TISAX-Anforderungen: Was der VDA ISA 6.0 konkret fordert

Das Wichtigste in Kürze

• Der VDA ISA 6.0 enthält über 300 Anforderungsfragen in 7 Kapiteln. Für ein TISAX-Label brauchen Sie durchgängig Reifegrad 3 – also nachweisbar gelebte, nicht nur auf Papier existierende Prozesse.
• Assessment Level 2 und 3 prüfen dieselben Controls nach VDA ISA. Der Unterschied liegt in der Prüftiefe: AL 2 ist ein Remote-Assessment, AL 3 ein Vor-Ort-Audit mit Systemüberprüfung und Penetrationstests.
• Rund 60 % eines TISAX-Projekts entfallen auf IT-technische Nachweise. Wer Asset-Register, Berechtigungskonzept und Patchstände nicht aktuell dokumentiert hat, scheitert oft bereits im Self-Assessment.‍

Für viele IT-Verantwortliche beginnt TISAX als eine Zeile im Liefervertrag. Spätestens bei der Gap-Analyse stellt sich heraus: Die eigene IT-Dokumentation hat nicht den Stand, den man sich vorgestellt hatte.

‍Der VDA ISA 6.0 ist seit April 2024 die verbindliche Prüfgrundlage für alle TISAX-Assessments. Wer mit einem OEM in der Automobilbranche zusammenarbeitet und dabei vertrauliche Informationen verarbeitet, braucht ein gültiges TISAX-Label – ohne geht es nicht mehr. #

Dieser Artikel erklärt, was der Anforderungskatalog konkret verlangt, wie sich AL 2 und AL 3 unterscheiden und welche Rolle IT-Dokumentation dabei spielt.

Was prüft TISAX – und nach welchem Katalog?

TISAX (Trusted Information Security Assessment Exchange) basiert auf dem VDA ISA, dem Informationssicherheits-Assessment-Katalog des Verbands der Automobilindustrie. Herausgegeben und gepflegt wird er von der ENX Association. Der Katalog ist die einzige verbindliche Prüfgrundlage – kein Auditor weicht davon ab, und kein OEM akzeptiert andere Nachweise als Ersatz. Als branchenspezifischer TISAX-Standard für die Automobilindustrie ersetzt der VDA ISA eine eigene ISO-27001-Zertifizierung: OEMs erkennen ein gültiges TISAX-Label als gleichwertigen Nachweis an. Die TISAX-Norm orientiert sich dabei explizit an ISO/IEC 27001 – inhaltlich sind rund 75 % der Controls identisch.

Version 6.0.2 gilt seit dem 1. April 2024 für alle neu beauftragten Prüfverfahren. Bestehende Labels nach ISA 5.1 behalten bis zu ihrem Ablaufdatum ihre Gültigkeit. Der Katalog enthält über 300 Anforderungsfragen, aufgeteilt auf drei Module: Informationssicherheit (Pflicht für alle), Datenschutz sowie Prototypenschutz – letztere zwei je nach OEM-Anforderung.

Wie ist der VDA ISA 6.0 aufgebaut – und was umfasst das TISAX-ISMS?

Das Pflichtmodul Informationssicherheit gliedert sich in sieben Kapitel, die zusammen das vollständige ISMS-Anforderungsprofil für Automobilzulieferer bilden:

1. Informationssicherheitsmanagement – Policies, Rollen, Verantwortlichkeiten, ISMS-Dokumentation
2. Personalsicherheit – Mitarbeiterscreening, Schulungen, Austrittsprozesse
3. Asset Management – Inventar, Klassifikation und Handhabung von IT-Assets und Informationen
4. Zugriffskontrolle – Berechtigungskonzept, Need-to-know-Prinzip, MFA-Verpflichtung
5. Kryptografie und physische Sicherheit – Datenverschlüsselung, Zutrittskontrolle, Zonenmodell
6. IT-Betrieb und Netzwerksicherheit – Patch-Management, Netzwerksegmentierung, Backup
7. Incident Management und Business Continuity – Notfallprozesse, BCM, Wiederherstellungspläne

Mit ISA 6.0 kamen fünf neue Controls für Business Continuity und Incident Management hinzu. Das ist eine direkte Reaktion auf Ransomware-Angriffe in Just-in-Time-Lieferketten, die in den vergangenen Jahren mehrere große Automobilwerke zum Stillstand gebracht haben. Außerdem wurde erstmals ein separates Label „Verfügbarkeit" eingeführt, das über reine Vertraulichkeitsanforderungen hinausgeht.

Was wird bei TISAX konkret geprüft?

Was wird bei TISAX geprüft – und wie tief bohrt ein Auditor wirklich? Viele Unternehmen unterschätzen das. Er prüft keine Hochglanzkonzepte, sondern Beweise. Ein schriftliches ISMS-Handbuch allein reicht nicht aus – der Auditor will sehen, dass Prozesse im Alltag funktionieren.

Was ein Auditor in jedem Assessment überprüft, lässt sich in drei Kategorien fassen. Erstens Dokumentation des ISMS: Handbuch mit Risikobewertung, Asset-Register mit Klassifikation nach Schutzbedarf, Berechtigungsmatrix nach Least-Privilege-Prinzip. Zweitens Betriebliche Nachweise: Patch-Logs mit aktuellen Betriebssystem-Ständen, Schulungsnachweise für alle Mitarbeiter im Scope, Incident-Log mit dokumentierten Vorfällen. Drittens Notfall- und Lieferantenmanagement: Business-Continuity-Plan mit definierten Recovery-Zeiten sowie Auftragsverarbeitungsverträge (AVVs) für externe Dienstleister.

Der Reifegrad-Maßstab ist eindeutig: Reifegrad 3 bedeutet etabliert, regelmäßig befolgt und im Audit nachweisbar getestet. Reifegrad 0 oder 1 ist für kritische Controls nicht akzeptabel – auch nicht als Einzelausreißer in einem ansonsten ordentlichen Self-Assessment.

Im TISAX-Assessment existiert nur, was dokumentiert ist. Wer nichts nachweisen kann, bekommt kein Label. Das gilt besonders für Asset-Management und Berechtigungskonzept, wo Auditoren regelmäßig stichprobenartig prüfen, ob die Realität mit der Dokumentation übereinstimmt.

Was hat sich 2024 mit ISA 6.0 geändert?

Unternehmen, die bereits mit ISA 5.1 vertraut sind, sollten vier Neuerungen besonders im Blick behalten. Erstmals gibt es ein separates Label „Verfügbarkeit": Zulieferer können Verfügbarkeitsanforderungen nun getrennt nachweisen – eine direkte Reaktion auf Ransomware-Angriffe in Produktionslieferketten. Ergänzend dazu kamen fünf neue BCM- und Incident-Controls: IT-Servicekontinuität, Backup und Wiederherstellung sowie Notfallmanagement sind jetzt eigenständige Prüfpunkte mit eigenen Reifegrad-Bewertungen.

Die dritte und vielleicht folgenreichste Neuerung sind die OT-Anforderungen nach ISA/IEC 62443: Produktionsumgebungen und industrielle Steuerungssysteme müssen erstmals in das ISMS integriert werden. Wer OT bislang aus dem TISAX-Scope ausgeklammert hatte, muss das nachholen. Schließlich verweist ISA 6.0 nun explizit auf ISO 27001:2022, den BSI IT-Grundschutz und das NIST Cyber Security Framework – was die Integration dieser Standards in die TISAX-Vorbereitung deutlich erleichtert.

Besonders die OT-Anforderung trifft viele produzierende Zulieferer unvorbereitet. Eine Gap-Analyse auf Basis von ISA 6.0 sollte OT-Systeme von Anfang an einschließen, nicht erst als Nachbesserung kurz vor dem Audit.

TISAX Level 2 und Level 3: Gleiche Anforderungen, unterschiedliche Prüftiefe

Das häufigste Missverständnis in der TISAX-Vorbereitung: Level 2 hat leichtere Anforderungen als Level 3. Das stimmt nicht. Alle Assessment Levels messen dieselben Controls nach VDA ISA – der Unterschied liegt ausschließlich in der Prüfmethode, nicht im Anforderungsumfang.

Welches Level ein Unternehmen braucht, entscheidet der OEM per Liefervertrag – nicht das Unternehmen selbst. AL 2 ist ein Remote-Assessment mit Dokumentenprüfung und Videointerviews. AL 3 ist ein Vor-Ort-Audit mit direkter Systemüberprüfung und Penetrationstests. AL 1 liefert kein TISAX-Label – OEMs akzeptieren es nicht als Nachweis einer bestandenen TISAX-Prüfung.

Was das für die Anforderungsvorbereitung bedeutet: Die TISAX Level 2 Anforderungen und die TISAX Level 3 Anforderungen sind identisch – bei AL 3 müssen dieselben Controls erfüllt werden wie bei AL 2, aber der Auditor überprüft vor Ort, ob die Systeme tatsächlich das tun, was die Dokumentation behauptet. Lücken zwischen dokumentierten Richtlinien und gelebter Praxis fallen bei AL 3 garantiert auf.

Warum IT-Dokumentation im TISAX-Assessment entscheidet

Rund 60 % eines TISAX-Projekts entfallen auf die IT. Dahinter stehen konkrete VDA-ISA-Anforderungen: vollständig inventarisierte Assets, klassifiziert nach Schutzbedarf, mit aktuellem Berechtigungskonzept, nachweisbaren Patchständen und aktuellen Netzwerkplänen.

Aus der Praxis lässt sich beobachten: Die häufigsten Feststellungen in TISAX-Assessments betreffen nicht fehlende Richtlinien, sondern veraltete oder lückenhafte Dokumentation. Ein Asset-Register aus dem Vorquartal, aktive Accounts ehemaliger Mitarbeiter, eine Netzwerkdokumentation, die den aktuellen Zustand nicht mehr abbildet – das sind die typischen Schwachstellen, die im Audit auffallen.

Was IT-Verantwortliche für das Assessment konkret vorbereiten müssen, zeigt sich vor allem in fünf Bereichen. Asset-Management und Berechtigungskonzept bilden das Fundament: alle IT-Assets vollständig inventarisiert und einem Verantwortlichen zugeordnet, Zugriffsrechte nach Least-Privilege-Prinzip ohne veraltete Accounts. Dazu kommen Patch-Management mit nachweisbaren Betriebssystem-Ständen, aktuelle Netzwerkdokumentation mit Segmentierung und Firewall-Regeln sowie dokumentierte Notfallpläne für geschäftskritische Systeme.

Ein Punkt, der in der Praxis oft unterschätzt wird: Berechtigungsmanagement. Nach dem Need-to-know-Prinzip darf jeder Mitarbeiter nur auf die Daten zugreifen, die er für seine Aufgaben tatsächlich benötigt. Im Audit prüft der Auditor stichprobenartig, ob vergebene Rechte mit tatsächlichen Rollen übereinstimmen – und ob inaktive Accounts ehemaliger Mitarbeiter deaktiviert wurden. Das klingt trivial, ist aber nach internen Stellenwechseln und Austritten oft nicht konsequent umgesetzt.

Ähnliches gilt für das Asset-Register: Es reicht nicht aus, eine Inventarliste einmalig zu erstellen. Der Auditor erwartet nachweislich regelmäßige Aktualisierungen und kann den Zeitstempel des letzten Updates prüfen. Wer Inventarisierung und Dokumentation automatisiert, vermeidet das Problem veralteter Listen zum falschen Zeitpunkt.

Agentenlose IT-Inventarisierungstools wie Docusnap helfen dabei, diesen Bereich audit-ready aufzustellen: Assets werden automatisch erfasst, Berechtigungen analysiert und Netzwerkpläne direkt aus den Inventardaten generiert – exportierbar als Audit-Nachweis, ohne manuelles Nachpflegen. Wie ABT Sportsline GmbH das für die TISAX-Vorbereitung mit Docusnap umgesetzt hat, zeigt die Kundenfallstudie.

Welche VDA-ISA-Anforderungen deckt IT-Dokumentationssoftware konkret ab?

Der direkte Zusammenhang zwischen VDA-ISA-Controls und IT-Dokumentation ist in der Praxis oft unklar. Hier die konkreten Bezüge:

Kapitel 3 (Asset Management) fordert ein vollständiges, aktuelles Inventar aller IT-Assets mit Schutzbedarf-Klassifikation – das wird agentenlos geliefert, ohne Rollout auf den Zielsystemen. Kapitel 4 (Zugriffskontrolle) verlangt eine Berechtigungsmatrix nach Least-Privilege-Prinzip mit aktiver Account-Übersicht, inklusive Analyse über Active Directory, File-Shares und Cloud-Dienste mit direkter Anzeige veralteter Accounts. Für Kapitel 6 (IT-Betrieb & Netzwerksicherheit) entstehen Netzwerkpläne und Patch-Statusberichte automatisch aus dem Inventar. Kapitel 1 (Informationssicherheitsmanagement) wird durch Asset-Owner-Zuordnung und exportierbare ISMS-Berichte abgedeckt.

Der Auditor akzeptiert keine Screenshots aus dem laufenden System als Nachweis – er erwartet strukturierte, datierte Dokumentation, die eine regelmäßige Pflege belegt. Das ist der Unterschied zwischen einem Asset-Tool und einer IT-Dokumentationslösung.

Wie bereiten Sie sich strukturiert auf das Assessment vor?

Eine realistische Vorbereitung folgt vier Schritten. Das klingt überschaubar – bis man merkt, dass das Asset-Register veraltet ist, das Berechtigungskonzept nie final abgenommen wurde und der Scope noch gar nicht definiert ist. Wer zu spät damit anfängt, gerät unter Zeitdruck – und Zeitdruck ist der häufigste Grund, warum Richtlinien zwar erstellt, aber nicht mehr gelebt werden.

1. Schritt: Scope definieren. Welche Standorte, Systeme und Prozesse kommen in Berührung mit den prüfungsrelevanten Informationen? Zu eng definierter Scope führt zu Nachforderungen, zu weit definierter erhöht den Aufwand unnötig.
2. ‍Schritt: Gap-Analyse auf Basis von ISA 6.0. Den aktuellen Ist-Zustand gegen die Anforderungen mappen. Kritische Gaps mit Reifegrad 0 oder 1 sofort priorisieren – sie sind assessment-kritisch und brauchen die meiste Vorlaufzeit.
3. Schritt: TISAX-ISMS auf Reifegrad 3 bringen. Richtlinien, Prozesse und Nachweise müssen nicht nur existieren, sondern regelmäßig angewendet und überprüft werden. Das TISAX-Informationssicherheits-Management (ISMS) folgt dabei denselben Grundprinzipien wie ISO 27001 – ein Handbuch, das niemand kennt und keiner befolgt, erreicht im Audit Reifegrad 1.
4. Schritt: IT-Dokumentation audit-ready aufstellen. Asset-Register, Berechtigungsmatrix, Patch-Logs und Netzwerkpläne müssen zum Audit-Termin aktuell sein – und nachweisbar regelmäßig gepflegt werden.

Typische Vorbereitungszeit: 8–12 Wochen für KMU ohne bestehende ISO-27001-Basis, 6–8 Wochen mit vorhandenem ISMS. Wer Inventarisierung und Dokumentation automatisiert, reduziert den manuellen Aufwand nach Angaben von Anwendern um mehrere Tage pro Zyklus.

Ein häufiger Fehler bei der Planung: Unternehmen unterschätzen die Zeit für die Konsolidierung vorhandener Dokumentation. Richtlinien existieren oft in verschiedenen Versionen in verschiedenen Ablagesystemen. Der Auditor prüft nicht die beste Version, sondern die, die tatsächlich verwendet wird. Es lohnt sich daher, frühzeitig einen zentralen Dokumentationspunkt zu schaffen, statt kurz vor dem Audit alles zusammenzuführen.

Außerdem sollte das Self-Assessment nicht als Formalität behandelt werden. Es ist das erste echte Bild des eigenen Reifegrads – und identifiziert die Bereiche, bei denen Reifegrad 3 noch nicht erreicht ist. Wer das Self-Assessment sorgfältig durchführt, hat im Audit keine Überraschungen mehr. Den vollständigen Ablauf eines TISAX-Audits – von der ENX-Registrierung über das Self-Assessment bis zur Label-Vergabe – erklärt der weiterführende Artikel im Detail.

Außerdem interessant für Unternehmen mit bestehender ISO-27001-Basis: Die TISAX-Anforderungen nach VDA ISA 6.0 decken sich zu rund 75 % mit ISO-27001-Controls. Eine integrierte Umsetzung beider Standards spart 30–50 % der Aufwände gegenüber getrennter Implementierung.

NIS-2 und TISAX – relevant für Unternehmen, die beide Rahmenwerke erfüllen müssen

Wer bereits ein NIS-2-konformes ISMS aufgebaut hat, deckt einen erheblichen Teil der TISAX-Compliance ab. Beide Rahmenwerke stellen vergleichbare Anforderungen an Informationssicherheit: Asset-Management, Berechtigungskonzepte, Incident-Prozesse und eine dokumentierte Risikoanalyse sind in beiden Systemen Pflicht. Der entscheidende Unterschied liegt in der Prüfmethode: TISAX-Richtlinien und Sicherheitsvorgaben werden im Assessment durch einen akkreditierten Prüfdienstleister verifiziert, während NIS-2-Nachweise gegenüber dem BSI erbracht werden. Unternehmen in der Automobillieferkette, die gleichzeitig unter NIS-2 fallen, sollten beide Rahmenwerke von Anfang an gemeinsam planen – das reduziert Doppelarbeit erheblich.

Der VDA ISA 6.0 ist kein abstraktes Regelwerk – er beschreibt sehr konkret, was im Audit auf dem Tisch liegen muss. Wer die Anforderungen kennt und seine IT-Dokumentation frühzeitig darauf ausrichtet, hat im Assessment keine Überraschungen mehr. Der Rest ist Vorbereitung.