TISAX-Anforderungen meistern: So gelingt die Zertifizierung

Das Wichtigste in Kürze

• TISAX ist Pflicht für Zulieferer: Wer in der Automobilindustrie Aufträge von OEMs erhalten will, braucht ein TISAX-Label – ohne geht in vielen Fällen nichts mehr. Der Standard basiert auf ISO 27001, ergänzt um branchenspezifische Anforderungen wie Prototypenschutz und Datenschutz.
• IT-Dokumentation ist das Fundament: Rund 60 % eines TISAX-Projekts entfällt auf die IT. Lückenlose Dokumentation von Assets, Berechtigungen, Netzwerkstrukturen und Patch-Ständen ist keine Kür – sondern Pflicht, die Auditoren im Detail prüfen.
• Automatisierung spart Zeit und Nerven: Manuelle IT-Inventarisierung scheitert an Aktualität und Vollständigkeit. Automatisierte Tools wie Docusnap reduzieren den Dokumentationsaufwand drastisch und liefern jederzeit audit-ready Berichte.

TISAX-Anforderungen meistern: So gelingt die Zertifizierung

Stellen Sie sich vor: Ein OEM kündigt das Lieferanten-Audit an. In sechs Monaten soll Ihr TISAX-Assessment stattfinden. Sie blicken auf Ihre IT-Dokumentation – und finden Excel-Listen von vor zwei Jahren, ein Netzwerkdiagramm, das niemand mehr pflegt, und Berechtigungskonzepte, die auf dem Papier existieren, aber nicht in der Realität.

Diese Situation kennen viele IT-Verantwortliche in der Automobilbranche. Und sie ist vermeidbar. In diesem Leitfaden erfahren Sie, welche TISAX-Anforderungen auf Sie zukommen, wie der Zertifizierungsprozess abläuft und wie Sie Ihre IT so aufstellen, dass das Assessment kein Stresstest wird – sondern eine Bestätigung Ihrer Arbeit.

Was ist TISAX? Der Sicherheitsstandard der Automobilbranche

TISAX steht für Trusted Information Security Assessment Exchange und ist der zentrale Standard für Informationssicherheit in der Automobilindustrie. Entwickelt vom Verband der Automobilindustrie (VDA) und verwaltet von der ENX Association, schafft TISAX einheitliche Spielregeln für den sicheren Umgang mit sensiblen Daten entlang der gesamten Lieferkette.

Der Grundgedanke: Statt dass jeder Automobilhersteller seine Zulieferer einzeln auditiert, reicht ein einziges TISAX-Assessment. Das Ergebnis wird über die ENX-Plattform geteilt – transparent, standardisiert und effizient.

TISAX basiert auf der internationalen Norm ISO/IEC 27001, geht aber in einigen Punkten deutlich weiter. Während ISO 27001 branchenübergreifend eingesetzt wird, adressiert TISAX zusätzlich automobilspezifische Themen:

• Prototypenschutz: Schutz von Entwicklungsdaten, Designzeichnungen und Testfahrzeugen
• Spezifischer Datenschutz: Über die DSGVO hinausgehende Anforderungen für personenbezogene Daten im Automotive-Kontext
• Verfügbarkeit: Seit ISA 6.0 ein eigenes Prüfziel – damit Ransomware-Angriffe nicht die Lieferkette lahmlegen

Gut zu wissen: TISAX ist formal keine Zertifizierung, sondern ein Assessment. Wer besteht, erhält ein TISAX-Label – gültig für maximal drei Jahre. Anders als bei ISO 27001 gibt es keine jährlichen Kontroll-Audits.

TISAX vs. ISO 27001: Was ist der Unterschied?

Beide Standards setzen auf ein Informationssicherheits-Managementsystem (ISMS), unterscheiden sich aber in wichtigen Aspekten:

• Scope: Bei ISO 27001 definiert das Unternehmen selbst, welche Bereiche geprüft werden. Bei TISAX umfasst der Scope das gesamte Unternehmen – Ausnahmen gibt es nicht.
• Prüftiefe: TISAX-Auditoren prüfen im Detail – bis hin zu Patch-Ständen, Berechtigungskonzepten und physischen Zutrittskontrollen.
• Branchenfokus: ISO 27001 ist generisch. TISAX ergänzt automobilspezifische Anforderungen wie Prototypenschutz.
• Aktualisierung: Der VDA ISA-Katalog wird regelmäßig überarbeitet. Durch jährliche Updates reagiert TISAX schneller auf neue Bedrohungen als der langwierige ISO-Prozess.
• Gültigkeitsdauer: Beide drei Jahre – aber TISAX verzichtet auf jährliche Zwischen-Audits.

Praxis-Tipp: Viele Unternehmen kombinieren beide Standards. Wer ISO 27001 bereits hat, bringt eine gute Grundlage mit – muss aber die TISAX-spezifischen Anforderungen zusätzlich umsetzen.

VDA ISA 6.0: Was sich seit April 2024 geändert hat

Seit dem 1. April 2024 gilt der ISA-Katalog Version 6.0 – mit weitreichenden Neuerungen, die IT-Verantwortliche kennen sollten:

Neue Label-Struktur: Das bisherige Label „Informationssicherheit" wurde aufgesplittet in zwei getrennte Prüfziele:

• Vertraulichkeit (Confidentiality) – hoch und strikt
• Verfügbarkeit (Availability) – hoch und sehr hoch

Stärkerer Fokus auf Cyberresilienz: Sechs neue Kontrollfragen adressieren gezielt die Abwehr von Ransomware, die Erkennung von Sicherheitsvorfällen und die Wiederherstellung nach Angriffen.

Erweiterte Referenzen: ISA 6.0 verweist nun explizit auf ISO 27001:2022, BSI IT-Grundschutz und das NIST Cyber Security Framework. Außerdem werden OT-Systeme (Operational Technology) stärker berücksichtigt – relevant für Zulieferer mit eigenen Produktionsumgebungen.

Englisch als Hauptsprache: Die führende Sprachversion ist nun Englisch. Deutsche und weitere Übersetzungen werden sukzessive bereitgestellt.

Die drei Assessment-Level im Überblick

Je nachdem, wie sensibel die Daten sind, die Sie für Ihren OEM-Partner verarbeiten, wird ein bestimmtes Assessment-Level festgelegt:

Assessment-Level 1 (AL1): Reine Selbsteinschätzung ohne externe Prüfung. Wird praktisch nicht eingesetzt und führt zu keinem TISAX-Label.

Assessment-Level 2 (AL2): Für Daten mit hohem Schutzbedarf. Sie füllen den VDA ISA-Fragebogen aus, reichen die ISMS-Dokumentation ein und durchlaufen ein Remote-Audit mit Interview.

Assessment-Level 3 (AL3): Für Daten mit sehr hohem Schutzbedarf – z. B. Prototypen, Crashtest-Daten oder KI-Systeme. Hier findet ein vollständiges Vor-Ort-Audit statt, inklusive Begehung der Räumlichkeiten und persönlichen Interviews.

Praxis-Tipp: Viele Berater empfehlen, direkt AL3 anzustreben – selbst wenn aktuell AL2 ausreicht. So sind Sie für zukünftige Kundenanforderungen vorbereitet, ohne eine erneute Prüfung durchlaufen zu müssen.

Der Weg zum TISAX-Label: Drei Phasen im Detail

Phase 1: Selbsteinschätzung und Gap-Analyse

Bevor der Auditor kommt, müssen Sie wissen, wo Sie stehen. Die Selbsteinschätzung anhand des VDA ISA-Fragenkatalogs deckt systematisch auf, welche Anforderungen Sie bereits erfüllen – und wo Lücken bestehen.

