Was ist TISAX®? 

TISAX®, kurz für Trusted Information Security Assessment Exchange, ist ein Prüf- und Austauschmechanismus, der speziell für die Automobilindustrie entwickelt wurde. Er dient als internationaler Standard zur Bewertung der Informationssicherheit von Unternehmen, die mit Automobilherstellern und Zulieferern zusammenarbeiten. 

Seit dem Jahr 2000 ist TISAX® eine eingetragene Marke der ENX Association und hat sich als Sicherheitsstandard in der gesamten europäischen Automobilbranche etabliert. Obwohl die Zertifizierung grundsätzlich freiwillig ist, setzen viele Automobilhersteller sie mittlerweile als notwendige Bedingung für Geschäftsbeziehungen mit Zulieferern voraus. Wer mit deutschen Automobilherstellern kooperieren möchte, sollte daher in der Lage sein, seine Informationssicherheit durch eine Zertifizierung nach TISAX® nachzuweisen. 

TISAX® basiert auf der internationalen Norm ISO 27001 für Informationssicherheit und ergänzt sie um spezifische Anforderungen zum Prototypenschutz und Datenschutz. Die Zertifizierungskriterien richten sich nach dem  VDA-ISA-Fragenkatalog, der die Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) und die datenschutzrechtlichen Vorgaben für Zulieferer in der Automobilindustrie definiert. 

Das Ziel der Zertifizierung ist es, eine sichere Weitergabe sensibler Informationen zwischen Automobilherstellern und ihren Partnern zu ermöglichen. Dabei erfolgt die Prüfung je nach individuellen Anforderungen auf drei Assessment Level.

Was sind Assessment Level nach TISAX®? 

TISAX® dient als zentraler Sicherheitsstandard in der Automobilbranche und ist eine entscheidende Voraussetzung für die Zusammenarbeit zwischen Zulieferern und Herstellern. Die Anforderungen an die Prüfung variieren jedoch: Sowohl die Intensität als auch die konkreten Prüfziele können unterschiedlich ausfallen. 

Die Labels nach TISAX® definieren die jeweiligen Prüfziele. Wie gut die Anforderungen umgesetzt wurden, wird in Reifegraden gemessen und die Assessment Level fassen die Art der Prüfung zusammen. Insgesamt gibt es drei Level, in der Praxis spielen jedoch nur Level 2 und 3 eine Rolle. 

Je höher das Level (AL 1, AL 2, AL 3), desto anspruchsvoller sind die Anforderungen. Um den spezifischen Kundenanforderungen gerecht zu werden, können Unternehmen zwischen Assessment Level 1 (AL 1), Assessment Level 2 (AL 2) und Assessment Level 3 (AL 3) wählen. Zusätzlich gibt es das „Zwischenlevel“ 2,5.  

Um das Audit nach TISAX® erfolgreich zu bestehen, müssen Unternehmen bei Kontrollen einen Reifegrad von 3 oder höher vorweisen. 

Assessment Level 1 nach TISAX® 

Das Assessment Level 1 nach TISAX® (AL1) ist das niedrigste Level und weist die geringste Vertrauensstufe auf. Die Bewertung erfolgt durch das Unternehmen selbst und basiert auf einer Selbsteinschätzung anhand des VDA-ISA-Fragenkatalogs. Eine externe Prüfung oder Verifizierung der Inhalte findet nicht statt. 

AL 1 wird hauptsächlich für interne Zwecke genutzt. Es bietet Unternehmen eine gute Möglichkeit, ihre Informationssicherheit systematisch zu analysieren und erste Verbesserungen einzuleiten. Entscheidend ist lediglich, dass eine Selbsteinschätzung vorliegt – der genaue Inhalt dieser Bewertung wird dabei nicht überprüft. 

Die wichtigsten Fakten zusammengefasst: Assessment Level 1 nach TISAX® 

• Selbsteinschätzung des Unternehmens 

• Keine Überprüfung durch einen Auditor 

• Geringer Aufwand und unabhängige Umsetzung 

• Gute Vorbereitung für die Zertifizierung nach TISAX® (AL 2, AL 3) 

• Keine Relevanz auf dem Markt 

• Keine Vertrauensbasis in der Automobilbranche 

 Ablauf des Assessment Level 1 nach TISAX® 

Da das Assessment Level 1 keine externe Prüfung erfordert und rein auf einer Selbsteinschätzung basiert, unterscheidet sich der Ablauf von den höheren Assessment Level nach TISAX®. Die Maßnahmen werden nicht von einem Prüfer bestätigt, sondern dienen primär als interne Orientierung und Vorbereitung auf Level 2 oder 3. 

1. Selbsteinschätzung durchführen

Unternehmen bewerten ihre Informationssicherheit anhand des VDA-ISA-Fragenkatalogs. 

2. Überprüfung der Selbsteinschätzung

Es wird lediglich geprüft, ob eine Selbsteinschätzung vorliegt – nicht jedoch deren Inhalt oder Qualität. 

3. Vorbereitung auf weitere Assessment Level

Um sich auf Assessment Level 2 oder 3 vorzubereiten, sollten Unternehmen: 

• Einen Maßnahmenplan zur Verbesserung der Informationssicherheit erstellen 

• Konkrete Optimierungsmaßnahmen umsetzen, um Schwachstellen frühzeitig zu beheben 

Assessment Level 2 nach TISAX® 

Wie bei AL 1 basiert auch Assessment Level 2 nach TISAX® auf einer Selbsteinschätzung des Unternehmens. Allerdings gibt es einen wesentlichen Unterschied: Die Bewertung wird zusätzlich von einem akkreditierten Auditor nach TISAX® auf Plausibilität geprüft und bestätigt. 

Die Prüfung erfolgt anhand der Dokumentation des Unternehmens und wird in der Regel durch Telefon-Interviews und Plausibilitätsprüfungen remote ergänzt. 

Die wichtigsten Fakten zusammengefasst: Assessment Level 2 nach TISAX® 

• Selbsteinschätzung des Unternehmens 

• Wird von einem externen Auditor geprüft 

• Prüfung findet in der Regel remote statt 

• Prüfung von Nachweisen auf Aktenbasis 

• Interviews mit Fachabteilungen und dem Informationssicherheitsbeauftragten 

 Ablauf des Assessment Level 2 nach TISAX®  

Der Prozess zur Zertifizierung nach TISAX® läuft schrittweise ab und basiert auf einem standardisierten Fragebogen. Auf dieser Grundlage werden Maßnahmen entwickelt und Prozesse optimiert, bis die Konformität nach TISAX® von einem Prüfer abgenommen wird.   

Der Prozess läuft in folgenden Schritten ab:  

1. Unternehmen registrieren sich auf der TISAX®-Plattform und beauftragen einen Auditor 

1. Selbsteinschätzung auf Grundlage des VDA-ISA-Fragenkatalogs 

1. Es wird ein Maßnahmenplan erstellt und geprüft, wo Verbesserungen notwendig sind 

1. Die Maßnahmen werden umgesetzt 

1. Assessment durch einen akkreditierten Auditor 

Selbstbewertung 

In der ersten Phase erstellt das Unternehmen eine Selbstbewertung. Die Selbsteinschätzung erfolgt auf Grundlage des VDA-ISA-Fragenkatalogs. Dazu muss das Unternehmen die Anforderungen an TISAX® anhand seiner eigenen Informationssicherheitsorganisation und -prozesse bewerten. 

Die Selbstbewertung wird von einem externen Auditor überprüft.  

Remote-Audit 

In der zweiten Phase führt der externe Auditor ein Remote-Audit durch. Dazu prüft er die Dokumente und Nachweise, die das Unternehmen in der Selbstbewertung eingereicht hat.  

Das Remote-Audit erfolgt in der Regel in Form von Telefon-Interviews und beinhaltet Dokumentations- und Plausibilitätsprüfungen. Die Verifizierung der Selbsteinschätzung erfolgt meistens auf Grundlage der Aktenlage. 

Assessment Level 2,5 nach TISAX® 

Neben Assessment Level 1, 2 und 3 gibt es auch noch das Assessment Level 2,5. Das AL 2,5 ist eine alternative Methode zur Durchführung einer Prüfung im Assessment Level 2. In diesem Assessment führt der Auditor zwar ebenfalls eine vollständige Fernprüfung durch, aber er verifiziert, ob das ISMS des Unternehmens die geltenden Anforderungen erfüllt. Die on-site Prüfungen von Assessment Level 3 finden jedoch nicht statt. 

Aufgrund der Verifizierung ist die Prüfung methodisch mit Assessment Level 3 kompatibel und ein Upgrade ist mit geringem Aufwand möglich. Wenn Unternehmen nur Assessment Level 2 benötigen, aber in Zukunft Assessment Level 3 nicht ausschließen, empfiehlt sich eine Prüfung nach AL 2,5. 

Die wichtigsten Fakten zusammengefasst: Assessment Level 2,5 nach TISAX® 

• Selbsteinschätzung des Unternehmens 

• Wird von einem externen Auditor geprüft 

• Prüfung findet in der Regel remote statt 

• Prüfergebnisse werden verifiziert 

Assessment Level 3 nach TISAX® 

Das Assessment Level 3 nach TISAX® ist das höchste Level der Prüfung. Das Verfahren basiert ebenfalls auf der Selbsteinschätzung des Unternehmens auf Grundlage des VDA-ISA-Fragenkatalogs. 

Allerdings werden die Prüfergebnisse für das Assessment Level 3 nach TISAX® nicht nur remote geprüft, sondern zum AL 3 gehören auch Vor-Ort-Begehungen und Live-Interviews, die ein akkreditierter Auditor durchführt. Dabei werden die Prüfergebnisse verifiziert. Zusätzlich werden Dokumente und Nachweise geprüft, die Durchführung von Prozessen betrachtet, örtliche Gegebenheiten geprüft und ungeplante Interviews mit Prozessbeteiligten durchgeführt. 

Die wichtigsten Fakten zusammengefasst: Assessment Level 3 nach TISAX® 

• Selbsteinschätzung des Unternehmens 

• Systeme werden live geprüft 

• Örtliche Gegebenheiten werden betrachtet 

• Geplante und ungeplante Interviews finden statt 

• Die Durchführung von Prozessen wird beobachtet 

• Wird von einem externen Auditor geprüft 

• Prüfung findet in der Regel vor Ort statt 

• Prüfergebnisse werden verifiziert 

Ablauf des Assessment Level 3 nach TISAX® 

Der Prozess zur Zertifizierung nach TISAX® läuft schrittweise ab und basiert auf einem standardisierten Fragebogen. Auf dieser Grundlage werden Maßnahmen entwickelt und Prozesse optimiert, bis die Konformität nach TISAX® von einem Prüfer abgenommen wird. 

Das Ziel eines Assessments nach TISAX® ist die Listung des Unternehmens auf der TISAX®-Plattform. Unternehmen, die in der Liste als geprüft erscheinen wollen, registrieren sich zunächst und beauftragen dann einen akkreditierten Prüfdienstleister, der die Informationssicherheit im Unternehmen bewertet. 

Die Prüfung für das Level 3 nach TISAX® findet als Vor-Ort-Begehung statt. Um die Wirksamkeit und den Reifegrad des tatsächlich umgesetzten ISMS beurteilen zu können, führt der Auditor grundsätzlich Vor-Ort-Begehungen und Live-Interviews durch – und zwar nicht nur in der Firmenzentrale, sondern potenziell an jedem Standort eines Unternehmens. 

Das Assessment besteht zum einen aus einer grundlegenden Bewertung der Informationssicherheit. Zusätzlich können weitere Module wie Prototypenschutz und Datenschutz geprüft werden. 

