TISAX®-Anforderungen im Überblick: Was Unternehmen wirklich wissen müssen

Clock
8
min Lesezeit
Calendar icon
1/4/25
Digitalisierung in der Automobilindustrie, sicher mit TISAX®

TISAX® – kurz für Trusted Information Security Assessment Exchange – ist der etablierte Standard für Informationssicherheit in der Automobilindustrie. Immer mehr OEMs und Tier-1-Zulieferer verlangen von ihren Partnern ein gültiges TISAX®-Label, bevor sie Aufträge vergeben. Doch was steckt hinter dem Verfahren? Was fordert der VDA ISA-Katalog? Und wie läuft eine TISAX®-Prüfung konkret ab?

In diesem Artikel geben wir dir einen kompakten Überblick über Struktur, Inhalt und Umsetzung der TISAX®-Anforderungen – inklusive Tipps zur Vorbereitung.

Was ist TISAX®?

TISAX® ist ein branchenspezifisches Prüf- und Austauschverfahren für Informationssicherheit, entwickelt vom Verband der Automobilindustrie (VDA) und betrieben von der ENX Association, die gleichzeitig Markeninhaberin ist.

Wichtiger Hinweis: TISAX® ist kein Zertifikat im klassischen Sinn. Unternehmen erhalten sogenannte TISAX®-Labels nach bestandener Prüfung – diese sind über das ENX-Portal für autorisierte Partner einsehbar. Die Veröffentlichung erfolgt nicht öffentlich, sondern gezielt steuerbar.

Struktur des VDA ISA: Die 7 Kapitel der TISAX®-Anforderungen

Die Grundlage jeder TISAX®-Prüfung ist der VDA ISA-Katalog, ein auf ISO/IEC 27001 basierendes Assessment-Tool. Er ist modular aufgebaut und gliedert sich im Pflichtmodul „Informationssicherheit“ in sieben Kapitel:

Prüfziel (TISAX® Objective) Assessment-Level (AL) Hinweise / Anforderungen
Informationssicherheit AL 1–3 Grundlage jeder TISAX®-Prüfung. Der Schutzbedarf bestimmt das Level: AL2 für „hoch“, AL3 für „sehr hoch“.
Umgang mit Prototypenteilen & -komponenten (physisch) Meist AL 3 Absicherung von Lagerung, Transport und Zugriff auf physische Prototypen. Vor-Ort-Prüfung erforderlich.
Umgang mit Testfahrzeugen Meist AL 3 Nachweise zur Sicherung, Kontrolle und Rückverfolgbarkeit von Testfahrzeugen. Physische Schutzmaßnahmen notwendig.
Informationen mit hohem Schutzbedarf AL 2–3 Zusätzliche Anforderungen an Klassifizierung, Zugriffsschutz und Datenverarbeitung – evtl. Vor-Ort-Audit.
Schutz von Prototypen auf Veranstaltungen Meist AL 3 Zutrittskontrollen, Geheimhaltung, Sicherheitsdienste und Fotoverbote bei Messen, Presseevents etc.
Datenschutz (personenbezogene Daten) AL 2–3 Nachweise zur DSGVO-Konformität (TOMs, AV-Verträge, Datenschutzprozesse). Gilt z. B. für Bewerberdaten oder medizinische Infos.

Zusätzlich gibt es zwei optionale Module:

  • Datenschutz (bei Verarbeitung personenbezogener Daten)
  • Prototypenschutz (physisch, digital oder für Veranstaltungen)

So läuft eine TISAX®-Prüfung ab

1. Registrierung im ENX-Portal

Dein Unternehmen meldet sich im ENX-TISAX®-Portal an und wählt die relevanten TISAX®-Labels aus.

2. Selbstbewertung & Gap-Analyse

Du bewertest dein Unternehmen auf Basis des VDA ISA. Die meisten Unternehmen lassen eine Gap-Analyse durch externe Berater durchführen.

3. Maßnahmenumsetzung

Basierend auf der Analyse setzt du organisatorische und technische Maßnahmen um – z. B. Zugriffskontrolle, Backup-Strategien, ISMS-Dokumentation.

4. Prüfung durch akkreditierten Prüfdienstleister

Je nach Assessment-Level erfolgt ein remote oder Vor-Ort-Audit. Die Prüfer vergeben ein oder mehrere Labels.

5. Ergebnisveröffentlichung im ENX-Portal

Du kannst gezielt steuern, welche Partner deine Ergebnisse sehen dürfen – z. B. Kunden, OEMs oder Konzern-Gesellschaften.

TISAX®-Labels: Was geprüft wird

Im TISAX®-Prüfverfahren werden keine starren „Zertifikate“ vergeben, sondern sogenannte TISAX®-Labels. Diese stehen für bestimmte Prüfziele, die du bei der Registrierung im ENX-Portal auswählst – zum Beispiel:

  • Informationssicherheit (mit normalem, hohem oder sehr hohem Schutzbedarf)
  • Prototypenschutz (physisch, digital, bei Veranstaltungen)
  • Datenschutz (z. B. DSGVO-konforme Verarbeitung)

Diese Prüfziele bestimmen:

  • den Umfang und die Tiefe der Prüfung
  • die Auswahl des Prüfdienstleisters
  • ob ein Vor-Ort-Audit erforderlich ist

Die Bewertung erfolgt über ein Reifegradmodell (0–5). Je höher der Schutzbedarf, desto höher die erwartete Umsetzungstiefe und Nachvollziehbarkeit der Maßnahmen. Der Reifegrad hängt nicht vom Label selbst ab, sondern ergibt sich aus dem gewählten Prüfziel + Schutzbedarf.

Rollen im TISAX®-Prozess

Laut ENX-Teilnehmerhandbuch gibt es mehrere Beteiligte:

  • Teilnehmer: das geprüfte Unternehmen
  • Prüfdienstleister: z. B. DEKRA, TÜV, DQS
  • ENX Association: betreibt das Portal & Qualitätssicherung
  • Partner: dürfen auf freigegebene Ergebnisse zugreifen

Häufige Fragen (FAQ)

🔍 Ist TISAX® verpflichtend?
Nicht gesetzlich – aber oft vertraglich von OEMs gefordert. Insbesondere als Markteintrittsbarriere für neue Projekte.

🔍 Wie lange ist ein TISAX®-Label gültig?
3 Jahre – ein Überwachungsaudit gibt es nicht.

🔍 Gibt es ein offizielles TISAX®-Zertifikat?
Nein – TISAX® arbeitet mit Labels im Portal, keine öffentlichen PDF-Zertifikate. Es gibt ein "dekoratives Wandelement", welches genutzt werden kann.

🔍 Wer sieht mein Prüfergebnis?
Nur von dir autorisierte Partner. Du steuerst die Sichtbarkeit im ENX-Portal selbst.

🔍 Was ist der Unterschied zu ISO 27001?
TISAX® basiert auf ISO 27001, ist aber branchenspezifisch angepasst und praxisnäher für die Automotive-Industrie.

Fazit: Warum TISAX® strategisch wichtig ist

TISAX® ist mehr als eine Prüfung – es ist ein Qualitätsmerkmal, das Vertrauen schafft und Geschäftsbeziehungen ermöglicht. Wer die TISAX®-Anforderungen strukturiert angeht, sichert sich einen echten Wettbewerbsvorteil und ist besser auf Cyberrisiken vorbereitet.

📣 Deine TISAX®-Beratung – effizient & praxisnah

Ob Gap-Analyse, Maßnahmenumsetzung oder Prüfungsvorbereitung – unsere TISAX®-Beratung bringt dich sicher ans Ziel. Wir unterstützen dich mit:

  • individueller Projektbegleitung – von der Registrierung bis zur Freigabe im ENX-Portal
  • Maßgeschneideter Beratung & effiziente Umsetzung
  • ISMS-Implementierung & Awareness-Konzepten

👉 Jetzt unverbindlich TISAX®-Beratung anfragen →

Weitere Beiträge

Entdecken Sie weitere spannende Artikel zu Datenschutz, Informationssicherheit und Compliance. Bleiben Sie auf dem neuesten Stand und erfahren Sie, wie Sie Ihr Unternehmen optimal schützen können.

Learn More
View Details