Was ist TISAX? Der Überblick für IT-Verantwortliche

Das Wichtigste in Kürze

• Was ist TISAX? TISAX (Trusted Information Security Assessment Exchange) ist der branchenweite Informationssicherheitsstandard der Automobilindustrie. Er legt fest, welche Schutzmaßnahmen Zulieferer für sensible Fahrzeug-, Entwicklungs- und Kundendaten einführen müssen.
• Wen betrifft TISAX? Jedes Unternehmen, das schutzbedürftige Informationen von Automobilherstellern verarbeitet – unabhängig von der Unternehmensgröße. OEMs setzen den Nachweis zunehmend als Voraussetzung für die Zusammenarbeit durch.
• Was müssen Sie jetzt tun? Der erste Schritt ist zu verstehen, welches Schutzniveau für Ihre Daten gilt und welche Lücken Ihre aktuelle IT-Dokumentation aufweist – bevor der Auditor das für Sie feststellt.

Was ist TISAX?

TISAX steht für Trusted Information Security Assessment Exchange. Was bedeutet TISAX? Die TISAX Bedeutung lässt sich kurz so fassen: Es ist der Informationssicherheitsstandard, auf den sich die deutsche Automobilindustrie geeinigt hat, um einheitliche Anforderungen an den Umgang mit sensiblen Daten durchzusetzen. Als TISAX Definition gilt: der Standard umfasst sowohl den Anforderungskatalog (VDA ISA) als auch das Prüf- und Austauschverfahren, das OEMs und Zulieferer verbindet.

Entwickelt wurde das Verfahren vom Verband der Automobilindustrie (VDA). Die Grundlage bildet der VDA ISA-Katalog – ein Fragenkatalog, der auf ISO/IEC 27001 aufbaut, aber spezifisch auf die Anforderungen der Automobilbranche zugeschnitten ist. Die ENX Association verwaltet das Programm und sorgt dafür, dass Prüfergebnisse branchenweit geteilt werden können.

Der entscheidende Unterschied zu einer reinen ISO-27001-Zertifizierung: TISAX ist kein Selbst-Audit. Die Prüfung führt ein zugelassener, unabhängiger Dienstleister durch. Das Ergebnis ist ein Prüfnachweis, der im ENX-Portal für die Automobilpartner sichtbar ist – oder eben nicht.

Warum ist das relevant? Weil OEMs wie BMW, Volkswagen oder Mercedes-Benz den Nachweis zunehmend zur Pflicht machen. Wer keinen aktuellen Nachweis hat, wird von Ausschreibungen ausgeschlossen. Einfach so.

Sie liefern an einen OEM – warum TISAX jetzt Ihr Thema ist

Die meisten Automobilzulieferer bekommen die TISAX-Pflicht nicht von der IT-Abteilung mitgeteilt, sondern aus dem Vertrieb: Ein OEM-Partner schickt eine Anforderungsliste, und auf Position eins steht die TISAX-Zertifizierung.

Das ist kein Zufall. OEMs verarbeiten täglich Daten, die einen erheblichen wirtschaftlichen Schaden verursachen können, wenn sie in die falschen Hände geraten: Konstruktionspläne, Prototyp-Informationen, Produktionsprozesse, Kundendaten. Die Hersteller können die Sicherheit dieser Daten nicht selbst gewährleisten, solange sie keine verlässlichen Aussagen über die IT-Sicherheit ihrer Zulieferer haben.

TISAX ist die Antwort darauf. Es schafft eine einheitliche Sprache, mit der Zulieferer ihren Sicherheitsstand belegen können – ohne dass jeder OEM eigene Fragebögen und Audits organisieren muss. Was beinhaltet TISAX konkret? Im Kern: einen Anforderungskatalog für Informationssicherheit, ein standardisiertes Prüfverfahren und ein branchenweites Austauschsystem für Prüfergebnisse.

Wann brauche ich TISAX? Die Faustformel lautet: Wer schutzbedürftige Informationen eines OEM verarbeitet, ist betroffen. Das schließt ein:

• Tier-1-Lieferanten mit direktem OEM-Kontakt
• Tier-2- und Tier-3-Lieferanten, die in die Lieferkette eingebunden sind
• Softwareentwickler, Ingenieurbüros und Dienstleister, die Entwicklungsdaten erhalten
• Unternehmen, die Prototypen oder vertrauliche Unterlagen handhaben

Die Unternehmensgröße spielt keine Rolle. Auch ein 20-Personen-Betrieb, der Steuerungssoftware für einen OEM entwickelt, kann in der Pflicht sein.

Tier-2 und Tier-3: Auch indirekte Zulieferer sind betroffen

Ein weit verbreitetes Missverständnis: TISAX betrifft nur die direkten Partner der großen Automobilhersteller. Das stimmt nicht. Die Anforderung wird zunehmend entlang der gesamten Lieferkette weitergegeben.

Das funktioniert so: Ein Tier-1-Lieferant erhält vom OEM die Auflage, TISAX-konform zu sein. Er gibt diese Anforderung an seine eigenen Zulieferer weiter – also an Tier-2-Unternehmen. Diese wiederum können dieselbe Anforderung an ihre Vorlieferanten stellen. Am Ende sitzt ein mittelständisches Unternehmen, das nie direkt mit einem OEM kommuniziert hat, trotzdem in der Pflicht.

Wer in diesem Fall betroffen ist, hängt davon ab, welche Daten fließen. Drei Fragen helfen zur Einordnung:

• Erhalten Sie Konstruktions-, Entwicklungs- oder Produktionsdaten von einem Auftraggeber in der Automobilbranche?
• Verarbeiten oder speichern Sie diese Daten auf Ihren IT-Systemen?
• Haben Sie vertragliche Vereinbarungen, die Informationssicherheitsanforderungen einschließen?

Wer alle drei Fragen mit Ja beantwortet, sollte davon ausgehen, dass die TISAX-Anforderung früher oder später auf ihn zukommt – auch ohne direkten OEM-Kontakt.

TISAX gilt weltweit – nicht nur in Deutschland

TISAX wurde von der deutschen Automobilindustrie entwickelt, aber seine Reichweite ist längst international. Jedes Unternehmen weltweit, das mit deutschen OEMs oder deren direkten Tier-1-Zulieferern zusammenarbeitet, kann unter die Anforderung fallen – unabhängig davon, ob es in Deutschland, Polen, Tschechien, Mexiko oder Japan ansässig ist.

Das ist kein theoretisches Szenario. Die deutschen Automobilhersteller betreiben globale Lieferketten. BMW, Mercedes-Benz und Volkswagen beziehen Komponenten und Dienstleistungen von Hunderten internationaler Zulieferer. TISAX ist für diese Unternehmen der einheitliche Standard, um Informationssicherheit entlang dieser Kette zu gewährleisten – unabhängig vom Standort des Zulieferers.

Für internationale Unternehmen gelten dabei dieselben Anforderungen wie für deutsche. Der VDA ISA-Katalog, die Prüfstufen und der ENX-Portal-Nachweis sind identisch. Was sich unterscheiden kann: die Verfügbarkeit zugelassener Prüfdienstleister im jeweiligen Land. Die ENX Association führt eine aktuelle Liste akkreditierter Prüfer, die auch außerhalb Deutschlands tätig sind.

Was Auditoren bei Ihnen prüfen werden – und was das für Ihre IT bedeutet

Die TISAX-Prüfung folgt einem strukturierten Verfahren. Zugelassene Prüfdienstleister überprüfen, ob die Informationssicherheitsmaßnahmen des Unternehmens dem Schutzbedarf der verarbeiteten Daten entsprechen. Dabei unterscheidet man zwischen einer reinen Plausibilitätsprüfung (Prüfstufe 1) und einer vollständigen Vor-Ort-Begutachtung (Prüfstufe 2 und 3).

Der VDA ISA-Katalog gliedert die Anforderungen in mehrere Themenbereiche. Für IT-Verantwortliche besonders relevant: Informationssicherheitsmanagement, IT-Systeme und Netzwerke, Identitäts- und Zugriffsmanagement sowie Prototypenschutz (wo anwendbar). Für jede Anforderung bewertet der Prüfer einen Reifegrad auf einer Skala von 0 bis 5 – wobei Reifegrad 3 das Minimum ist. Das bedeutet nicht nur, dass eine Maßnahme existiert, sondern dass sie im Alltag gelebt und nachweisbar geprüft wird.

Auditoren erwarten keine lückenlose Dokumentation jedes Prozesses. Aber sie erwarten Belege. Eine Asset-Liste aus dem letzten Quartal, ein Netzwerkplan, der nur im Kopf des Senior-Admins existiert – beides reicht nicht. Die meisten Lücken liegen nicht in der technischen IT-Sicherheit, sondern in der Dokumentation vorhandener Maßnahmen. Was den TISAX-Audit konkret ausmacht – Ablauf, Prüfstufen und Vorbereitung – beschreibt der weiterführende Artikel.

Welches Schutzniveau gilt für Ihr Unternehmen?

Nicht jeder Zulieferer wird mit denselben Anforderungen konfrontiert. TISAX unterscheidet nach dem Schutzbedarf der Daten, die ein Unternehmen von seinen OEM-Partnern erhält.

• Normal – Standardinformationen ohne besondere Vertraulichkeit. Prüfstufe 1 (Plausibilitätsprüfung).
• Hoch – Vertrauliche Entwicklungsdaten, Lieferkettenpläne. Prüfstufe 2 (Vor-Ort-Begutachtung).
• Sehr hoch – Prototypeninformationen, hochsensible Konstruktionsdaten. Prüfstufe 3 (erweiterter Vor-Ort-Check).
• Sehr hoch + Prototypenschutz – Fahrzeuge und Bauteile vor Serienstart. Prüfstufe 3 mit erweiterter physischer Prüfung.

Welches Schutzniveau für Sie gilt, legt nicht Ihr eigenes Unternehmen fest, sondern der OEM-Partner. Er klassifiziert die Informationen, die er mit Ihnen teilt, und teilt Ihnen mit, welche TISAX-Anforderungen Sie erfüllen müssen.

Das bedeutet in der Praxis: Ein Unternehmen, das für mehrere OEMs arbeitet, kann unter unterschiedliche Anforderungsprofile fallen. Die strengste Anforderung setzt dann den Maßstab für das gesamte Informationssicherheitssystem.

Ein häufiges Missverständnis: Das Schutzniveau bezieht sich auf die Daten, nicht auf das Unternehmen. Selbst ein kleines Ingenieurbüro mit fünf Mitarbeitern kann unter „Sehr hoch" fallen, wenn es Prototypen-Konstruktionspläne bearbeitet.

Was VDA ISA 6.0 ändert – und warum das für alle gilt, die jetzt starten

Seit dem 1. April 2024 gilt für alle neuen TISAX-Prüfungen ausschließlich der VDA ISA-Katalog in Version 6.0. Wer heute mit der Vorbereitung beginnt, arbeitet zwingend auf dieser Basis.

Die wichtigsten Neuerungen gegenüber der Vorgängerversion:

• Klarere Anforderungsstruktur: ISA 6.0 enthält zu vielen Kontrollfragen direkt typische Auditorfragen und Nachweisbeispiele – das macht die Vorbereitung konkreter.
• Neue Label-Systematik: Die bisherigen Kategorien wurden grundlegend überarbeitet. Neu sind vier Labels, die Vertraulichkeit und Verfügbarkeit strikt trennen; die zentralen Kategorien heißen jetzt „Confidential" und „Availability".
• Stärkerer Fokus auf Nachweisbarkeit: ISA 6.0 betont explizit, dass Maßnahmen nicht nur existieren, sondern nachweislich gelebt werden müssen – eine Verschärfung gegenüber früheren Versionen.
• Aktualisierte Referenzen: Der Katalog verweist nun explizit auf ISO 27001:2022 und das NIST Cyber Security Framework.

Für Unternehmen, die bereits ein TISAX-Prüfergebnis auf Basis von ISA 5.x haben: Die bestehenden Nachweise behalten bis zum regulären Ablauf ihre Gültigkeit. Für Neubeauftragungen gibt es keine Übergangsoption mehr.

TISAX und Datenschutz: ein oft übersehener Prüfbereich

TISAX wird häufig als reines IT-Sicherheitsthema wahrgenommen. Dabei enthält der VDA ISA-Katalog auch ein eigenes Prüfziel zum Datenschutz – und das ist kein Randthema.

Wer im Rahmen seiner Tätigkeit für einen OEM personenbezogene Daten verarbeitet – etwa Mitarbeiterdaten, Kundenkontakte oder Fahrzeughalterinformationen – muss nachweisen, dass diese Daten DSGVO-konform behandelt werden. Das schließt technische und organisatorische Maßnahmen ein, aber auch dokumentierte Verarbeitungsverzeichnisse und klare Zuständigkeiten.

In der Praxis bedeutet das: Datenschutzbeauftragter und IT-Sicherheitsverantwortlicher müssen bei der TISAX-Vorbereitung eng zusammenarbeiten. Wer die Datenschutz-Dimension erst kurz vor dem Prüftermin entdeckt, gerät unter erheblichen Zeitdruck. Die Anforderungen sind überschaubar – aber sie müssen vollständig und nachweisbar erfüllt sein.

Bestehendes Sicherheits-Framework? Das zählt

Wer in seinem Unternehmen bereits ein Informationssicherheits-Managementsystem (ISMS) – etwa nach ISO 27001 – betreibt, hat einen Vorsprung. Der VDA ISA-Katalog baut auf denselben Grundprinzipien auf wie etablierte internationale Standards – Risikoanalyse, Schutzbedarfsfeststellung, definierte Verantwortlichkeiten, regelmäßige Reviews. Wer diese Strukturen bereits kennt, muss sie nicht neu erfinden, sondern auf die spezifischen Anforderungen der Automobilbranche ausrichten.

Was TISAX darüber hinaus einfordert, sind branchenspezifische Themen: Prototypenschutz, physische Sicherheitszonen für Testfahrzeuge, der Umgang mit OEM-eigenen Fahrzeugen auf dem Betriebsgelände. Das sind Bereiche, die in generischen Sicherheitsstandards so nicht auftauchen – und die eine eigene Vorbereitung erfordern, unabhängig vom Reifegrad des bestehenden ISMS.

Ein bestehendes Framework ist also kein Freifahrtschein, aber ein echter Startvorteil. Wie das in der Praxis aussieht, zeigt die Fallstudie ABT Sportsline – ein Automobilzulieferer, der Docusnap als Grundlage für seine TISAX-Vorbereitung einsetzt.

Von der Entscheidung bis zum Nachweis: der typische Projektablauf

TISAX-Projekte folgen einem erkennbaren Muster. Der Weg vom ersten OEM-Auftrag bis zum veröffentlichten Prüfnachweis lässt sich grob in sechs Phasen einteilen:

1. Scope und Schutzbedarf klären – gemeinsam mit dem OEM: welche Daten, welche Standorte, welches Schutzniveau?
2. Gap-Analyse – Ist-Zustand gegen VDA ISA-Katalog prüfen, Maßnahmenliste erstellen (2–6 Wochen)
3. Maßnahmen umsetzen – Dokumentation, Prozesse, Schulungen, technische Maßnahmen (3–9 Monate)
4. Internes Pre-Audit – Probelauf gegen den ISA-Katalog, letzte Lücken schließen
5. Externe Prüfung – durch einen von der ENX Association zugelassenen Prüfdienstleister (½ bis 2 Tage vor Ort)
6. Nachweis im ENX-Portal – Ergebnis drei Jahre gültig, für OEM-Partner sichtbar

Wer heute startet, sollte mit vier bis zwölf Monaten Gesamtlaufzeit rechnen – je nach Ausgangslage. Der ausführliche Ablauf mit Vorbereitung, Prüfstufen und typischen Fallstricken ist im TISAX-Audit-Artikel beschrieben.

Wo die meisten TISAX-Projekte ins Stocken geraten – und wie Sie das vermeiden

Unternehmen, die zum ersten Mal in eine TISAX-Prüfung gehen, erleben selten technische Überraschungen. Was sie überrascht, ist der dokumentarische Aufwand.

Typische Stolperstellen:

IT-Inventar fehlt oder ist veraltet. Auditoren erwarten eine vollständige, aktuelle Liste aller informationsverarbeitenden Systeme: Server, Clients, Netzwerkgeräte, Cloud-Dienste, Mobilgeräte. Eine Excel-Liste aus dem letzten Quartal erfüllt das nicht zuverlässig.

Berechtigungen sind nicht nachvollziehbar. Wer hat Zugriff auf welche Systeme, welche Daten, welche Anwendungen? Diese Frage sollte für den Auditor mit einem Klick beantwortbar sein – nicht mit einer Reise durch fünf verschiedene Systeme.

Netzwerkdokumentation ist Stückwerk. Segmentierungskonzepte, Schnittstellenbeschreibungen, VLAN-Übersichten – sie existieren oft, aber nicht als konsistente, aktuelle Dokumentation.

Richtlinien sind verabschiedet, aber nicht gelebt. Eine IS-Leitlinie im Intranet nützt wenig, wenn Schulungsnachweise fehlen oder Richtlinien seit Jahren nicht reviewt wurden.

Die gute Nachricht: Alle diese Lücken lassen sich schließen – wenn man früh genug damit beginnt. Typische TISAX-Vorbereitungen dauern je nach Ausganglage zwischen drei und zwölf Monaten. Wer sechs Wochen vor der geplanten Prüfung anfängt, gerät unter Druck.

Ein pragmatischer erster Schritt: Gap-Analyse gegen den VDA ISA-Katalog, bevor ein Dienstleister beauftragt wird. Das spart Zeit und zeigt, wo der eigentliche Aufwand liegt – und wo bereits mehr vorhanden ist, als angenommen.

Einen kompakten Einstieg, wie IT-Dokumentation für TISAX in drei Schritten automatisiert wird, bietet dieses Video: TISAX-Zertifizierung vorbereiten: IT-Dokumentation in 3 Schritten automatisieren

Docusnap inventarisiert IT-Umgebungen automatisch und erzeugt daraus die Dokumentation, die Auditoren erwarten – ohne manuelle Pflegeaufwände. Was das konkret bedeutet, lesen Sie auf der Seite: TISAX-Software.

Was TISAX kostet – und wie lange der Nachweis gilt

TISAX ist kein Einmalprojekt. Die externen Prüfkosten setzen sich aus ENX-Registrierungsgebühren und den Honoraren des Prüfdienstleisters zusammen – je nach Prüfstufe und Unternehmensgröße bewegen sich die reinen Auditkosten zwischen ca. 3.500 Euro (Prüfstufe 2, KMU) und 30.000 Euro (Prüfstufe 3, größere Umgebungen). Hinzu kommen interne Aufwände für Gap-Analyse, Dokumentation und Schulungen, die in vielen Projekten die externen Kosten übersteigen. Der Nachweis gilt drei Jahre – danach ist eine Erneuerungsprüfung erforderlich, die typischerweise 60–70 Prozent des Erstaufwands kostet. Detaillierte Kostenaufstellungen nach Prüfstufe und aktuelle ENX-Gebühren beschreibt der TISAX-Audit-Artikel.

Nächste Schritte

Der erste konkrete Schritt ist nicht der Kontakt zu einem Prüfdienstleister, sondern eine ehrliche Bestandsaufnahme: Wie vollständig ist Ihre aktuelle IT-Dokumentation – und wie aktuell? IT-Teams, die diese Frage mit einem Tool statt mit manuellen Listen beantworten können, starten mit einem deutlichen Vorteil in die Vorbereitung. Testen Sie Docusnap und sehen Sie, was Ihre IT wirklich zeigt.