Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
TISAX: Automotive Cybersicherheit und VDA ISA Compliance - Illustration zu IT-Compliance und regulatorischen Anforderungen
Compliance & Standards

TISAX: Automotive Cybersicherheit und VDA ISA Compliance

Praxisleitfaden TISAX: Informationssicherheitsbewertung für Automobilzulieferer. VDA ISA Controls, TISAX-Labels (AL2/AL3), Assessment-Ablauf, typische Findings bei Lieferanten-Audits und konkrete Massnahmen für KMU-Zulieferer in der Automobilindustrie.

Jan Hörnemann Jan Hörnemann Chief Operating Officer · Prokurist
10 Min. Lesezeit
ISO 27001 Lead Auditor (PECB/TÜV) T.I.S.P. (TeleTrusT) ITIL 4 (PeopleCert) BSI IT-Grundschutz-Praktiker (DGI) Ext. ISB (TÜV) BSI CyberRisikoCheck CEH (EC-Council)

TL;DR

TISAX (Trusted Information Security Assessment Exchange) ist eine Marktzugangsbedingung für Automobilzulieferer: Ohne gültiges TISAX-Label vergeben BMW, Mercedes-Benz oder VW keine Aufträge. Der Standard basiert auf dem VDA ISA v6.0 (2024), der zu rund 70 % mit ISO 27001 übereinstimmt. Tier-1-Lieferanten benötigen Assessment Level AL3 mit obligatorischer Vor-Ort-Prüfung und sechs bis zwölf Monaten Vorbereitungszeit, Tier-2- und Tier-3-Zulieferer kommen in der Regel mit AL2 aus. Die häufigsten Audit-Findings bei KMU-Zulieferern: fehlendes dokumentiertes Risikomanagement, RDP- und VPN-Zugänge ohne Multi-Faktor-Authentifizierung sowie Firmenlaptops ohne Full-Disk-Encryption. Dieser Leitfaden beschreibt die drei Assessment-Scopes, die Anforderungsunterschiede zwischen AL2 und AL3 sowie priorisierte Maßnahmen zur Audit-Vorbereitung.

Diese Zusammenfassung wurde KI-gestützt erstellt (EU AI Act Art. 52).

Inhaltsverzeichnis (8 Abschnitte)

TISAX - Trusted Information Security Assessment Exchange - ist der Informationssicherheitsstandard der Automobilindustrie. Wer als Zulieferer an BMW, Mercedes-Benz, VW, Stellantis oder anderen OEMs arbeitet und dabei vertrauliche Informationen verarbeitet, braucht ein TISAX-Label. Ohne es gibt es keinen Auftrag.

Was ist TISAX?

TISAX wurde vom VDA (Verband der Automobilindustrie) entwickelt und basiert auf dem VDA ISA (Information Security Assessment) Fragenkatalog - der seinerseits stark an ISO 27001 angelehnt ist.

TISAX vs. ISO 27001

MerkmalTISAXISO 27001
ScopeBranchenspezifisch: AutomobilindustrieBranchenunabhängig
GrundlageVDA ISA (derzeit v6.0, 2024)ISO/IEC 27001 Standard
FokusEntwicklungsdaten, Prototypen, personenbezogene DatenAllgemeines ISMS
Bewertung durchAkkreditierte Prüfdienstleister (ENX-Netzwerk)Akkreditierte Zertifizierungsstellen
ErgebnisTISAX-Label (kein Zertifikat!)Öffentliches Zertifikat
SichtbarkeitB2B über ENX-Portal (nicht öffentlich)Öffentlich

Die Überschneidung ist erheblich: Rund 70 % der VDA ISA Controls entsprechen ISO 27001-Anforderungen.

TISAX Assessment-Umfang (Scopes)

Der Scope bestimmt, welche Controls bewertet werden.

1. Informationssicherheit (IS) - Standard-Scope

Label: TISAX-Label “Informationssicherheit”

Für: Alle Zulieferer mit vertraulichen Informationen wie Konstruktionsdaten, Lastenheften oder NDA-Dokumenten.

2. Prototypenschutz (PT) - Automotive-spezifisch

Label: TISAX-Label “Prototypenschutz” (umfasst IS)

Für: Zulieferer die physische Prototypen, Testfahrzeuge oder Prototypenbauteile handhaben.

Zusatzanforderungen: Physische Sicherheit - Werkstore, Kameraanlagen, Abdeckungen sowie Zutrittskontrolle zu Prototypenbereichen.

3. Datenschutz (DSGVO-Zusatz)

Label: TISAX-Label “Datenschutz” (umfasst IS)

Für: Zulieferer die personenbezogene Daten von OEM-Kunden oder Mitarbeitern verarbeiten.

Assessment-Level: AL2 vs. AL3

Das Assessment Level (AL) richtet sich nach dem Schutzbedarf der verarbeiteten Informationen.

AL2 - Normaler Schutzbedarf

  • Prüfmethode: Selbstauskunft mit Plausibilitätsprüfung durch den Auditor (remote möglich)
  • Einsatzbereich: Vertrauliche Informationen der Stufe “vertraulich”
  • Typische Zulieferer: Tier-2/Tier-3, Dienstleister ohne direkten OEM-Kontakt
  • Aufwand: 2-3 Tage Assessment, 3-6 Monate Vorbereitung

AL3 - Hoher Schutzbedarf

  • Prüfmethode: Auditprüfung vor Ort - keine Remote-Option
  • Einsatzbereich: Streng vertrauliche Informationen wie komplette Fahrzeugelektronik, Sicherheitssysteme, Finanzplanung
  • Typische Zulieferer: Tier-1, direkte OEM-Entwicklungspartner
  • Aufwand: 3-5 Tage Assessment, 6-12 Monate Vorbereitung
  • Kosten: Erheblich höher als AL2

VDA ISA Fragenkatalog - Kernbereiche

Der VDA ISA v6.0 (2024) gliedert sich in sechs Kapitelbereiche.

1. Informationssicherheits-Management (ISMS)

Leitlinie, Verantwortlichkeiten, Ressourcen und Risikomanagement. Typische Frage: “Gibt es ein dokumentiertes ISMS mit Risikobewertung?“

2. Human Resources Security

Mitarbeitersensibilisierung, Schulungen und Hintergrundprüfungen. Typische Frage: “Werden neue Mitarbeiter vor Zugang zu vertraulichen Informationen geschult?“

3. Physische Sicherheit

Zutrittskontrolle, Clean Desk Policy und Gerätesicherheit. Für den Scope Prototypenschutz gibt es einen erweiterten Fragenkatalog zu Kameras, Abschirmung und Transport.

4. IT-Sicherheit

Asset Management, Patching, Authentifizierung, Verschlüsselung, Logging, Vulnerability Management und Incident Response. Dies ist die detaillierteste Kategorie mit rund 40 % aller Controls.

5. Supply Chain Security

Lieferanten- und Dienstleister-Management. Typische Frage: “Werden TISAX-Anforderungen an kritische Sublieferanten weitergegeben?“

6. Compliance

Rechtliche und regulatorische Anforderungen, Datenschutz und IP-Schutz.

Typische Findings bei TISAX-Audits

Diese Schwachstellen werden bei KMU-Zulieferern am häufigsten gefunden.

Kritische Findings (Assessment-blockierend)

1. Kein dokumentiertes Risikomanagement

Ein ISMS ohne formale Risikobewertung ist nicht ausreichend. Die Lösung: eine Risikoanalyse nach ISO 27005 durchführen, dokumentieren und regelmäßig reviewen.

2. Fehlende Multi-Faktor-Authentifizierung

RDP-, VPN- und Cloud-Zugänge ohne MFA sind ein kritischer Befund. Die Lösung: MFA für alle externen Zugänge (Azure AD MFA, Hardware-Token).

3. Unverschlüsselte Laptops

Firmenlaptops ohne BitLocker oder FileVault genügen den Anforderungen nicht. Die Lösung: Full-Disk-Encryption auf allen portablen Geräten mit MDM-Nachweis.

4. Keine Datensicherung / untestete Backups

Backups existieren, werden aber nie getestet. Die Lösung: quartalsweiser Restore-Test mit Dokumentation.

5. IT-Dienstleister ohne Datenschutzvertrag (AVV)

Cloud-Dienste wie Microsoft 365 ohne Auftragsverarbeitungsvertrag sind nicht DSGVO-konform. Die Lösung: Alle Auftragsverarbeitungsverträge prüfen und fehlende abschließen.

Mittlere Findings (Mängelprotokoll)

  1. Fehlende Clean-Desk-Policy
  2. Keine Sicherheitsschulungen für Mitarbeiter (mindestens einmal jährlich)
  3. Veraltete Software und ungepatchte Systeme
  4. Keine definierten Meldewege für Sicherheitsvorfälle
  5. Unzureichendes Berechtigungsmanagement (Active Directory ohne regelmäßigen Review)

12-Monate TISAX-Roadmap für KMU

Monat 1-2: GAP-Analyse

  • Welcher Assessment-Level wird benötigt? (Rücksprache mit dem OEM)
  • VDA ISA Selbstbewertung durchführen (Excel-Tool von ENX verfügbar)
  • Defizite identifizieren und priorisieren
  • Projektteam benennen: ISMS-Verantwortlicher, IT-Leiter, Geschäftsführung

Monat 3-5: Dokumentation aufbauen

  • Informationssicherheitsleitlinie (mit Unterschrift der Geschäftsführung)
  • Risikobewertung durchführen: Asset-Inventar, Bedrohungen, Schutzmaßnahmen
  • Richtlinien erstellen: Clean Desk, Passwort, Mobile Devices, Incident Response
  • Schulungsnachweise: Alle Mitarbeiter mit Zugang zu TISAX-Scope-Daten

Monat 6-9: Technische Massnahmen umsetzen

  • MFA für alle externen Zugänge einrichten
  • Endpoint-Verschlüsselung (BitLocker/FileVault) mit MDM-Nachweis
  • Patch-Management-Prozess etablieren
  • SIEM/Logging-Grundausstattung (mindestens Windows Event Logs zentral sammeln)
  • Backup-Tests dokumentieren

Monat 10-11: Interne Vorbereitung

  • Interne Vorab-Prüfung gegen die VDA ISA Checkliste
  • Akkreditierten Prüfdienstleister auswählen (TÜV, DEKRA, BSI u. a. im ENX-Netzwerk)
  • Assessment-Termin buchen - häufig 4-8 Wochen Vorlaufzeit einplanen

Monat 12: Assessment

  • Unterlagen bereithalten: Richtlinien, Nachweise, Screenshots, Logs
  • Interview-Vorbereitung für ISMS-Verantwortlichen und IT-Leiter
  • Nach dem Assessment: Maßnahmenplan für gefundene Befunde erstellen
  • Label-Freischaltung im ENX-Portal: 3-5 Werktage nach dem Assessment

Kosten und Label-Gültigkeit

TISAX Assessment-Kosten (Orientierungswerte 2025)

LevelUnternehmensgrößeKosten
AL2 (remote möglich)Kleine Unternehmen < 50 MA3.000 - 6.000 EUR
AL2 (remote möglich)Mittlere Unternehmen 50-500 MA6.000 - 12.000 EUR
AL3 (Vor-Ort-Pflicht)Kleine Unternehmen8.000 - 15.000 EUR
AL3 (Vor-Ort-Pflicht)Mittlere Unternehmen15.000 - 30.000 EUR

Zusatzkosten:

  • ENX-Registrierung: 400 EUR/Jahr
  • Vorbereitung und Beratung durch externen Berater: 10.000 - 30.000 EUR
  • Interne Personalkosten: variabel

Das Label ist 3 Jahre gültig, danach ist ein Re-Assessment erforderlich. Wesentliche Änderungen wie neue Standorte oder Akquisitionen können ein außerplanmäßiges Assessment auslösen.

Wichtig: Das Label ist NICHT öffentlich - es ist nur im ENX-Portal für autorisierte OEMs sichtbar, die das Label angefragt haben.

TISAX und ISO 27001 kombinieren

Empfehlungsstrategie: TISAX-Vorbereitung auf Basis von ISO 27001 aufbauen

Die Synergien sind erheblich:

VDA ISAISO 27001
Kapitel 1-2 (ISMS, HR)Clauses 5-10
Kapitel 4 (IT-Sicherheit)Annex A Controls
Kapitel 5 (Supply Chain)A.15

Empfohlenes Vorgehen:

  1. ISO 27001 ISMS als Framework aufbauen
  2. VDA ISA GAP-Analyse durchführen (Delta ermitteln)
  3. Automotive-spezifische Controls ergänzen (Prototypenschutz, OEM-Lieferkette)
  4. Duales Label anstreben: ISO 27001-Zertifikat und TISAX-Label

Vorteil: Nur ein ISMS zu pflegen statt zwei parallele Systeme. Der Dokumentationsaufwand sinkt um rund 40 %, die Audit-Vorbereitung wird effizienter, und die Glaubwürdigkeit bei multinationalen Kunden steigt durch das international anerkannte ISO 27001-Zertifikat.

TISAX ist kein Bürokratieprojekt - es ist ein strukturierter Weg, Informationssicherheit ernstzunehmen. Zulieferer die TISAX nutzen um ihr ISMS aufzubauen statt es als Checkbox zu behandeln, profitieren langfristig: weniger Incidents, bessere Lieferketten-Sicherheit und ein klarer Wettbewerbsvorteil gegenüber Mitbewerbern ohne Label.

Nächster Schritt

Unsere zertifizierten Sicherheitsexperten beraten Sie zu den Themen aus diesem Artikel — unverbindlich und kostenlos.

Kostenlose Erstberatung vereinbaren Leistungen ansehen

Kostenlos · 30 Minuten · Unverbindlich

Artikel teilen

LinkedIn X E-Mail
Zertifiziert ISO 27001ISO 9001AZAVBSI

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung