TISAX®-Beratung: Ihr Assessment planbar und ohne Umwege bestehen
GAP-Analyse, ISMS-Aufbau und Assessment-Vorbereitung für Automobilzulieferer.
Dazugehörige Themen:
Ein Zulieferauftrag hängt am TISAX®-Label – und im Vertrag steht eine Frist, die niemand im Haus je mit einer realistischen Aufwandsschätzung hinterlegt hat. Genau an diesem Punkt setzt unsere TISAX®-Beratung an: Wir bringen Ihr Informationssicherheits-Management auf den Stand, den der VDA ISA verlangt, und begleiten Sie bis zum bestandenen TISAX® Assessment.
Wenn TISAX® plötzlich zur Vertragsbedingung wird
Für die meisten IT- und Sicherheitsverantwortlichen beginnt TISAX als eine einzige Zeile in einem Liefervertrag. Ein Automobilhersteller oder Tier-1-Zulieferer verlangt vor der nächsten Auftragsvergabe ein gültiges TISAX-Label – und die Frist ist knapp. Spätestens bei der ersten ehrlichen Bestandsaufnahme zeigt sich: Die eigene IT-Dokumentation, die Berechtigungskonzepte und die Notfallprozesse haben nicht den Reifegrad, den ein TISAX Assessment nachweisbar fordert.
Die Herausforderung ist selten die Technik allein. TISAX prüft ein gelebtes Informationssicherheits-Managementsystem (ISMS) – also Prozesse, Verantwortlichkeiten und Nachweise, nicht nur Firewalls. Wer ohne Struktur startet, verliert Wochen mit Suchen, Nacharbeiten und Missverständnissen über die TISAX Anforderungen.
Unsere Beratung nimmt Ihnen diese Unsicherheit ab. Wir ermitteln in einer GAP-Analyse präzise, wo Sie stehen, priorisieren die Maßnahmen nach Aufwand und Wirkung und führen Sie strukturiert bis zum Assessment. Das Ergebnis: ein planbarer Weg zum Label statt Aktionismus kurz vor dem Audit.
Was ist TISAX®?
TISAX steht für Trusted Information Security Assessment Exchange. Es ist das Prüf- und Austauschverfahren, mit dem Unternehmen der Automobilindustrie ihr Informationssicherheitsniveau einheitlich nachweisen und untereinander teilen. Betrieben wird das Verfahren von der ENX Association im Auftrag des Verbands der deutschen Automobilindustrie (VDA).
Fachlich basiert TISAX auf dem VDA ISA – dem Information Security Assessment-Katalog. Dieser Fragenkatalog ist die verbindliche Prüfgrundlage jedes Assessments und orientiert sich eng an der internationalen Norm ISO/IEC 27001; inhaltlich decken sich rund drei Viertel der Controls. Seit dem 1. April 2024 gilt Version 6 des Katalogs verbindlich für alle neu beauftragten Prüfverfahren. Die ENX hat inzwischen die nachfolgende Katalogversion veröffentlicht, die für Assessments gilt, die ab 2027 beauftragt werden – ein Punkt, den Sie bei der zeitlichen Planung Ihres Projekts berücksichtigen sollten.
Der VDA ISA gliedert seine über 300 Anforderungsfragen in drei Prüfmodule:
- Information Security – das Pflichtmodul für jedes Assessment
- Data protection – relevant, wenn personenbezogene Daten im Auftrag verarbeitet werden
- Prototypenschutz – für Unternehmen, die mit noch nicht veröffentlichten Fahrzeugen, Bauteilen oder Testdaten arbeiten
Das Verfahren kennt drei Assessment Level (AL), die sich am Schutzbedarf orientieren:
Die drei Assessment-Module: Informationssicherheit, Datenschutz, Prototypenschutz
Der VDA ISA Katalog gliedert sich in drei Module. Nicht jedes Unternehmen muss alle drei durchlaufen. Welche Module geprüft werden, hängt davon ab, welche Art von Daten Sie für den OEM verarbeiten.
Das Pflichtmodul für alle TISAX-Teilnehmer. Es umfasst die zentralen Themen eines ISMS, darunter Sicherheitsrichtlinien, Risikomanagement, Zugangs- und Zugriffskontrollen, IT-Sicherheit, Personalmanagement, physische Sicherheit sowie das Lieferantenmanagement. Unternehmen, die bereits ein ISMS nach ISO 27001 eingeführt haben, werden viele der Inhalte und Strukturen wiedererkennen.
Relevant, wenn Sie personenbezogene Daten im Auftrag eines OEM verarbeiten. Das Modul orientiert sich an den Vorgaben der DSGVO und bewertet unter anderem Verzeichnisse von Verarbeitungstätigkeiten, Datenschutz-Folgenabschätzungen sowie den sicheren Umgang mit Datentransfers.
Pflicht für Unternehmen, die mit Fahrzeugprototypen, Versuchsfahrzeugen, Neuentwicklungen von Komponenten und Bauteilen oder streng vertraulichen Entwicklungsdaten arbeiten. Es umfasst physische Sicherheitsmaßnahmen, organisatorische Vorgaben und spezielle Anforderungen für Testfahrzeuge und Veranstaltungen.
Der Nutzen auf einen Blick
Ein TISAX-Label ersetzt für Ihre Automobilkunden eine eigenständige ISO-27001-Zertifizierung als gleichwertigen Nachweis. Statt jeden Auftraggeber einzeln von Ihrem Sicherheitsniveau zu überzeugen, weisen Sie es einmal nach und teilen das Ergebnis kontrolliert. Das spart auf beiden Seiten Aufwand und beseitigt eine wiederkehrende Hürde in der Lieferkette.
Warum TISAX® für Ihr Unternehmen wichtig ist
Objective Klarheit über TISAX wird in der Regel dann zur Pflicht, wenn ein Vertrag mit einem Hersteller oder Zulieferer die Verarbeitung vertraulicher Informationen einschließt – also praktisch immer dann, wenn eine Geheimhaltungsvereinbarung Teil des Liefervertrags ist. Ohne gültiges Label bleibt ein Auftrag oft schlicht unerreichbar. Ein abgelaufenes oder fehlendes Label kann im Extremfall zu einer sofortigen Auftragssperre führen.
Konstruktionsdaten, Simulationsergebnisse, Prototypeninformationen und Kundendaten sind das Kapital eines Zulieferers. Der VDA ISA verlangt genau die Maßnahmen, die dieses Kapital schützen: klare Klassifizierung von Informationen, belastbare Berechtigungskonzepte, geregeltes Incident- und Krisenmanagement sowie – seit Version 6 verstärkt – die Absicherung der Verfügbarkeit von IT- und OT-Systemen gegen Angriffe wie Ransomware.
Ein vorhandenes TISAX-Label signalisiert Auftraggebern, dass Sie Informationssicherheit ernst nehmen und lieferfähig bleiben. In Ausschreibungen ist das häufig ein Ausschlusskriterium – wer es erfüllt, ist überhaupt erst im Rennen. Wer es früh und sauber erfüllt, verschafft sich einen zeitlichen Vorsprung gegenüber Wettbewerbern, die erst unter Fristdruck reagieren.
TISAX steht nicht isoliert. Ein nach VDA ISA aufgebautes ISMS deckt einen erheblichen Teil der Anforderungen aus der NIS2-Richtlinie ab und schafft eine gemeinsame Basis mit ISO 27001. Wer diese Rahmenwerke integriert betrachtet, statt sie getrennt abzuarbeiten, senkt den Gesamtaufwand spürbar. Genau diese Verzahnung von Sicherheits- und Compliance-Anforderungen ist der Kern unserer Arbeit.
Herausforderungen bei der TISAX-Umsetzung
Die Erfahrung aus Projekten zeigt: TISAX scheitert selten am Willen, sondern an unterschätzten Aufwänden an fünf typischen Stellen.
Organisatorische Anforderungen
TISAX verlangt durchgängig Reifegrad 3 – nachweisbar gelebte Prozesse, nicht nur Dokumente in einem Ordner. Das setzt eine benannte Verantwortung für Informationssicherheit, ein funktionierendes Risikomanagement und die aktive Einbindung der Geschäftsführung voraus. Ohne diese Governance-Ebene bleibt jede technische Maßnahme Stückwerk.
Technische Maßnahmen
Ein großer Teil eines TISAX-Projekts entfällt auf IT-technische Nachweise: aktuelle Asset-Register, saubere Berechtigungskonzepte, dokumentierte Patch-Stände, Härtung von Systemen und – seit ISA 6 – die Einbindung relevanter OT-Systeme in den ISMS-Geltungsbereich. Wer diese Grundlagen nicht aktuell dokumentiert hat, stolpert oft schon in der Selbstauskunft.
Documentation
Der Prüfer bewertet, was nachweisbar ist. Richtlinien, Verfahrensanweisungen, Nachweise und Aufzeichnungen müssen konsistent, auffindbar und aktuell sein. Eine lückenhafte oder widersprüchliche Dokumentation ist einer der häufigsten Gründe für Feststellungen im Audit.
Prozesse
Sicherheit muss im Alltag stattfinden: Wie wird ein neuer Mitarbeiter mit Rechten versorgt und beim Austritt wieder entzogen? Wie läuft die Meldung und Behandlung eines Sicherheitsvorfalls? Wie wird die Wirksamkeit des ISMS überprüft? Diese Prozesse müssen definiert, kommuniziert und belegbar gelebt sein.
Mitarbeiterschulung
Selbst das beste ISMS bleibt wirkungslos, wenn die Belegschaft es nicht kennt. TISAX erwartet nachweisbare Sensibilisierung und Schulung – ein Punkt, der intern gern übersehen wird, im Audit aber regelmäßig geprüft wird.
Der Umgang mit dem Geltungsbereich (Scope) kommt als übergreifende Herausforderung hinzu: Wird er zu weit gefasst, explodiert der Aufwand; wird er zu eng gefasst, deckt das Label nicht ab, was der Auftraggeber erwartet. Den Scope richtig zu schneiden, ist eine der ersten und folgenreichsten Entscheidungen im Projekt.
Wie lange dauert eine TISAX-Zertifizierung?
Eine TISAX-Zertifizierung dauert in der Regel 6 bis 18 Monate, von der Registrierung bei der ENX bis zur Label-Vergabe. Der größte Zeitblock ist die Vorbereitung.
Phase
Dauer
Registrierung und Scope-Definition
1-3 Wochen
Vorbereitung und ISMS-Aufbau
3-12 Monate
Assessment
ca. 1 Woche
Follow-Up (nur bei Abweichungen)
bis zu 9 Monate
Unsere Leistungen für Ihr TISAX Assessment
Wir begleiten Sie über den gesamten Weg – von der ersten Standortbestimmung bis über das bestandene Assessment hinaus. Je nach Reifegrad steigen Sie an der Stelle ein, an der Sie Unterstützung brauchen.
GAP-Analyse
Wir gleichen Ihren Ist-Zustand systematisch mit den Anforderungen des VDA ISA ab und liefern Ihnen eine belastbare Lückenliste – inklusive Einschätzung von Aufwand, Priorität und kritischem Pfad. Das schafft die Grundlage für eine realistische Zeit- und Budgetplanung.
ISMS-Einführung
Wir bauen mit Ihnen ein Informationssicherheits-Managementsystem auf, das zum Zuschnitt Ihres Unternehmens passt – schlank genug, um gelebt zu werden, und vollständig genug, um Reifegrad 3 nachzuweisen. Bestehende Ansätze aus ISO 27001 oder NIS2 binden wir dabei ein, statt sie doppelt aufzusetzen.
Dokumentation und Richtlinien
Wir erstellen und strukturieren die notwendigen Richtlinien, Verfahrensanweisungen und Nachweise so, dass sie im Audit bestehen und im Alltag praktikabel bleiben – ohne Dokumentenfriedhof.
Risikomanagement
Wir etablieren einen nachvollziehbaren Prozess zur Identifikation, Bewertung und Behandlung von Informationssicherheitsrisiken, inklusive klarer Zuordnung von Risikoeignern – ein Kernbestandteil, den der VDA ISA ausdrücklich fordert.
Technische Sicherheitsmaßnahmen
Als Systemhaus setzen wir nicht nur Konzepte auf, sondern implementieren sie auch: Härtung, Berechtigungssteuerung, Protokollierung, Backup- und Notfallkonzepte sowie die Absicherung von OT-Umgebungen dort, wo sie im Scope liegen.
Vorbereitung auf das Assessment
Wir führen mit Ihnen die Selbstauskunft durch, prüfen sie kritisch gegen den Katalog und schließen offene Punkte, bevor der Prüfdienstleister kommt. So gibt es im TISAX Audit keine Überraschungen.
Begleitung während des gesamten Projekts:
Wir bleiben über die einzelne Maßnahme hinaus Ihr Ansprechpartner – von der Registrierung bei der ENX über die Auswahl und Koordination des akkreditierten Prüfdienstleisters bis zur Label-Vergabe
Nachbetreuung
Ein TISAX-Label ist gültig, verlangt aber eine jährliche Selbstauskunft an die ENX und ein Folgeassessment nach drei Jahren. Auf Wunsch übernehmen wir die laufende Betreuung Ihres ISMS, damit Sicherheit ein Zustand bleibt und nicht kurz vor Ablauf erneut zum Kraftakt wird.
Ablauf einer TISAX-Beratung – Schritt für Schritt
Häufige Fragen zur TISAX-Beratung (FAQ)
Die TISAX Kosten setzen sich aus mehreren Bausteinen zusammen: der Teilnahmegebühr an die ENX Association, dem Honorar des akkreditierten Prüfdienstleisters für das eigentliche Assessment und – meist der größte Posten – dem internen und externen Aufwand für den Aufbau des ISMS. Die Höhe hängt stark vom Assessment Level, der Zahl der Standorte und dem Reifegrad Ihres bestehenden Sicherheitsmanagements ab. Ein AL-3-Assessment mit Vor-Ort-Prüfung liegt deutlich über einem einfachen AL-2-Verfahren. Seriös lässt sich eine Zahl erst nach der GAP-Analyse nennen – deshalb steht sie bei uns am Anfang.
Als Faustregel sollten Sie je nach Ausgangslage mit drei bis neun Monaten rechnen. Unternehmen mit einem bestehenden, gelebten ISMS oder einer ISO-27001-Basis sind schneller; wer bei null startet, braucht länger. Entscheidend ist weniger die Technik als die Zeit, die gelebte Prozesse zum Einschwingen brauchen – Reifegrad 3 lässt sich nicht über Nacht herstellen.
Beide prüfen dieselben Controls des VDA ISA, unterscheiden sich aber in der Prüftiefe. AL 2 wird überwiegend remote durchgeführt und beruht stärker auf einer Plausibilitätsprüfung der Nachweise. AL 3 umfasst ein Vor-Ort-Audit mit Systemprüfung und Stichproben und wird für sehr hohen Schutzbedarf verlangt – etwa bei besonders sensiblen Konstruktions- oder Prototypendaten. Welches Level Sie benötigen, gibt in der Regel Ihr Auftraggeber vor.
Eine ISO-27001-Zertifizierung ist eine hervorragende Basis, ersetzt TISAX aber nicht automatisch. Rund drei Viertel der Controls überschneiden sich, sodass ein integrierter Ansatz 30 bis 50 Prozent des Aufwands gegenüber einer getrennten Umsetzung sparen kann. Es bleiben jedoch automobilspezifische Anforderungen – etwa zum Prototypenschutz –, die ISO 27001 nicht abdeckt und die im TISAX Assessment eigens nachzuweisen sind.
Der VDA ISA bewertet jede Anforderung auf einer Reifegradskala. Für ein TISAX-Label ist durchgängig Reifegrad 3 erforderlich – das bedeutet: Der Prozess ist definiert, dokumentiert und wird nachweisbar gelebt. Eine Richtlinie, die zwar existiert, aber im Alltag niemand anwendet, erreicht diesen Reifegrad nicht. Genau hier trennt sich im Audit die Vorbereitung von der Formalität.
Der VDA ISA ist der Fragen- und Prüfkatalog, der jedem TISAX Assessment zugrunde liegt. Verbindlich ist seit dem 1. April 2024 die Version 6. Inzwischen ist die nachfolgende Katalogversion veröffentlicht, die für Assessments gilt, die ab 2027 beauftragt werden. Bei laufenden oder kurzfristig geplanten Projekten sollten Sie diesen Übergang in die Terminplanung einbeziehen; wir behalten den aktuellen Stand für Sie im Blick.
Ein TISAX-Label ist drei Jahre gültig. Danach ist ein Folgeassessment erforderlich. Zusätzlich verlangt die ENX Association eine jährliche Selbstauskunft. Auftraggeber können jederzeit über das ENX-Portal prüfen, ob ein Label aktiv ist – ein abgelaufenes Label bedeutet in der Praxis ein Risiko für die Auftragsbeziehung.
Formal vergibt TISAX kein Zertifikat, sondern Labels. Das erfolgreiche Assessment wird im ENX-Portal hinterlegt, und Sie entscheiden, welche Partner die Ergebnisse einsehen dürfen. Für die Praxis ist der Effekt derselbe wie bei einer Zertifizierung: Ihr Auftraggeber erhält den geforderten Nachweis, dass Ihr Standort die TISAX Anforderungen erfüllt.
TISAX ist kein reines IT-Projekt. Neben der IT-Leitung braucht es die Geschäftsführung für die Governance-Ebene, das Qualitäts- oder Sicherheitsmanagement für Prozesse und Dokumentation sowie Fachbereiche, in denen schützenswerte Informationen verarbeitet werden. Erfolgreiche Projekte haben in der Regel eine benannte, verantwortliche Person, die das Vorhaben intern koordiniert.
Feststellungen sind nicht das Ende, sondern Teil des Verfahrens. Werden Abweichungen festgestellt, dokumentiert der Prüfer sie in einem Maßnahmenplan, den Sie innerhalb einer definierten Frist abarbeiten. Erst danach wird das Label vergeben. Eine gründliche Vorbereitung – insbesondere ein ehrlicher interner Probelauf – reduziert die Zahl solcher Feststellungen deutlich.
Grundsätzlich ja – mit ausreichend eigenem Know-how und freien Kapazitäten. In der Praxis fehlt beides oft, wenn TISAX unter Fristdruck auf ein ohnehin ausgelastetes Team trifft. Eine Beratung lohnt sich vor allem dann, wenn Sie zum ersten Mal ein Assessment durchlaufen, wenn die Frist knapp ist oder wenn Sie Beratung und technische Umsetzung aus einer Hand wünschen.
Ein nach VDA ISA aufgebautes ISMS deckt einen erheblichen Teil der NIS2-Anforderungen ab, weil beide Rahmenwerke vergleichbare Grundlagen fordern: Asset-Management, Berechtigungskonzepte, Incident-Prozesse und eine dokumentierte Risikobetrachtung. Eine vollständige Deckungsgleichheit besteht jedoch nicht. Wer beide Themen im Blick hat, sollte sie gemeinsam planen – wir betrachten TISAX und NIS2 in unseren Projekten grundsätzlich zusammen.
Sprechen Sie mit uns über Ihr TISAX-Projekt
TISAX wird selten einfacher, indem man es aufschiebt. Wenn in Ihrem Liefervertrag bereits eine Frist steht oder Sie absehen, dass ein Auftraggeber ein Label verlangen wird, ist der beste Zeitpunkt für eine erste Einordnung jetzt.
In einem unverbindlichen Beratungsgespräch klären wir gemeinsam, welches Label Sie benötigen, wie realistisch Ihre Frist ist und wo Ihre größten Lücken liegen. Sie erhalten eine ehrliche Ersteinschätzung – ohne Verpflichtung und ohne Verkaufsdruck.
Als IT-Beratung mit Schwerpunkt Informationssicherheit verbinden wir beratende und technische Kompetenz.
Vereinbaren Sie jetzt Ihr unverbindliches Erstgespräch zur TISAX-Beratung.
Unser TISAX-Spezialist Ralph Dörfler verfügt selbst über jahrelange Erfahrung als TISAX Auditor und begleitet Sie von der GAP-Analyse bis zum bestandenen Assessment – und darüber hinaus.
RALPH DÖRFLER
Head of IT Security

