TISAX
Trusted Information Security Assessment Exchange — branchenspezifischer Sicherheitsstandard der deutschen Automobilindustrie, basierend auf ISO 27001.
TISAX ist ein Prüf- und Austauschmechanismus für Informationssicherheit in der Automobilindustrie, entwickelt vom Verband der Automobilindustrie (VDA). TISAX basiert auf dem VDA Information Security Assessment (ISA) Fragenkatalog, der auf ISO 27001 aufbaut und um branchenspezifische Anforderungen erweitert wurde — insbesondere Prototypenschutz und Datenschutz.
Warum TISAX?
Die großen Automobilhersteller (OEMs) verlangen von ihren Zulieferern einen TISAX-Nachweis. Ohne TISAX-Label kein Zugang zu Projekten mit vertraulichen Konstruktionsdaten, Prototypen oder personenbezogenen Daten. TISAX vermeidet dabei Mehrfachaudits: Ein Assessment wird einmal durchgeführt und das Ergebnis über die TISAX-Plattform (ENX Portal) mit allen anfragenden Partnern geteilt. Das spart Zulieferern erheblichen Aufwand, da sie nicht für jeden OEM ein separates Audit durchlaufen müssen.
Assessment-Level und Prüfziele
| Assessment-Level | Prüfmethode | Typische Anforderung |
|---|---|---|
| AL 1 | Selbstauskunft | Selten akzeptiert |
| AL 2 | Plausibilitätsprüfung (remote oder vor Ort) | Standard für die meisten OEM-Anforderungen |
| AL 3 | Umfassende Vor-Ort-Prüfung | Prototypenschutz, besonders sensible Daten |
Neben dem Assessment-Level definiert TISAX verschiedene Prüfziele: Informationssicherheit (Standard), Prototypenschutz (physisch und digital), Datenschutz nach DSGVO und Anbindung Dritter. Die meisten Zulieferer benötigen mindestens das Prüfziel Informationssicherheit auf AL 2. Unternehmen, die mit physischen Prototypen arbeiten oder Zugang zu Konstruktionsdaten haben, benötigen zusätzlich den Prototypenschutz auf AL 3.
Der VDA ISA Fragenkatalog
Der VDA ISA bildet die inhaltliche Grundlage des TISAX-Assessments. Er orientiert sich an ISO 27001 und ISO 27002, enthält aber zusätzliche branchenspezifische Anforderungen. Die Fragen sind in Reifegrade unterteilt — von 0 (nicht umgesetzt) bis 5 (optimiert). Für ein erfolgreiches Assessment muss in jedem Bereich mindestens Reifegrad 3 (etabliert) erreicht werden. In der Praxis sind besonders die Bereiche Zugangssteuerung, Kryptografie, physische Sicherheit und Lieferantenmanagement häufige Stolpersteine.
Der Weg zum TISAX-Label
Der typische Ablauf beginnt mit einer Registrierung auf dem ENX Portal, gefolgt von einer internen Vorbereitung anhand des VDA ISA. Eine Gap-Analyse deckt auf, wo die Organisation die Anforderungen bereits erfüllt und wo Handlungsbedarf besteht. Nach der Umsetzung der erforderlichen Maßnahmen wird ein akkreditierter Prüfdienstleister beauftragt. Das Assessment umfasst je nach Level eine Dokumentenprüfung und eine Vor-Ort-Prüfung. Bei Feststellungen (Findings) gibt es eine Frist zur Nachbesserung. Das TISAX-Label ist drei Jahre gültig.
TISAX und andere Standards
Unternehmen, die bereits nach ISO 27001 zertifiziert sind, haben einen erheblichen Vorsprung bei der TISAX-Vorbereitung, da die Grundstruktur des ISMS übertragbar ist. Die branchenspezifischen Ergänzungen — insbesondere Prototypenschutz — erfordern jedoch zusätzliche Maßnahmen, die über ISO 27001 hinausgehen. Auch BSI IT-Grundschutz liefert eine solide Basis, muss aber um die VDA-spezifischen Anforderungen ergänzt werden.
Relevanz für KMUs
TISAX betrifft nicht nur große Tier-1-Zulieferer, sondern zunehmend auch kleinere Unternehmen in der automobilen Lieferkette. Sobald ein OEM oder Tier-1 den TISAX-Nachweis fordert, wird die Zertifizierung zur geschäftskritischen Voraussetzung. Für mittelständische Zulieferer empfiehlt sich eine frühzeitige Vorbereitung — der Zeitraum von der Gap-Analyse bis zum erfolgreichen Assessment beträgt je nach Reifegrad der bestehenden Sicherheitsmaßnahmen mehrere Monate.