Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

Automotive | Informationssicherheit

TISAX:
Informationssicherheit in der Automobilindustrie

TISAX ist der branchenweite Standard für Informationssicherheit in der automobilen Lieferkette. OEMs wie BMW, Mercedes-Benz und Volkswagen fordern von ihren Lieferanten ein gültiges TISAX-Label - ohne es ist eine Zusammenarbeit in schutzbedürftigen Projekten nicht möglich.

TISAX-Beratung anfragen ISO 27001 & TISAX kombinieren

Zuletzt aktualisiert: März 2026

Assessment-Levels
AL 1-3
Von Selbstbewertung bis Vor-Ort-Prüfung
Betreiber
ENX Association
Im Auftrag der Automobilindustrie
Fragenkatalog
VDA ISA 6.0
Aktuell gültige Version seit 2024
Gültigkeit
3 Jahre
Dann Re-Assessment erforderlich
Assessment-Levels
Registrierungsstelle
ENX
Fragenkatalog
VDA ISA
Gültigkeit

Grundlagen

Was ist TISAX?

TISAX (Trusted Information Security Assessment Exchange) ist der branchenweite Standard für Informationssicherheit in der Automobilindustrie. Er wurde von der ENX Association in enger Zusammenarbeit mit dem Verband der Automobilindustrie (VDA) entwickelt und ist heute Pflichtvoraussetzung für Lieferanten, die schutzbedürftige Informationen von OEMs verarbeiten.

Das Besondere an TISAX: Das Assessment-Ergebnis wird einmalig durch einen akkreditierten Prüfdienstleister ermittelt und dann über die ENX-Plattform gezielt mit mehreren Auftraggebern geteilt. Lieferanten müssen so nicht für jeden OEM ein separates Assessment durchführen - ein erheblicher Effizienzgewinn gegenüber individuellen Lieferantenaudits.

Inhaltlich basiert TISAX auf dem VDA ISA Fragenkatalog und deckt alle wesentlichen Domänen der Informationssicherheit ab - ergänzt durch automobile Spezialthemen wie Prototypenschutz und Datenschutz im automobilen Kontext.

ENX
ENX Association als Betreiber
Die ENX Association betreibt die TISAX-Plattform im Auftrag der europäischen Automobilindustrie. Sie akkreditiert Prüfdienstleister, verwaltet Labels und stellt die sichere Übertragung von Assessmentergebnissen zwischen Unternehmen sicher.
VDA
VDA ISA als Grundlage
Der VDA Information Security Assessment (ISA) Fragenkatalog ist die inhaltliche Grundlage jedes TISAX-Assessments. Version 6.0 gilt seit 2024 und enthält mehrere hundert Kontrollfragen aus den Bereichen Informationssicherheit, Prototypenschutz und Datenschutz.
OEM
OEM-Anforderung in Lieferantenverträgen
BMW, Mercedes-Benz, Volkswagen, Stellantis und viele weitere OEMs verlangen von Lieferanten ein gültiges TISAX-Label als Vertragsvoraussetzung. Die Anforderung kommt über Supplier Portale oder direkt in Rahmenlieferverträgen.
PLT
TISAX-Label statt Zertifikat
TISAX stellt kein Zertifikat aus, sondern ein Label, das in der ENX-Plattform hinterlegt und dort gezielt mit ausgewählten Partnern geteilt wird. Das Label ist drei Jahre gültig; danach ist ein Re-Assessment erforderlich.

Prüftiefe

Die drei TISAX Assessment-Levels

Der erforderliche Assessment-Level wird durch den Schutzbedarf der verarbeiteten Informationen und die Vorgaben des Auftraggebers bestimmt. Je höher der Schutzbedarf, desto aufwändiger die Prüfung.

AL 1

Selbstbewertung

Plausibilitätsprüfung

Der Lieferant bewertet sich selbst anhand des VDA ISA. Ein akkreditierter Prüfdienstleister prüft die Plausibilität der Antworten remote - ohne tiefergehende Verifikation vor Ort.

