Was ist TISAX?
TISAX (Trusted Information Security Assessment Exchange) wurde 2017 vom Verband der Automobilindustrie (VDA) entwickelt und basiert auf der Norm ISO/IEC 27001. Es ermöglicht Unternehmen, ihre Informationssicherheit zu überprüfen und die Ergebnisse mit Partnern teilen zu lassen. TISAX hat in seinen Fragen einen Fokus auf die Unternehmen der Automobilindustrie.
Ziel von TISAX ist es, einheitliche und vergleichbare Sicherheitsniveaus bei Herstellern, Zulieferern und Dienstleistern sicherzustellen. Unternehmen können ihre Informationssicherheit extern prüfen lassen und die Ergebnisse über das zentrale TISAX-Portal mit Geschäftspartnern teilen – ein bedeutender Vorteil, insbesondere in komplexen Lieferketten mit hohen Sicherheitsanforderungen.
Die Prüfungen werden durch akkreditierte Prüfdienstleister durchgeführt und durch die ENX Association koordiniert, die auch den Betrieb des Portals überwacht. Der TISAX-Prozess folgt einem Reifegradmodell (Maturity Levels), das den Umsetzungsstand der Informationssicherheitsmaßnahmen im Unternehmen bewertet – von grundlegenden Sicherheitsstrukturen bis hin zu systematisch gelebten Prozessen.
Der Fragenkatalog für das TISAX Assessment
Die inhaltliche Grundlage für die Bewertung bildet der VDA/ISA Fragenkatalog („Information Security Assessment“), der aktuell in der Version 6.0 vorliegt. Die Fragen sind jeweils bei der ENX und beim VDA verfügbar.
Der Fragenkatalog orientiert sich an ISO/IEC 27001 und wurde um zusätzliche branchenspezifische Anforderungen ergänzt – unter anderem zu Prototypenschutz, Datenschutz gemäß DSGVO und dem sicheren Umgang mit vertraulichen Entwicklungsdaten.
Ein erfolgreich absolviertes TISAX-Assessment gilt inzwischen als Voraussetzung für viele Geschäftsbeziehungen innerhalb der Automobilbranche. TISAX schafft Vertrauen, reduziert Auditaufwände und stärkt die Position von Unternehmen als verlässliche Partner im internationalen Wettbewerb.
TISAX Anforderungen erklärt - einfach und praxisnah
Die TISAX Anforderungen bilden die Grundlage für die Informationssicherheitsbewertung in der Automobilindustrie. Sie basieren auf dem VDA ISA Fragenkatalog (Version 6.0) und definieren, welche Maßnahmen Unternehmen umsetzen müssen, um ein TISAX-Label zu erreichen.
Viele Unternehmen stehen vor der Herausforderung, die TISAX Anforderungen korrekt zu interpretieren und in ihre bestehenden Prozesse zu integrieren.
Aufbau der TISAX Anforderungen (VDA ISA 6.0)
Die TISAX Anforderungen sind im VDA ISA strukturiert und decken alle relevanten Bereiche der Informationssicherheit ab:
Informationssicherheitsmanagement (ISMS)
Organisation und Verantwortlichkeiten
Asset Management
Risikomanagement
Personal und Awareness
Physische Sicherheit
IT-Sicherheit und Betrieb
Lieferantenmanagement
Datenschutz und Compliance
Der Fragenkatalog umfasst rund 45 Hauptfragen mit mehreren hundert Einzelanforderungen.
Schutzbedarf und TISAX Labels verstehen
Ein zentraler Bestandteil der TISAX Anforderungen ist die Definition des Schutzbedarfs. Unternehmen müssen festlegen:
- welche Informationen geschützt werden müssen
- welches Schutzniveau erforderlich ist (z. B. Confidential oder Strictly Confidential)
- ob zusätzliche Anforderungen wie z.B. sehr hohe Verfügbarkeit oder Prototypenschutz gelten
Diese Faktoren bestimmen den Umfang und die Tiefe des Assessments.
Was bedeuten die TISAX Anforderungen in der Praxis?
Die Umsetzung der TISAX Anforderungen bedeutet in der Praxis:
- Aufbau oder Weiterentwicklung eines ISMS
- Einführung strukturierter Prozesse
- klare Verantwortlichkeiten
- kontinuierliche Verbesserung (PDCA)
TISAX ist damit kein reines IT-Thema, sondern ein unternehmensweites Managementsystem.
Reifegradmodell (Maturity Level) im TISAX
Die Bewertung erfolgt anhand eines Reifegradmodells von Level 0 bis Level 5. Für eine erfolgreiche Zertifizierung gilt:
- Ziel: mindestens Reifegrad Level 3 („etabliert“)
- Prozesse müssen dokumentiert, umgesetzt und nachweisbar sein
- Einzelne Schwächen können nicht kompensiert werden
Typische Herausforderungen bei TISAX Anforderungen
- Unklare Interpretation der Anforderungen
- Fehlende Dokumentation
- Prozesse sind nicht auditfähig
- Verantwortlichkeiten sind nicht definiert
- Nachweise fehlen
Fazit – TISAX Anforderungen erfolgreich umsetzen
Der Schlüssel zum Erfolg liegt in einem strukturierten, risikobasierten Ansatz und einer praxisnahen Umsetzung.
- Eine fundierte Gap-Analyse ist der schnellste Weg, um Klarheit über den aktuellen Status zu gewinnen.
TISAX-Audit Vorbereitung - der Weg zur erfolgreichen Zertifizierung
Die TISAX Audit Vorbereitung ist der entscheidende Schritt auf dem Weg zur erfolgreichen Zertifizierung.
Ein TISAX-Audit bewertet nicht nur Dokumente, sondern vor allem die tatsächliche Umsetzung der Informationssicherheit im Unternehmen.
Ablauf der TISAX Audit Vorbereitung
Die Vorbereitung erfolgt typischerweise in fünf Phasen:
Scope und Prüfziele definieren
• Standorte festlegen
• Labels auswählen
• Schutzbedarf definieren
Gap-Analyse (Fit-Gap)
• Vergleich Ist-Zustand vs. TISAX Anforderungen
• Identifikation von Lücken
• Priorisierung
Umsetzung der Maßnahmen
• Aufbau ISMS
• Einführung von Richtlinien und Prozessen
• technische und organisatorische Maßnahmen
Nachweisführung
• Dokumentation
• Evidenzen
• gelebte Prozesse
Audit-Vorbereitung
• interne Reviews
• Interviewvorbereitung
• Management-Briefing
Typische Fehler bei der TISAX Audit Vorbereitung
- Fokus nur auf Dokumentation
- fehlende Nachweise
- zu späte Vorbereitung
- fehlende Einbindung des Managements
Erfolgsfaktoren für ein erfolgreiches TISAX Audit
- frühzeitiger Projektstart
- klare Struktur
- realistische Planung
- praxisnahe Umsetzung
- kontinuierliche Verbesserung
Was wird im TISAX Audit
geprüft?
Im Audit werden insbesondere geprüft:
- Richtlinien und Prozesse
- Umsetzung im Alltag
- Nachweise und Dokumentation
- Verständnis der Mitarbeiter
- Konsistenz der Umsetzung
Beim AL2 erfolgt die Prüfung remote, beim AL3 zusätzlich vor Ort.
TISAX Audit Vorbereitung mit
InShield Consulting
Mit InShield Consulting bereiten Sie sich strukturiert und effizient auf Ihr TISAX Audit vor:
- Fit-Gap Workshops
- ISMS Aufbau und Optimierung
- Unterstützung bei Dokumentation und Nachweisen
- Vorbereitung auf Interviews
- Begleitung bis zum Audit
TISAX und ISO 27001
TISAX ist eng mit internationalen Informationssicherheitsstandards wie ISO/IEC 27001 verbunden. Während ISO/IEC 27001 eine universelle Grundlage für Informationssicherheitsmanagementsysteme bildet, erweitert TISAX diese Prinzipien um branchenspezifische Anforderungen der Automobilindustrie. Unternehmen, die bereits nach ISO/IEC 27001 zertifiziert sind, profitieren von einer erleichterten Implementierung und Auditierung nach TISAX, da die beiden Standards in vielen Bereichen kompatibel sind.
Ergänzung durch andere internationale Standards
TISAX berücksichtigt auch andere Standards und Regelwerke, um umfassende Sicherheitsanforderungen abzudecken:
ISO/IEC 27002: TISAX integriert Sicherheitsmaßnahmen und Controls aus diesem Leitfaden, der die Umsetzung von ISO/IEC 27001 unterstützt.
ISO/IEC 27701: Für Datenschutz und DSGVO-Compliance greift TISAX auf Prinzipien aus diesem Standard zurück, der Datenschutzmanagement beschreibt.
NIST Cybersecurity Framework: Einige der TISAX-Anforderungen stehen in Einklang mit den Sicherheitskategorien und -Maßnahmen dieses Frameworks, das vor allem in den USA verwendet wird.
Globale Anerkennung und Vertrauensbildung
ISO/IEC 27001: Bietet internationale Akzeptanz, was besonders wichtig für Unternehmen mit globalen Partnern ist.
TISAX: Schafft spezifisches Vertrauen in der Automobilbranche und bei deren Zulieferern.
Kombination: Unternehmen mit ISO/IEC 27001- und TISAX-Zertifizierungen können ein breiteres Spektrum an Anforderungen abdecken und ihre Sicherheitsstandards sowohl intern als auch extern dokumentieren.
Vergleich: TISAX und. ISO/IEC 27001
Merkmal
ISO/IEC 27001
TISAX
Wesentliche Einrichtungen
Alle Branchen
Automobilindustrie und deren Lieferketten
Schwerpunkt
Aufbau eines ISMS
Bewertung branchenspezifischer Informationssicherheitsanforderungen
Flexibilität
Sehr flexibel, anpassbar auf alle Organisationen
Standardisierte Module für spezifische Anforderungen
Zertifizierungs-prozess
ISO-Audit durch akkreditierte Stellen
TISAX-Audit durch akkreditierte Prüfer
Risikomanagement
Zentraler Bestandteil
Zentraler Bestandteil, spezifisch auf die Automobilbranche zugeschnitten
Internationalität
Global anerkannt
Primär europäisch, zunehmend internationale Relevanz
Vergleich: TISAX und. ISO/IEC 27001
Merkmal
Wesentliche Einrichtungen
Schwerpunkt
Flexibilität
Zertifizierungs-prozess
ISO/IEC 27001
Alle Branchen
Aufbau eines ISMS
Sehr flexibel, anpassbar auf alle Organisationen
ISO-Audit durch akkreditierte Stellen
Zentraler Bestandteil
Global anerkannt
TISAX
Automobilindustrie und deren Lieferketten
Bewertung branchenspezifischer Informationssicherheitsanforderungen
Standardisierte Module für spezifische Anforderungen
TISAX-Audit durch akkreditierte Prüfer
Zentraler Bestandteil, spezifisch auf die Automobilbranche zugeschnitten
Primär europäisch, zunehmend internationale Relevanz