TISAX vs. ISO 27001: Was IT-Verantwortliche in der Automotive-Lieferkette wissen müssen

• Rund 75 % der Controls überlappen: Wer bereits ein ISMS nach ISO 27001 betreibt, hat den Großteil der Anforderungen des automotive-spezifischen Prüfstandards bereits abgedeckt – der Delta-Aufwand konzentriert sich auf Prototypenschutz, physische Sicherheit und das spezifische Austauschverfahren über das ENX-Portal.
• Zwei verschiedene Ergebnisse: ISO 27001 endet mit einem international anerkannten Zertifikat. Der automotive-spezifische Prüfstandard vergibt kein Zertifikat, sondern ein Label, das im ENX-Portal hinterlegt und nur mit autorisierten Partnern geteilt werden kann – eine öffentliche Eigenwerbung damit ist ausdrücklich untersagt.
• IT-Dokumentation ist die gemeinsame Pflichtgrundlage: Beide Frameworks verlangen eine vollständige, aktuelle Dokumentation der IT-Assets, Netzwerkstrukturen und Berechtigungskonzepte. Wer das einmal sauber aufgebaut hat, bedient beide Prüfverfahren mit derselben Datenbasis.

Wer TISAX und ISO 27001 als zwei separate Projekte plant, verschenkt Zeit und Budget. Rund 75 % der Controls überlappen – wer das ignoriert, zahlt denselben Aufwand zweimal. Dieser Artikel zeigt, wo die beiden Standards wirklich auseinandergehen und wann eine gemeinsame Datenbasis beide Nachweise trägt.

Was unterscheidet ISO 27001 und TISAX grundsätzlich voneinander?

ISO/IEC 27001 ist der international anerkannte Standard für Informationssicherheits-Managementsysteme (ISMS). Er beschreibt, wie Organisationen jeder Branche und Größe Informationssicherheitsrisiken systematisch identifizieren, bewerten und behandeln sollen. Das Ergebnis einer erfolgreichen Prüfung ist ein formales Zertifikat, ausgestellt durch eine akkreditierte Zertifizierungsstelle, gültig für drei Jahre – mit jährlichen Überwachungsaudits dazwischen.

Der automotive-spezifische Prüfstandard, bekannt unter dem Kürzel TISAX, wurde 2017 vom Verband der Automobilindustrie (VDA) entwickelt und wird international von der ENX Association verwaltet. Er basiert inhaltlich auf ISO 27001, ergänzt den generischen Standard aber um branchenspezifische Anforderungen, die in der Automotive-Lieferkette keine optionalen Extras sind: Schutz von Prototypen und Entwicklungsdaten, physische Sicherheit von Standorten, spezifisches Lieferantenmanagement und – seit VDA ISA 6.0 – Verfügbarkeit als eigenständiges Prüfziel.

Das Kernergebnis ist kein Zertifikat, sondern ein Label, das im ENX-Portal hinterlegt wird. Nur autorisierte Partner können es einsehen. Eine öffentliche Kommunikation des Ergebnisses ist nach den Regeln des Austauschverfahrens ausdrücklich untersagt.

Worin unterscheiden sich die Prüfverfahren von TISAX vs. ISO 27001 konkret?

Die strukturellen Unterschiede beginnen bereits beim Scope. Bei ISO 27001 können Unternehmen den Geltungsbereich selbst definieren: Ein einzelner Standort, eine bestimmte Abteilung oder ein spezifisches Produkt lässt sich zertifizieren. Das erlaubt fokussierte, ressourcenschonende Erstprojekte.

Der automotive-spezifische Prüfstandard kennt diese Flexibilität nicht. Er betrachtet immer das Gesamtunternehmen – eine Scope-Eingrenzung auf einzelne Bereiche ist nicht vorgesehen. Das hat praktische Konsequenzen für IT-Abteilungen: Sämtliche Assets, alle Standorte, alle Netzwerksegmente müssen dokumentiert und bewertet sein.

Ein weiterer struktureller Unterschied liegt im Reifegradmodell. ISO 27001 prüft binär: Anforderungen sind entweder umgesetzt oder nicht. Der automotive-spezifische Prüfstandard arbeitet mit einem abgestuften Reifegradmodell von 1 bis 5 – und definiert für jeden VDA-ISA-Kontrollpunkt einen Zielreifegrad. Für die meisten Automotive-OEM-Anforderungen sind Reifegrad 3 (die Maßnahme ist definiert, genehmigt und umgesetzt) oder in Ausnahmefällen Reifegrad 5 erforderlich. Wer das Reifegradmodell erst während des Assessments versteht, hat ein Problem – die Lückenanalyse gehört deshalb an den Anfang jedes Vorbereitungsprojekts.

Die Prüfintervalle unterscheiden sich ebenfalls: Während ISO 27001 jährliche Überwachungsaudits und alle drei Jahre eine Re-Zertifizierung vorsieht, fallen bei korrekter Durchführung des automotive-spezifischen Prüfverfahrens Assessmentkosten nur alle drei Jahre an.

Welche Anforderungen teilen sich ISO 27001 und TISAX?

Trotz der strukturellen Unterschiede teilen beide Frameworks einen substanziellen inhaltlichen Kern. Laut VDA ISA 6.0 decken sich rund 75 % der Controls mit den Anforderungen aus ISO/IEC 27001 Annex A. Das betrifft vor allem:

• Risikomanagement und Risikobehandlungsprozess
• Zugangskontrollen und Berechtigungsmanagement
• Netzwerksicherheit und Segmentierung
• Patch-Management und Schwachstellenmanagement
• Lieferantenmanagement (wobei der automotive-spezifische Standard hier tiefer geht)
• Vorfallmanagement und Business Continuity

Für IT-Abteilungen bedeutet das: Dieselbe operative Datenbasis – vollständiges IT-Inventar, aktuelles Berechtigungskonzept, dokumentierte Netzwerkstrukturen und nachweisbares Patch-Management – trägt beide Prüfverfahren. Wer diese Grundlage einmal systematisch aufgebaut hat, muss sie nicht zweimal erstellen.

Was fordert TISAX zusätzlich zu ISO 27001?

Der Delta-Aufwand für Unternehmen mit bestehendem ISO-27001-ISMS konzentriert sich auf drei Bereiche, die im generischen Standard keine oder nur eine untergeordnete Rolle spielen:

Prototypenschutz: Wer Entwicklungsfahrzeuge, Designzeichnungen, CAD-Daten oder Testdaten verwaltet, muss nachweisen, wie diese vor unbefugtem Zugriff, unbeabsichtigter Veröffentlichung und physischer Exposition geschützt sind. Das betrifft nicht nur IT-Systeme, sondern auch Produktionshallen, Fotostudios und externe Standorte.

Physische Sicherheit: Der automotive-spezifische Prüfstandard legt deutlich mehr Gewicht auf physische Zugangskontrollen als ISO 27001. Gebäudesicherheit, Zonenkonzepte und der physische Schutz von Server- und Netzwerkinfrastruktur werden detaillierter geprüft als im generischen Standard.

Verfügbarkeit (neu seit VDA ISA 6.0): Seit der aktuellen Katalogversion gilt Verfügbarkeit als eigenständiges Prüfziel – eine direkte Reaktion auf Ransomware-Angriffe, die in der Automotive-Lieferkette ganze Produktionslinien lahmgelegt haben. Notfallpläne und Wiederanlaufkonzepte müssen konkret, dokumentiert und nachweisbar geprobt sein.

Wann brauchen IT-Abteilungen sowohl TISAX als auch ISO 27001?

Die Antwort hängt weniger von der Unternehmensgröße als von der Frage ab, wer die Kunden sind. Wer Geschäftsbeziehungen mit Automotive-OEMs wie BMW, Volkswagen, Mercedes-Benz oder Stellantis unterhält oder in deren Lieferkette tätig ist, wird in der Regel einen Nachweis nach dem automotive-spezifischen Standard verlangen. Ob ISO 27001 daneben notwendig ist, hängt von weiteren Kundenanforderungen, regulatorischen Verpflichtungen (etwa NIS-2 für kritische Infrastrukturen) und der eigenen strategischen Positionierung ab.

Eine Faustregel aus der Praxis: Unternehmen mit globalem Kundenstamm jenseits der Automotive-Branche fahren mit ISO 27001 als Basis und dem automotive-spezifischen Prüfstandard als Erweiterung besser als umgekehrt. ISO 27001 ist international anerkannt, wird von Banken, Versicherern und öffentlichen Auftraggebern verlangt und bildet das ISMS-Fundament, auf dem branchenspezifische Erweiterungen aufsetzen können.

Für reine Automotive-Zulieferer ohne weitere Compliance-Anforderungen kann dagegen der automotive-spezifische Standard als alleiniger Nachweis ausreichen – OEMs erkennen ihn als gleichwertigen Beleg für Informationssicherheit an.

Was hat sich 2024 und 2025 bei TISAX und ISO 27001 geändert?

VDA ISA 6.0.2 ist seit dem 1. Januar 2024 verbindlich. Die wesentlichsten Neuerungen gegenüber der Vorgängerversion:

• Verfügbarkeit als neues Prüfziel: Eigenständiges Assessment-Modul, das Notfallplanung, Wiederanlaufkonzepte und Backup-Strategien separat bewertet
• Schärfere Anforderungen ans Lieferantenmanagement: Sublieferanten, die Zugang zu OEM-Daten haben, müssen nachweisbar in das eigene ISMS einbezogen sein
• Klarere Reifegradbeschreibungen: Die Bewertungskriterien für Reifegrad 3 bis 5 wurden präzisiert, was die Prüfpraxis für Auditoren und Unternehmen transparenter macht

Parallel dazu hat die NIS-2-Richtlinie, die für eine erhebliche Zahl von Automotive-Zulieferern als kritische oder wichtige Einrichtung gilt, den Druck auf IT-Dokumentation und Risikomanagement weiter erhöht. Wer NIS-2-pflichtig ist und gleichzeitig Automotive-Geschäft betreibt, profitiert am stärksten von einer integrierten ISMS-Strategie, die beide Nachweisanforderungen aus einer gemeinsamen Datenbasis bedient.

Wie sieht eine integrierte Umsetzungsstrategie für ISO 27001 und TISAX aus?

Beide Frameworks auf einer gemeinsamen ISMS-Basis zu implementieren spart nach Schätzungen aus der Praxis 30 bis 50 % des Aufwands gegenüber getrennten Projekten. Die operative Grundlage dafür ist immer dieselbe:

1. Vollständige IT-Inventarisierung: Alle Assets – Hardware, Software, virtuelle Maschinen, Cloud-Dienste – müssen erfasst und aktuell gehalten sein. Beide Prüfverfahren starten hier, und beide enden schlecht, wenn die Inventarlage beim Assessment veraltet ist.
2. Berechtigungskonzept: Wer auf welche Systeme und Daten zugreifen darf, muss dokumentiert, begründet und regelmäßig überprüft sein.
3. Netzwerkdokumentation: Segmentierungskonzept, Netzwerkpläne und Schnittstellendokumentation sind Pflichtbestandteile beider Prüfverfahren.
4. Risikoregister: Strukturierte Risikobewertung auf Basis inventarisierter Assets – für ISO 27001 nach Kapitel 6, für den VDA-ISA-Katalog nach dessen Risikomanagementanforderungen.

Der kritische Erfolgsfaktor ist nicht das Framework, sondern die Datenbasis. Automatisierte Inventarisierungstools, die Asset-Daten, Berechtigungsstrukturen und Netzwerktopologien kontinuierlich aktuell halten, reduzieren den Aufwand für beide Audit-Vorbereitungen drastisch. Agentenlose Lösungen wie Docusnap inventarisieren Windows-, Linux- und VMware-Umgebungen ohne Installationsaufwand und erzeugen prüffertige Berichte direkt aus der aktuellen Datenbasis – für ISO 27001 ebenso wie für den VDA-ISA-Katalog.