TISAX Zertifizierung Anforderungen

Schneller, besser, hochtechnisiert: Die Automobilbranche boomt. Um die hohen Standards im gesamten Planungs- und Herstellungsprozess gewährleisten zu können, arbeiten die Auftraggeber eng mit ihren Lieferanten zusammen und beziehen diese häufig sogar in die Produktentwicklung mit ein. Zu diesem Zweck geben sie hochsensible Informationen weiter, deren Verlust oder Missbrauch kaum absehbare wirtschaftliche und finanzielle Folgen hätte.

Aus diesem Grund hat der Verband der Automobilindustrie (VDA) mit TISAX® einen Standard für Informations- und Cybersicherheit geschaffen, der speziell an die Anforderungen der Automobilbranche angepasst ist. Wir schauen uns an, was TISAX von der ISO27001 unterscheidet und welche Anforderungen Unternehmen erfüllen müssen, um die TISAX-Zertifizierung zu erhalten.

Inhalte (verbergen)

TISAX-Zertifizierung für Automobilindustrie

Natürlich haben Hersteller von ihren Zulieferern und anderen beteiligten Dienstleistern schon vor TISAX regelmäßig den Nachweis darüber verlangt, dass die ihnen zur Verfügung gestellten Informationen durch ein geeignetes ISMS (Information Security Management System) geschützt werden. Entsprechende Prüfungen wurden schon damals auf der Grundlage des Anforderungskataloges Information Security Assessment (ISA) durchgeführt, den der VDA in Zusammenarbeit mit der ENX Association (Kontakt: https://portal.enx.com/de-DE/) entwickelt hat.

Das Problem: Der Hersteller musste jeden Dienstleister einzeln überprüfen. Und die Lieferanten mussten jedem Auftraggeber die Prüfung gestatten, wenn sie weiterhin Aufträge erhalten wollten. Was fehlte, waren ein standardisierter Prozess sowie ein transparenter und unternehmensübergreifender Austausch der Prüfungsergebnisse.

Branchenstandard für Informations- und Cybersicherheit

Beides wurde Anfang 2017 mit TISAX, dem Trusted Information Security Assessment Exchange, etabliert. Die ENX Association agiert in diesem System als Governance-Organisation. Seither verlangen viele Automobilhersteller und Zulieferer der deutschen Automobilindustrie von ihren Geschäftspartnern eine bestehende TISAX-Zertifizierung.

Achtung! Ausländische Zulieferer können sich derzeit zwar nach TISAX® zertifizieren lassen, aber die TISAX-Zertifizierung ist keine ISO-Norm mit internationaler und branchenübergreifender Anerkennung. Die Einführung von TISAX für Erstausrüster in den USA steht noch aus.

TISAX® – Prüf- und Austauschmechanismus

TISAX bietet der Automobilbranche deutlich mehr als “nur” Maßnahmenempfehlungen bezüglich Informationssicherheit. Registrierte Teilnehmer können über eine eigens entwickelte Online-Plattform (TISAX Exchange) Prüfungsergebnisse austauschen und der definierte Standard sorgt für eine gemeinsame Anerkennung dieser Ergebnisse zwischen allen Teilnehmern.

Indem Sie Ihre Ergebnisse auf der Plattform freischalten, teilen Sie nicht nur Ihren direkten Geschäftspartnern, sondern sämtlichen teilnehmenden Unternehmen mit, dass ihre Informationssicherheit TISAX®-konform ist.

TISAX vs. ISO 27001

Der Anforderungskatalog für die TISAX-Zertifizierung (VDA ISA) ist von der internationalen Industrie-Norm ISO 27001 abgeleitet. Der VDA und die ENX Association haben die Anforderungen jedoch um zusätzliche Bereiche erweitert, die speziell für die Automobilbranche wichtig sind. Diese Bereiche umfassen u.a. die Einbindung von Partnern in die eigene IT-Infrastruktur, Datenschutz und Prototypenschutz. Weitere Unterschiede bestehen hinsichtlich des definierten Geltungsbereichs (Scope), des Prüfprozesses und der Qualifizierung der empfohlenen Maßnahmen.

TISAX Zertifizierung Anforderungen

TISAX vs. ISO 27001 – Geltungsbereich

Der Geltungsbereich, auch Scope genannt, legt fest, welche Bereiche eines Unternehmens im Zuge der Zertifizierung überprüft werden. Während Unternehmen diesen Scope bei der Zertifizierung gemäß ISO 27001 weitgehend selbst bestimmen können, gibt die ENX Association einen Standard-Scope vor.

Dieser gilt als Grundlage für eine TISAX®-Prüfung und wird von allen Teilnehmern akzeptiert. Unter bestimmten Umständen kann der Umfang der Prüfung angepasst werden (z.B. wenn der Erstausrüster einen erweiterten Geltungsbereich verlangt).

Unternehmen, die sich nach TISAX® zertifizieren lassen möchten, müssen sämtliche Mitarbeiter, die mit sensiblen Informationen aus der jeweiligen Automobilbranche in Berührung kommen, in den Prüf-Scope aufnehmen.

TISAX vs. ISO 27001 – Prüfprozess

Sowohl die TISAX- als auch die ISO-27001-Zertifizierung startet mit einer Selbsteinschätzung. Das beantragende Unternehmen kann zwischen mehreren Levels der Zertifizierung wählen und beide Prüfprozesse beinhalten mehrere Schritte. Der Unterschied liegt darin, dass beim TISAX-Prüfprozess sämtliche Schwachstellen innerhalb des Prüfprozesses behoben werden müssen, damit das Unternehmen das TISAX® Label bzw. Zertifikat erhält.

TISAX vs. ISO 27001 – Maturity Level

Der TISAX®-Prüfkatalog greift auf die in der ISO 27001 festgelegten Maßnahmen (Controls) zurück. Für eine erfolgreiche TISAX-Zertifizierung muss ein Unternehmen in der Umsetzung dieser Maßnahmen sowie den Prozessen dahinter jedoch einen bestimmten “Reifegrad” (Maturity Level) erreichen. Die in TISAX® definierten Reifegrade reichen von 0 (unvollständig) bis 5 (optimierend).

Es gibt keinen Prozess, es wird keinem Prozess gefolgt oder der Prozess ist nicht geeignet das Ziel zu erreichen. Reifegrad 0 ist auch von ISO 27001 abgedeckt. (Quelle: VDA ISA 5.0.3)

Es wird einem nicht oder unvollständig dokumentierten Prozess gefolgt und es existieren Indizien das er sein Ziel erreicht. Reifegrad 1 ist auch von ISO 27001 abgedeckt. (Quelle: VDA ISA 5.0.3)

Es wird einem Prozess gefolgt, der seine Ziele erreicht. Prozessdokumentation und Prozessdurchführungsnachweise sind vorhanden. Reifegrad 2 ist in den meisten Fällen von ISO 27001 abgedeckt. (Quelle: VDA ISA 5.0.3)

Es wird einem Standardprozess gefolgt, der in das Gesamtsystem integriert ist. Abhängigkeiten zu anderen Prozessen sind dokumentiert und geeignete Schnittstellen geschaffen. Es existieren Nachweise, dass der Prozess über einen längeren Zeitraum nachhaltig und aktiv genutzt wurde. Reifegrad 3 ist in den meisten Fällen von ISO 27001 abgedeckt, muss aber im Detail validiert werden. (Quelle: VDA ISA 5.0.3)

Es wird einem etablierten Prozess gefolgt. Die Wirksamkeit des Prozesses wird durch Erheben von Kennzahlen kontinuierlich überwacht. Es sind Grenzwerte definiert, bei denen der Prozess als nicht hinreichend wirksam angesehen wird und angepasst werden muss. (Key Performance Indicators) Reifegrad 4 ist von ISO 27001 nicht abgedeckt. (Quelle: VDA ISA 5.0.3)

Es wird einem vorhersagbaren Prozess gefolgt, bei dem die kontinuierliche Verbesserung wesentliches Ziel ist. Die Verbesserung wird von dedizierten Ressourcen aktiv vorangetrieben. Reifegrad 5 ist von ISO 27001 nicht abgedeckt. (Quelle: VDA ISA 5.0.3)

TISAX® Zertifizierung

Die Zertifizierung nach TISAX wird auf der Grundlage des VDA Information Security Assessment (VDA ISA) durchgeführt. Der VDA ISA wird bereits von 2.500 Unternehmen in 40 Ländern als gemeinsame Prüfungsgrundlage genutzt. Für die Prüfung haben Unternehmen die Wahl zwischen drei verschiedenen Assessment-Levels.

Mit der Durchführung der Prüfung beauftragen Sie einen von der ENX-Association genehmigten unabhängigen Prüfungsdienstleister. Die ENX-Association überwacht die Qualität der Durchführung sowie der Prüfergebnisse und stellt die Einhaltung der Audit Provider Criteria and Assessment Requirements (TISAX ACAR) im Sinne aller Teilnehmer sicher.

TISAX Anforderungen

Um eine TISAX-Zertifizierung zu erhalten, müssen Unternehmen die Anforderungen erfüllen, die im VDA-ISA-Prüfungskatalog festgelegt sind. Dieser besteht aus vier Modulen: (1) Informationssicherheit, (2) Anbindung Dritter, (3) Datenschutz und (4) Prototypenschutz. Informationssicherheit ist das Hauptmodul, das bei jedem Assessment geprüft wird.

Die Überprüfung dieses Moduls erfolgt entlang der Anforderungen aus ISO 27001 / ISO 27002 und ISO 27017 (Anforderungen an Sicherheit in der Cloud). Der TISAX-Fragenkatalog referenziert auch direkt auf die ISO-Norm. Die drei Sondermodule werden je nach Bedarf und ausgewähltem Level (2 und 3) geprüft.

Die Umsetzung der Anforderungen und die Prozesse dahinter werden nach einem Reifegradmodell bewertet, wobei 3 als Ziel-Reifegrad gilt. Ein überdurchschnittlicher Reifegrad in einem Bereich gleicht ein unterdurchschnittliches Ergebnis in einem anderen Bereich nicht aus.

TISAX Fragenkatalog

Der aktuelle VDA-ISA-Anforderungskatalog (Version 5) gilt seit dem 01.10.2020 für neu beginnende TISAX-Prüfungen. Laufende TISAX-Prüfungen werden noch auf der Grundlage der Version 4.1.1. durchgeführt (gültig bis zum 31.03.2021).

TISAX-Zertifizierung – Ablauf

  • Registrierung: Unternehmen registriert sich für TISAX und gibt eine Selbsteinschätzung auf Basis des VDA-ISA-Fragenkataloges inkl. angestrebten Zertifikat-Levels ab.

  • TISAX-Prüfer wählen: Unternehmen wählt einen unabhängigen Prüfdienstleister aus.

  • Plausibilitäts- bzw. Erstprüfung: Dienstleister überprüft die Vollständigkeit der Selbstbewertung und der entsprechenden Nachweise.

  • Optimierung: Das Unternehmen beseitigt jene Schwachstellen, die sich im Zuge der Erstprüfung gezeigt haben.

  • Assessment: Unternehmen unterzieht sich dem TISAX-Assessment (Level 2: remote, Level 3: vor Ort).

  • Optimierung: Das Unternehmen beseitigt jene Schwachstellen, die sich im Zuge des TISAX-Assessments gezeigt haben.

  • Nachprüfung: Unternehmen muss beweisen, dass sämtliche im Zuge des Assessment festgestellten Schwachstellen beseitigt wurden.

  • Exchange: Unternehmen veröffentlicht Prüfergebnisse über TISAX Exchange (freiwillig).


Der Prüfdienstleister reicht das Ergebnis der letzten Überprüfung bei der ENX Association ein. Sofern noch geringe Abweichungen von den Kriterien bestehen (sog. Nebenabweichungen), erhält das Unternehmen nur ein vorläufiges TISAX®-Label. Dieses ist zwar (zeitlich begrenzt) gültig, aber die dauerhafte Zertifizierung erfolgt erst, wenn die Abweichungen behoben wurden. Bei Hauptabweichungen wird die TISAX-Zertifizierung erst an dem Tag gültig, an dem die Abweichung nachweisbar behoben ist.

TISAX-Zertifizierung – Level

Welches Assessment-Level Ihr Unternehmen benötigt, hängt davon ab, welcher Schutzbedarf in Ihrem spezifischen Umfeld besteht (normal, hoch oder sehr hoch). Welchem Assessment-Level Sie Ihre Prozesse unterziehen möchten, entscheiden Sie grundsätzlich selbst. Viele Hersteller setzen für die Zusammenarbeit mit Zulieferern allerdings eine Zertifizierung auf einem bestimmten Level voraus

TISAX-Level 1 ist für Unternehmen mit normalen Schutzanforderungen gedacht. Der Auditee führt das Assessment in Form einer Selbstbewertung auf der Grundlage des VDA-ISA-Fragenkatalogs durch. Diese Selbsteinschätzung wird jedoch nicht überprüft und gilt nicht als TISAX-Zertifizierung.

TISAX-Level 2 ist für Unternehmen mit hohen Schutzanforderungen gedacht. Der Auditee führt eine vollständige Selbstbewertung auf der Grundlage des VDA-ISA durch. Der Audit-Provider überprüft (nach einem Eröffnungsgespräch) die Plausibilität dieser Selbsteinschätzung und die Vollständigkeit sämtlicher Nachweise. Das Level-2-Assessment selbst erfolgt in Form eines Telefoninterviews. Sind der Prototypenschutz und/oder die Einbindung Dritter ebenfalls Gegenstand der Prüfung, findet diese vor Ort statt.

TISAX-Level 3  ist für Unternehmen mit sehr hohen Schutzanforderungen gedacht. Der Ablauf ist identisch mit dem Level-2-Assessment (Selbsteinschätzung, Plausibilitäts- und Vollständigkeitsprüfung durch den Auditor), nur dass die Überprüfung grundsätzlich vor Ort stattfindet. Die Wirksamkeit und der Reifegrad des ISMS wird mithilfe von Interviews vor Ort sowie der Begehung kritischer Bereiche und Räumlichkeiten verifiziert.

TISAX-Zertifizierung – Dauer

Von der Erstprüfung (erfolgt nach der Selbsteinschätzung) bis zum TISAX-konformen Prüfergebnis dürfen nicht mehr als neun Monate vergehen. Sämtliche Abweichungen und Schwachstellen, die während des Prüfprozesses identifiziert werden, müssen innerhalb dieser Zeit vom Unternehmen behoben werden. Wurden alle erforderlichen VDA-ISA-Anforderungen erfüllt, erhält das Unternehmen die TISAX®-Zertifizierung. Diese ist drei Jahre lang gültig und es finden keine jährlichen Überwachungsaudits statt.

Was kostet die TISAX-Zertifizierung?

Mit welchen Kosten ein Unternehmen für die Zertifikation nach TISAX® rechnen muss, ist von Fall zu Fall unterschiedlich. Fixkosten, die für jedes Unternehmen anfallen, sind u.a. die Kosten für den Prüfungsdienstleister und für die Durchführung der Prüfung bzw. Prüfungen (falls eine Nachprüfung erforderlich ist). Viele Unternehmen investieren bereits im Vorfeld in den Auf- bzw. Ausbau ihres ISMS (Information Security Management System). In der Regel fallen auch für die Optimierungen unter dem laufenden Prüfprozess Kosten an.

TISAX Zertifizierung Anforderungen

Wie die TISAX-Zertifizierung Kosten senkt

Trotz der Investitionen, die für die Zertifizierung nach TISAX® erforderlich sind, hat die Standardisierung der Anforderungen dafür gesorgt, dass die Kosten sich in einem gut kalkulierbaren Rahmen bewegen. Während ein Unternehmen sich vor der Einführung des Branchenstandards in der Regel mehreren Überprüfungen durch mehrere Auftraggeber unterziehen und den abweichenden Anforderungen entsprechende Investitionen tätigen musste, ist heute nur noch eine einzige Zertifizierung notwendig.

Die Kosten für die Erneuerung des Zertifikats nach drei Jahren sind in der Regel nicht mehr so hoch, weil zu diesem Zeitpunkt bereits ein entsprechendes ISMS implementiert ist und allenfalls noch Optimierungen vorgenommen werden müssen.

Auf TISAX-Zertifizierung vorbereiten

Zur Vorbereitung auf die TISAX-Zertifizierung sollten Unternehmen sich zunächst auf den Bereich Informationssicherheit konzentrieren, da sie das Hauptmodul beim TISAX-Assessment ist. Die international anerkannte Norm für Informationssicherheit ist die ISO 27001. Die ISO 27001 fordert von Unternehmen die Schaffung eines ISMS (Information Security Management System). Das bedeutet, dass IT-Sicherheit geplant, implementiert, überwacht, geprüft und laufend verbessert werden muss. Die Verantwortung dafür, Ziele zu setzen und deren Erreichung im Rahmen interner Audits regelmäßig zu überprüfen, trägt das Management.

Prozesse standardisieren

Je mehr in einem Unternehmen mit “händischen” Prozessen gearbeitet wird, und je größer die Menge an verwendeten Systemen und Anwendungen ist, desto schwieriger ist es erfahrungsgemäß, die Anforderungen nach TISAX® zu erfüllen. Arbeitet ein Unternehmen aber bereits mit standardisierten Prozessen und effektiven Kontrollsystemen, reduziert sich der Aufwand für die Vorbereitung erheblich.

Eine sinnvolle Investition ist in diesem Zusammenhang die Anschaffung einer Software für Identity-and-Access-Management. Eine IAM-Software deckt viele der ISO-27001-Anforderungen zur Informationssicherheit ab, welche auch in der TISAX-Zertifizierung verlangt werden. Weitere Informationen hierzu finden Sie im Artikel TISAX-Vorbereitung: Prozesse standardisieren mit tenfold.

[GRATIS WHITEPAPER] Best Practices im Berechtigungsmanagement in Microsoft® Umgebungen

Wie man mit Berechtigungen in Microsoft® Umgebungen am besten umgeht, lesen Sie in unserem Whitepaper.

Zum Download

[GRATIS WHITEPAPER] Best Practices im Berechtigungsmanagement in Microsoft® Umgebungen

Wie man mit Berechtigungen in Microsoft® Umgebungen am besten umgeht, lesen Sie in unserem Whitepaper.

Zum Download

TISAX-Vorbereitung mit dem VDA

Der VDA hat auf seiner Website eine Reihe von Leitfäden und Whitepapers zusammengestellt, mit deren Hilfe Unternehmen sich auf die Zertifizierung nach TISAX® vorbereiten und ihre Prozesse und Maßnahmen schon im Vorfeld auf etwaige Schwachstellen hin überprüfen können: