Skip to content

TISAX®-Beratung: Ihr Assessment planbar und ohne Umwege bestehen

GAP-Analyse, ISMS-Aufbau und Assessment-Vorbereitung für Automobilzulieferer.

Ein Zulieferauftrag hängt am TISAX®-Label – und im Vertrag steht eine Frist, die niemand im Haus je mit einer realistischen Aufwandsschätzung hinterlegt hat. Genau an diesem Punkt setzt unsere TISAX®-Beratung an: Wir bringen Ihr Informationssicherheits-Management auf den Stand, den der VDA ISA verlangt, und begleiten Sie bis zum bestandenen TISAX® Assessment.

Wenn TISAX® plötzlich zur Vertragsbedingung wird

Für die meisten IT- und Sicherheitsverantwortlichen beginnt TISAX als eine einzige Zeile in einem Liefervertrag. Ein Automobilhersteller oder Tier-1-Zulieferer verlangt vor der nächsten Auftragsvergabe ein gültiges TISAX-Label – und die Frist ist knapp. Spätestens bei der ersten ehrlichen Bestandsaufnahme zeigt sich: Die eigene IT-Dokumentation, die Berechtigungskonzepte und die Notfallprozesse haben nicht den Reifegrad, den ein TISAX Assessment nachweisbar fordert.

Die Herausforderung ist selten die Technik allein. TISAX prüft ein gelebtes Informationssicherheits-Managementsystem (ISMS) – also Prozesse, Verantwortlichkeiten und Nachweise, nicht nur Firewalls. Wer ohne Struktur startet, verliert Wochen mit Suchen, Nacharbeiten und Missverständnissen über die TISAX Anforderungen.

Unsere Beratung nimmt Ihnen diese Unsicherheit ab. Wir ermitteln in einer GAP-Analyse präzise, wo Sie stehen, priorisieren die Maßnahmen nach Aufwand und Wirkung und führen Sie strukturiert bis zum Assessment. Das Ergebnis: ein planbarer Weg zum Label statt Aktionismus kurz vor dem Audit.

Was ist TISAX®?

TISAX steht für Trusted Information Security Assessment Exchange. Es ist das Prüf- und Austauschverfahren, mit dem Unternehmen der Automobilindustrie ihr Informationssicherheitsniveau einheitlich nachweisen und untereinander teilen. Betrieben wird das Verfahren von der ENX Association im Auftrag des Verbands der deutschen Automobilindustrie (VDA).

Fachlich basiert TISAX auf dem VDA ISA – dem Information Security Assessment-Katalog. Dieser Fragenkatalog ist die verbindliche Prüfgrundlage jedes Assessments und orientiert sich eng an der internationalen Norm ISO/IEC 27001; inhaltlich decken sich rund drei Viertel der Controls. Seit dem 1. April 2024 gilt Version 6 des Katalogs verbindlich für alle neu beauftragten Prüfverfahren. Die ENX hat inzwischen die nachfolgende Katalogversion veröffentlicht, die für Assessments gilt, die ab 2027 beauftragt werden – ein Punkt, den Sie bei der zeitlichen Planung Ihres Projekts berücksichtigen sollten.

Der VDA ISA gliedert seine über 300 Anforderungsfragen in drei Prüfmodule:

  • Information Security – das Pflichtmodul für jedes Assessment
  • Data protection – relevant, wenn personenbezogene Daten im Auftrag verarbeitet werden
  • Prototypenschutz – für Unternehmen, die mit noch nicht veröffentlichten Fahrzeugen, Bauteilen oder Testdaten arbeiten

Das Verfahren kennt drei Assessment Level (AL), die sich am Schutzbedarf orientieren:

Die drei Assessment-Module: Informationssicherheit, Datenschutz, Prototypenschutz

Der VDA ISA Katalog gliedert sich in drei Module. Nicht jedes Unternehmen muss alle drei durchlaufen. Welche Module geprüft werden, hängt davon ab, welche Art von Daten Sie für den OEM verarbeiten.

Das Pflichtmodul für alle TISAX-Teilnehmer. Es umfasst die zentralen Themen eines ISMS, darunter Sicherheitsrichtlinien, Risikomanagement, Zugangs- und Zugriffskontrollen, IT-Sicherheit, Personalmanagement, physische Sicherheit sowie das Lieferantenmanagement. Unternehmen, die bereits ein ISMS nach ISO 27001 eingeführt haben, werden viele der Inhalte und Strukturen wiedererkennen.

Relevant, wenn Sie personenbezogene Daten im Auftrag eines OEM verarbeiten. Das Modul orientiert sich an den Vorgaben der DSGVO und bewertet unter anderem Verzeichnisse von Verarbeitungstätigkeiten, Datenschutz-Folgenabschätzungen sowie den sicheren Umgang mit Datentransfers.

Pflicht für Unternehmen, die mit Fahrzeugprototypen, Versuchsfahrzeugen, Neuentwicklungen von Komponenten und Bauteilen oder streng vertraulichen Entwicklungsdaten arbeiten. Es umfasst physische Sicherheitsmaßnahmen, organisatorische Vorgaben und spezielle Anforderungen für Testfahrzeuge und Veranstaltungen.

Der Nutzen auf einen Blick

Ein TISAX-Label ersetzt für Ihre Automobilkunden eine eigenständige ISO-27001-Zertifizierung als gleichwertigen Nachweis. Statt jeden Auftraggeber einzeln von Ihrem Sicherheitsniveau zu überzeugen, weisen Sie es einmal nach und teilen das Ergebnis kontrolliert. Das spart auf beiden Seiten Aufwand und beseitigt eine wiederkehrende Hürde in der Lieferkette.

Warum TISAX® für Ihr Unternehmen wichtig ist

Es ist die Eintrittskarte in die automobile Lieferkette

Objective Klarheit über TISAX wird in der Regel dann zur Pflicht, wenn ein Vertrag mit einem Hersteller oder Zulieferer die Verarbeitung vertraulicher Informationen einschließt – also praktisch immer dann, wenn eine Geheimhaltungsvereinbarung Teil des Liefervertrags ist. Ohne gültiges Label bleibt ein Auftrag oft schlicht unerreichbar. Ein abgelaufenes oder fehlendes Label kann im Extremfall zu einer sofortigen Auftragssperre führen.

Es schützt, was Ihr Geschäft ausmacht

Konstruktionsdaten, Simulationsergebnisse, Prototypeninformationen und Kundendaten sind das Kapital eines Zulieferers. Der VDA ISA verlangt genau die Maßnahmen, die dieses Kapital schützen: klare Klassifizierung von Informationen, belastbare Berechtigungskonzepte, geregeltes Incident- und Krisenmanagement sowie – seit Version 6 verstärkt – die Absicherung der Verfügbarkeit von IT- und OT-Systemen gegen Angriffe wie Ransomware.

Es ist ein Wettbewerbsvorteil

Ein vorhandenes TISAX-Label signalisiert Auftraggebern, dass Sie Informationssicherheit ernst nehmen und liefer­fähig bleiben. In Ausschreibungen ist das häufig ein Ausschlusskriterium – wer es erfüllt, ist überhaupt erst im Rennen. Wer es früh und sauber erfüllt, verschafft sich einen zeitlichen Vorsprung gegenüber Wettbewerbern, die erst unter Fristdruck reagieren.

Es zahlt auf Ihre gesamte Compliance ein

TISAX steht nicht isoliert. Ein nach VDA ISA aufgebautes ISMS deckt einen erheblichen Teil der Anforderungen aus der NIS2-Richtlinie ab und schafft eine gemeinsame Basis mit ISO 27001. Wer diese Rahmenwerke integriert betrachtet, statt sie getrennt abzuarbeiten, senkt den Gesamtaufwand spürbar. Genau diese Verzahnung von Sicherheits- und Compliance-Anforderungen ist der Kern unserer Arbeit.

Herausforderungen bei der TISAX-Umsetzung

Die Erfahrung aus Projekten zeigt: TISAX scheitert selten am Willen, sondern an unterschätzten Aufwänden an fünf typischen Stellen.

Organisatorische Anforderungen

TISAX verlangt durchgängig Reifegrad 3 – nachweisbar gelebte Prozesse, nicht nur Dokumente in einem Ordner. Das setzt eine benannte Verantwortung für Informationssicherheit, ein funktionierendes Risikomanagement und die aktive Einbindung der Geschäftsführung voraus. Ohne diese Governance-Ebene bleibt jede technische Maßnahme Stückwerk.

Technische Maßnahmen

Ein großer Teil eines TISAX-Projekts entfällt auf IT-technische Nachweise: aktuelle Asset-Register, saubere Berechtigungskonzepte, dokumentierte Patch-Stände, Härtung von Systemen und – seit ISA 6 – die Einbindung relevanter OT-Systeme in den ISMS-Geltungsbereich. Wer diese Grundlagen nicht aktuell dokumentiert hat, stolpert oft schon in der Selbstauskunft.

Documentation

Der Prüfer bewertet, was nachweisbar ist. Richtlinien, Verfahrensanweisungen, Nachweise und Aufzeichnungen müssen konsistent, auffindbar und aktuell sein. Eine lückenhafte oder widersprüchliche Dokumentation ist einer der häufigsten Gründe für Feststellungen im Audit.

Prozesse

Sicherheit muss im Alltag stattfinden: Wie wird ein neuer Mitarbeiter mit Rechten versorgt und beim Austritt wieder entzogen? Wie läuft die Meldung und Behandlung eines Sicherheitsvorfalls? Wie wird die Wirksamkeit des ISMS überprüft? Diese Prozesse müssen definiert, kommuniziert und belegbar gelebt sein.

Mitarbeiterschulung

Selbst das beste ISMS bleibt wirkungslos, wenn die Belegschaft es nicht kennt. TISAX erwartet nachweisbare Sensibilisierung und Schulung – ein Punkt, der intern gern übersehen wird, im Audit aber regelmäßig geprüft wird.

Der Umgang mit dem Geltungsbereich (Scope) kommt als übergreifende Herausforderung hinzu: Wird er zu weit gefasst, explodiert der Aufwand; wird er zu eng gefasst, deckt das Label nicht ab, was der Auftraggeber erwartet. Den Scope richtig zu schneiden, ist eine der ersten und folgenreichsten Entscheidungen im Projekt.

Wie lange dauert eine TISAX-Zertifizierung?

Eine TISAX-Zertifizierung dauert in der Regel 6 bis 18 Monate, von der Registrierung bei der ENX bis zur Label-Vergabe. Der größte Zeitblock ist die Vorbereitung.

Phase

Dauer

Registrierung und Scope-Definition

1-3 Wochen

Vorbereitung und ISMS-Aufbau

3-12 Monate

Assessment

ca. 1 Woche

Follow-Up (nur bei Abweichungen)

bis zu 9 Monate

Die Vorbereitungszeit lässt sich verkürzen. Statt 9 bis 12 Monate mit einem klassischen Beratungsprojekt können viele KMUs mit einem bestehenden ISMS mit 3 bis 6 Monaten rechnen, weil Workflows, Vorlagen und VDA-ISA-Mappings bereits integriert sind.
Unternehmen, die bereits ein ISMS nach ISO 27001 betreiben, liegen oft am unteren Ende der Spanne. Die Überschneidung liegt bei bei ca. 80 %. Die verbleibenden Lücken betreffen typischerweise den Prototypenschutz und automotive-spezifische Anforderungen an Lieferantenmanagement.
Das Label ist drei Jahre gültig. Danach ist ein Re-Assessment erforderlich. Anders als bei ISO 27001 gibt es keine jährlichen Überwachungsaudits. 

Unsere Leistungen für Ihr TISAX Assessment

Wir begleiten Sie über den gesamten Weg – von der ersten Standortbestimmung bis über das bestandene Assessment hinaus. Je nach Reifegrad steigen Sie an der Stelle ein, an der Sie Unterstützung brauchen.

GAP-Analyse

Wir gleichen Ihren Ist-Zustand systematisch mit den Anforderungen des VDA ISA ab und liefern Ihnen eine belastbare Lückenliste – inklusive Einschätzung von Aufwand, Priorität und kritischem Pfad. Das schafft die Grundlage für eine realistische Zeit- und Budgetplanung.

ISMS-Einführung

Wir bauen mit Ihnen ein Informationssicherheits-Managementsystem auf, das zum Zuschnitt Ihres Unternehmens passt – schlank genug, um gelebt zu werden, und vollständig genug, um Reifegrad 3 nachzuweisen. Bestehende Ansätze aus ISO 27001 oder NIS2 binden wir dabei ein, statt sie doppelt aufzusetzen.

Dokumentation und Richtlinien

Wir erstellen und strukturieren die notwendigen Richtlinien, Verfahrensanweisungen und Nachweise so, dass sie im Audit bestehen und im Alltag praktikabel bleiben – ohne Dokumentenfriedhof.

Risikomanagement

Wir etablieren einen nachvollziehbaren Prozess zur Identifikation, Bewertung und Behandlung von Informationssicherheitsrisiken, inklusive klarer Zuordnung von Risikoeignern – ein Kernbestandteil, den der VDA ISA ausdrücklich fordert.

Technische Sicherheitsmaßnahmen

Als Systemhaus setzen wir nicht nur Konzepte auf, sondern implementieren sie auch: Härtung, Berechtigungssteuerung, Protokollierung, Backup- und Notfallkonzepte sowie die Absicherung von OT-Umgebungen dort, wo sie im Scope liegen.

Vorbereitung auf das Assessment

Wir führen mit Ihnen die Selbstauskunft durch, prüfen sie kritisch gegen den Katalog und schließen offene Punkte, bevor der Prüfdienstleister kommt. So gibt es im TISAX Audit keine Überraschungen.

Begleitung während des gesamten Projekts:

Wir bleiben über die einzelne Maßnahme hinaus Ihr Ansprechpartner – von der Registrierung bei der ENX über die Auswahl und Koordination des akkreditierten Prüfdienstleisters bis zur Label-Vergabe

Nachbetreuung

Ein TISAX-Label ist gültig, verlangt aber eine jährliche Selbstauskunft an die ENX und ein Folgeassessment nach drei Jahren. Auf Wunsch übernehmen wir die laufende Betreuung Ihres ISMS, damit Sicherheit ein Zustand bleibt und nicht kurz vor Ablauf erneut zum Kraftakt wird.

Ablauf einer TISAX-Beratung – Schritt für Schritt

1
Erstgespräch
Wir klären Ihre Ausgangslage: Welches Label fordert Ihr Auftraggeber, welche Frist steht im Vertrag, welchen Scope müssen wir betrachten? Am Ende steht ein gemeinsames Verständnis von Ziel und Rahmen.
2
Analyse (GAP-Analyse)
Wir erheben Ihren Ist-Zustand und stellen ihn den Anforderungen des VDA ISA gegenüber. Das Ergebnis ist eine priorisierte Lückenliste mit Aufwandseinschätzung.
3
Maßnahmenplanung
Aus der Lückenliste wird ein konkreter Fahrplan mit Verantwortlichkeiten, Terminen und Meilensteinen – abgestimmt auf Ihre internen Ressourcen und die vertragliche Frist.
4
Umsetzung
Wir setzen die organisatorischen und technischen Maßnahmen um – gemeinsam mit Ihrem Team oder in Ihrem Auftrag. Dokumentation, Richtlinien und Prozesse entstehen dabei so, dass sie prüfungsfest und alltagstauglich sind.
5
Vorbereitung
Wir führen die TISAX Vorbereitung im engeren Sinne durch: Self-Assessment ausfüllen, Nachweise zusammenstellen, Prozesse testen und einen internen Probelauf gegen den Katalog durchführen.
6
Assessment
Sie durchlaufen das Assessment bei einem akkreditierten Prüfdienstleister. Wir begleiten die Vorbereitung der Unterlagen, stehen während der Prüfung als Ansprechpartner bereit und unterstützen bei etwaigen Feststellungen im Maßnahmenplan.
7
Kontinuierliche Verbesserung
Nach der Label-Vergabe halten wir Ihr ISMS aktuell: jährliche Selbstauskunft, Anpassung an neue Katalogversionen und Vorbereitung des Folgeassessments. So bleibt Ihr Sicherheitsniveau belastbar.
Einsicht in den aktuellen Katalog beim VDA:

Häufige Fragen zur TISAX-Beratung (FAQ)

Was kostet ein TISAX Assessment?

Die TISAX Kosten setzen sich aus mehreren Bausteinen zusammen: der Teilnahmegebühr an die ENX Association, dem Honorar des akkreditierten Prüfdienstleisters für das eigentliche Assessment und – meist der größte Posten – dem internen und externen Aufwand für den Aufbau des ISMS. Die Höhe hängt stark vom Assessment Level, der Zahl der Standorte und dem Reifegrad Ihres bestehenden Sicherheitsmanagements ab. Ein AL-3-Assessment mit Vor-Ort-Prüfung liegt deutlich über einem einfachen AL-2-Verfahren. Seriös lässt sich eine Zahl erst nach der GAP-Analyse nennen – deshalb steht sie bei uns am Anfang.

Wie lange dauert die TISAX Vorbereitung?

Als Faustregel sollten Sie je nach Ausgangslage mit drei bis neun Monaten rechnen. Unternehmen mit einem bestehenden, gelebten ISMS oder einer ISO-27001-Basis sind schneller; wer bei null startet, braucht länger. Entscheidend ist weniger die Technik als die Zeit, die gelebte Prozesse zum Einschwingen brauchen – Reifegrad 3 lässt sich nicht über Nacht herstellen.

Was ist der Unterschied zwischen den Assessment Leveln AL 2 und AL 3?

Beide prüfen dieselben Controls des VDA ISA, unterscheiden sich aber in der Prüftiefe. AL 2 wird überwiegend remote durchgeführt und beruht stärker auf einer Plausibilitätsprüfung der Nachweise. AL 3 umfasst ein Vor-Ort-Audit mit Systemprüfung und Stichproben und wird für sehr hohen Schutzbedarf verlangt – etwa bei besonders sensiblen Konstruktions- oder Prototypendaten. Welches Level Sie benötigen, gibt in der Regel Ihr Auftraggeber vor.

Brauchen wir TISAX, wenn wir bereits nach ISO 27001 zertifiziert sind?

Eine ISO-27001-Zertifizierung ist eine hervorragende Basis, ersetzt TISAX aber nicht automatisch. Rund drei Viertel der Controls überschneiden sich, sodass ein integrierter Ansatz 30 bis 50 Prozent des Aufwands gegenüber einer getrennten Umsetzung sparen kann. Es bleiben jedoch automobilspezifische Anforderungen – etwa zum Prototypenschutz –, die ISO 27001 nicht abdeckt und die im TISAX Assessment eigens nachzuweisen sind.

Was bedeutet Reifegrad 3 und warum ist er entscheidend?

Der VDA ISA bewertet jede Anforderung auf einer Reifegradskala. Für ein TISAX-Label ist durchgängig Reifegrad 3 erforderlich – das bedeutet: Der Prozess ist definiert, dokumentiert und wird nachweisbar gelebt. Eine Richtlinie, die zwar existiert, aber im Alltag niemand anwendet, erreicht diesen Reifegrad nicht. Genau hier trennt sich im Audit die Vorbereitung von der Formalität.

Was ist der VDA ISA und in welcher Version gilt er?

Der VDA ISA ist der Fragen- und Prüfkatalog, der jedem TISAX Assessment zugrunde liegt. Verbindlich ist seit dem 1. April 2024 die Version 6. Inzwischen ist die nachfolgende Katalogversion veröffentlicht, die für Assessments gilt, die ab 2027 beauftragt werden. Bei laufenden oder kurzfristig geplanten Projekten sollten Sie diesen Übergang in die Terminplanung einbeziehen; wir behalten den aktuellen Stand für Sie im Blick.

Wie lange ist ein TISAX-Label gültig?

Ein TISAX-Label ist drei Jahre gültig. Danach ist ein Folgeassessment erforderlich. Zusätzlich verlangt die ENX Association eine jährliche Selbstauskunft. Auftraggeber können jederzeit über das ENX-Portal prüfen, ob ein Label aktiv ist – ein abgelaufenes Label bedeutet in der Praxis ein Risiko für die Auftragsbeziehung.

Erhalten wir am Ende ein TISAX-Zertifikat?

Formal vergibt TISAX kein Zertifikat, sondern Labels. Das erfolgreiche Assessment wird im ENX-Portal hinterlegt, und Sie entscheiden, welche Partner die Ergebnisse einsehen dürfen. Für die Praxis ist der Effekt derselbe wie bei einer Zertifizierung: Ihr Auftraggeber erhält den geforderten Nachweis, dass Ihr Standort die TISAX Anforderungen erfüllt.

Wer in unserem Unternehmen muss beim Projekt eingebunden sein?

TISAX ist kein reines IT-Projekt. Neben der IT-Leitung braucht es die Geschäftsführung für die Governance-Ebene, das Qualitäts- oder Sicherheitsmanagement für Prozesse und Dokumentation sowie Fachbereiche, in denen schützenswerte Informationen verarbeitet werden. Erfolgreiche Projekte haben in der Regel eine benannte, verantwortliche Person, die das Vorhaben intern koordiniert.

Was passiert, wenn im Assessment Feststellungen auftreten?

Feststellungen sind nicht das Ende, sondern Teil des Verfahrens. Werden Abweichungen festgestellt, dokumentiert der Prüfer sie in einem Maßnahmenplan, den Sie innerhalb einer definierten Frist abarbeiten. Erst danach wird das Label vergeben. Eine gründliche Vorbereitung – insbesondere ein ehrlicher interner Probelauf – reduziert die Zahl solcher Feststellungen deutlich.

Können wir TISAX auch ohne externe Beratung schaffen?

Grundsätzlich ja – mit ausreichend eigenem Know-how und freien Kapazitäten. In der Praxis fehlt beides oft, wenn TISAX unter Fristdruck auf ein ohnehin ausgelastetes Team trifft. Eine Beratung lohnt sich vor allem dann, wenn Sie zum ersten Mal ein Assessment durchlaufen, wenn die Frist knapp ist oder wenn Sie Beratung und technische Umsetzung aus einer Hand wünschen.

Deckt TISAX auch die Anforderungen der NIS2-Richtlinie ab?

Ein nach VDA ISA aufgebautes ISMS deckt einen erheblichen Teil der NIS2-Anforderungen ab, weil beide Rahmenwerke vergleichbare Grundlagen fordern: Asset-Management, Berechtigungskonzepte, Incident-Prozesse und eine dokumentierte Risikobetrachtung. Eine vollständige Deckungsgleichheit besteht jedoch nicht. Wer beide Themen im Blick hat, sollte sie gemeinsam planen – wir betrachten TISAX und NIS2 in unseren Projekten grundsätzlich zusammen.

Sprechen Sie mit uns über Ihr TISAX-Projekt

TISAX wird selten einfacher, indem man es aufschiebt. Wenn in Ihrem Liefervertrag bereits eine Frist steht oder Sie absehen, dass ein Auftraggeber ein Label verlangen wird, ist der beste Zeitpunkt für eine erste Einordnung jetzt.

In einem unverbindlichen Beratungsgespräch klären wir gemeinsam, welches Label Sie benötigen, wie realistisch Ihre Frist ist und wo Ihre größten Lücken liegen. Sie erhalten eine ehrliche Ersteinschätzung – ohne Verpflichtung und ohne Verkaufsdruck.

Als IT-Beratung mit Schwerpunkt Informationssicherheit verbinden wir beratende und technische Kompetenz. 

Vereinbaren Sie jetzt Ihr unverbindliches Erstgespräch zur TISAX-Beratung.

Unser TISAX-Spezialist Ralph Dörfler verfügt selbst über jahrelange Erfahrung als TISAX Auditor und begleitet Sie von der GAP-Analyse bis zum bestandenen Assessment – und darüber hinaus.

RALPH DÖRFLER

Head of IT Security