Typische Fragen in dieser Phase:

• Existiert eine aktuelle IT-Sicherheitsrichtlinie?
• Sind alle IT-Assets inventarisiert und dokumentiert?
• Gibt es definierte Prozesse für On- und Offboarding?
• Werden Berechtigungen regelmäßig überprüft?
• Ist ein Business Continuity Management implementiert?

Die größte Hürde in dieser Phase: Daten, die es schlicht nicht gibt. Ohne eine vollständige und aktuelle Übersicht über Ihre IT-Landschaft können Sie viele Fragen des ISA-Katalogs nicht seriös beantworten.

Hier macht sich eine automatisierte IT-Inventarisierung bezahlt. Docusnap scannt Ihr gesamtes Netzwerk – von Servern über Clients bis hin zu Druckern, Switches und WLAN-Access-Points – und liefert eine lückenlose Bestandsaufnahme. Automatisch, ohne Agents, ohne manuelle Pflege.

Phase 2: Umsetzung und Dokumentation

Aus der Gap-Analyse entsteht ein konkreter Maßnahmenplan. Was jetzt zählt: Prozesse definieren, Richtlinien erstellen, technische Maßnahmen umsetzen – und alles dokumentieren.

Denn im TISAX-Assessment gilt: Was nicht dokumentiert ist, existiert nicht.

Bereiche, die IT-Verantwortliche besonders im Blick haben sollten:

• Asset-Management: Vollständige Inventarisierung aller IT-Assets mit Klassifizierung nach Schutzbedarf
• Berechtigungskonzept: Wer hat Zugriff auf welche Daten? Sind Zugriffsrechte nach dem Least-Privilege-Prinzip vergeben?
• Netzwerksicherheit: Segmentierung, Firewall-Regeln, Verschlüsselung
• Patch-Management: Aktuelle Betriebssystem- und Software-Stände nachweisbar
• Vorfallmanagement: Prozesse für Erkennung, Meldung und Reaktion auf Sicherheitsvorfälle
• Notfallplanung: Dokumentierte Wiederherstellungspläne für geschäftskritische Systeme

Mit einer IT-Dokumentationslösung wie Docusnap sind diese Informationen nicht in verstreuten Excel-Listen vergraben, sondern zentral verfügbar, automatisch aktualisiert und jederzeit als Bericht exportierbar.

Phase 3: Assessment und laufende Berichterstattung

Beim eigentlichen Assessment prüft ein akkreditierter Prüfdienstleister, ob Ihr ISMS in der Praxis funktioniert. Der Auditor bewertet jeden Bereich auf einer Reifegradskala von 0 bis 5 – der Durchschnitt muss mindestens Reifegrad 3 erreichen.

Was Auditoren besonders unter die Lupe nehmen:

• Funktioniert das ISMS im Alltag – nicht nur auf dem Papier?
• Welche Sicherheitsvorfälle gab es und wie wurde reagiert?
• Sind alle Mitarbeitenden geschult?
• Werden Maßnahmen regelmäßig überprüft und verbessert?

Nach bestandenem Assessment ist die Arbeit nicht vorbei. Der VDA fordert regelmäßige Berichterstattung an die Organisationsleitung – inklusive aktueller IT-Sicherheitslage, Patch-Stände und identifizierter Risiken.

Mit Docusnap generieren Sie diese Berichte automatisch und zeitgesteuert – und halten Ihr Management jederzeit auf dem neuesten Stand, ohne manuellen Aufwand.

Warum automatisierte IT-Dokumentation der Schlüssel ist

Die TISAX-Anforderungen haben einen gemeinsamen Nenner: Sie brauchen aktuelle, vollständige und nachvollziehbare Daten über Ihre IT-Landschaft. Und genau hier scheitern viele Unternehmen – nicht am Willen, sondern an der Methode.

Manuelle IT-Dokumentation hat drei fundamentale Probleme:

• Aktualität: Bis Ihre Excel-Liste fertig ist, hat sich die IT bereits verändert.
• Vollständigkeit: Vergessene Switches, unbekannte WLAN-Access-Points, Shadow-IT – manuelle Inventarisierung übersieht systematisch Geräte.
• Aufwand: Die IT-Abteilung hat besseres zu tun, als Listen zu pflegen. Und bei der nächsten Änderung beginnt die Arbeit von vorn.

Docusnap löst diese Probleme grundlegend:

• Agentenlos: Keine zusätzliche Software auf den Endgeräten – kein zusätzliches Sicherheitsrisiko, kein Rollout-Aufwand
• Automatische Scans: Regelmäßige Inventarisierung per IP, SNMP, WMI und weiteren Protokollen – alle Geräte im Netzwerk werden erfasst
• Zentrale Datenhaltung: Alle Informationen in einer SQL-Datenbank, inklusive Standort-übergreifender Inventarisierung
• Fertige Berichte: Netzwerkpläne, Berechtigungsanalysen, Patch-Übersichten, IT-Notfallpläne – auf Knopfdruck
• Mandantenfähig: Externe IT-Dienstleister können ihre Kunden ebenfalls TISAX-konform dokumentieren

Was kostet eine TISAX-Zertifizierung?

Die Kosten variieren stark je nach Unternehmensgröße, bestehendem Sicherheitsniveau und gewähltem Assessment-Level. Grobe Orientierung:

• Registrierung bei der ENX: ca. 3.000–5.000 €
• Vorbereitung und Gap-Analyse: ca. 8.000–20.000 €
• Maßnahmenumsetzung und Dokumentation: ca. 6.000–15.000 €
• Gesamtkosten: typischerweise zwischen 10.000 € (kleines Unternehmen, gute Basis) und 200.000 € (komplexe IT, viel Nachholbedarf)

Der größte Kostentreiber ist nicht das Audit selbst, sondern die Umsetzung fehlender Sicherheitsmaßnahmen. Unternehmen mit bestehender ISO-27001-Zertifizierung starten mit einem deutlichen Vorteil.

Praxis-Tipp: Investieren Sie frühzeitig in automatisierte IT-Dokumentation. Das spart nicht nur Beratungskosten bei der Vorbereitung, sondern reduziert auch den laufenden Aufwand für die nächste Re-Zertifizierung in drei Jahren erheblich.

Praxisbeispiel: Vom Audit-Stress zur strukturierten Dokumentation

Stellen Sie sich vor: Ein mittelständischer Automobilzulieferer mit 180 Mitarbeitenden und drei Standorten steht vor seiner ersten TISAX-Zertifizierung. Die IT-Abteilung besteht aus vier Personen – und die IT-Dokumentation aus einer Mischung von Excel-Listen, Word-Dokumenten und dem Wissen im Kopf des Admins.

Die Gap-Analyse offenbart: Kein vollständiges Asset-Register, keine zentrale Berechtigungsübersicht, kein dokumentierter Notfallplan. Der Zeitrahmen bis zum Assessment: neun Monate.

Der Lösungsweg: Nach Einführung von Docusnap werden innerhalb weniger Tage alle drei Standorte vollständig inventarisiert. Die automatisierten Scans liefern eine aktuelle Übersicht aller Systeme, Software-Stände und Netzwerkverbindungen. Die IT-Notfallplanung wird auf Basis der realen Daten aufgesetzt. Berechtigungsberichte zeigen auf einen Blick, wer auf welche Ressourcen Zugriff hat.

Das Ergebnis: Beim Assessment kann die IT-Abteilung zu jeder Frage des Auditors aktuelle Daten vorlegen. Die Zertifizierung wird im ersten Anlauf bestanden – und die aufgebauten Strukturen dienen als Grundlage für die laufende Compliance-Arbeit.