War die Prüfung erfolgreich, erstellt die ENX ein entsprechendes Label nach TISAX® in ihrer Datenbank, die alle Interessierten ansehen können. Das Label ist unter allen VDA-Mitgliedern und wichtigen Herstellern wie z. B. BMW, Audi oder Volkswagen anerkannt und meistens gefordert. Der Bericht über das Label und die erreichte Schutzklasse kann von den jeweiligen Unternehmen an entsprechende Kunden, die den Status nach TISAX® abfragen, weitergegeben werden. 

Die Schritte im Überblick: 

1. Registrieren auf der TISAX®-Plattform 

1. Beauftragen eines akkreditierten Auditors 

1. Selbsteinschätzung auf Grundlage des VDA-ISA-Fragenkatalogs 

1. Erstellen eines Maßnahmenplans zur Verbesserung der Informationssicherheit 

1. Umsetzen der Optimierungsmaßnahmen 

1. Assessment durch einen akkreditierten Auditor 

Welche Voraussetzungen müssen erfüllt sein? 

Unabhängig vom angestrebten Level müssen Unternehmen für ein Assessment nach TISAX® die folgenden Voraussetzungen erfüllen:  

• Grundsätzlich kann sich jedes Unternehmen für das Assessment registrieren. Besonders relevant ist es jedoch für Unternehmen der Automobilindustrie und deren Zulieferer, da diese häufig mit sensiblen Daten von Automobilherstellern arbeiten. OEMs fordern daher oft entsprechende Nachweise von ihren Partnern  

• Unternehmen müssen ihr eigenes Informationssicherheits-Managementsystem (ISMS) aufbauen, das den Anforderungen der Automobilindustrie entspricht. Das ISMS kann auf ISO 27001 basieren, muss aber vor allem die spezifischen Kriterien von TISAX® erfüllen  
• Das Unternehmen muss eine Selbstbewertung nach TISAX® durchführen. Die Ergebnisse sollten dokumentiert und für mögliche höhere Assessment Levels bereitgehalten werden 
  

Neben den allgemeinen Voraussetzungen für Assessment Level 3 müssen Unternehmen, die sich für das höchste Assessment Level qualifizieren wollen, die folgenden zusätzlichen Anforderungen erfüllen: 

• Nachweisbarkeit: Das Unternehmen muss nachweisen können, dass die Anforderungen des VDA-ISA-Fragenkatalogs für Assessment Level 3 nach TISAX® erfüllt werden 

• Kontinuierliche Verbesserung: Das Unternehmen sollte ein Programm zur kontinuierlichen Verbesserung der Informationssicherheit implementiert haben 

Welches Level nach TISAX® ist für mich relevant? 

TISAX® ist eine Grundvoraussetzung, um mit OEMs in der Automobilindustrie zusammenzuarbeiten. In der Regel geben die Hersteller vor, welches Label sie von ihren Partnern erwarten und welches Assessment Level nach TISAX® Sie anstreben sollten. 

Wie lange ist ein Zertifikat nach TISAX® gültig? 

Die Ergebnisse des Assessments nach TISAX® sind drei Jahren lang gültig. Das gilt für Level 1, 2 und 3 nach TISAX®. Nach Ablauf dieses Zeitraums muss das Assessment erneut durchgeführt und das Label aktualisiert werden. 

Was sind die Anforderungen für ein Assessment Level nach TISAX®? 

Für eine Zertifizierung nach TISAX® wird festgestellt, ob Ihr Unternehmen die relevanten Informationssicherheits-, Prototypenschutz- und Datenschutzanforderungen erfüllt. 

Um ein Label nach TISAX® zu erhalten, muss ein aktives Informationssicherheits-Managementsystem (ISMS) etabliert sein. Dieses sollte an die spezifischen Sicherheitsanforderungen der Automobilindustrie angepasst sein. 

Für eine erfolgreiche Zertifizierung nach TISAX® ist es zudem wichtig, dass unternehmensinterne Prozessabläufe und Dokumentationen bereits standardisiert sind. Die wichtigsten Voraussetzungen sollten idealerweise schon vor der Registrierung für ein Assessment erfüllt sein. 

Werfen Sie einen Blick auf die wichtigsten Anforderungen: 

• Risikomanagement: Es müssen regelmäßige Kontrollen durchgeführt werden, um Risiken frühzeitig zu erkennen und gezielt zu behandeln 

• Informationssicherheitsrichtlinien: Die Mitarbeitenden müssen die internen Informationssicherheitsrichtlinien verstehen und aktiv umsetzen 

• Prozessdokumentation: Verantwortliche müssen sicherheitsrelevante Prozesse nachvollziehbar dokumentieren 

• Incident-Response-Plan: Das Unternehmen muss in der Lage sein, auf Sicherheitsvorfälle schnell und angemessen zu reagieren 
• Schulungen und Awareness-Programme: Wissen und Bewusstsein für Informationssicherheit und Datenschutz müssen kontinuierlich geschult und gefördert werden 
  

Anforderungen, die für die jeweiligen Assessment Level erfüllt werden müssen, sind unter anderem die Folgenden:

Hier erhalten Sie einen Überblick über die Prüfziele und die damit verbundenen ALs: 

Quelle: TISAX-Teilnehmerhandbuch (enx.com) 

Wie viel kostet eine Zertifizierung nach TISAX®? 

Anforderungen, Prüfziele und Assessment Level sind wichtig – aber was kostet eine Zertifizierung nach TISAX® eigentlich? Es kommt darauf an. 

Die Kosten lassen sich nicht pauschal beziffern, da sie von mehreren Faktoren abhängen: 

• Unternehmensgröße und Komplexität  

• Vorhandene Strukturen und bestehende Maßnahmen  

• Angestrebtes Assessment Level und Prüfziele  

• Anzahl der Standorte  

• Notwendige Maßnahmen vor der Zertifizierung 

Diese Faktoren beeinflussen den finanziellen Aufwand erheblich. Doch es gibt einige Fixkosten, die Unternehmen in jedem Fall einplanen sollten: 

• Kosten für den Auditor 

• Kosten für die Implementierung von Informationssicherheitsmaßnahmen 

• Kosten für Schulungen 

• Kosten für die Dokumentation 

• Kosten für die Aufrechterhaltung der Zertifizierung 

Vorteile der Zertifizierung nach TISAX® 

Mit einer Zertifizierung nach TISAX® zeigt Ihr Unternehmen, dass Sie Informationssicherheit ernst nehmen. Sie qualifizieren sich als zuverlässiger Partner in der Automobilindustrie und legen den Grundstein für eine erfolgreiche Zusammenarbeit mit OEMs. 

Die Zertifizierung nach TISAX® bietet Ihrem Unternehmen damit eine Reihe von Vorteilen, darunter: 

• Verbesserte Informationssicherheit 

• Stärkere Kundenbeziehungen 

• Geringeres Risiko von Sicherheitsvorfällen 

• Erleichterter Zugang zu neuen Märkten 

• Höheres Vertrauen von Kunden und Partnern 

• Verbesserte Wettbewerbsfähigkeit
  

Blitzschnell zur Zertifizierung nach TISAX® mit DataGuard 

Die Zertifizierung nach TISAX® ist eine entscheidende Investition für Unternehmen in der Automobilbranche. Sie verbessert die Informationssicherheit, stärkt Geschäftsbeziehungen und eröffnet neue Marktchancen. 

Wir kombinieren eine KI-gestützte Plattform mit der langjährigen Erfahrung unserer Experten, um Sie schnell und effizient durch den gesamten Zertifizierungsprozess zu führen. 

Automatisieren Sie bis zu 75 % der TISAX®-Dokumentation, reduzieren Sie den manuellen Aufwand und erreichen Sie eine schnelle und kosteneffiziente Zertifizierung Ihres Automobilunternehmens.  

Mit DataGuard haben Sie einen starken Partner an Ihrer Seite, der dank skalierbarer Sicherheitslösungen und kontinuierlicher Beratung dafür sorgt, dass Ihr Unternehmen langfristig den höchsten Sicherheits- und Bewertungsstandards der europäischen Automobilindustrie entspricht.