TISAX (Trusted Information Security Assessment Exchange) ist ein standardisiertes Bewertungs- und Austauschverfahren für Informationssicherheit in der Automobilindustrie. Es wurde vom Verband der Automobilindustrie (VDA) entwickelt und wird von der ENX Association betrieben. TISAX ermöglicht es, Informationssicherheitsbewertungen branchenweit einmalig durchzuführen und die Ergebnisse kontrolliert mit mehreren OEMs und Tier-Lieferanten zu teilen – ohne dass jeder Geschäftspartner eine eigene Prüfung durchführen muss.
Für Zulieferer in der Automobilindustrie ist TISAX heute kein Nice-to-have mehr: Wer sensible Daten von OEMs wie BMW, Mercedes-Benz, Volkswagen oder Porsche verarbeitet, wird vor Auftragserteilung nach einem gültigen TISAX-Label gefragt.
ISO 27001 ist der internationale Standard für Informationssicherheits-Managementsysteme. TISAX basiert auf dem VDA ISA (Information Security Assessment) – einem Fragenkatalog der speziell auf die Anforderungen der Automobilindustrie zugeschnitten ist und ISO/IEC 27001 als Grundlage verwendet, aber automotive-spezifische Themen ergänzt: Prototypenschutz, Datenschutz im Fahrzeugumfeld und Lieferkettenanforderungen.
Ein ISO-27001-Zertifikat ersetzt kein TISAX-Label. Beide können parallel existieren, decken aber unterschiedliche Nachweisanforderungen ab.
TISAX unterscheidet drei Bewertungsniveaus, je nach Sensitivität der verarbeiteten Informationen.
Level 1 ist eine Selbstbewertung ohne externe Prüfung. Sie wird nur für einfachste Fälle akzeptiert und ist in der Praxis selten ausreichend.
Level 2 ist eine plausibilisierte Selbstbewertung: Ein akkreditierter Prüfdienstleister überprüft die Selbstauskunft auf Plausibilität, führt aber kein vollständiges Audit durch. Typisch für Informationen mit normalem Schutzbedarf.
Level 3 ist ein vollständiges Vor-Ort-Audit durch einen akkreditierten Prüfdienstleister. Pflicht bei hochsensiblen Informationen – etwa Prototypen- und Fahrzeugentwicklungsdaten, besonders schützenswerte persönliche Daten oder Informationen mit hohem Geschäftsrisiko.
Der OEM definiert welches Level ein Lieferant nachweisen muss – abhängig davon welche Daten ausgetauscht werden.
Der VDA ISA-Fragenkatalog gliedert sich in mehrere Themenbereiche. Geprüft werden Informationssicherheits-Management und Organisation, physische Sicherheit von Standorten und Systemen, IT-Sicherheit inklusive Zugriffsrechte, Verschlüsselung und Patch-Management, Lieferantenmanagement und Weitergabe von Informationen an Unterlieferanten, Vorfallmanagement und Business Continuity sowie – bei entsprechendem Scope – Prototypenschutz und Datenschutz nach DSGVO.
Für jeden Kontrollbereich bewertet der Prüfer den Reifegrad auf einer Skala von 0 bis 5. Ein TISAX-Label wird erteilt wenn alle Muss-Anforderungen erfüllt sind und keine kritischen Abweichungen offenbleiben.
Der TISAX-Prozess läuft in vier Schritten ab.
Registrierung im ENX-Portal mit Definition des Scopes – welche Standorte, welche Informationskategorien, welches Assessment-Level.
Selbstbewertung anhand des VDA ISA-Fragenkatalogs: Wo steht das Unternehmen, welche Lücken gibt es, welche Maßnahmen sind einzuleiten.
Assessment durch einen akkreditierten Prüfdienstleister – bei Level 3 immer vor Ort, inklusive Dokumentenprüfung und Mitarbeiterbefragungen.
Label-Vergabe und Ergebnisaustausch über die TISAX-Plattform: Das Label ist drei Jahre gültig, danach ist ein Re-Assessment erforderlich. Der Lieferant entscheidet selbst wem er Zugriff auf seine Ergebnisse gibt.
Hier unterschätzen viele Zulieferer den Scope. TISAX prüft nicht nur die Büro-IT. Wenn Produktionsdaten, Konstruktionsdaten, CAD-Modelle oder Prototypeninformationen auf Systemen verarbeitet werden die mit dem Shopfloor verbunden sind, gehören diese Systeme in den TISAX-Scope.
Das bedeutet konkret: Wenn ein MES Fertigungsaufträge, Stücklisten oder Qualitätsdaten aus dem OEM-Umfeld verarbeitet, muss das MES in die Informationssicherheitsbewertung einbezogen werden. Zugriffskontrollen, Rollenkonzepte, Logging, Datenverschlüsselung und Update-Management des MES werden Teil des Nachweises.
Cloud-native MES-Systeme mit dokumentiertem Sicherheitskonzept, RBAC, vollständigem Audit-Trail und ISO-27001-konformem Hosting bieten hier strukturelle Vorteile gegenüber gewachsenen On-Premise-Lösungen ohne nachvollziehbares Zugriffskonzept.
Die häufigsten Feststellungen bei Automobilzulieferern betreffen unzureichendes Patch-Management für Produktions-IT und OT-Systeme, fehlende oder nicht dokumentierte Zugriffskonzepte für Shopfloor-Systeme, mangelhaftes Lieferantenmanagement bei Software- und Cloud-Dienstleistern sowie unklare Verantwortlichkeiten im Vorfallmanagement. Und Prototypenschutz der in der Fabrikhalle praktisch nicht umgesetzt ist, obwohl er auf dem Papier existiert.
Ist ein TISAX-Label für alle Automotive-Zulieferer Pflicht? Nicht gesetzlich verpflichtend, aber faktisch Pflicht für alle Lieferanten die vertrauliche Informationen von TISAX-teilnehmenden OEMs und Tier-1-Lieferanten verarbeiten. Wer kein Label hat, verliert Aufträge – das ist die Realität im Automotive-Einkauf.
Wie lange ist ein TISAX-Label gültig? Drei Jahre. Danach ist ein vollständiges Re-Assessment erforderlich. Bei wesentlichen Änderungen im Scope – neue Standorte, neue Informationskategorien – kann ein vorzeitiges Re-Assessment notwendig werden.
Was kostet ein TISAX-Assessment? Die Kosten hängen von Unternehmensgröße, Standortanzahl und Assessment-Level ab. Für ein mittelständisches Unternehmen mit einem Standort und Level 2 sind typischerweise fünf- bis sechsstellige Beträge zu veranschlagen – inklusive interner Vorbereitungsaufwände, externer Prüfkosten und eventueller Maßnahmen zur Lückenschließung.
Was ist der Unterschied zwischen TISAX und VDA ISA? Der VDA ISA (Information Security Assessment) ist der Fragenkatalog – das inhaltliche Prüfwerkzeug. TISAX ist das Gesamtverfahren: Registrierung, Prüfung, Label-Vergabe und Ergebnisaustausch über die ENX-Plattform. Der VDA ISA wird regelmäßig aktualisiert; aktuell ist Version 6.