TISAX-Audit: Ablauf, Fragenkatalog und was Prüfer wirklich testen

Das Wichtigste in Kürze:

• Ein TISAX-Audit läuft in zwei Stufen ab: Dokumentenprüfung (Stage 1) und Interview plus Vor-Ort-Begehung (Stage 2). Der Auditor folgt dabei dem VDA ISA-Fragenkatalog, seit April 2024 ausschließlich in Version 6.0 – und bewertet nicht nur ob Prozesse dokumentiert sind, sondern ob sie nachweislich gelebt werden.
• Die Kosten setzen sich aus drei Blöcken zusammen: ENX-Registrierung (405 Euro pro Standort), Auditgebühren (ca. 3.500 Euro bei Assessment Level 2, ca. 6.000–7.000 Euro bei Level 3) und internem Vorbereitungsaufwand. Letzterer ist der größte Kostenblock – und hängt direkt davon ab, wie aktuell die IT-Dokumentation steht.
• Wer beim Audit zu jeder Prüferfrage aktuelle, belegbare Daten vorlegen kann, besteht. Lückenhafte oder veraltete IT-Asset-Dokumentation ist einer der häufigsten Gründe für Nachbesserungsschleifen – und damit für Verzögerungen beim Label.

Mehr als die Hälfte aller TISAX-Erstaudits scheitern nicht am fehlenden ISMS-Handbuch, sondern an veralteten oder unvollständigen IT-Asset-Daten. Der Auditor fragt konkret: Welche Systeme haben Zugriff auf vertrauliche Informationen? Welche Patch-Stände liegen vor? Wer hat welche Berechtigungen – und wann wurde das zuletzt geprüft? Seit April 2024 gilt als Prüfgrundlage ausschließlich VDA ISA Version 6.0. Dieser Artikel erklärt, wie ein TISAX-Audit abläuft, was er kostet und wie die IT-Dokumentation aufgestellt sein muss, damit beim Assessment keine Nachbesserungsschleifen entstehen.

Was ist ein TISAX-Audit – und wer darf es durchführen?

TISAX (Trusted Information Security Assessment Exchange) ist das standardisierte Prüfverfahren für Informationssicherheit in der Automobilbranche. Als TISAX-Standard wurde es vom Verband der Automobilindustrie (VDA) und der ENX Association entwickelt und ersetzt den früheren Wildwuchs aus OEM-spezifischen Einzelaudits. Ein bestandenes Assessment wird über das ENX-Portal für freigegebene Geschäftspartner sichtbar gemacht – einmal geprüft, mehrfach verwendbar.

Ein TISAX-Audit darf ausschließlich von ENX-akkreditierten Prüfdienstleistern durchgeführt werden. Die Liste zugelassener Prüfer ist direkt über das ENX-Portal abrufbar. Der Auditor bewertet dabei nicht das Unternehmen als Ganzes, sondern einen klar definierten Scope: welche Standorte, welche Prozesse, welche Informationstypen sind einbezogen.

Das Ergebnis ist kein Zertifikat im klassischen Sinn, sondern ein TISAX-Label, das im ENX-Portal veröffentlicht wird. Die Gültigkeit beträgt drei Jahre – danach beginnt der Prozess erneut, allerdings mit deutlich reduziertem Aufwand, da das ISMS bereits steht.

Wie läuft ein TISAX-Audit ab – Schritt für Schritt?

Der Ablauf folgt einem festen Schema, das die ENX im TISAX-Participant-Handbook vorschreibt. Von der Registrierung bis zum veröffentlichten Label vergehen bei guter Vorbereitung vier bis sechs Monate. Wer das ISMS noch aufbauen muss, rechnet mit sechs bis zwölf Monaten.

Schritt 1: Registrierung auf dem ENX-Portal

Ausgangspunkt ist die Anmeldung auf dem ENX-Portal – Registrierung für TISAX-Teilnehmer: Scope festlegen, Prüfziele auswählen, Prüfdienstleister beauftragen. Die Registrierungsgebühr liegt bei 405 Euro einmalig pro Standort für drei Jahre. Dieser Schritt dauert etwa eine Woche.

Schritt 2: Scope und Assessment Level klären

Gemeinsam mit dem OEM und dem Prüfdienstleister wird festgelegt, welches TISAX-Level gilt und welche Module geprüft werden. Diese Entscheidung bestimmt den gesamten weiteren Aufwand – und damit auch die Kosten. Wer den Scope zu weit fasst, zahlt unnötig viel. Zwei bis drei Wochen Abstimmung sind realistisch.

Schritt 3: Gap-Analyse und ISMS-Aufbau

Der aufwendigste Teil. Das Unternehmen prüft die Ist-Situation gegen den VDA ISA-Fragenkatalog, identifiziert Lücken und schließt sie. Dazu gehören Sicherheitsrichtlinien, Asset-Inventar, Berechtigungskonzepte, Notfallpläne und Schulungsnachweise. Je nach Reifegrad dauert dieser Schritt drei bis neun Monate. Wer seine IT-Infrastruktur bereits automatisiert dokumentiert, verkürzt diese Phase spürbar – weil das Asset-Inventar nicht erst manuell zusammengestellt werden muss.

Schritt 4: Das zweistufige Audit

Das eigentliche Audit läuft in zwei Stufen ab. In Stage 1 prüft der Auditor alle eingereichten Unterlagen – ISMS-Handbuch, Risikobewertung, Richtlinien, Asset-Listen, Berechtigungskonzepte. Fehlende oder veraltete Dokumente sind bereits hier ein Befund, noch bevor ein einziges Interview stattgefunden hat.

In Stage 2 folgen Interviews mit IT-Leitung, ISMS-Verantwortlichem, HR und Datenschutzbeauftragtem. Die Antworten verschiedener Beteiligter müssen konsistent sein – der Auditor fragt bewusst mehrere Stellen zum selben Thema. Bei Assessment Level 3 kommt zusätzlich eine Vor-Ort-Begehung hinzu: Serverraum, Büros, physische Sicherheitseinrichtungen.

Schritt 5: Ergebnis, Nachbesserung und Veröffentlichung

Nach dem Audit erhält das Unternehmen sein Ergebnis. Bei Befunden – also Kontrollen, die Reifegrad 3 nicht erreichen – gibt es eine Nachbesserungsphase. Erst wenn die Lücken geschlossen und belegt sind, wird das Label im ENX-Portal veröffentlicht.

Was prüft der Auditor – welche Themen enthält der VDA ISA-Fragenkatalog?

Der Auditor folgt dem ISA-Fragenkatalog, seit April 2024 in Version 6.0. Diese Version wurde von VDA und ENX im Oktober 2023 veröffentlicht und ersetzt ISA 5.1 für alle Neubeauftragungen. Die konkreten TISAX-Anforderungen – aufgeteilt nach Prüfziel, Reifegrad und Assessment Level – sind im Cluster-Artikel zur TISAX-Vorbereitung ausführlicher beschrieben.

Der Katalog gliedert sich in mehrere Themenblöcke. Die zentralen Prüfbereiche für IT-Verantwortliche sind das Informationssicherheits-Management (ISMS-Richtlinie, Risikobewertung), das Asset-Management (vollständige Erfassung und Klassifizierung aller informationsverarbeitenden Systeme) und die Zugriffskontrolle – also wer auf welche Systeme Zugriff hat, nach welchem Prinzip, und wann das zuletzt überprüft wurde.

Hinzu kommen Patch-Management (aktuelle Software-Stände, dokumentierte Update-Prozesse), physische Sicherheit (Serverräume, Zutrittsprotokolle), Vorfallsmanagement (Erkennung, Dokumentation, Eskalation von Sicherheitsvorfällen) und Geschäftskontinuität: Gibt es einen IT-Notfallplan, der auf realen Asset-Daten basiert?

Für jede Kontrollfrage bewertet der Auditor den Reifegrad auf einer Skala von 0 bis 5. Jede relevante Kontrolle muss mindestens Reifegrad 3 erreichen – das bedeutet: etabliert, befolgt und nachweisbar getestet. Gut umgesetzte Prozesse scheitern genau hier, wenn die Nachweise fehlen.

ISA 6.0 enthält gegenüber der Vorgängerversion für viele Kontrollen auch typische Auditorfragen und Nachweisbeispiele direkt im Katalog – ein Fortschritt, der die Vorbereitung konkreter macht. Den aktuellen Katalog stellt die ENX zum Download bereit.

Wie bewertet der Auditor den Reifegrad?

Ein Punkt, der in der Praxis oft unterschätzt wird: Der Reifegrad-Maßstab ist anspruchsvoller als er klingt. Reifegrad 3 bedeutet nicht „wir haben eine Richtlinie", sondern „wir haben eine Richtlinie, die im Alltag befolgt wird, und wir können das nachweisen". Der Auditor prüft das durch Interviews und durch Stichproben in den Unterlagen.

