TISAX Anforderungen verständlich erklärt

 

Was ist TISAX und für wen ist es relevant?

TISAX steht für „Trusted Information Security Assessment Exchange” und ist ein Prüf- und Austauschverfahren für Informationssicherheit in der Automobilindustrie. Es wurde vom Verband der Automobilindustrie (VDA) initiiert und wird seit 2017 von der ENX Association betrieben.

TISAX ist keine Zertifizierung im klassischen Sinne, sondern ein standardisiertes Assessment-Verfahren, dessen Ergebnis (Label) über die ENX-Plattform mit anderen Teilnehmern geteilt werden kann. Das vermeidet redundante Prüfungen durch verschiedene OEMs und Tier-1-Zulieferer.

Wer braucht TISAX?

TISAX ist relevant für alle Unternehmen, die in der automobilen Lieferkette tätig sind und von einem OEM oder Tier-1-Zulieferer aufgefordert werden, ihre Informationssicherheit nach TISAX nachzuweisen. Das betrifft:

• Zulieferer aller Ebenen (Tier 1 bis Tier n)
• Engineering-Dienstleister und Entwicklungspartner
• IT-Dienstleister der Automobilindustrie
• Logistik- und Servicepartner mit Zugang zu schützenswerten Informationen
• Beratungsunternehmen, die mit vertraulichen Daten der OEMs arbeiten

In der Praxis wird TISAX von den großen deutschen OEMs (Volkswagen, BMW, Mercedes-Benz, Porsche) und vielen internationalen Herstellern als Voraussetzung für die Geschäftsbeziehung verlangt.

 

Der VDA ISA Katalog: Grundlage aller TISAX Anforderungen

Die inhaltliche Basis für alle TISAX Anforderungen bildet der VDA ISA (Information Security Assessment) Katalog. Dieser Fragenkatalog definiert die Prüfkriterien, gegen die ein Unternehmen bewertet wird.

Aufbau des VDA ISA

Der VDA ISA gliedert sich in mehrere Module:

• Informationssicherheit: Kernmodul, das auf ISO 27001 basiert und Themen wie Zugangssteuerung, Kryptografie, physische Sicherheit, Incident Management und Business Continuity abdeckt
• Prototypenschutz: Zusatzmodul für Unternehmen, die mit physischen oder virtuellen Prototypen und vorserienrelevanten Informationen arbeiten
• Datenschutz: Zusatzmodul, das die Einhaltung datenschutzrechtlicher Anforderungen (insbesondere DSGVO) im Rahmen der Auftragsverarbeitung prüft

Bewertungssystematik: Reifegrade

Jede Kontrollfrage im VDA ISA wird anhand eines Reifegradmodells bewertet:

• Reifegrad 0: Unvollständig – kein Prozess vorhanden
• Reifegrad 1: Durchgeführt – Prozess wird ad hoc durchgeführt, ist aber nicht dokumentiert
• Reifegrad 2: Gesteuert – Prozess ist dokumentiert und wird regelmäßig durchgeführt
• Reifegrad 3: Etabliert – Standardprozess ist definiert, wird konsequent angewandt und gemessen
• Reifegrad 4: Vorhersagbar – Prozess wird quantitativ gesteuert
• Reifegrad 5: Optimierend – kontinuierliche Verbesserung ist systematisch etabliert

Für ein erfolgreiches TISAX Assessment müssen alle relevanten Kontrollfragen mindestens Reifegrad 3 erreichen. Einzelne Abweichungen auf Reifegrad 2 können unter bestimmten Bedingungen akzeptiert werden, erfordern aber einen konkreten Maßnahmenplan.

 

Die zentralen Anforderungsbereiche im Detail

Die folgenden Bereiche bilden den Kern der TISAX Anforderungen:

1. Informationssicherheits-Richtlinien

Das Unternehmen muss eine dokumentierte Informationssicherheitspolitik haben, die von der Geschäftsleitung verabschiedet und kommuniziert wurde. Daraus abgeleitet werden spezifische Richtlinien für einzelne Sicherheitsbereiche.

2. Organisation der Informationssicherheit

Klare Rollen und Verantwortlichkeiten für Informationssicherheit müssen definiert sein. Das umfasst einen Informationssicherheitsbeauftragten (ISB), Berichtslinien zur Geschäftsleitung und die Integration in die Organisationsstruktur.

3. Personalsicherheit

Anforderungen an Mitarbeitersensibilisierung, Schulungen, Vertraulichkeitsvereinbarungen und Prozesse bei Eintritt, Wechsel und Austritt von Mitarbeitern.

4. Asset Management

Alle Informationswerte (Assets) müssen inventarisiert, klassifiziert und einem Verantwortlichen zugeordnet sein. Dazu gehören IT-Systeme, Anwendungen, Daten und physische Medien.

5. Zugangssteuerung

Umfassende Anforderungen an Benutzerregistrierung, Zugangsrechte, privilegierte Zugänge und die regelmäßige Überprüfung von Berechtigungen (Access Reviews).

6. Kryptografie

Anforderungen an den Einsatz von Verschlüsselung für Daten in Transit und at Rest sowie an das Management von kryptografischen Schlüsseln.

7. Physische Sicherheit

Schutz von Gebäuden, Räumen und Einrichtungen, in denen Informationen verarbeitet oder gespeichert werden. Besonders relevant bei Prototypenschutz.

8. Betriebssicherheit

Anforderungen an Change Management, Kapazitätsplanung, Schutz vor Schadsoftware, Patch-Management, Logging und die Trennung von Entwicklungs-, Test- und Produktionsumgebungen.

9. Kommunikationssicherheit

Schutz von Netzwerken, Netzwerkdiensten und der Informationsübertragung (E-Mail, Datentransfer, Cloud-Dienste).

10. Lieferantenbeziehungen

Anforderungen an die Sicherheitsbewertung und -steuerung von Lieferanten und Dienstleistern, die Zugang zu Informationen des Unternehmens haben.

11. Incident Management

Dokumentierte Prozesse für die Erkennung, Meldung, Eskalation und Behandlung von Informationssicherheitsvorfällen.

12. Business Continuity Management

Anforderungen an Notfallpläne, Wiederherstellungsverfahren und deren regelmäßige Übung und Aktualisierung.

13. Compliance

Identifikation und Einhaltung aller relevanten gesetzlichen, vertraglichen und regulatorischen Anforderungen an die Informationssicherheit.

 

Assessment Levels: Prüftiefe und Vorgaben

TISAX unterscheidet drei Assessment Levels, die sich in der Prüftiefe und -methodik unterscheiden:

Level 1: Selbstauskunft

Reine Selbstbewertung ohne externe Prüfung. Level 1 wird in der Praxis kaum gefordert und erzeugt kein TISAX-Label.

Level 2: Plausibilitätsprüfung

Der Prüfdienstleister führt eine Plausibilitätsprüfung der Selbstauskunft durch. Dies geschieht in der Regel remote per Dokumentenprüfung und Interview. Geeignet für Unternehmen mit normalem Schutzbedarf.

Level 3: Vollständige Vor-Ort-Prüfung

Der Prüfdienstleister führt ein umfassendes Vor-Ort-Audit durch, bei dem Dokumente, Prozesse und technische Implementierungen detailliert geprüft werden. Erforderlich für Unternehmen mit hohem Schutzbedarf oder bei Prototypenschutz.

Welches Level gefordert wird, wird vom Auftraggeber (OEM oder Tier 1) festgelegt und hängt vom Schutzbedarf der geteilten Informationen ab. Die meisten Assessment-Anforderungen in der Praxis liegen bei Level 2 oder Level 3.

 

Typische Fehler bei der TISAX-Vorbereitung

Aus der Praxis lassen sich wiederkehrende Stolpersteine identifizieren, die Unternehmen bei der Vorbereitung auf TISAX vermeiden sollten:

1. Zu späte Vorbereitung

Viele Unternehmen beginnen erst mit der Vorbereitung, wenn der OEM das Assessment fordert. Eine solide Vorbereitung benötigt typischerweise 3 bis 12 Monate – je nach Reifegrad und Assessment Level.

2. Fokus nur auf Dokumentation

TISAX prüft nicht nur, ob Richtlinien und Prozesse dokumentiert sind, sondern ob sie tatsächlich gelebt werden. Rein formale Dokumentation ohne gelebte Praxis führt zu Feststellungen im Assessment.

3. Unterschätzung der Scope-Definition

Der Geltungsbereich (Scope) des Assessments muss sorgfältig definiert werden. Alle Standorte, Systeme und Prozesse, die mit den prüfungsrelevanten Informationen in Kontakt kommen, müssen einbezogen werden.

4. Fehlende Management-Unterstützung

TISAX ist kein reines IT-Projekt. Ohne aktive Unterstützung der Geschäftsleitung fehlen die notwendigen Ressourcen und die organisatorische Verbindlichkeit.

5. Vernachlässigung der Lieferantenkette

Die Anforderungen an Lieferantenmanagement werden häufig unterschätzt. Unternehmen müssen nachweisen, dass auch ihre eigenen Dienstleister angemessene Sicherheitsmaßnahmen umsetzen.

 

Praxisnaher Fahrplan für die TISAX-Vorbereitung

Ein strukturierter Ansatz für die Umsetzung der TISAX Anforderungen umfasst folgende Phasen:

Phase 1: Initialisierung (2–4 Wochen)

• Scope-Definition: Welche Standorte, Systeme und Informationen sind betroffen?
• Festlegung des Assessment Levels und der Prüfziele
• Sicherung der Management-Unterstützung und Ressourcen
• Benennung eines Projektleiters und eines Informationssicherheitsbeauftragten

Phase 2: Gap-Analyse (4–6 Wochen)

• Systematische Bewertung des Ist-Zustands gegen den VDA ISA Katalog
• Identifikation von Lücken (Gaps) und Priorisierung der Handlungsfelder
• Erstellung eines realistischen Maßnahmenplans

Phase 3: Umsetzung (8–24 Wochen)

• Implementierung fehlender Prozesse, Richtlinien und technischer Maßnahmen
• Schulung und Sensibilisierung der Mitarbeiter
• Aufbau der erforderlichen Dokumentation
• Regelmäßige Fortschrittskontrolle

Phase 4: Internes Audit und Assessment-Vorbereitung (4–6 Wochen)

• Durchführung eines internen Audits (Pre-Assessment)
• Behebung identifizierter Schwachstellen
• Registrierung bei der ENX Association
• Auswahl eines zugelassenen Prüfdienstleisters

Phase 5: Assessment (2–4 Wochen)

• Durchführung des externen Assessments
• Bearbeitung eventueller Feststellungen (Corrective Actions)
• Erhalt des TISAX-Labels

TrustSpace begleitet Unternehmen durch alle Phasen der TISAX-Vorbereitung – von der Gap-Analyse über die Maßnahmenumsetzung bis zur Assessment-Begleitung.

 

Häufig gestellte Fragen zu TISAX Anforderungen

Welche Anforderungen gelten für TISAX konkret?

Die Anforderungen basieren auf dem VDA ISA Katalog und umfassen die Bereiche Informationssicherheit, optional Prototypenschutz und Datenschutz. Jede Kontrollfrage muss mindestens Reifegrad 3 erreichen.

Was ist der VDA ISA Katalog?

Der VDA ISA ist ein Fragenkatalog, der die Prüfkriterien für TISAX definiert. Er basiert auf ISO 27001, wurde aber um automobilspezifische Anforderungen erweitert – insbesondere zum Prototypenschutz.

Welche Nachweise werden im Assessment erwartet?

Je nach Assessment Level werden Dokumente (Richtlinien, Prozessbeschreibungen, Nachweise), Interviews mit Verantwortlichen und bei Level 3 eine Vor-Ort-Begehung mit technischer Überprüfung erwartet.

Was ist der Unterschied zwischen Level 2 und Level 3?

Level 2 ist eine Plausibilitätsprüfung (meist remote), Level 3 eine vollständige Vor-Ort-Prüfung mit höherer Prüftiefe. Welches Level erforderlich ist, bestimmt der Auftraggeber.

Wie lange dauert die Vorbereitung auf TISAX?

Je nach Ausgangslage und Assessment Level zwischen 3 und 12 Monaten. Bei einem realistischen TISAX Zeitplan ist eine frühzeitige Planung entscheidend.

 

Fazit: TISAX Anforderungen systematisch erfüllen

Die TISAX Anforderungen sind umfassend, aber bei strukturierter Herangehensweise gut beherrschbar. Der Schlüssel liegt in einer sauberen Scope-Definition, einer ehrlichen Gap-Analyse, konsequenter Umsetzung und ausreichend Zeit für die Vorbereitung.

Unternehmen, die bereits ein ISMS nach ISO 27001 betreiben, haben einen erheblichen Vorsprung – viele Anforderungen sind bereits abgedeckt. TrustSpace hilft dabei, die Lücken zu identifizieren und die automobilspezifischen Zusatzanforderungen effizient umzusetzen.