TISAX Anforderungen nach VDA ISA Katalog
TISAX steht für Trusted Information Security Assessment Exchange. Das ist ein Prüfverfahren, das die Automobilindustrie nutzt, um die Informationssicherheit bei Zulieferern und Dienstleistern zu bewerten. Es basiert auf dem VDA ISA Katalog (Information Security Assessment), den der Verband der Automobilindustrie zusammen mit dem BSI entwickelt hat.
Wer als Zulieferer mit OEMs wie BMW, Mercedes-Benz, Volkswagen oder Audi zusammenarbeitet, braucht ein TISAX-Label. Ohne Label kein Zugang zu vertraulichen Entwicklungsdaten, kein Prototypen-Auftrag, oft kein Vertrag. Die Anforderungen sind konkret formuliert. Der VDA ISA Katalog definiert für jedes Assessment Level spezifische Controls.
Dieser Artikel zeigt, welche Anforderungen der VDA ISA Katalog stellt, was die drei Assessment Levels unterscheidet und wo Unternehmen in der Praxis am häufigsten scheitern.
Wie der VDA ISA Katalog aufgebaut ist
Der VDA ISA Katalog baut auf ISO/IEC 27001:2022 und ISO/IEC 27002:2022 auf und ist in vier Kategorien gegliedert: Organizational Controls (Richtlinien, Rollen), People Controls (Schulungen), Physical Controls (Zugangsschutz) und Technological Controls (technische Maßnahmen wie Patch-Management und Verschlüsselung).
Organizational Controls betreffen Richtlinien, Rollen, Verantwortlichkeiten und Prozesse. Dazu gehören die Informationssicherheits-Policy, Asset-Management, Zugriffsrechte-Verwaltung und Lieferanten-Management.
People Controls regeln Schulungen, arbeitsvertragliche Vereinbarungen und den Umgang mit Sicherheitsverantwortung.
Physical Controls umfassen den physischen Zugangsschutz, Schutz vor Umgebungsgefahren und die sichere Entsorgung von Datenträgern.
Technological Controls decken technische Maßnahmen ab: Endpoint Protection, Patch-Management, Logging und Monitoring, Netzwerksicherheit und Verschlüsselung.
Für Unternehmen, die ISO 27001 kennen, ist die Struktur vertraut. Das ist kein Zufall. Der VDA ISA ergänzt den ISO-Rahmenwerk um branchenspezifische Anforderungen für die Automobilindustrie, etwa Anforderungen zum Prototypenschutz und zur Weitergabe vertraulicher Entwicklungsdaten.
| Kategorie |
Beschreibung |
Beispiel-Controls |
| Organizational Controls |
Richtlinien, Rollen, Verantwortlichkeiten, Prozesse |
Information Security Policy, Asset Management, Access Rights Management, Supplier Management |
| People Controls |
Schulungen, Vereinbarungen, Sicherheitsverantwortung |
Information Security Awareness Training, Employment Agreements, Incident Reporting |
| Physical Controls |
Physischer Zugangsschutz, Umgebungsschutz, Entsorgung |
Access Control, Environmental Protection, Media Disposal |
| Technological Controls |
Technische Maßnahmen, Systeme, Infrastruktur |
Endpoint Protection, Patch Management, Encryption, Logging & Monitoring |
Was bedeuten die TISAX Assessment Levels?
TISAX kennt drei Assessment Levels: AL 1 ist eine Selbstbewertung ohne externe Prüfung. AL 2 ist eine Plausibilitätsprüfung durch einen akkreditierten Prüfer, meist remote durchgeführt. AL 3 verlangt einen vollständigen Vor-Ort-Audit mit Inspektionen von Räumlichkeiten, IT-Systemen und Prozessen.
Assessment Level 1 (AL 1) – Selbstbewertung
AL 1 ist eine reine Selbstbewertung. Das Unternehmen beantwortet den VDA ISA Fragebogen eigenständig. Eine externe Prüfung findet nicht statt. AL 1 wird in der Praxis selten akzeptiert, weil OEMs meist AL 2 oder AL 3 verlangen.
Assessment Level 2 (AL 2) – Plausibilitätsprüfung
AL 2 umfasst eine Plausibilitätsprüfung durch einen akkreditierten Prüfdienstleister. Der Assessor prüft die Selbstbewertung auf Nachvollziehbarkeit und fordert stichprobenartig Nachweise an. Das Gespräch findet oft remote statt. AL 2 ist das Standardniveau für Zulieferer mit regulären vertraulichen Informationen.
Assessment Level 3 (AL 3) – Vor-Ort-Audit
AL 3 verlangt einen vollständigen Vor-Ort-Audit. Der Assessor inspiziert nicht nur Dokumente, sondern auch Räumlichkeiten, IT-Systeme und Prozesse. AL 3 betrifft Unternehmen, die Prototypen fertigen oder besonders schutzwürdige Informationen verarbeiten. Die Prüfung dauert typischerweise ein bis drei Tage.
| Kriterium |
AL 1 (Selbstbewertung) |
AL 2 (Plausibilität) |
AL 3 (Vor-Ort-Audit) |
| Prüfart |
Eigenständig |
Stichprobenprüfung, Dokumentcheck |
Vollständiger Audit, Inspektionen |
| Externe Prüfung |
Nein |
Ja, akkreditierter Prüfer |
Ja, Vor-Ort-Assessor |
| Prüfdauer |
Variabel (intern) |
1–3 Tage (meist remote) |
1–3 Tage (Vor-Ort) |
| Aufwand (Intern) |
Niedrig |
Mittel |
Höher |
| Gültigkeitsdauer |
3 Jahre (intern) |
3 Jahre |
3 Jahre |
| OEM-Akzeptanz |
Selten akzeptiert |
Standard (meist gefordert) |
Für Prototypen erforderlich |
TISAX Anforderungen je Assessment Level: Was konkret geprüft wird
Die Controls des VDA ISA gelten für alle Levels. Der Unterschied liegt in der Prüftiefe. Bei AL 1 reicht eine Selbsteinschätzung. Bei AL 2 muss die Einschätzung plausibel sein. Bei AL 3 müssen die Nachweise vollständig vorliegen und vor Ort verifizierbar sein.
Zugangskontrolle und Authentifizierung (Controls 5.15, 5.16, 5.17, 8.5)
Jeder Nutzer braucht eine eindeutige Identität. Passwörter müssen Mindestanforderungen erfüllen. Wer auf welche Systeme und Daten zugreift, muss dokumentiert sein. Bei AL 3 prüfen Assessoren, ob Zugriffsrechte regelmäßig rezertifiziert werden und ob ein dokumentierter Entzugsprozess bei Mitarbeiteraustritt existiert.
Praxisbeispiel
Ein Konstrukteur wechselt das Projekt. Sein Zugang zur alten Projekt-Datenbank muss gesperrt werden, im Ticket-System dokumentiert. Viele Unternehmen haben den Vergabeprozess, aber keinen dokumentierten Entzugsprozess.
Patch-Management und Schwachstellenverwaltung (Control 8.8)
Betriebssysteme, Anwendungen und Firmware müssen regelmäßig aktualisiert werden. Kritische Patches sollen innerhalb definierter Fristen eingespielt werden. Die Fristen hängen vom Risiko ab: Ein kritischer Patch für ein System mit OEM-Daten hat eine kürzere Frist als ein Update für eine Testumgebung.
Praxisbeispiel
Ein Sicherheitsupdate erscheint am Dienstag. Das Unternehmen testet den Patch auf einem Staging-System. Bis Freitag ist er auf allen produktiven Systemen installiert. Datum, betroffene Systeme und Testergebnis sind protokolliert.
Risikoanalyse und Risikobehandlung (ISO 27001:2022 Clause 6.1)
Ab AL 2 erwartet der Assessor eine dokumentierte Risikoanalyse. Sie muss zeigen: Welche Assets sind im Scope? Welche Bedrohungen existieren? Wie hoch sind Eintrittswahrscheinlichkeit und Schadensumfang? Welche Behandlung wurde gewählt?
Praxisbeispiel
Asset "CAD-Datenbank Motorenentwicklung" mit Bedrohungsszenario "Unbefugter Zugriff durch ehemaligen Mitarbeiter". Behandlung: Automatischer Entzug bei Austritt, vierteljährliche Rezertifizierung, AES-256-Verschlüsselung.
Incident-Management (Controls 5.24 bis 5.28)
Es muss einen definierten Prozess geben für Sicherheitsvorfälle. Wer wird benachrichtigt? Wer klassifiziert den Vorfall? Wie werden Beweise gesichert? Wann wird der OEM informiert? Bei AL 3 prüfen Assessoren, ob der Prozess getestet wurde.
Praxisbeispiel
Ein Mitarbeiter meldet verdächtige Login-Versuche. Der IT-Sicherheitsbeauftragte klassifiziert das als "mittel", sperrt das Konto, dokumentiert den Verlauf im Incident-Log und informiert den OEM-Ansprechpartner innerhalb von 24 Stunden.
Business Continuity und Backup (Controls 5.29, 5.30, 8.13, 8.14)
Kritische Systeme müssen regelmäßig gesichert werden. Ein Business-Continuity-Plan muss Wiederherstellungszeiten (RTO) und maximalen Datenverlust (RPO) definieren. Bei AL 3 wird geprüft, ob Backup-Restores tatsächlich getestet wurden.
Praxisbeispiel
Die CAD-Datenbank wird täglich inkrementell gesichert, wöchentlich vollständig. RTO: vier Stunden, RPO: ein Arbeitstag. Der letzte Restore-Test: 12. Februar 2026, dokumentiert im Testprotokoll.
Schulung und Awareness (Control 6.3)
Mitarbeitende müssen regelmäßig geschult werden: Passwortsicherheit, Phishing-Erkennung, Umgang mit vertraulichen Daten, Meldewege bei Vorfällen. Für AL 2 reicht ein dokumentiertes jährliches Training mit Teilnehmerliste. Für AL 3 erwartet der Assessor rollenspezifische Schulungen.
Lieferanten- und Schnittstellen-Management (Controls 5.19 bis 5.22)
Wenn externe Dienstleister Zugriff auf Systeme haben, müssen Sicherheitsanforderungen vertraglich geregelt sein. Cloud-Provider, IT-Support-Firmen und Entwicklungspartner brauchen Auftragsverarbeitungsverträge (AVV) mit konkreten Sicherheitsklauseln. Bei AL 3 prüfen Assessoren, ob diese Verträge aktuell sind.
"TISAX-Assessments scheitern selten an der Technik. Patches sind eingespielt, Firewalls konfiguriert, Backups laufen. Das Problem ist der Nachweis. Wenn der Assessor fragt, wann der letzte Restore-Test stattfand, und die Antwort ist 'irgendwann letztes Jahr', dann ist das ein Finding. Nicht die Maßnahme fehlt. Das Protokoll fehlt."
Amin Abbaszadeh, Informationssicherheitsexperte bei SECJUR
Die fünf häufigsten Stolpersteine bei TISAX-Assessments
Unternehmen, die sich auf ein TISAX-Assessment vorbereiten, machen oft dieselben fünf Fehler:
5 Fehler, die Sie vermeiden sollten
-
1.
Technik funktioniert, Dokumentation fehlt.
Der IT-Administrator hat die Systeme sauber konfiguriert. Patches sind aktuell, Zugriffsrechte passen, das Backup läuft. Aber niemand hat dokumentiert, wann was geändert wurde. Beim Assessment kann der Assessor die Umsetzung nicht verifizieren. Ergebnis: Non-Conformity, obwohl die Maßnahme technisch korrekt ist.
-
2.
Schulungen ohne Nachweis.
Mitarbeitende werden geschult, aber es gibt weder Teilnehmerlisten noch Testergebnisse noch Zertifikate. Für den Assessor existiert die Schulung nicht, weil kein Beleg vorliegt.
-
3.
Risikoanalyse zu abstrakt.
Eine Risikoanalyse, die nur "Risiko: hoch, Behandlung: Verschlüsselung" auflistet, reicht nicht. Der Assessor erwartet konkrete Assets, konkrete Bedrohungsszenarien und nachvollziehbare Behandlungsentscheidungen.
-
4.
Prozesse existieren nur auf Papier.
Das Incident-Management-Formular liegt auf dem Sharepoint. Aber wenn ein Vorfall eintritt, greifen Mitarbeitende zum Telefon statt zum Formular. Beim Assessment prüft der Assessor nicht nur, ob der Prozess existiert, sondern ob er gelebt wird.
-
5.
OEM-spezifische Zusatzanforderungen übersehen.
Der VDA ISA Katalog definiert den Grundrahmen. Einzelne OEMs stellen Zusatzanforderungen, etwa strengere Verschlüsselungsvorgaben oder kürzere Meldefristen bei Sicherheitsvorfällen.
TISAX Anforderungen und ISO 27001: Was ist der Zusammenhang?
Der VDA ISA Katalog baut auf ISO/IEC 27001:2022 auf. Für Unternehmen mit existierendem ISMS deckt das ISMS etwa 70-80 % der TISAX-Anforderungen ab. Die verbleibenden 20-30% betreffen TISAX-spezifische Anforderungen wie Prototypenschutz und OEM-spezifische Meldefristen.
Für Unternehmen ohne ISMS: Wer TISAX von Null aufbaut, baut im Kern ein ISMS auf. Die TISAX-Anforderungen ähneln ISO 27001 so stark, dass der Aufwand für eine spätere ISO-Zertifizierung deutlich sinkt. Viele Zulieferer nutzen TISAX als Einstieg und erweitern später auf ISO 27001.
So bereiten Sie sich auf das TISAX-Assessment vor
1
Assessment Level klären
Fragen Sie den OEM, welches Level erwartet wird. Meistens ist es AL 2. Prototypenfertiger brauchen AL 3.
2
Gap-Analyse durchführen
Gehen Sie den VDA ISA Katalog Control für Control durch. Für jede Anforderung: Ist die Maßnahme umgesetzt? Ist sie dokumentiert? Liegt ein Nachweis vor?
3
Maßnahmen priorisieren
Beginnen Sie mit Controls, die Vorlaufzeit brauchen: Risikoanalyse, Lieferantenverträge, Schulungskonzept. Technische Controls wie Patch-Management oder MFA lassen sich schneller umsetzen.
4
Dokumentation aufbauen
Für jeden Control: Was ist umgesetzt? Wer ist verantwortlich? Wo liegt der Nachweis? Dieser Schritt macht rund 50% der Vorbereitungsarbeit aus.
5
Internes Pre-Assessment
Bevor der externe Assessor kommt, die eigene Dokumentation mit den Augen eines Prüfers durchgehen. Können Sie für jeden Control einen aktuellen Nachweis zeigen?
6
Externes Assessment beauftragen
Einen akkreditierten Prüfdienstleister beauftragen. Der Assessor erstellt einen Bericht, der im TISAX-Portal der ENX Association hinterlegt wird.
Zeitplanung: Wie lange dauert die TISAX-Vorbereitung?
Das hängt vom Ausgangspunkt ab. Ein Unternehmen mit 80 Mitarbeitenden, das bereits ein ISMS nach ISO 27001 betreibt, kann in zwei bis drei Monaten assessment-bereit sein. Die Hauptarbeit liegt in der TISAX-spezifischen Dokumentation und der Schließung einzelner Lücken.
Kleine Zulieferer mit 20 bis 50 Mitarbeitenden finden eine angepasste Umsetzungsanleitung für KMU mit konkreten Kostenrahmen und Praxisbeispielen nach Unternehmensgröße.
Einen Überblick über die Kosten der TISAX-Zertifizierung finden Sie in unserem separaten Ratgeber.
Ohne bestehendes ISMS dauert die Vorbereitung länger: vier bis sechs Monate für ein mittelständisches Unternehmen mit dediziertem Projektteam. Die größten Zeitfresser sind die Risikoanalyse, die Lieferantenverträge und der Aufbau des Schulungsprogramms.
Ein realistischer Zeitplan enthält Puffer. Assessoren sind teilweise Wochen im Voraus ausgebucht.
Fazit
TISAX-Anforderungen sind konkret und prüfbar. Der VDA ISA Katalog definiert klare Controls, gegliedert nach denselben vier Kategorien wie ISO 27001. Wer bereits ein ISMS betreibt, hat den Großteil der Arbeit erledigt. Wer bei Null startet, baut mit TISAX im Kern ein ISMS auf.
Die häufigste Ursache für Findings im Assessment ist nicht fehlende Technik. Es ist fehlende Dokumentation. Unternehmen, die von Anfang an dokumentieren, was sie tun, sparen sich Nacharbeit und Wiederholungsprüfungen.
.svg)
.svg)
.svg)
.svg){kind=small}