Ein typisches Muster aus der Praxis: Das Berechtigungskonzept ist dokumentiert, aber die letzte Überprüfung liegt 14 Monate zurück. Formal existiert das Dokument – den Reifegrad 3 erfüllt das trotzdem nicht, weil die regelmäßige Überprüfung fehlt. Dasselbe gilt für Schulungsnachweise: Es reicht nicht, eine Schulung einmalig durchgeführt zu haben. Der Auditor fragt, ob neue Mitarbeitende ebenfalls geschult wurden und ob das dokumentiert ist.

Das Muster zieht sich durch alle Prüfbereiche: Prozesse müssen gelebt und belegt sein – nicht nur auf Papier existieren. Wer das verinnerlicht hat, weiß, warum aktuelle Daten beim Audit keine Kür sind, sondern eine Grundvoraussetzung.

Wie viel kostet ein TISAX-Audit?

Die Kosten verteilen sich auf drei Blöcke, die unterschiedlich stark ins Gewicht fallen.

Registrierung beim ENX: 405 Euro einmalig pro Standort für drei Jahre. Der kleinste Posten.

Auditgebühren: Richten sich nach Assessment Level und Unternehmensgröße. Für ein KMU mit bis zu 100 Mitarbeitenden liegen die reinen Auditgebühren bei Assessment Level 2 bei rund 3.500 Euro, bei Level 3 bei rund 6.000 bis 7.000 Euro. Zusätzliche Prüfziele wie Prototypenschutz kosten erfahrungsgemäß 1.000 bis 2.000 Euro extra. (Grundlage: ENX-Tagessätze 2024, Quelle: secjur.com)

Vorbereitungsaufwand: Das ist der größte und am schwersten planbare Block. Wer ein ISMS von Grund auf aufbaut, rechnet mit mehreren Personenmonaten internem Aufwand oder vergleichbaren Beraterkosten. Wer bereits eine aktuelle, strukturierte IT-Dokumentation hat, kürzt diesen Aufwand spürbar – weil Asset-Inventar, Berechtigungsübersichten und Netzwerkpläne nicht erst aufgebaut werden müssen.

Die Rezertifizierung nach drei Jahren kostet typischerweise 60 bis 70 Prozent der Erstkosten. Wer die Planung mindestens sechs Monate vor Ablauf startet, bleibt im ENX-Portal durchgehend sichtbar – und erfüllt damit auch die Anforderungen an eine laufende TISAX-Compliance gegenüber seinen OEM-Partnern. Warum TISAX speziell für die TISAX Automobilindustrie zur Pflichtanforderung geworden ist und welche Unternehmen betroffen sind, erklärt der gleichnamige Artikel im Detail.

Was hat sich 2024 geändert – was bedeutet VDA ISA 6.0?

Für alle TISAX-Assessments, die ab dem 1. April 2024 beauftragt wurden, gilt ausschließlich ISA Version 6.0. Wer noch auf Basis von ISA 5.1 vorbereitet hat, muss die Lücken zur neuen Version nacharbeiten.

Die wesentlichen Neuerungen: Die Anforderungsstruktur ist klarer, mit konkreten Beispielen und typischen Auditorfragen direkt im Katalog hinterlegt. Der ISA-Katalog basiert inhaltlich auf TISAX ISO 27001 – wer bereits ein ISMS nach diesem Standard betreibt, hat beim Aufbau der TISAX-Vorbereitung einen messbaren Vorsprung. Die Label-Systematik hat sich grundlegend geändert – die bisherigen Labels „Info High" und „Info Very High" entfallen. Neu sind vier Labels, die Vertraulichkeit und Verfügbarkeit strikt trennen; die zentralen Kategorien heißen jetzt „Confidential" und „Availability". Außerdem betont ISA 6.0 stärker, dass Maßnahmen nicht nur existieren, sondern nachweislich gelebt werden müssen.

Unternehmen mit Assessments nach ISA 5.x behalten ihre Labels bis zum regulären Ablauf. Für Neubeauftragungen gibt es keine Übergangsoption mehr.

Für die Praxis heißt das: Wer heute mit der TISAX-Vorbereitung startet, arbeitet ausschließlich auf Basis von ISA 6.0. Wer seinen Scope und seine Gap-Analyse noch auf der alten Version aufgebaut hatte, muss prüfen, wo die neue Version andere oder zusätzliche Nachweise erwartet. Das betrifft vor allem die Label-Systematik, bei der sich die Einteilung grundlegend geändert hat.

Wie bereitet man sich konkret auf das TISAX-Audit vor?

