TISAX (Trusted Information Security Assessment Exchange)
Branchenspezifischer Sicherheitsstandard der Automobilindustrie, verwaltet von der ENX Association. Basiert auf dem VDA ISA Fragenkatalog und wird von OEMs wie VW, BMW und Mercedes als Lieferantenanforderung verlangt.
TISAX (Trusted Information Security Assessment Exchange) ist ein branchenspezifisches Informationssicherheits-Assessment-Verfahren der Automobilindustrie. Es wurde 2017 von der ENX Association ins Leben gerufen, um die zuvor uneinheitlichen, aufwändigen Einzelaudits durch Automobilhersteller (OEMs) zu ersetzen. Statt dass jeder OEM seine Zulieferer separat prüft, wird das Assessment einmal durch einen akkreditierten Prüfdienstleister durchgeführt und das Ergebnis über die TISAX-Plattform mit allen teilnehmenden OEMs geteilt.
Was ist die ENX Association?
Die ENX Association ist eine europäische Non-Profit-Organisation, die von führenden Automobilherstellern und -zulieferern gegründet wurde, darunter VW, BMW, Mercedes, Renault, PSA und weitere. Sie verwaltet die TISAX-Plattform, akkreditiert TISAX-Prüfdienstleister und pflegt den VDA ISA Fragenkatalog als technische Grundlage des Assessments.
Der VDA ISA Fragenkatalog
Technische Basis von TISAX ist der VDA ISA (Information Security Assessment) Fragenkatalog des Verbands der Automobilindustrie (VDA). Der Katalog umfasst aktuell (Version 6.x) rund 70 Kontrollanforderungen in folgenden Bereichen:
- Informationssicherheits-Management (ISMS-Grundlagen)
- Personelle Sicherheit und Awareness
- Physische Sicherheit
- IT- und Informationssicherheit
- Sicherheit bei Dienstleistern und Partnern
- Schutz von Prototypen und Fahrzeugdaten (spezifisch für AL3)
- Datenschutz (integriert in den Katalog)
Der VDA ISA ist zu rund 80 % kompatibel mit ISO 27001 - Unternehmen mit bestehendem ISO-27001-ISMS haben einen erheblichen Vorsprung beim TISAX-Assessment.
Die 3 Assessment-Levels
TISAX kennt drei Assessment-Levels (AL), die je nach Sensitivität der ausgetauschten Informationen mit dem OEM vereinbart werden:
| Level | Bezeichnung | Anforderung | Typischer Anwendungsfall |
|---|---|---|---|
| AL 1 | Normal | Plausibilitätsprüfung (Selbstbewertung + Stichproben) | Standard-Lieferantendaten |
| AL 2 | Hoch | Vor-Ort-Prüfung durch akkreditierten Prüfdienstleister | Vertrauliche Konstruktionsdaten, Kundendaten |
| AL 3 | Sehr hoch | Intensivierte Vor-Ort-Prüfung | Prototypen, geheime Fahrzeugentwicklungen |
In der Praxis verlangen die meisten OEMs mindestens AL 2 von ihren direkten Zulieferern.
Der TISAX-Prozess Schritt für Schritt
- Registrierung auf der ENX-Plattform (TISAX-Teilnehmer werden)
- Scope-Definition - Standorte, Informationskategorien, Assessment-Level festlegen
- Selbstbewertung - VDA ISA Fragenkatalog intern ausfüllen und Gaps identifizieren
- Akkreditierten Prüfdienstleister beauftragen (DEKRA, TÜV, Bureau Veritas etc.)
- Assessment - Prüfung vor Ort, Dokumentenprüfung, Interviews
- Ergebnisveröffentlichung auf der TISAX-Plattform (nur für berechtigte Teilnehmer sichtbar)
- Austausch - Ergebnis-Labels mit OEMs teilen
Das TISAX-Label ist 3 Jahre gültig und muss dann erneuert werden.
TISAX und ISO 27001
Der Aufbau eines ISO-27001-konformen ISMS ist die effizienteste Grundlage für TISAX:
- ~80 % Überlappung zwischen VDA ISA und ISO 27001 Controls
- ISO 27001 deckt alle ISMS-Grundlagen des VDA ISA vollständig ab
- TISAX-spezifische Ergänzungen: Prototypenschutz (AL3), VDA-spezifische Datenschutzanforderungen, OEM-spezifische Zusatzanforderungen
- Unternehmen mit ISO-27001-Zertifikat benötigen typischerweise 40-60 % weniger Aufwand für das TISAX-Assessment
AWARE7 empfiehlt, TISAX und ISO 27001 gemeinsam anzugehen: Ein integriertes Managementsystem erfüllt beide Anforderungen mit deutlich geringerem Gesamtaufwand als zwei separate Projekte.
