TISAX Anforderungen: Alle Controls und Maßnahmen nach VDA ISA

Organisatorische Sicherheit: Policies, Rollen, Verantwortlichkeiten, Dokumentation. Das ist die Grundlage jeder ISMS. Ohne klare Zuständigkeiten funktioniert nichts.

Personalsicherheit: Screening neuer Mitarbeiter, Sicherheitsschulung, Austrittsprozesse. Ein einzelner verächtlicher ehemaliger Mitarbeiter, dem noch Zugriff hat, ist ein Sicherheitsrisiko.

Asset Management: Inventar, Klassifikation, Handhabung von Informationen und Hardware. Wer weiß, wo die sensiblen Daten sind?

Zugriffskontrolle: Berechtigungskonzept, Zugriffsvergabe nach dem Prinzip "Need-to-know", Multifaktor-Authentifizierung (MFA). Ein Admin-Account für alle ist nicht TISAX-konform.

Kryptografie: Verschlüsselung von Daten in der Übertragung (TLS) und im Ruhezustand (Dateien, Datenbanken). Das ist kein "schön zu haben".

Physische Sicherheit: Zutrittskontrolle zu Räumen mit sensiblen Daten oder Systemen, Überwachung, Zonen-Modell. Ein USB-Stick im Treppenhaus ist ein Risiko.

Betriebssicherheit: Patch-Management, Malware-Schutz, Backups, Logging. Dies ist die größte Fehlerquelle in der Praxis: Unternehmen machen Backups, testen sie aber nie.

Kommunikationssicherheit: Netzwerksegmentierung, E-Mail-Sicherheit, sichere Datenübertragung zwischen Standorten. Wenn alle im gleichen WLAN sind, gibt es keine Segmentierung.

Incident Management und Business Continuity: Erkennung von Sicherheitsvorfällen, schnelle Reaktion, Wiederherstellung kritischer Prozesse. Dies ist eine vollständige Funktionalität: Vorfallsbewältigung (Erkennung → Analyse → Meldung → Recovery) und ein Business-Continuity-Plan (Was tun, wenn der Server ausfällt?).

Informationssicherheits-Policies und Governance

Was gefordert wird: Ein schriftliches Informationssicherheits-Handbuch, das die Ziele, Rollen und Verantwortlichkeiten klärt. Nicht eine 50-seitige Hochglanzbroschüre, sondern ein funktionierendes Dokument, das alle Mitarbeitenden kennen. Viele Unternehmen nutzen digitale ISMS-Plattformen wie SECJUR, um solche Handbücher strukturiert aufzubauen und alle VDA-ISA-Anforderungen nachzuverfolgen.

Typische Maßnahme: Ein 10–15-seitiges ISMS-Handbuch, das die Sicherheitsziele, das Rollen- und Verantwortungsmodell, und die wichtigsten Rollen (CISO, Compliance Officer, etc.) erklärt.

Reifegrad 3: Das Handbuch ist aktuell, wurde dem Vorstand genehmigt, es gibt eine Versionskontrolle, es wurde allen Mitarbeitern kommuniziert, und es wird jährlich überprüft.

Personalsicherheit

Was gefordert wird: Screening neuer Mitarbeitender (zumindest Identitätsprüfung), Sicherheitsschulung vor dem ersten Arbeitstag und regelmäßig danach, sowie dokumentierter Austrittsprozess (Zugriffe sperren, Hardware zurück).

Typische Maßnahme: Einen Personalsicherheitsprozess etablieren. Das heißt: eine Checkliste für die Einführung, ein 1–2 stündiger Sicherheitskurs für alle neuen Mitarbeitenden, und ein Austrittsprozess, der sicherstellt, dass niemand mit einer alten Zugriffskarte herumläuft.

Reifegrad 3: Die Schulung ist dokumentiert, es gibt eine Teilnehmerliste, die Austrittsprozesse werden nachgehalten, und Sie können dem Auditor zeigen, dass die letzten 5 ausgeschiedenen Mitarbeitenden tatsächlich abgemeldet wurden.

Asset Management

Was gefordert wird: Ein Inventar, das zeigt, welche Hardware und Software vorhanden sind, wo die sensiblen Daten sind (Klassifikation), und wie diese Daten zu behandeln sind.

Typische Maßnahme: Eine einfache Excel-Liste mit allen IT-Assets (Server, PCs, Drucker, lizenzen) und eine Klassifikationsmethode für Daten (öffentlich, intern, vertraulich, sehr vertraulich). Das ist nicht glamourös, aber es funktioniert.

Reifegrad 3: Das Inventar ist aktuell, wird bei neuen Assets aktualisiert, Sie können zeigen, dass Hardware regelmäßig überprüft wird, und jede Datei hat eine Klassifikation, die bestimmt, wie sie behandelt werden muss.

Zugriffskontrolle

Was gefordert wird: Ein Berechtigungskonzept, das beschreibt, wer auf was zugreifen darf. Nach dem Prinzip "Need-to-know": Nicht jeder braucht Zugriff auf alles. Zusätzlich Multifaktor-Authentifizierung (MFA) für remote Zugriff und privilegierte Konten.

Typische Maßnahme: Eine Berechtigungsmatrix (Wer darf auf welche Daten zugreifen?), regelmäßige Genehmigungszyklus (einmal jährlich überprüfen), und MFA auf VPN und Admin-Accounts.

Reifegrad 3: Die Matrix ist dokumentiert, wird regelmäßig überprüft, Sie können zeigen, dass "stale" Accounts (Konten von Mitarbeitern, die nicht mehr existieren) gelöscht werden, und MFA ist aktiviert.

Kryptografie

Was gefordert wird: Daten, die übertragen werden, müssen verschlüsselt sein (TLS/HTTPS). Daten, die gespeichert sind, sollten ebenfalls verschlüsselt sein, zumindest die sensiblen (Kundendaten, Gehälter, Prototypen-Informationen).

Typische Maßnahme: HTTPS überall (kein HTTP), ein Verschlüsselungskonzept für Datenbanken und Cloud-Speicher, und sicherstellen, dass alte, nicht mehr genutzte Systeme nicht unverschlüsselte Daten enthalten.

Reifegrad 3: Verschlüsselung ist aktiv, Sie können es in den Systemprotokollen zeigen, und alte Datenträger werden gemäß einem Löschkonzept entsorgt.

Physische Sicherheit

Was gefordert wird: Räume, in denen kritische Systeme stehen oder sensible Daten lagern, müssen gesichert sein. Das bedeutet: nur autorisierte Personen dürfen hinein. Biometrische Zugangskontrollen sind nicht zwingend, aber Zutrittskontrolle ja.

Typische Maßnahme: Ein Serverraum mit Schließanlage, ein Zugangsprotokoll (wer, wann, wie lange), Kameras (optional, aber hilfreich), und Zonen-Modell (Besucherzonen vs. Restricted Areas).

Reifegrad 3: Das Zugriffsprotokoll wird nachgehalten, unberechtigte Zutrittsversuche werden dokumentiert, und die Bereiche sind räumlich getrennt.

Betriebssicherheit

Was gefordert wird: Patch-Management (Sicherheits-Updates werden regelmäßig eingespielt), Malware-Schutz (Antivirensoftware auf allen Endpoints), Backups (tägliche oder wöchentliche Sicherung kritischer Daten) und Logging (Aktivitäten werden aufgezeichnet für Forensik).

Typische Maßnahme: Ein Patch-Management-Prozess (automatisches Update oder geplante monatliche Installationen), Antivirus auf allen Rechnern, Backup-Strategie mit regelmäßigen Tests und ein Logging-Konzept, das mindestens sicherheitskritische Ereignisse erfasst.

Reifegrad 3: Patches werden innerhalb eines definierten Zeitraums eingespielt (z.B. 30 Tage für Standard, 3 Tage für kritisch), Backup-Tests werden monatlich durchgeführt und dokumentiert, und Logs werden für mindestens 90 Tage aufbewahrt.

Kommunikationssicherheit und Lieferantenmanagement

Was gefordert wird: Die Netzwerk-Infrastruktur sollte segmentiert sein (nicht alle Daten können von überall zugegriffen werden). Zulieferer, die auf Ihre Daten zugreifen, müssen auch ISMS-Standards erfüllen oder zumindest vertraglich verpflichtet sein, TISAX-ähnliche Maßnahmen zu ergreifen.

Typische Maßnahme: Ein Netzwerk-Segmentierungskonzept (z.B. Gast-WLAN getrennt von kritischen Systemen), ein Lieferanten-Audit-Prozess (Jährlich prüfen, ob der EDI-Partner die Sicherheit aufrecht erhält), und Datenschutz-Verträge (BAV mit Data-Protection-Clause).

Reifegrad 3: Die Segmentierung ist im Netzwerk umgesetzt und getestet, der Lieferanten-Audit-Prozess wird befolgt, und die Verträge werden regelmäßig überprüft.

Incident Management und Business Continuity

Was gefordert wird: Ein Prozess, um Sicherheitsvorfälle zu erkennen, schnell zu reagieren und zu dokumentieren. Zusätzlich ein Business-Continuity-Plan, der beschreibt, wie Sie mit Ausfällen umgehen (z.B. wenn ein Server ausfällt oder Ransomware angreift).

Typische Maßnahme: Ein Incident-Response-Plan (wer wird wann benachrichtigt, wer entscheidet, ob es ein Vorfall ist), ein BCM-Plan (was ist der Recovery-Time-Objective, wie machen wir einen Failover), und regelmäßige Tests (Tabletop-Übungen).

Reifegrad 3: Der Incident-Plan wurde getestet (z.B. mit einer Tabletop-Übung), der BCM-Plan enthält konkrete RTOs und ist auch getestet, und alle beteiligten Personen wissen ihre Rolle.

Verarbeitungsverzeichnis: Ein Dokument, das alle Datenverarbeitungen auflistet (was, wozu, wie lange, wer hat Zugriff). Viele Unternehmen haben eines "irgendwo", aber es ist nicht aktuell. TISAX verlangt ein lebendiges Verzeichnis.

Technische und organisatorische Maßnahmen (TOMs): Das ist fast identisch mit dem Informationssicherheits-Modul. DSGVO Art. 32 verlangt TOMs, und TISAX prüft, ob diese umgesetzt sind.

Auftragsverarbeiter-Verträge: Wenn ein Dienstleister Ihre Kundendaten verarbeitet (z.B. Buchhaltungs-Cloud, Newsletter-Tool), braucht es einen Auftragsverarbeitungsvertrag (BAV). Ein einfaches "Datenschutz-Addendum" zum Standard-Terms-of-Service reicht nicht.

Datenlöschung: Ein Konzept, das beschreibt, wie lange Daten gespeichert werden und wie sie danach gelöscht werden. Viele Unternehmen löschen gar nicht. Die Daten sind auf jahrelten Backups.

Betroffenenrechte-Prozesse: Ein Prozess, um Anfragen von Kunden zu bearbeiten ("Welche Daten habt ihr über mich?", "Löscht meine Daten", "Gebt mir meine Daten"). Dieser Prozess muss schnell sein (30 Tage Frist) und dokumentiert.

Komponenten und Fahrzeuge: Physischer Schutz von Prototypen im Lager, Transport und bei Tests. Nicht einfach einen Prototyp auf dem Parkplatz stehen lassen.

Testfahrten: Prozesse, um sicherzustellen, dass Testfahrten nicht beobachtet oder gefiltert werden. Route, Zeitpunkt, Personal. Alles muss geplant sein.

Events und öffentliche Ankündigungen: Zeitliche Koordination zwischen Entwicklung, Marketing und PR, damit nicht versehentlich zu früh etwas Neues öffentlich wird.

Dokumentenverwaltung: Alle Prototypen-Dokumente (CAD-Dateien, Spezifikationen, Pläne) müssen klassifiziert und zugriffsgeschützt sein.

Die fünf Reifegrade (Maturity Levels)

• 0 Nicht vorhanden: Die Maßnahme existiert nicht.
• 1 Initial / Informell: Es passiert manchmal, ist aber nicht dokumentiert oder strukturiert. "Wir machen Backups, aber nur wenn jemand daran denkt."
• 2 Wiederholbar: Ein Prozess existiert und wird meist befolgt, aber die Durchführung ist nicht konsistent. "Wir haben ein Backup-Script, aber manchmal läuft es nicht durch."
• 3 Etabliert: Der Prozess ist dokumentiert, wird durchgeführt, wird überwacht und ist nachweisbar getestet. "Wir führen Backups täglich durch, es gibt Logs, und wir testen monatlich Restore-Prozesse."
• 4–5 Optimiert / Automatisiert: Der Prozess ist vollständig automatisiert und wird ständig überwacht und verbessert. Dies ist meist nicht erforderlich für TISAX (Reifegrad 3 reicht).

• ISMS-Handbuch oder Sicherheits-Policy: Das Grundlagendokument. Auch wenn nur 10 Seiten, es muss existieren.
• Risikobewertung oder Risikoanalyse: Ein Dokument, das zeigt, dass Sie die Gefahren systematisch bewertet haben.
• Asset-Register: Was habt ihr an Hardware und Software?
• Berechtigungsmatrix: Wer darf auf was zugreifen? (Excel-Format reicht)
• Schulungsnachweise: Teilnehmerlisten, Kursinhalte, Bestätigungen. Zeigt, dass Mitarbeitende geschult wurden.
• Incident-Log: Dokumentation von Sicherheitsvorfällen (falls welche passiert sind). Zeigt, dass Sie schnell reagieren.
• Business-Continuity-Plan (BCP): Wie fahrt ihr wieder hoch, wenn es zusammenbricht?
• Penetrationstests oder Sicherheitsscans: Externe Tests, um Lücken zu finden. Nicht immer erforderlich, aber hilfreich als Nachweis.
• Datenlöschungs- oder Vernichtungskonzept: Wie werdet ihr alte Daten und Hardware los?
• Auftragsverarbeitungs-Verzeichnis (BAV): Verträge mit Cloud-Providern, Softwareanbietern etc., die Daten verarbeiten.

Audit-Ablauf

Einleitung: Der Auditor trifft sich mit der Geschäftsleitung und dem ISMS-Team. Er erklärt den Ablauf, erfragt die Scope (Was ist in den Audit einbezogen?), und klärt den Zeitplan.

Dokumentenprüfung: Der Auditor liest alle vorbereiteten Dokumente (ISMS-Handbuch, Risikobewertung, Policies, Verfahren). Wenn Dokumente fehlen oder unvollständig sind, ist das bereits ein Befund.

Interviews: Der Auditor spricht mit verschiedenen Rollen: ISMS-Verantwortlichem, IT-Leiter, Personalverantwortlichem, Datenschutzbeauftragtem. Die Fragen sind immer die gleichen, die Antworten sollten konsistent sein.

Vor-Ort-Begehung: Der Auditor besichtigt Räume (Serverraum, Büros) und überprüft physische Sicherheit. Er sieht sich an, wie Zutrittskontrollen funktionieren, wie Geräte gekennzeichnet sind, etc.

Stichproben-Tests: Der Auditor testet konkrete Aspekte. Beispiele:

• Er bittet darum, die Berechtigungen von 5 zufällig gewählten Mitarbeitern zu zeigen. Stimmen sie mit der Berechtigungsmatrix überein?
• Er fragt: "Zeigen Sie mir die Logs des letzten Patches." War es innerhalb des definierten Zeitraums?
• Er nimmt eine zufällige Person und fragt: "Wann warst du zuletzt geschult?" Die Person sollte antworten können und die Schulung sollte dokumentiert sein.
• Er testet einen Restore: "Könnt ihr ein Backup aktualieren und es tatsächlich hochfahren?" (Al 3 Audit)

Abschluss-Interview: Der Auditor trifft sich erneut mit dem Management und präsentiert seine Befunde: Findings (Non-Konformitäten), Observations (Verbesserungspunkte), und ein Zertifizierungsurteil.