Die Vorbereitungsphase ist die eigentliche Arbeit. Das eigentliche Audit dauert ein bis drei Tage – die Vorbereitung Monate. Wer strukturiert vorgeht, teilt sie in vier Schritte:

Schritt 1 – Scope abgrenzen: Welche Standorte und Prozesse sind wirklich betroffen? Ein zu weiter Scope kostet Aufwand und Geld. Mit dem OEM abstimmen, was tatsächlich gefordert wird.

Schritt 2 – Gap-Analyse durchführen: Den VDA ISA-Fragenkatalog Punkt für Punkt gegen die eigene Ist-Situation halten. Für jede Kontrolle ehrlich bewerten, welcher Reifegrad aktuell vorliegt und was fehlt.

Schritt 3 – Dokumentation aufbauen: Hier zeigt sich, ob die Vorarbeit solide war. IT-Asset-Inventar, Berechtigungskonzepte, Richtlinien, Notfallplan – alles muss belegbar sein. Ein automatisiert gepflegtes Asset-Inventar ist deutlich belastbarer als eine manuell geführte Liste.

Schritt 4 – Interne Probeläufe: Vor dem echten Audit die wichtigsten Fragen intern üben. Sind die Antworten von IT-Leitung, ISMS-Verantwortlichem und HR konsistent? Gibt es zu jeder Frage sofort den passenden Nachweis?

Wer sich über den Hintergrund und die konkreten Anforderungen detaillierter informieren möchte, findet dazu mehr im Artikel zur TISAX-Zertifizierung.

TISAX-Audit-Checkliste: Was muss vor dem Assessment vorliegen?

Eine praxistaugliche Vorbereitung umfasst mindestens diese Punkte:

• Aktuelles IT-Asset-Inventar (alle Systeme, die vertrauliche Informationen verarbeiten)
• Dokumentiertes Berechtigungskonzept mit Nachweis regelmäßiger Überprüfung
• ISMS-Richtlinie und Risikobewertung als Dokument
• Aktuelle Patch-Stände aller relevanten Systeme – nachvollziehbar und datiert
• Dokumentation physischer Sicherheitsmaßnahmen (Zugänge, Serverräume)
• Nachweise für Mitarbeiterschulungen zur Informationssicherheit
• IT-Notfallplan auf Basis realer Asset-Daten
• Prozessbeschreibung für Vorfallsmanagement und Eskalation

Wer diese Liste manuell befüllen will, stößt fast immer beim selben Punkt an: der Aktualität der Asset-Daten. Eine Tabelle, die seit drei Monaten nicht angefasst wurde, ist beim Audit bereits ein Befund – weil fehlende Aktualität auf mangelnden Prozess schließen lässt.

Warum entscheidet die IT-Dokumentation über Bestehen und Nachbesserung?

Der Auditor fragt nicht nach Absichtserklärungen. Er fragt nach Belegen. Wenn das Asset-Inventar unvollständig ist, fehlen die Grundlagen für Risikoanalyse, Berechtigungskonzept und Notfallplanung – drei der schwergewichtigen Prüfbereiche im ISA-Katalog.

IT-Verantwortliche, die ihre Infrastruktur automatisiert dokumentieren, haben beim Audit einen strukturellen Vorteil: Sie können zu jeder Prüferfrage aktuelle Berichte vorlegen, ohne Tage mit manueller Aufbereitung zu verbringen. Docusnap inventarisiert Windows-, Linux- und VMware-Umgebungen agentlos und erzeugt daraus Berichte, die Patch-Stände, Berechtigungen und Netzwerkstrukturen in prüfbarer Form abbilden. Der Vorteil liegt nicht nur in der Zeitersparnis – sondern darin, dass die Daten beim Audit tatsächlich den aktuellen Stand der Infrastruktur widerspiegeln und nicht den Stand von vor drei Monaten.

Der entscheidende Unterschied zwischen einer bestandenen und einer nachgebesserten Prüfung liegt selten am fehlenden ISMS-Handbuch. Er liegt fast immer daran, ob die IT-Daten beim Audit tatsächlich belastbar sind. Wer kurz vor dem Assessment anfängt, manuell Inventurlisten zusammenzustellen, wird merken: Die Lücken, die dabei auftauchen, sind keine Kleinigkeiten. Systeme, die niemand mehr kennt, Berechtigungen, die seit dem Ausscheiden von Mitarbeitenden nicht bereinigt wurden, Patch-Stände, die nicht dokumentiert sind – das sind genau die Befunde, die Nachbesserungsschleifen produzieren.

Mehr dazu, wie IT-Verantwortliche ihre IT-Audit-Vorbereitung mit automatisierter Dokumentation strukturieren, erklärt der Artikel zu IT-Audit-Software.