontaktieren Sie uns für ein unverbindliches Beratungsgespräch.

Die DATUREX GmbH vereint Datenschutzberatung, Informationssicherheit und KI-Lösungen unter einem Dach.

Neu: IT-Sicherheitskonzept | KRITIS-Beratung | Schwachstellenanalyse | IT-Notfallmanagement | IT-Sicherheitsaudit

Kommentar absenden

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert