Ein Komponentenlieferant erhält von einem OEM die Anforderung: „Bis zur Vergabeentscheidung im Q3 muss ein gültiges TISAX-Label mit Assessment-Level 3 für den Standort Stuttgart vorliegen, Geltungsbereich Prototypenschutz und personenbezogene Daten.” Der typische Vorlauf für ein AL3-Assessment beträgt sechs bis neun Monate ab erstmaliger Vorbereitung. Wer mit dem Aufbau erst nach Eingang der Anforderung beginnt, verliert die Vergabe an einen besser vorbereiteten Mitbewerber. TISAX ist im Automotive-Geschäft zur Marktzugangsvoraussetzung geworden — ohne Label kein Auftrag.
TISAX (Trusted Information Security Assessment Exchange) ist der Branchenstandard der deutschen Automobilindustrie für Informationssicherheits-Assessments bei Lieferanten und Dienstleistern. Er wird durch die ENX Association verwaltet, einer Initiative von Herstellern, Zulieferern und Verbänden. Grundlage ist der VDA-ISA-Katalog (Information Security Assessment) des Verbands der Automobilindustrie.
Was umfasst der Standard?
Der VDA-ISA-Katalog ist in mehrere Module gegliedert. Das Hauptmodul Informationssicherheit ist verpflichtend, weitere Module ergänzen spezifische Schutzbedarfe.
Module des ISA-Katalogs
- Informationssicherheit — der Hauptteil, basiert strukturell auf ISO 27001 und 27002. Etwa 40 Controls in den Bereichen ISMS, Asset-Management, Personalsicherheit, physische Sicherheit, Identitäts- und Berechtigungsmanagement, Lieferantenmanagement, Vorfallmanagement, Compliance.
- Prototypenschutz — zusätzliche Anforderungen für die Verarbeitung von Prototypen-Informationen: bauliche Anforderungen an Räume, Foto- und Filmverbote, Tarnung in Erprobungsfahrzeugen, Besucherregelungen.
- Datenschutz — Anforderungen an die Verarbeitung personenbezogener Daten, abgestimmt auf die DSGVO und automotive-spezifische Datenströme (z. B. Connected-Car-Daten).
- Künstliche Intelligenz — Modul seit ISA 6.0 für Lieferanten, die KI-Komponenten oder -Dienstleistungen für Fahrzeuge entwickeln.
Reifegradmodell
Jedes Control wird auf einer Skala von 0 (unvollständig) bis 5 (optimierend) bewertet. Der Ziel-Reifegrad pro Control liegt typischerweise bei 3 (etabliert). Niedrigere Reifegrade führen zu Findings mit Behebungsfristen.
Schutzklassen und Assessment-Level
| Schutzbedarf | Assessment-Level | Prüfungstyp |
|---|---|---|
| Normal | AL2 | Plausibilisierte Selbstbewertung, Remote-Audit |
| Hoch (z. B. Prototypenschutz, vertrauliche Konstruktionsdaten) | AL3 | Vor-Ort-Audit beim Lieferanten |
| Sehr hoch (z. B. besondere personenbezogene Daten in großem Umfang) | AL3 | Vor-Ort-Audit, höhere Stichprobentiefe |
AL1 (reine Selbstbewertung ohne externe Plausibilisierung) ist heute praktisch ohne Bedeutung — Hersteller akzeptieren es kaum noch.
Prüfungsprozess
Registrierung auf der ENX-Plattform. Das Unternehmen registriert sich, definiert Scope und Assessment-Level und benennt einen Audit-Provider aus der Liste der zugelassenen Anbieter.
Selbstbewertung. Das Unternehmen bewertet sich selbst nach dem ISA-Katalog. Die Bewertung wird in der ENX-Plattform dokumentiert, inklusive Maßnahmenplan für Controls unter dem Ziel-Reifegrad.
Initial-Audit. Der Audit-Provider prüft die Selbstbewertung. Bei AL2 ist der Audit überwiegend remote, bei AL3 vor Ort. Findings werden klassifiziert nach „Major Non-Conformity”, „Minor Non-Conformity” und „Anmerkung”.
Korrekturmaßnahmen-Phase. Major Non-Conformities müssen vor Label-Vergabe behoben werden, Minor Non-Conformities innerhalb von neun Monaten. Die Behebung wird vom Audit-Provider nachgeprüft.
Label-Vergabe. Nach erfolgreichem Abschluss wird das TISAX-Label auf der ENX-Plattform für drei Jahre eingestellt. Das Unternehmen kann den Zugriff für einzelne Hersteller freigeben.
Re-Assessment. Vor Ablauf der drei Jahre erfolgt ein vollständiges Re-Assessment. Wesentliche Scope-Änderungen während der Laufzeit erfordern ein Update der Bewertung.
Mapping zu anderen Standards
| Standard | Verhältnis zu TISAX |
|---|---|
| ISO/IEC 27001 | Strukturelles Vorbild; viele Controls überschneiden sich, eine ISO-Zertifizierung ist gute Vorarbeit |
| ISO/IEC 27002 | Implementierungs-Hinweise, die auch für TISAX-Controls anwendbar sind |
| DSGVO | Eigenes TISAX-Datenschutzmodul, abgestimmt auf DSGVO-Anforderungen |
| NIST CSF | Hilfreich für übergeordnete Cyber-Resilienz-Strategie, kein direkter Mapping-Ersatz |
| CIS Controls | Konkrete technische Umsetzungs-Hinweise, ergänzen die ISA-Controls auf operativer Ebene |
| NIS2 | Wenn der Lieferant zugleich KRITIS oder wesentlich/wichtig nach NIS2 ist, gelten beide Regelwerke parallel |
Implementierungs-Aufwand
Kleiner Lieferant (< 50 Personen, ein Standort, AL2): 4–9 Monate Aufbau, danach 0,2–0,5 FTE für laufenden Betrieb. Externe Beratung typisch 5–15 Tage.
Mittlerer Engineering-Dienstleister (50–500 Personen, AL3 mit Prototypenschutz): 6–12 Monate Aufbau, 0,5–1,5 FTE laufend. Bauliche Anpassungen für Prototypenschutz (verschließbare Räume, Sichtschutz, Zutrittskontrolle) können erhebliche Investitionen auslösen.
Großer Tier-1-Zulieferer (mehrere Standorte, AL3, alle Module): Programmcharakter, mehrere FTEs, koordinierte Standortbewertungen. Häufig wird ein zentrales ISMS aufgebaut, einzelne Standorte werden separat zertifiziert.
Wiederkehrende Kosten: Audit-Tage (typisch 2–8 pro Standort), ENX-Plattformgebühren, interne Pflege des ISA-Bewertungsstandes, Schulungen für Mitarbeitende, jährliche Überprüfung des Maßnahmenplans.
Verwandte Standards
- ISO/IEC 27001: Strukturelles Fundament für TISAX; ISO-Zertifikat erleichtert die Vorbereitung erheblich.
- ISO/IEC 27002: Implementierungs-Leitfaden für viele TISAX-Controls.
- NIST CSF: Übergeordnete Cyber-Resilienz-Sicht für die strategische Planung.
- CIS Controls: Konkrete technische Maßnahmen, die viele ISA-Controls operativ unterfüttern.
Quellen
- ENX Association — TISAX — offizielle Plattform und Dokumentation
- VDA ISA Katalog — aktueller Anforderungskatalog (kostenpflichtig)
- ENX TISAX Participant Handbook — verbindlicher Verfahrensleitfaden
- VDA — Verband der Automobilindustrie — Herausgeber des ISA-Katalogs