Download: TISAX®


In 15 Minuten verstehen, wie audit-ready Ihr Unternehmen ist

TISAX® ist für viele Unternehmen in der Automobilindustrie und deren Zulieferer längst zur Voraussetzung geworden.

Gleichzeitig bleibt oft unklar, wie gut das eigene Unternehmen tatsächlich vorbereitet ist – und wo die größten Lücken liegen.

Unsere kompakte TISAX® Checkliste hilft Ihnen, genau das schnell einzuordnen: Wie audit-ready sind Sie heute? Und was sollten Sie jetzt priorisieren?

Realistische Standortbestimmung: Erhalten Sie einen strukturierten Überblick darüber, wie Ihr aktueller Stand im Vergleich zu den TISAX® Anforderungen aussieht – von Informationssicherheit bis zu organisatorischen Maßnahmen.

Fokus auf die entscheidenden Handlungsfelder: Erkennen Sie, welche Themen für Ihr TISAX® Assessment besonders relevant sind – z. B. ISMS-Strukturen, Schutzbedarfs-feststellung oder Lieferantenanforderungen.

Klare nächste Schritte Richtung Audit:
Leiten Sie konkret ab, welche Maßnahmen Sie jetzt angehen sollten, um effizient und ohne unnötigen Mehraufwand audit-ready zu werden.

Was ist TISAX – und wer braucht eine Zertifizierung?

TISAX® (Trusted Information Security Assessment Exchange) ist der Informationssicherheitsstandard der Automobilindustrie. Ursprünglich vom Verband der Automobilindustrie (VDA) entwickelt, wird das Programm heute von der ENX Association verwaltet und ist europaweit anerkannt. Wer als Zulieferer oder Dienstleister mit sensiblen Daten von Automobilherstellern arbeitet, kommt an einer strukturierten TISAX Checkliste nicht vorbei.

Grundlage für die Prüfung ist der VDA ISA Katalog – ein standardisierter Fragenkatalog, der sich an der internationalen Norm ISO/IEC 27001 orientiert, darüber hinaus jedoch automobilspezifische Anforderungen an Datenschutz und Prototypenschutz enthält. Seit Version 6 wird der Katalog schlicht als ISA 6 bezeichnet.

TISAX ist für Zulieferer, IT-Dienstleister und Partner relevant, die sensible Informationen von Automobilherstellern verarbeiten – etwa technische Zeichnungen, Bauteilspezifikationen oder Prototypendaten. Formal ist die Zertifizierung freiwillig, in der Praxis jedoch eine Voraussetzung für die Zusammenarbeit mit OEMs wie BMW, Mercedes-Benz, Volkswagen oder ZF. Auch die Unternehmensgröße spielt keine Rolle: Selbst kleine Zulieferer müssen eine TISAX-Zertifizierung vorweisen, sobald sie mit sensiblen Daten umgehen.

Die drei TISAX Assessment Level im Überblick

Das Assessment Level richtet sich nach dem Schutzbedarf der verarbeiteten Informationen und bestimmt, wie umfangreich das Audit durchgeführt wird.

Assessment Level 1 – Normal (Selbsteinschätzung): Das Unternehmen bewertet sich selbst anhand des ISA-Fragebogens. Dieses Level wird in offiziellen Audits nicht anerkannt.

Assessment Level 2 – Hoch (Remote-Interview & Dokumentenprüfung): Für Informationen mit hohem Schutzbedarf führt ein akkreditierter Prüfdienstleister Remote-Interviews durch und prüft die Dokumentation.

Assessment Level 3 – Sehr hoch (Vor-Ort-Audit): Für streng vertrauliche Daten und Prototypen. Umfasst eine Begehung der Räumlichkeiten und wird von vielen OEMs verpflichtend vorgeschrieben.

TISAX Checkliste: Die 7 Themenbereiche des ISA-Katalogs

Der ISA 6 Katalog umfasst 45 Controls in 7 Kapiteln. Die folgende TISAX Checkliste fasst die wichtigsten Prüfpunkte zusammen und dient als erste Orientierung – kein Ersatz für den vollständigen VDA ISA Fragenkatalog.

1. Informationssicherheits-Management (ISMS)

Ein Informationssicherheits-Managementsystem ist schriftlich definiert, umgesetzt und wird regelmäßig überprüft. Die Unternehmensleitung ist aktiv eingebunden und führt regelmäßige Management-Reviews durch. Messbare Sicherheitsziele sind festgelegt und werden nachverfolgt.

2. Risikomanagement

Alle relevanten Informationssicherheitsrisiken sind systematisch erfasst und nach Eintrittswahrscheinlichkeit und Auswirkung bewertet. Für identifizierte Risiken existieren konkrete Maßnahmen, Verantwortliche und Umsetzungsfristen. Restrisiken sind vom Management formal akzeptiert oder mit weiteren Maßnahmen adressiert.

3. Asset Management

Alle relevanten Informationsassets – IT-Systeme, Anwendungen, physische Datenträger – sind in einem aktuellen Verzeichnis erfasst. Jedes Asset hat einen definierten Eigentümer. Informationen werden nach Schutzbedarf klassifiziert, zum Beispiel als öffentlich, intern, vertraulich oder streng vertraulich.

4. Personelle Sicherheit

Alle Mitarbeiter im Scope erhalten nachweisliche Schulungen zur Informationssicherheit und wissen, wie sie im Sicherheitsvorfall reagieren müssen. Je nach Schutzbedarf werden Hintergrundprüfungen bei der Einstellung durchgeführt. Beim Ausscheiden von Mitarbeitern werden Zugriffsrechte zeitnah entzogen und Assets zurückgegeben.

5. Physische Sicherheit

Sensible Bereiche wie Serverräume und Archivräume sind gegen unbefugten Zutritt gesichert. Der Empfang von Waren und Besuchern ist geregelt und überwacht. Die IT-Infrastruktur ist gegen Brand, Wasser und Stromausfall gesichert.

6. Betriebssicherheit & Zugriffskontrolle

Mitarbeiter erhalten nur die Zugriffsrechte, die sie für ihre Aufgaben benötigen (Need-to-know-Prinzip). Zugriffsrechte werden mindestens jährlich überprüft. Software und Betriebssysteme werden zeitnah mit Sicherheitsupdates versorgt. Sicherheitsrelevante Ereignisse werden protokolliert und regelmäßig ausgewertet.

7. Vorfallmanagement & Kontinuität

Mitarbeiter wissen, wie und wo sie Sicherheitsvorfälle melden; ein Eskalationspfad ist definiert. Notfallpläne für kritische IT-Systeme und Prozesse existieren und wurden getestet. Backup-Verfahren und Wiederherstellungszeiten sind festgelegt und regelmäßig geprüft.

Ablauf der TISAX-Zertifizierung: Schritt für Schritt

Die Zertifizierung läuft in klar definierten Phasen ab. Zunächst erfolgt die Registrierung bei der ENX Association, wo Scope, Prüfziele und Assessment Level festgelegt werden. Anschließend wählen Unternehmen einen akkreditierten Prüfdienstleister und füllen den VDA ISA Fragebogen aus.

Wer die TISAX Checkliste aus dem vorigen Abschnitt bereits abgearbeitet hat, ist für diese Phase gut vorbereitet.

In Phase 1 prüft der Auditor die ISMS-Dokumentation, Richtlinien und Prozessbeschreibungen. Phase 2 umfasst das eigentliche Hauptaudit – je nach Assessment Level als Remote-Interview oder Vor-Ort-Begehung. Bei Abweichungen erhalten Unternehmen entweder ein vorläufiges Label oder müssen Hauptabweichungen innerhalb von neun Monaten beheben. Nach erfolgreichem Abschluss wird das TISAX Label ausgestellt – gültig für drei Jahre – und kann über die TISAX Exchange-Plattform mit autorisierten Partnern geteilt werden.

Reifegrade im TISAX-Assessment

Der Auditor bewertet jede Anforderung auf einer Skala von 0 bis 5. Das Mindestziel für TISAX ist Reifegrad 3 – „etabliert": Der Prozess ist vollständig implementiert, wirksam und in die Organisation integriert. Die Reifegrade 4 und 5 stehen für quantitative Steuerung und kontinuierliche Optimierung, werden für TISAX aber nicht vorausgesetzt.

Die drei Prüfmodule: ISMS, Datenschutz, Prototypenschutz

Jede TISAX-Zertifizierung umfasst das Pflichtmodul Informationssicherheit, das alle sieben Themenbereiche der TISAX Checkliste abdeckt. Das optionale Datenschutzmodul ist relevant für Unternehmen, die personenbezogene Daten im Auftrag von OEMs verarbeiten. Das Prototypenschutzmodul greift, wenn physische oder digitale Prototypen, Testfahrzeuge oder sensible Fahrzeugdaten gehandhabt werden.

Häufige Fragen zur TISAX Checkliste

Ist eine ISO 27001-Zertifizierung Voraussetzung für TISAX? Nein. Eine ISO 27001-Zertifizierung ist keine Pflicht, erleichtert die Vorbereitung aber erheblich, da viele Anforderungen deckungsgleich sind. Entscheidend ist der Nachweis eines funktionierenden ISMS.

Wie lange ist ein TISAX Label gültig? Drei Jahre. Anschließend muss das Assessment wiederholt werden.

Wie lange dauert die Vorbereitung? Der Prüfprozess selbst kann in wenigen Monaten abgeschlossen werden. Die ISMS-Implementierung dauert je nach Ausgangslage 6 bis 18 Monate.

Kann ich Ergebnisse öffentlich teilen? Nein. Die Weitergabe erfolgt ausschließlich über die geschlossene TISAX Exchange-Plattform. Eine öffentliche Veröffentlichung ist nicht gestattet.

Was passiert bei Abweichungen im Audit? Nebenabweichungen ermöglichen ein temporäres Label mit Nachbesserungsfrist. Hauptabweichungen müssen innerhalb von maximal neun Monaten behoben werden – sonst muss das Erstaudit wiederholt werden.

+49 40/80 90 81 146
info@secjur.com
Imprint
Privacy Policy
General Terms and Conditions
InfoSec Policy
Visit us on linkedin
Products
Compliance Platform
Data Privacy
Information Security
Whistleblowing
Anti-Money-Laundering
AI Management
Regulation
DORA
NIS2
GDPR
EU AI Act
Whistleblower Act
Anti-Money-Laundering
Certification
ISO 27001
ISO 9001
TISAX®
SOC 2
ISO 27017
ISO 27018
Industry solutions
Startups
Scaleups
Mid Market Companies
Software and IT-Consulting
Financial Services
Energy
Food & Beverages
Healthcare
Industry and Manufacturing
Logistics
Aerospace and Defense
Non-Profits and NGOs
SECJUR
For Partners
Customer Success Stories
About SECJUR
Integrations
Careers
Blog
Downloads
Language
Deutsch
English

© 2025 SECJUR. All Rights reserved.