Typischer Anwendungsfall: Normale Informationen ohne erhöhten Schutzbedarf. Einstiegslevel für einfache Lieferantenbeziehungen.
  • Selbstbewertung durch den Lieferanten
  • Remote-Plausibilitätsprüfung
  • Kein persönliches Interview
  • Geringster Aufwand und Kosten
AL 2

Remote-Assessment

Für normale Schutzziele

Ein akkreditierter Prüfdienstleister führt ein strukturiertes Remote-Interview durch und bewertet die Nachweise des Lieferanten. Dieser Level ist der Standard für die große Mehrheit der TISAX-Assessments.

Typischer Anwendungsfall: Verarbeitung vertraulicher Informationen mit normalen Schutzzielen (z. B. Konstruktionsdaten, interne Prozesse).
  • Strukturiertes Remote-Interview
  • Bewertung durch Auditor
  • Nachweisdokumentation erforderlich
  • Standard für die meisten Lieferanten
AL 3

Vor-Ort-Assessment

Für hohen Schutzbedarf

Vollständige Prüfung durch einen akkreditierten Prüfdienstleister am Standort des Lieferanten. Physische Inspektion, Systemprüfungen und Tiefeninterviews sind Bestandteil des Assessments.

Typischer Anwendungsfall: Prototypenschutz, unveröffentlichte Fahrzeugdesigns, sehr hoher Schutzbedarf. Zwingend bei entsprechenden OEM-Anforderungen.
  • Physische Vor-Ort-Prüfung
  • Systemprüfungen am Standort
  • Tiefeninterviews mit Verantwortlichen
  • Höchste Prüfintensität und Kosten

Ablauf

TISAX-Prozess: Die 5 Schritte zum Label

Von der Entscheidung für TISAX bis zum ausgestellten Label sind es fünf klar strukturierte Schritte. Die Gesamtdauer beträgt typischerweise 3-9 Monate - abhängig von der Ausgangssituation und dem erforderlichen Assessment-Level.

01

Scope-Definition und ENX-Registrierung

Das Unternehmen legt fest, welche Standorte, Systeme und Prozesse in den TISAX-Scope fallen. Anschließend erfolgt die Registrierung bei der ENX Association mit Auswahl des Prüfziels (Informationssicherheit, Prototypenschutz und/oder Datenschutz) und des Assessment-Levels. Die ENX stellt einen Zugangscode für die Plattform aus.

02

Selbstbewertung anhand VDA ISA

Das Unternehmen beantwortet alle relevanten Fragen des VDA ISA Fragenkatalogs auf der ENX-Plattform. Jede Frage erfordert eine Reifegradeinschätzung (0-3) sowie die Angabe von Nachweisen. Diese Phase deckt Lücken auf und bildet die Grundlage für die nachfolgende Gap-Analyse.

03

Gap-Analyse und Maßnahmenumsetzung

Aus der Selbstbewertung werden nicht erfüllte oder nur teilweise erfüllte Anforderungen identifiziert. Für jede Lücke werden konkrete Maßnahmen definiert, priorisiert und umgesetzt. Dieser Schritt ist typischerweise der aufwändigste - besonders wenn noch kein strukturiertes ISMS vorhanden ist.

04

Assessment durch akkreditierten Prüfdienstleister

Ein von der ENX Association akkreditierter Prüfdienstleister führt das Assessment durch - abhängig vom Level als Plausibilitätsprüfung (AL 1), Remote-Interview (AL 2) oder Vor-Ort-Assessment (AL 3). Der Prüfdienstleister bewertet alle Antworten und Nachweise anhand des VDA ISA und erstellt einen Prüfbericht.

05

TISAX-Label und Austausch über ENX-Portal

Nach erfolgreichem Assessment wird das TISAX-Label in der ENX-Plattform hinterlegt. Das Unternehmen kann das Label nun gezielt und kontrolliert mit Auftraggebern teilen - ohne den vollen Prüfbericht offenzulegen. Das Label ist drei Jahre gültig; 12 Monate vor Ablauf sollte das Re-Assessment geplant werden.

Inhalt

Der VDA ISA Fragenkatalog: Was geprüft wird

Der VDA ISA (aktuell Version 6.0, gültig seit 2024) ist das Herzstück jedes TISAX-Assessments. Er gliedert sich in drei Module, von denen das erste verpflichtend ist.

Modul 1 Pflicht

Informationssicherheit

Pflichtmodul für alle Assessments

  • Sicherheitsrichtlinien und -organisation
  • Physische und umgebungsbezogene Sicherheit
  • IT-Systeme und Netzwerke
  • Identitäts- und Zugriffsmanagement
  • Kryptographie
  • Incident- und Schwachstellenmanagement
  • Business Continuity
  • Compliance und Auditierung
  • Lieferanten- und Dienstleistermanagement
Modul 2

Prototypenschutz

Optionales Modul für Prototypen-Verarbeitung

  • Schutz unveröffentlichter Fahrzeugmodelle und -teile
  • Fotografie- und Videorestriktionen
  • Physische Sicherung von Prototypen-Bereichen
  • Kennzeichnung und Handhabung von Prototypen-Material
  • Transportschutz für Testfahrzeuge
  • Dienstleister-Anforderungen bei Prototypen-Beteiligung
  • Vorfallmanagement bei Prototypen-Leaks
Modul 3

Datenschutz

Optionales Modul - DSGVO-Kontext

  • Datenschutzorganisation und Verantwortlichkeiten
  • Rechtsgrundlagen für Datenverarbeitung
  • Betroffenenrechte und -anfragen
  • Technische Datenschutzmaßnahmen (TOMs)
  • Auftragsverarbeitung und Drittlandtransfers
  • Datenschutz-Folgenabschätzungen (DSFA)
  • Datenpannen-Management und Meldepflichten

Synergien

TISAX und ISO 27001: Synergien optimal nutzen

TISAX und ISO 27001 überschneiden sich zu ca. 80 % in ihren inhaltlichen Anforderungen. Beide Standards fordern ein funktionierendes Informationssicherheits-Managementsystem (ISMS), risikobasiertes Vorgehen, Zugangskontrolle, Incident Management, Business Continuity und regelmäßige Überprüfung der Sicherheitsmaßnahmen.

Die TISAX-spezifischen Ergänzungen betreffen vor allem den automobilen Kontext: Prototypenschutz, Anforderungen an Produktionsstätten mit Testfahrzeugen sowie branchenspezifische Lieferantenmanagement-Anforderungen. Diese 20 % zusätzlicher Aufwand sind für ISO-27001-zertifizierte Unternehmen sehr überschaubar.

Wir empfehlen Automobilzulieferern einen integrierten Ansatz: ISO 27001 als strategische Basis, TISAX als branchenspezifische Ausprägung. So erreichen Sie beide Ziele mit maximalem Effizienzgewinn. Mehr zur Beratungsleistung finden Sie unter Sicherheitsberatung.

TISAX in Zahlen

~3.000
Aktive TISAX-Labels weltweit (Stand 2025)
~80 %
Überschneidung der Anforderungen mit ISO 27001
VDA ISA 6.0
Aktuelle Fragebogenversion seit 2024
5
Prüfziele (Infosec, Prototypen, Datenschutz, Connected Cars, Software Development)
3 Jahre
Gültigkeit des TISAX-Labels bis zum Re-Assessment

Tipp: Unternehmen mit einem bestehenden ISO-27001-ISMS reduzieren ihren TISAX-Vorbereitungsaufwand typischerweise um 60-70 %. Ein integriertes Projekt spart Zeit und Kosten - fragen Sie uns nach unserem ISO-27001-plus-TISAX-Paket.

„ISO 27001 und TISAX gemeinsam zu implementieren ist nicht doppelter Aufwand - es ist strategisches Ressourcenmanagement. 80 % der Anforderungen überschneiden sich; wer das nutzt, erreicht beide Ziele schneller und kostengünstiger als mit zwei getrennten Projekten.“

Oskar Braun

ISO 27001 Lead Auditor (IRCA-zertifiziert) · AWARE7 GmbH

Warum AWARE7 für Ihre TISAX-Vorbereitung

Was uns von anderen Anbietern unterscheidet

Reine Awareness-Plattformen testen keine Systeme. Reine Beratungskonzerne sind zu weit weg. AWARE7 verbindet beides: Wir hacken Ihre Infrastruktur und schulen Ihre Mitarbeiter — mittelstandsgerecht, persönlich, ohne Enterprise-Overhead.

Forschung und Lehre als Fundament

Rund 20% unseres Umsatzes stammen aus Forschungsprojekten für BSI, BMBF und die EU. Wir veröffentlichen CVEs, präsentieren auf internationalen Top-Konferenzen und bilden als T.I.S.P.-Schulungsanbieter Sicherheitsexperten aus. Alle Berater sind mehrfach zertifiziert - von ISO 27001 Lead Auditor bis OSCP.

Digitale Souveränität - keine Kompromisse

Alle Daten werden ausschließlich in Deutschland gespeichert und verarbeitet - ohne US-Cloud-Anbieter. Keine Freelancer, keine Subunternehmer in der Wertschöpfung. Alle Mitarbeiter sind sozialversicherungspflichtig angestellt und einheitlich rechtlich verpflichtet. Auf Anfrage VS-NfD-konform.

Festpreis in 24h - planbare Projektzeiträume

Innerhalb von 24 Stunden erhalten Sie ein verbindliches Festpreisangebot - kein Stundensatz-Risiko, keine Nachforderungen, keine Überraschungen. Durch eingespieltes Team und standardisierte Prozesse erhalten Sie einen klaren Zeitplan mit definiertem Starttermin und Endtermin.

Ihr fester Ansprechpartner - jederzeit erreichbar

Ein persönlicher Projektleiter begleitet Sie vom Erstgespräch bis zum Re-Test. Sie buchen Termine direkt bei Ihrem Ansprechpartner - keine Ticket-Systeme, kein Callcenter, kein Wechsel zwischen wechselnden Beratern. Kontinuität schafft Vertrauen.

Für wen sind wir der richtige Partner?

Mittelstand mit 50–2.000 MA

Unternehmen, die echte Security brauchen — ohne einen DAX-Konzern-Dienstleister zu bezahlen. Festpreis, klarer Scope, ein Ansprechpartner.

IT-Verantwortliche & CISOs

Die intern überzeugend argumentieren müssen — und dafür einen Bericht mit Vorstandssprache brauchen, nicht nur technische Findings.

Regulierte Branchen

KRITIS, Gesundheitswesen, Finanzdienstleister: NIS-2, ISO 27001, DORA — wir kennen die Anforderungen und liefern Nachweise, die Auditoren akzeptieren.

Mitwirkung an Industriestandards

LLM

OWASP · 2023

OWASP Top 10 for Large Language Models

Prof. Dr. Matteo Große-Kampmann als Contributor im Core-Team des weltweit führenden LLM-Sicherheitsstandards.

BSI

BSI · Allianz für Cyber-Sicherheit

Management von Cyber-Risiken

Prof. Dr. Matteo Große-Kampmann als Mitwirkender des offiziellen BSI-Handbuchs für die Unternehmensleitung (dt. Version).

Häufige Fragen zu TISAX

Antworten auf die häufigsten Fragen rund um TISAX-Assessments, VDA ISA und die Vorbereitung in der automobilen Lieferkette.

TISAX (Trusted Information Security Assessment Exchange) ist ein branchenweiter Standard für Informationssicherheit in der Automobilindustrie. Er wurde von der ENX Association in Zusammenarbeit mit dem Verband der Automobilindustrie (VDA) entwickelt und basiert auf dem VDA ISA Fragenkatalog (Information Security Assessment). TISAX ermöglicht es Lieferanten, ihre Informationssicherheit einmalig prüfen zu lassen und das Ergebnis über die ENX-Plattform mit mehreren OEMs und Tier-1-Lieferanten zu teilen - ohne für jeden Auftraggeber ein separates Assessment durchführen zu müssen.
Eine TISAX-Zertifizierung (genauer: ein TISAX-Label) benötigen alle Unternehmen, die als Lieferant oder Dienstleister in der Automobilindustrie tätig sind und dabei schutzbedürftige Informationen verarbeiten. Dazu gehören insbesondere: Zulieferer, die Prototypen-Daten, Konstruktionspläne oder Fahrzeugdesigns erhalten; IT-Dienstleister, die Systeme für OEMs oder Tier-1-Lieferanten betreiben; Marketingagenturen, die mit noch nicht öffentlichen Fahrzeugmodellen arbeiten; sowie alle Unternehmen, die von einem OEM (BMW, Mercedes-Benz, Volkswagen, Stellantis u. a.) eine entsprechende Anforderung erhalten. Die Anforderung kommt in der Regel über Lieferantenverträge oder Supplier Portals.
TISAX kennt drei Assessment-Levels (AL) mit steigendem Prüfungsaufwand: AL 1 (Selbstbewertung mit Plausibilitätsprüfung): Der Lieferant bewertet sich anhand des VDA ISA selbst; ein akkreditierter Prüfdienstleister überprüft die Plausibilität der Antworten remote. Dieser Level wird für normale Informationssicherheits-Anforderungen ohne erhöhten Schutzbedarf eingesetzt. AL 2 (Remote-Assessment): Ein akkreditierter Prüfdienstleister führt ein strukturiertes Remote-Interview durch. Dieser Level ist der Standard für die meisten Lieferanten mit normalen Schutzzielen (Vertraulichkeit, Verfügbarkeit, Integrität). AL 3 (Vor-Ort-Assessment): Vollständige Prüfung am Standort durch einen akkreditierten Prüfdienstleister. Dieser Level ist zwingend für Unternehmen mit hohem oder sehr hohem Schutzbedarf - insbesondere für Prototypenschutz und die Verarbeitung hochsensibler Fahrzeugdaten.
Ein TISAX-Assessment durchläuft typischerweise fünf Phasen: (1) Scope-Definition und ENX-Registrierung: Das Unternehmen definiert den zu bewertenden Scope (welche Standorte, Systeme, Prozesse) und registriert sich bei der ENX Association. Dabei wird auch das Prüfziel (z. B. Informationssicherheit, Prototypenschutz, Datenschutz) festgelegt. (2) Selbstbewertung: Das Unternehmen beantwortet alle relevanten Fragen des VDA ISA Fragenkatalogs und dokumentiert Nachweise. (3) Gap-Analyse und Maßnahmenumsetzung: Nicht erfüllte Anforderungen werden identifiziert und Maßnahmen zur Lückenbeseitigung umgesetzt. (4) Assessment durch akkreditierten Prüfdienstleister: Abhängig vom Assessment-Level erfolgt eine Plausibilitätsprüfung, ein Remote- oder ein Vor-Ort-Assessment. (5) TISAX-Label und Austausch: Nach erfolgreichem Assessment wird das TISAX-Label in der ENX-Plattform hinterlegt und kann gezielt mit Auftraggebern geteilt werden.
Die Kosten für ein TISAX-Assessment setzen sich aus mehreren Komponenten zusammen: ENX-Registrierungsgebühr (einmalig, ca. 200-500 EUR), Prüfgebühren des akkreditierten Prüfdienstleisters (abhängig von Assessment-Level, Scope-Umfang und Standortanzahl; typischerweise 3.000-15.000 EUR für AL 2, 8.000-30.000 EUR für AL 3) sowie Kosten für die Implementierungsberatung zur Vorbereitung (variiert stark je nach Ausgangssituation). Unternehmen mit einem bestehenden ISO-27001-ISMS haben typischerweise ca. 60-70% geringere Vorbereitungsaufwände, da viele Anforderungen bereits abgedeckt sind. AWARE7 erstellt Ihnen ein individuelles Festpreisangebot nach einer kostenlosen Ersteinschätzung.
Der VDA ISA (Information Security Assessment) ist der Fragenkatalog, der die Grundlage jedes TISAX-Assessments bildet. Er wird vom Verband der Automobilindustrie (VDA) herausgegeben und regelmäßig aktualisiert - aktuell gilt VDA ISA 6.0 (seit 2024). Der Fragebogen ist in drei Module gegliedert: (1) Informationssicherheit (Pflichtmodul): Enthält Fragen zu allen grundlegenden Sicherheitsdomänen - Organisation, Physische Sicherheit, IT-Systeme, Identitätsmanagement, Kryptographie, Incident Management, Compliance. (2) Prototypenschutz (optionales Modul): Spezifische Anforderungen für Unternehmen, die unveröffentlichte Fahrzeugprototypen, -teile oder -designs handhaben. (3) Datenschutz (optionales Modul): DSGVO-bezogene Anforderungen für die Verarbeitung personenbezogener Daten im automobilen Umfeld. Jede Frage wird auf einer 0-3-Skala bewertet; für ein TISAX-Label müssen alle Muss-Anforderungen (Maturity Level ≥ 3) und Soll-Anforderungen (Maturity Level ≥ 2) erfüllt sein.
TISAX und ISO 27001 überschneiden sich zu ca. 80 % in ihren inhaltlichen Anforderungen. ISO 27001 definiert einen allgemeinen Rahmen für ein Informationssicherheits-Managementsystem (ISMS); TISAX konkretisiert und erweitert diesen für die spezifischen Bedürfnisse der Automobilindustrie. Ein bestehendes, zertifiziertes ISO-27001-ISMS ist die ideale Ausgangsbasis für ein TISAX-Assessment - viele Nachweise können direkt übernommen werden. Umgekehrt deckt ein TISAX-Assessment nicht alle ISO-27001-Anforderungen ab, da TISAX branchenspezifische Schwerpunkte setzt (insbesondere Prototypenschutz und automobile Lieferkette). Unternehmen, die sowohl ISO 27001 als auch TISAX anstreben, profitieren von einem integrierten Implementierungsansatz, der Synergien gezielt nutzt.
AWARE7 begleitet Unternehmen durch den gesamten TISAX-Prozess: von der initialen Gap-Analyse anhand des VDA ISA über die Umsetzung identifizierter Maßnahmen bis zur Vorbereitung auf das Assessment durch einen akkreditierten Prüfdienstleister. Wir sind spezialisiert auf die Synergienutzung zwischen ISO 27001 und TISAX - Unternehmen, die bereits ISO 27001 anstreben oder zertifiziert sind, können mit unserem integrierten Ansatz beiden Anforderungen gleichzeitig gerecht werden. Unsere Leistungen umfassen: VDA-ISA-Selbstbewertung und Gap-Analyse, Maßnahmenplanung und -umsetzungsbegleitung, ISMS-Aufbau mit TISAX-Alignment, interne Vorbereitung auf AL-2- und AL-3-Assessments sowie fortlaufende Unterstützung im Dreijahres-Zyklus.

Aus dem Blog

Weiterführende Artikel

TISAX-Assessment erfolgreich bestehen

AWARE7 begleitet Sie von der Gap-Analyse bis zum ausgestellten Label - mit einem integrierten Ansatz, der ISO 27001 und TISAX effizient kombiniert. Festpreisangebot nach kostenloser Ersteinschätzung.

Kostenlose TISAX-Erstberatung vereinbaren

Kostenlos · 30 Minuten · Unverbindlich

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung