TISAX Label & Level: Was bedeuten AL1, AL2, AL3 – und welches Label brauchen Sie?

Das Wichtigste in Kürze

• Nur AL2 und AL3 führen zu einem TISAX-Label, das OEMs akzeptieren. AL1 ist eine reine Selbsteinschätzung ohne externe Validierung – kein OEM akzeptiert sie als Nachweis.
• Seit April 2024 gelten vier neue Labels nach VDA ISA 6.0: „Vertraulich", „Streng vertraulich", „Hohe Verfügbarkeit" und „Sehr hohe Verfügbarkeit". Die alten Labels „Info High" und „Info Very High" sind weggefallen.
• Welches Label und welches Level Sie brauchen, steht im Liefervertrag – nicht im ISA-Katalog. OEMs schreiben beides vertraglich vor; wer das falsche Level wählt, muss das Assessment wiederholen.

65 Prozent aller aktiven TISAX-Labels liegen auf Assessment Level 2 – ein klares Signal, welches Niveau die Automobilindustrie als Standard setzt. Seit dem 1. April 2024 gilt zudem ein neues Label-System nach VDA ISA 6.0, das die bisherigen „Info"-Labels vollständig ersetzt und die Schutzklassen erstmals sauber nach Vertraulichkeit und Verfügbarkeit trennt. Wer heute ein TISAX-Assessment plant, muss beide Dimensionen kennen und richtig kombinieren: was geprüft wird, und wie gründlich.

Was ist der Unterschied zwischen TISAX Label und TISAX Level?

TISAX-Label und TISAX-Level beschreiben zwei verschiedene Dimensionen desselben Assessments – und werden im Alltag häufig verwechselt.

Das TISAX-Label legt fest, was geprüft wird: welches Schutzziel im Fokus steht. Vertraulichkeit von Daten? Verfügbarkeit von Systemen? Schutz von Fahrzeugprototypen? Jedes Label entspricht einem definierten Prüfziel aus dem VDA-ISA-Anforderungskatalog der ENX Association – dem verbindlichen Rahmenwerk für alle TISAX-Assessments.

Das TISAX-Level – genauer: das Assessment Level (AL) – legt fest, wie gründlich geprüft wird. Selbsteinschätzung, Remote-Interview oder Vor-Ort-Assessment: Das Level bestimmt Prüftiefe und Verfahren.

Zusammen ergibt beides den konkreten Scope. Ein Zulieferer, der Engineering-Daten für einen OEM verarbeitet, braucht typischerweise das Label „Vertraulich" auf AL2 – was genau verlangt wird, steht im Liefervertrag.

Welche TISAX-Labels gibt es seit VDA ISA 6.0?

Mit dem VDA ISA 6.0, seit dem 1. April 2024 verbindlich, hat sich das Label-System grundlegend verändert. Die alten Labels „Info High" und „Info Very High" gibt es nicht mehr. Vier neue Labels haben sie ersetzt – getrennt nach Schutzzielen: Vertraulichkeit auf der einen Seite, Verfügbarkeit auf der anderen.

Vertraulich (Confidential): Das Basisniveau für Unternehmen, die vertrauliche Informationen des OEM verarbeiten. Das Label trägt das Kürzel „C" und ist das meistgenutzte. Es deckt den Schutz vor unbefugtem Zugriff, Datenweitergabe und Informationsverlust ab – der Standardfall für Ingenieurdienstleister, IT-Zulieferer und Marketingagenturen mit OEM-Auftrag.

Streng vertraulich (Strictly Confidential): Für Unternehmen, die hochsensible Daten verarbeiten – unveröffentlichte Entwicklungsdaten, Konstruktionsgeheimnisse, Vorabinformationen zu Fahrzeugmodellen. Die Anforderungen liegen deutlich über dem „Vertraulich"-Niveau und setzen AL3 mit Vor-Ort-Prüfung voraus.

Hohe Verfügbarkeit (High Availability): Kürzel „A". Dieses Label richtet sich nicht an Unternehmen mit besonders sensiblen Daten, sondern an solche, deren IT-Ausfall die Lieferkette des OEM gefährdet. Ausfallsicherheit statt Datenschutz: Redundanzkonzepte, Notfallpläne, BCM. Eine direkte Reaktion auf Ransomware-Angriffe gegen Just-in-Time-Lieferketten.

Sehr hohe Verfügbarkeit (Very High Availability): Die verschärfte Variante für Lieferanten, deren Ausfall unmittelbare Produktionsstopps auslöst. Strengere BCM-Anforderungen, OT-Sicherheit nach ISA/IEC 62443 und Disaster-Recovery-Nachweise sind Pflicht.

Welche optionalen Prüfmodule gibt es?

Neben den vier Labels kennt TISAX zwei optionale Module, die OEMs zusätzlich verlangen können.

Das Datenschutz-Modul gilt für Unternehmen, die personenbezogene Daten im OEM-Auftrag verarbeiten – HR-Dienstleister oder Marketingagenturen etwa. Es deckt DSGVO-konforme Verarbeitungsverzeichnisse, Datenschutz-Folgenabschätzungen und Auftragsverarbeitungsverträge ab.

Das Prototypenschutz-Modul richtet sich an Unternehmen mit physischem Zugang zu Testfahrzeugen oder Vorabmodellen. Physische Sicherheitsvorkehrungen, Geheimhaltung bei Presseveranstaltungen und Schutz vor ungewollten Aufnahmen sind die zentralen Prüfpunkte. Konkret heißt das: abgeschirmte Stellplätze für Testfahrzeuge, Zugangskontrollen für Entwicklungsbereiche, Regelungen für Foto- und Videoaufnahmen auf dem Betriebsgelände.

In der Praxis kombinieren viele Fahrzeugentwicklungs-Zulieferer das Basis-Label „Vertraulich" direkt mit dem Prototypenschutz-Modul – weil der OEM beides gleichzeitig fordert.

Was hat sich 2024 beim TISAX-Labelsystem geändert?

Der VDA ISA 6.0 ist die erste grundlegende Überarbeitung des TISAX-Standards seit Jahren. Er betrifft nicht nur die Label-Struktur, sondern auch die Tiefe der IT-Anforderungen.

Wer heute ein neues Assessment beauftragt, wird ausschließlich nach ISA 6.0 geprüft. Bestehende „Info High"- und „Info Very High"-Labels aus früheren Assessments bleiben gültig – bis sie ablaufen. Dann ist ein Folgeassessment nach neuem Standard fällig.

Inhaltlich neu: ISA 6.0 führt erstmals explizite OT-Sicherheitsanforderungen ein, ausgerichtet an der ISA/IEC 62443-2-1 für Operational Technology. Für Lieferanten mit Produktionsumgebungen bedeutet das: Netzwerksegmentierung, Asset-Inventar der OT-Umgebung und Patch-Management auch für Steuerungssysteme sind jetzt prüfrelevant. Wer bisher nur die klassische IT dokumentiert hat, muss seinen Scope erweitern.

Hinzu kommen fünf neue Controls für Incident Management und Business Continuity – Ransomware-Angriffe auf Zulieferer haben gezeigt, wie schnell ein einzelner Ausfall die gesamte Lieferkette stilllegt.

Welche Assessment-Level gibt es – und was unterscheidet sie?

Die drei Assessment-Level unterscheiden sich nicht darin, was geprüft wird, sondern wie gründlich die Prüfung abläuft.

Assessment Level 1 (AL1) ist eine reine Selbsteinschätzung. Der externe Assessor prüft nur, ob der VDA-ISA-Fragebogen vollständig ausgefüllt wurde – nicht ob die Antworten stimmen. AL1 führt zu keinem TISAX-Label im ENX-Portal. Kein OEM akzeptiert AL1 als Nachweis. Wer AL1 ernsthaft plant, unterschätzt, was OEMs verlangen.

Assessment Level 2 (AL2) ist der Branchenstandard. Das Assessment findet remote statt: Dokumente einreichen, Interviews per Video oder Telefon. Rund 65 Prozent aller aktiven TISAX-Labels laufen auf AL2. Die Kosten für das Assessment bewegen sich typischerweise zwischen 8.000 und 15.000 Euro – Vorbereitung nicht eingerechnet.

Was der Assessor bei AL2 konkret sehen will: ein vollständiges IT-Asset-Inventar, Netzwerkdokumentation mit Segmentierungsnachweis, ein Berechtigungskonzept mit nachvollziehbarer Rechtevergabe, aktuelle Patch-Stände sowie ein IT-Notfallhandbuch. Wer diese Unterlagen nicht ad hoc liefern kann, verlängert das Assessment – oder besteht es nicht. Und ein nicht bestandenes Assessment bedeutet im schlimmsten Fall einen nicht erfüllten Liefervertrag: OEMs setzen das Label als Voraussetzung für die Auftragsvergabe, nicht als nachträgliche Formalität.

Assessment Level 3 (AL3) ist das höchste Niveau. Der Assessor kommt vor Ort: IT-Infrastruktur, physische Sicherheitsmaßnahmen, Mitarbeitergespräche. AL3 ist Pflicht bei „Streng vertraulich" oder „Sehr hohe Verfügbarkeit". Die Kosten liegen bei 18.000 bis 35.000 Euro plus Reisekosten – bei verteilten Standorten deutlich mehr.

Was den Unterschied zu AL2 ausmacht: Der Assessor sieht nicht nur Dokumente, sondern begeht Serverräume, Zugangsbereiche und Arbeitsplätze. Mitarbeiter werden einzeln befragt – ob das dokumentierte Verfahren auch gelebt wird. Ein gut gepflegtes Asset-Inventar und eine saubere Netzwerkdokumentation sind bei AL3 keine Kür, sondern die Voraussetzung dafür, dass die Interviews überhaupt bestanden werden können.

Alle erteilten TISAX-Labels – AL2 wie AL3 – sind genau drei Jahre gültig. Danach ist ein Folgeassessment fällig.

Wie wählen Sie das richtige Label und Level?

Der OEM entscheidet, nicht das Unternehmen selbst. Die Standardklausel in Lieferverträgen lautet sinngemäß: „Der Lieferant muss ein gültiges TISAX-Label auf Assessment Level [X] mit den Prüfzielen [Label] vorweisen." Wer das falsche Level oder das falsche Label wählt, wiederholt das Assessment – auf eigene Kosten.

Als Orientierung für Unternehmen, die ihren Scope erstmals festlegen:

• Vertraulich (AL2): Standardfall für Zulieferer, die vertrauliche Konstruktions- oder Projektdaten digital verarbeiten.
• Streng vertraulich (AL3): Für Unternehmen mit Zugang zu unveröffentlichten Fahrzeuginformationen, Prototypendaten oder sensiblen Entwicklungsgeheimnissen.
• Hohe Verfügbarkeit (AL2 oder AL3): Für Lieferanten, deren IT-Ausfall die Produktionskontinuität des OEM direkt gefährdet – Just-in-Time-Teilelieferanten oder Steuerungssystem-Dienstleister.
• Datenschutz-Modul zusätzlich: Sobald personenbezogene Daten im OEM-Auftrag verarbeitet werden.
• Prototypenschutz-Modul zusätzlich: Sobald physischer Kontakt mit Testfahrzeugen oder Vorentwicklungs-Komponenten besteht.

Ein Upgrade von AL2 auf AL3 ist möglich, erfordert aber ein vollständiges neues Assessment – keine Erweiterung des bestehenden Labels. Wer absehbar in die Prototypenentwicklung eingebunden wird, sollte das von Anfang an einplanen.

Wie viele Unternehmen nutzen welches Level?

Von den über 9.500 aktiven TISAX-Labels im ENX-Portal (Stand 2025) entfallen rund 65 Prozent auf AL2, 25 Prozent auf AL3 und 10 Prozent auf AL1. Die Verschiebung zu AL3 ist spürbar: OEMs verlangen das höhere Niveau zunehmend dort, wo besonders sensible Daten in der Lieferkette verarbeitet werden.

Was hat sich 2025 beim TISAX-Label-Vergabeprozess verändert?

TISAX wächst: Über 9.500 Labels im ENX-Portal, ein Plus von rund 18 Prozent gegenüber dem Vorjahr. Der Haupttreiber ist der zunehmende Druck durch OEMs, die TISAX nicht mehr als optionale Qualitätsaussage behandeln, sondern als harte Vertragsvoraussetzung – oft mit Fristsetzung.

Wer mit Fahrzeugentwicklungsdaten oder produktionskritischen IT-Systemen arbeitet, bekommt heute häufiger AL3 als Mindestanforderung in den Vertrag geschrieben als noch vor zwei Jahren. Für IT-Verantwortliche bedeutet das: Der Unterschied zwischen AL2 und AL3 ist kein akademischer – er entscheidet über Vor-Ort-Prüfung, Vorbereitungszeit und Budget. Wer das erst beim Assessment-Kick-off feststellt, hat ein Problem.

Warum IT-Dokumentation über Label und Level entscheidet

Das richtige Label und Level zu wählen ist die eine Seite. Es im Assessment auch belegen zu können – das ist die anspruchsvollere Aufgabe.

Rund 60 Prozent eines TISAX-Projekts entfallen auf die IT. Asset-Inventar, Netzwerksegmentierung, Berechtigungskonzept, Patch-Stand, IT-Notfallhandbuch: All das muss nicht nur existieren, sondern aktuell, vollständig und nachvollziehbar dokumentiert sein.

Viele Unternehmen scheitern nicht an der Komplexität der VDA-ISA-Controls, sondern daran, dass ihre IT-Dokumentation zum Zeitpunkt des Audits veraltet ist. Ein Assessor, der feststellt, dass die dokumentierten Systeme nicht mit der tatsächlichen Infrastruktur übereinstimmen, erteilt das Label nicht – und der Termin war trotzdem kostenpflichtig. Diese Lücke entsteht schleichend: Systeme kommen hinzu, Berechtigungen ändern sich, die Dokumentation bleibt stehen.

Docusnap scannt Windows-, Linux- und VMware-Umgebungen agentenlos und hält das IT-Inventar aktuell. Netzwerkpläne, Berechtigungsanalysen und Patch-Reports entstehen direkt aus den Inventardaten – in dem Format, das Auditoren sehen wollen. Der Unterschied zu einer reinen ISMS- oder GRC-Plattform: Diese führen durch den VDA-ISA-Fragenkatalog, liefern aber keine belastbaren IT-Inventardaten. Docusnap tut genau das – und lässt sich per REST-API in bestehende GRC-Umgebungen integrieren.

ABT Sportsline ist ein konkretes Beispiel dafür: Das Unternehmen setzte Docusnap im Rahmen seiner TISAX-Zertifizierung ein, weil manuelle IT-Dokumentation für die Audit-Anforderungen nicht mehr ausreichte. Das Ergebnis: Die Infrastruktur über drei Gebäude war vollständig erfasst und auditierbar dokumentiert – pünktlich zum Assessment-Termin.