Das Wichtigste in Kürze
- TISAX-Zertifizierung ist Geschäftsvoraussetzung: Wer als Zulieferer oder Dienstleister vertrauliche Daten von Automobilherstellern verarbeitet, braucht den Nachweis einer bestandenen TISAX-Prüfung – ohne geht kein OEM-Auftrag mehr. Die Zertifizierung gilt drei Jahre, danach ist ein erneutes Assessment fällig.
- Kosten variieren stark: Für ein KMU mit einem Standort liegen die Gesamtkosten typischerweise zwischen 15.000 und 80.000 Euro – je nach Ausgangslage, Assessment Level und bestehendem ISMS. Der größte Kostentreiber ist nicht das Audit selbst, sondern die Umsetzung fehlender Sicherheitsmaßnahmen.
- IT-Dokumentation ist das Fundament: Rund 60 % eines TISAX-Projekts entfallen auf die IT. Wer beim Assessment keine aktuelle Übersicht über Assets, Berechtigungen, Netzwerkstrukturen und Patch-Stände vorlegen kann, besteht nicht – egal wie gut die Richtlinien auf Papier aussehen.
Über 60 % der TISAX-Assessments scheitern laut Branchenbeobachtern nicht an fehlenden Richtlinien, sondern an einer unvollständigen oder veralteten IT-Dokumentation. Auditoren prüfen im Detail – von Patch-Ständen über Berechtigungskonzepte bis zu physischen Zutrittskontrollen – und genau hier fehlt die Datengrundlage, die kein GRC-Tool von selbst erzeugt. Dieser Artikel zeigt, was die TISAX-Zertifizierung konkret fordert, was sie kostet, wer sie braucht und warum die IT-Dokumentation der entscheidende erste Schritt ist.
Wer braucht eine TISAX-Zertifizierung?
TISAX (Trusted Information Security Assessment Exchange) ist der verbindliche Informationssicherheitsstandard der Automobilindustrie. Entwickelt vom Verband der Automobilindustrie (VDA) und verwaltet von der ENX Association, schafft er einheitliche Spielregeln für den sicheren Umgang mit vertraulichen Daten entlang der gesamten Lieferkette.
Die Zertifizierungspflicht trifft alle Unternehmen, die im Auftrag eines OEM oder Tier-1-Zulieferers:
- vertrauliche Informationen (Konstruktionsdaten, Kalkulationen, Verträge) verarbeiten,
- Prototypen oder Testfahrzeuge entwickeln oder fotografieren,
- personenbezogene Daten im Automobilkontext handhaben.
In der Praxis bedeutet das: Softwaredienstleister, Ingenieurbüros, Logistiker, IT-Dienstleister und Marketingagenturen sind genauso betroffen wie klassische Teilelieferanten. OEMs wie Volkswagen, BMW oder Mercedes verlangen den Nachweis inzwischen vertraglich – ohne Zertifizierung kein Zugang zur Lieferkette.
Welche Anforderungen stellt das TISAX-Assessment?
Das Assessment basiert auf dem VDA ISA-Katalog Version 6.0, der aktuell rund 80 Controls in drei Modulen definiert:
Modul Informationssicherheit (Pflicht für alle): Klassische ISMS-Themen – Sicherheitsrichtlinien, Risikomanagement, Zugangskontrollen, Netzwerksicherheit, Patch-Management, Personalmanagement und Lieferantenmanagement. Wer ein bestehendes ISMS nach ISO 27001 betreibt, hat rund 60–70 % dieser Anforderungen bereits abgedeckt.
Modul Datenschutz: Relevant, wenn personenbezogene Daten im OEM-Auftrag verarbeitet werden. Das Modul orientiert sich an der DSGVO und prüft Verarbeitungsverzeichnisse, Datenschutz-Folgenabschätzungen und technische Schutzmaßnahmen.
Modul Prototypenschutz: Greift bei Unternehmen, die Entwicklungsfahrzeuge, Designzeichnungen oder Testdaten verwalten. Die Anforderungen gehen weit über klassische IT-Sicherheit hinaus – bis zu physischen Zutrittssperren und verschlüsselten Übertragungswegen.
Für jedes geprüfte Kriterium müssen Unternehmen mindestens Reifegrad 3 von 5 nachweisen. Das bedeutet: Nicht nur dokumentierte Prozesse, sondern deren nachgewiesene Umsetzung im Alltag.
Was prüfen Auditoren technisch im Detail?
IT-Verantwortliche sollten wissen, worauf Auditoren besonders schauen – weil hier die meisten Lücken entstehen:
- Vollständiges IT-Asset-Inventar mit Klassifizierung nach Schutzbedarf
- Aktuelle Patch-Stände für alle Betriebssysteme und Anwendungen
- Berechtigungskonzept nach Least-Privilege-Prinzip – mit nachweisbarer regelmäßiger Überprüfung
- Netzwerksegmentierung und dokumentierte Firewall-Regeln
- Nachweis für On- und Offboarding-Prozesse (wer hat nach Austritt noch Zugriff?)
- Dokumentierte Notfall- und Wiederherstellungspläne für kritische Systeme
Wer diese Daten nicht ad hoc vorlegen kann, hat ein Problem. Auditoren akzeptieren keine Aussagen wie "das wissen wir, haben es aber nicht dokumentiert".
Warum IT-Dokumentation das eigentliche Fundament ist
Hier liegt der Unterschied zwischen Unternehmen, die gut vorbereitet ins Assessment gehen, und denen, die kurzfristig nacharbeiten müssen.
Viele Unternehmen investieren in GRC-Plattformen, Richtlinienvorlagen und Schulungen – und merken erst beim Auditorengespräch, dass sie grundlegende Fragen nicht beantworten können: Welche Systeme laufen im Netzwerk? Auf welchem Patchstand ist Server XY? Wer hat Zugriff auf das Entwicklungsshare?
Manuelle IT-Dokumentation scheitert dabei regelmäßig aus denselben Gründen:
- Aktualität: Bis eine Excel-Inventarliste fertig ist, hat sich die IT bereits verändert.
- Vollständigkeit: Vergessene Switche, unbekannte Access-Points, Shadow-IT – manuelle Inventarisierung übersieht systematisch Geräte.
- Aufwand: IT-Teams haben keine Kapazitäten, Listen vor jedem Audit neu zu befüllen.
Automatisierte IT-Inventarisierungslösungen wie Docusnap scannen das gesamte Netzwerk agentlos – von Windows- und Linux-Servern über Clients bis zu Netzwerkkomponenten – und liefern jederzeit eine aktuelle, vollständige Datenbasis. Für ein TISAX-Assessment bedeutet das: Die Fragen der Auditoren sind beantwortet, bevor sie gestellt werden.
Assessment Level: Welches gilt für Ihr Unternehmen?
TISAX unterscheidet drei Assessment Level, die von den Anforderungen Ihres Auftraggebers abhängen:
Assessment Level 1 (AL1): Reine Selbsteinschätzung ohne externe Prüfung. Kein akkreditierter Auditor, kein anerkanntes Ergebnis. Wird von OEMs nicht akzeptiert – taugt allenfalls als interne Probeübung.
Assessment Level 2 (AL2): Für Daten mit hohem Schutzbedarf. Fragebogen-Einreichung plus Remote-Audit mit Interview. Die meisten Dienstleister ohne direkten Prototypenzugang fallen in diese Kategorie.
Assessment Level 3 (AL3): Für sehr sensible Daten – Prototypen, Crashtest-Daten, KI-Systeme. Vollständiges Vor-Ort-Audit inklusive Begehung der Räumlichkeiten. Die meisten Direktzulieferer von OEMs brauchen AL3.
Viele Berater empfehlen, direkt AL3 anzustreben – auch wenn heute AL2 ausreicht. So bleibt man für künftige OEM-Anforderungen gerüstet, ohne ein erneutes Assessment durchzulaufen.
Was kostet die TISAX-Zertifizierung?
Die Kosten variieren erheblich. Eine realistische Orientierung für die Planung:
- ENX-Registrierung (pro Standort): 400–500 €
- Prüfdienstleister-Audit (AL2/AL3): 3.500–10.500 €
- ISMS-Aufbau und Beratung: 8.000–40.000 €
- Tools und interne Personalkosten: 3.000–20.000 €
Gesamtkosten für ein KMU mit einem Standort liegen typischerweise zwischen 15.000 und 80.000 Euro.
Der größte Kostentreiber ist nicht das Audit selbst – das macht oft nur 10–15 % der Gesamtkosten aus. Der weitaus größere Teil entfällt auf den ISMS-Aufbau, die Dokumentation und die Umsetzung fehlender Sicherheitsmaßnahmen.
Wer bereits ein ISMS nach ISO 27001 betreibt, hat einen deutlichen Vorteil: Rund 60–70 % der TISAX-Anforderungen sind identisch. Solche Unternehmen können das Assessment in 3–6 Monaten ergänzen statt von Null in 12–18 Monaten zu starten. Der verbleibende Zusatzaufwand konzentriert sich auf die TISAX-spezifischen Module Prototypenschutz und automobil-spezifische Lieferkettenanforderungen.
Wie läuft der Zertifizierungsprozess ab?
Die TISAX-Zertifizierung läuft in fünf Schritten ab – von der Registrierung bis zum abgeschlossenen Assessment:
- Registrierung im ENX-Portal: Pflicht vor jedem anderen Schritt. Hier wählen Sie Scope, Prüfziele und Assessment Level.
- Selbstbewertung anhand des VDA ISA-Katalogs: Gap-Analyse identifiziert, welche Anforderungen erfüllt sind und wo Maßnahmen fehlen.
- Maßnahmenumsetzung und Dokumentation: Der zeitaufwendigste Block. Richtlinien, technische Maßnahmen und – besonders wichtig – die Dokumentation der IT-Infrastruktur.
- Assessment durch akkreditierten Prüfdienstleister: AL2 remote, AL3 vor Ort. Wichtig: Zwischen Registrierung und Assessmentabschluss dürfen maximal 9 Monate liegen.
- Ergebnisfreigabe über die ENX-Plattform: Das Assessment-Ergebnis wird dort geteilt und ist für berechtigte Partner einsehbar.
Eine realistische Zeitleiste: Ohne vorhandenes ISMS 12–18 Monate. Mit ISO 27001 als Basis 3–6 Monate.
Was hat sich 2024 geändert: ISA-Katalog Version 6.0
Seit dem 1. April 2024 gilt der VDA ISA-Katalog in Version 6.0 – und die Änderungen sind für laufende Vorbereitungen relevant:
Das bisherige Prüfziel „Informationssicherheit" wurde aufgespalten in zwei eigenständige Kategorien: Vertraulichkeit (hoch und strikt) und Verfügbarkeit (hoch und sehr hoch). Letzteres ist neu und wurde eingeführt, weil Ransomware-Angriffe auf Zulieferer zunehmend die gesamte OEM-Lieferkette lahmlegen.
Sechs neue Controls adressieren gezielt Cyberresilienz: Ransomware-Abwehr, Angriffserkennung und Wiederherstellung nach Sicherheitsvorfällen. Zudem verweist ISA 6.0 nun explizit auf ISO 27001:2022 und das NIST Cyber Security Framework. OT-Systeme – also Produktionsanlagen mit Netzwerkanschluss – werden stärker berücksichtigt, was für viele Fertigungszulieferer neuen Dokumentationsbedarf bedeutet.
Wie lange gilt die TISAX-Zertifizierung?
Die TISAX-Zertifizierung ist drei Jahre gültig – ab dem Datum des abgeschlossenen Assessments. Das Ergebnis wird als TISAX-Label über die ENX-Plattform geteilt und ist für berechtigte Partner einsehbar. Anders als bei ISO 27001 gibt es keine jährlichen Überwachungsaudits.
Das bedeutet allerdings nicht, dass nach dem Bestehen drei Jahre lang nichts passiert. Der VDA erwartet, dass Unternehmen ihr ISMS kontinuierlich pflegen und regelmäßige interne Self-Assessments durchführen – mit Dokumentation. Wer beim Re-Assessment nach drei Jahren keine Nachweise für die laufende Pflege vorlegen kann, riskiert Abzüge beim Reifegrad.
Für die Berechtigungsanalyse und laufende IT-Inventarisierung bedeutet das: Diese Daten müssen nicht nur einmalig für das Assessment erhoben, sondern dauerhaft aktuell gehalten werden.
FAQs
Typischerweise 6–12 Monate, abhängig vom Reifegrad Ihres bestehenden ISMS. Unternehmen mit ISO-27001-Basis können schneller sein. Die Umsetzung eines ISMS von Grund auf dauert erfahrungsgemäß mindestens sechs Monate.
Alle Unternehmen, die im Auftrag eines Automobilherstellers (OEM) oder Tier-1-Zulieferers vertrauliche Informationen verarbeiten, Prototypen entwickeln oder personenbezogene Daten aus dem Automotive-Kontext handhaben. Das schließt nicht nur klassische Zulieferer ein – auch IT-Dienstleister, Ingenieurbüros, Logistiker und Marketingagenturen sind betroffen, sobald sie sensible OEM-Daten erhalten. Die Anforderung kommt vertraglich vom jeweiligen OEM oder Auftraggeber.
Die Zertifizierung gilt drei Jahre ab Abschluss des Assessments. Jährliche Kontroll-Audits wie bei ISO 27001 gibt es nicht. Unternehmen sind jedoch angehalten, ihr ISMS laufend zu pflegen und interne Self-Assessments zu dokumentieren. Fehlen beim Re-Assessment nach drei Jahren entsprechende Nachweise, kann das die Reifegradbeurteilung verschlechtern und die erneute Freigabe verzögern.
Für ein KMU mit einem Standort liegen die Gesamtkosten typischerweise zwischen 15.000 und 80.000 Euro. Der größte Posten ist nicht das Audit selbst (3.500–10.500 €), sondern der ISMS-Aufbau und die Umsetzung fehlender Sicherheitsmaßnahmen. Wer bereits ISO 27001 hat, startet mit 60–70 % der Anforderungen erfüllt und reduziert den Aufwand erheblich.
Die TISAX-Zertifizierung ist für Zulieferer und Dienstleister in der Automobilindustrie faktisch eine Geschäftsvoraussetzung – kein freiwilliger Nachweis. OEMs wie VW, BMW und Mercedes fordern sie vertraglich. Wer den Nachweis nicht erbringen kann, verliert den Zugang zur Lieferkette. Darüber hinaus schafft eine erfolgreiche TISAX-Zertifizierung intern Klarheit über den eigenen IT-Sicherheitsstatus und reduziert das Risiko von Datenpannen, die bei Automotive-Daten besonders teuer werden können.
Auditoren prüfen nicht nur, ob Richtlinien existieren – sie prüfen, ob sie gelebt werden. Dazu brauchen Sie ein aktuelles IT-Asset-Inventar, dokumentierte Patch-Stände, ein nachgewiesenes Berechtigungskonzept und Netzwerkdokumentation. Was nicht dokumentiert ist, gilt im Assessment als nicht vorhanden. Mehr dazu, wie automatisierte IT-Dokumentation diese Anforderungen kontinuierlich erfüllt, zeigt unser Artikel TISAX-Anforderungen meistern: So gelingt die Zertifizierung.
Nächste Schritte
Eine TISAX-Zertifizierung beginnt mit einer ehrlichen Bestandsaufnahme Ihrer IT-Landschaft – und endet mit der Gewissheit, dass Ihre Informationssicherheit auf höchstem Niveau steht. Docusnap unterstützt Sie dabei als zuverlässiger Begleiter: von der automatisierten Inventarisierung über die Berechtigungsanalyse bis hin zu audit-ready Berichten auf Knopfdruck. Testen Sie Docusnap 30 Tage kostenlos – inklusive professionellem Support.
Jetzt testen
