Verstehen Sie, was zählt: Erfahren Sie, welche Anforderungen Sie für ein erfolgreiches Assessment nach TISAX® erfüllen müssen
Klare Übersicht: Prüfkriterien, Reifegrade und Anforderungen aus dem VDA ISA-Fragenkatalog – kompakt erklärt
Schneller zum Laben nach TISAX®: Lernen Sie, wie Sie Ihr ISMS effizient vorbereiten, Audits meistern und mit DataGuard bis zu 75% Aufwand sparen
Wichtig zu wissen: Was ist TISAX® eigentlich?
TISAX® (Trusted Information Security Assessment Exchange) ist ein Prüf- und Austauschverfahren für Informationssicherheit in der Automobilindustrie. Mit einer Zertifizierung nach TISAX® weisen Unternehmen nach, dass sie entsprechenden Anforderungen an Informationssicherheit, Prototypen- und Datenschutz nachkommen, die für die Automobilindustrie wichtig sind.
Das Label sorgt für Vertrauen bei den Herstellern und erleichtert die Zusammenarbeit. Zulieferer, die mit deutschen Automobilherstellern zusammenarbeiten wollen, sollten in der Lage sein, ihre Informationssicherheit durch eine Zertifizierung nach TISAX® nachweisen.
Entwickelt wurde TISAX® ursprünglich vom VDA, dem Verband der Deutschen Automobilindustrie. Inzwischen gilt der Standard längst europaweit. Seit dem Jahr 2000 ist TISAX® eine eingetragene Marke der ENX Association, des Verbands der europäischen Automobilindustrie.
Das Prüfverfahren basiert auf einem ISA-Fragebogen des VDA (VDA-ISA), der eine Reihe von Anforderungen an die Informationssicherheit in der Automobilindustrie definiert. ISA steht für Information Security Assessment.
Die TISAX® Anforderungen sind vergleichbar mit denen der ISO 27001. Teilnehmende Unternehmen müssen nachweisen, dass sie über ein etabliertes und zuverlässig funktionierendes Informationssicherheits-Managementsystem (ISMS) gemäß ISO 27001 verfügen.
Der für TISAX® relevante VDA ISA Fragenkatalog, der von der ENX Association herausgegeben wird, gibt keine weiteren Hinweise darauf, wie das ISMS aufgebaut sein muss – das wird vorausgesetzt.
Dennoch gibt es im Hinblick auf die TISAX® Anforderungen durchaus Unterschiede zur ISO 27001. Diese hängen von den angestrebten Prüfzielen und den damit verbundenen Assessment nach TISAX® Leveln ab.
Maßgeblich für das Assessment ist der VDA ISA Fragenkatalog. Er wird sowohl für das Self-Assessment herangezogen als auch für Überprüfungen durch den Auditor.
Beim VDA ISA Fragenkatalog handelt es sich um ein strukturiertes Excel-Dokument mit 300 Fragen. Für jeden Prüfbereich sind darin sämtliche Teilziele sowie die zugehörigen Kontrollfragen definiert.
Zu jedem Teilziel finden sich im Excel-Dokument vier Anforderungsspalten, um die Anforderungen gemäß der unterschiedlich hohen Schutzbedarfe abzubilden.
Die Anforderungen an TISAX® werden neben allen Prüfzielen und Reifegraden im Anforderungskatalog VDA ISA in einem Excel Dokument in vier Spalten zusammengefasst. Nach der Wahl des entsprechenden Prüfziels werden die zugehörigen Anforderungen aufgelistet. Ihre Umsetzung im Unternehmen kann mithilfe der Kontrollfragen nach Reifegraden bewertet werden.
Die Anforderungen für jedes Prüfziel werden in vier Spalten eingeteilt:
Für jede Kategorie werden Anforderungen vermerkt, die für das Erfüllen des zugehörigen Prüfziels umzusetzen sind.
Aktuell gibt es 10 Prüfziele, für die spezielle Anforderungen definiert sind. Sechs für die Informationssicherheit, vier für den Prototypenschutz und zwei zum Thema Datenschutz.
Aber welche Anforderungen gelten für welches Prüfziel? Wir haben Ihnen alle Anforderungen und Kriterienkataloge in einer Übersicht zusammengefasst:
| Prüfziel | Anforderungen | Assessment Level (AL) |
| Info high | Kriterienkatalog Informationssicherheit: sollte, muss und hoher Schutzbedarf | 2 |
| Info very high | Kriterienkatalog Informationssicherheit: sollte, muss, hoher und sehr hoher Schutzbedarf | 3 |
| Confidential | Kriterienkatalog Informationssicherheit: sollte, muss und hoher Schutzbedarf | 2 |
| Strictly confidential | Kriterienkatalog Informationssicherheit: sollte, muss, hoher und sehr hoher Schutzbedarf | 3 |
| High availability | Kriterienkatalog Informationssicherheit: sollte, muss und hoher Schutzbedarf | 2 |
| Very high availability | Kriterienkatalog Informationssicherheit: sollte, muss, hoher und sehr hoher Schutzbedarf | 3 |
| Proto Parts | Kriterienkatalog Prototypenschutz: sollte und muss aus Abschnitt 8.1, 8.2 und 8.3 | 3 |
| Proto vehicles | Kriterienkatalog Prototypenschutz: sollte, muss und Zusatzanforderungen aus 8.1, 8.2 und 8.3 | 3 |
| Test vehicles | Kriterienkatalog Prototypenschutz: sollte und muss aus Abschnitt 8.2, 8.3 und 8.4 | 3 |
| Proto events | Kriterienkatalog Prototypenschutz: sollte und muss aus Abschnitt 8.2, 8.3 und 8.5 | 3 |
| Data | Kriterienkatalog Informationssicherheit: sollte, muss und hoher Schutzbedarf (falls mit C markiert), Plus Kriterienkatalog Datenschutz | 2 |
| Special Data | Kriterienkatalog Informationssicherheit: sollte, muss, hoher und sehr hoher Schutzbedarf (falls mit C markiert), Plus Kriterienkatalog Datenschutz | 3 |
Ob Ihr ISMS die Anforderungen erfüllt oder nicht, hängt auch davon ab, mit welchem Reifegrad der Auditor die Umsetzung für ein Teilziel bewertet.
Es gibt sechs Reifegrade. Die Skala reicht von 0 für „unvollständig“ bis 5 für „optimierend“ im Sinne von „wird fortlaufend weiter verbessert“. Der Durchschnitt aller Teilergebnisse ergibt am Ende den Reifegrad des ISMS. Für die Zertifizierung nach TISAX® muss mindestens Reifegrad 3 erreicht werden. Allerdings wird für die Berechnung maximal der Wert 3 genommen. Das heißst, eine 1 kann nicht mit einer 5 ausgeglichen werden. Unternehmen brauchen mindestens eine 2,7, um zu bestehen.
| Reifegrad | In einem Wort | Beschreibung |
| 0 | Unvollständig | Es gibt keinen Prozess, es wird keinem Prozess gefolgt oder der Prozess ist nicht geeignet, um das Ziel zu erreichen |
| 1 | Durchgeführt | Es wird einem nicht oder unvollstandig dokumentierten Prozess gefolgt ("informeller Prozess") und es existieren Indizien, dass er sein Ziel erreicht. |
| 2 | Gesteuert | Es wird einem Prozess gefolgt der seine Ziele erreicht. Prozessdokumentation und Prozessdurchführungsnachweise sind vorhanden. |
| 3 | Etabliert | Es wird einem Standardprozess gefolgt, der in das Gesamtsystem integriert ist. Abhängigkeiten zu anderen Prozessen sind dokumentiert und geeignete Schnittstellen geschaffen. Es existieren Nachweise, dass der Prozess über einen längeren Zeitraum nachhaltig und aktiv genutzt wurde. |
| 4 | Vorhersagbar | Es wird einem etablierten Prozess gefolgt. Die Wirksamkeit des Prozesses wird durch Erheben von Kennzahlen kontinuierlich überwacht. Es sind Grenzwerte definiert, bei denen der Prozess als nicht hinreichend wirksam angesehen wird und angepasst werden muss. (Key Performance Indicators) |
| 5 | Optimierend | Es wird einem vorhersagbaren Prozess gefolgt, bei dem die kontinuierliche Verbesserung wesentliches Ziel ist. Die Verbesserung wird von dedizierten Ressourcen aktiv vorangetrieben. |
Wenn Sie ein Prüfziel gewählt haben, steht auch fest, welche Anforderungen Sie für das Prüfziel erfüllen müssen. Um eine Zertifizierung nach TISAX® zu erhalten, müssen Unternehmen nachweisen, dass sie über ein geeignetes ISMS verfügen und die geforderten Standards und Prozesse einhalten.
Um das zu erreichen, führen Unternehmen eine Selbstbewertung anhand des VDA ISA Fragebogens durch: Dabei stellen Sie fest, welche Anforderungen sie bereits erfüllen und an welchen Stellen Maßnahmen optimiert werden müssen.
Bestätigt wird die Selbsteinschätzung je nach gewähltem Prüfziel und Assessment Level anschließend von einem akkreditierten Prüfer. Je nach ausgewählten Prüfziel und entsprechendem Assessment Level erfolgt die Bestätigung auf Vorlage der Nachweise remote oder in einer Prüfung des Unternehmens vor Ort durch den ausgewählten Auditor.
So wie die TISAX® Anforderungen im VDA ISA Fragenkatalog formuliert sind, gelten sie für die theoretische Umsetzung in einem fiktionalen Durchschnittsunternehmen unbekannter Größe.
Die Prüfanleitung ist hochstandardisiert – und nicht in Stein gemeißelt: Es liegt in der Hand des Auditors, die Anleitung angemessen auszulegen und Art, Größe und Struktur eines Unternehmens anzupassen.
Deshalb heißt es im TISAX® Handbuch ausdrücklich: „Der Prüfdienstleister muss immer das Ziel gegen die einzigartige Umsetzung in Ihrem Unternehmen abwägen. Was für das durchschnittliche Unternehmen angemessen ist, kann in Ihrer speziellen Situation nicht ausreichend sein.“
Im Idealfall stellt der Auditor nach einer Überprüfung nach TISAX® die Konformität Ihres ISMS fest. Die TISAX® Anforderungen werden im geforderten Umfang erfüllt.
Es kann aber auch sein, dass Ihr Unternehmen nicht alle Anforderungen erfüllt. In diesem Fall hat der Auditor entweder eine oder mehrere Haupt- beziehungsweise Nebenabweichungen ermittelt.
Bei einem Prüfergebnis mit Nebenabweichungen kann der Prüfer ein vorläufiges Label nach TISAX® erteilen. Das gilt dann eingeschränkt so lange, bis sämtliche Nebenabweichungen beseitigt sind.
Anders sieht es aus, wenn der Prüfer eine oder mehrere Hauptabweichungen von den Anforderungen nach TISAX® feststellt: In diesen Fällen erhalten Sie das angestrebte Label nach TISAX® erst dann, wenn alle Schwachstellen und Probleme beseitigt sind.
Dafür müssen Sie geeignete Kompensations- und Abhilfemaßnahmen entwickeln und diese dem Auditor vorlegen. Genehmigt er die vorgeschlagenen Maßnahmen, müssen diese erfolgreich umgesetzt werden.
Je nach Einschätzung des Auditors kann dieser das Prüfergebnis dann von „hauptabweichend“ auf „nebenabweichend“ umdeklarieren und ein vorläufiges Label nach TISAX® erteilen. Solange dies nicht geschehen ist, kann Ihr Unternehmen im Automobilsektor keine Geschäfte mit OEMs tätigen, die ein Label verlangen.
Organisation, Ressourcen, Kontinuität - das sind die größten Herausforderungen der Anforderungen an TISAX®. Denn ein ISMS-Projekt nach TISAX® ist nur dann erfolgreich, wenn alle involviert sind, die an den Prozessen verantwortlich mitwirken.
Definitiv ja. Der VDA ISA Fragenkatalog ist so geschrieben, dass auch kleine und kleinste Unternehmen damit arbeiten können.
Die Anforderungen an TISAX® sind als Richtlinien zu verstehen, die nicht eins zu eins, sondern so umzusetzen sind, dass die angestrebten Prüfziele und der gewünschte Schutzbedarf in angemessener Wiese und hinreichendem Ausmaß erreicht werden. Ob und wann dies der Fall ist, das beurteilen die Prüfdienstleister für jedes Unternehmen individuell.
Der Aufbau eines ISMS ist aber, genau wie das Audit selbst, immer mit Aufwand und Kosten verbunden. Insbesondere Kleinstbetriebe sollten daher abwägen, ob der Aufwand und die mit einer Zertifizierung nach TISAX® verbundenen Chancen in einem wirtschaftlich sinnvollen Verhältnis stehen.
Nein, gesetzlich vorgeschrieben ist eine Zertifizierung nach TISAX® nicht.
Kein Unternehmen kann dazu verpflichtet werden, ein TISAX®-konformes ISMS einzuführen und dies im Rahmen eines Assessments nach TISAX® auch nachzuweisen.
Einerseits. Andererseits ist ein Nachweis über TISAX® praktisch Pflicht und für alle Unternehmen unverzichtbar, die in der Automobilbranche und als Zulieferer oder Partner für Automobilhersteller tätig sein wollen. Ohne TISAX®-Nachweis wird eine Zusammenarbeit mit den großen OEMs nicht zustande kommen.
Tipp 1: Das Projekt-Management
Sowohl bei der Vorbereitung auf ein Audit nach TISAX® als auch für das kontinuierliche Erfüllen der Anforderungen an TISAX® im laufenden Betrieb ist das Projektmanagement essenziell. Unternehmen sollten Aufbau, Struktur und Organisation ihres ISMS sorgsam planen und sehr systematisch angehen.
Tipp 2: Ressourcenplanung
Haben Sie ein Auge auf das Thema Ressourcen. Denn um die Anforderungen an TISAX® zu erfüllen, müssen im Unternehmen viele Parteien aus unterschiedlichen Abteilungen involviert werden – am besten frühzeitig und in vorher geplantem Umfang auch dauerhaft. Denn ein ISMS gemäß TISAX® ist weder zeitlich begrenzt noch ein reines IT-Projekt. Dessen sollten sich Interessenten bewusst sein und sich im Projekt nach TISAX® entsprechend aufstellen.
Die Zertifizierung nach TISAX® ist ein freiwilliges Verfahren, das Unternehmen der Automobilindustrie durchführen können, um ihre Informationssicherheits-Maßnahmen nachzuweisen. Allerdings bietet die Zertifizierung nach TISAX® Unternehmen der Automobilindustrie einige Vorteile:
Die Anforderungen an TISAX® sind hoch. Beschrieben werden sie im VDA ISA Fragenkatalog – nicht eins zu eins verbindlich, sondern generalisiert.
Auf diese Weise bleibt Prüfdienstleistern der nötige Spielraum in der Auslegung, sodass jedes Unternehmen unabhängig von seiner Größe oder Organisation prinzipiell die Anforderungen an TISAX® erfüllen kann.
Damit das sicher gelingt, stehen Ihnen die Experten von DataGuard mit einer Beratung zu TISAX® zur Seite.
_EasiestSetup_EaseOfSetup.svg)
TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Software-as-a-Service und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.
Alle Angaben dienen lediglich der Information und beruhen auf internen Schätzungen. Diese Informationen sind kein Indikator für KPIs und werden ohne ausdrückliche oder stillschweigende Zusicherungen oder Garantien in Bezug auf Genauigkeit und Zuverlässigkeit gegeben.
{
"@context": "https://schema.org",
"@graph": [
{
"@type": "Organization",
"@id": "www.dataguard.de#organization",
"name": "DataGuard",
"legalName": "DataCo GmbH",
"description": "DataGuard ist der führende europäische Anbieter von Security- und Compliance-Software und wird von über 4.000 Organisationen in mehr als 50 Ländern weltweit geschätzt. Wir helfen Ihnen, Sicherheits- und Compliance-Risiken zu identifizieren und zu managen, Compliance-Anforderungen zu erfüllen und Zertifizierungen schneller zu erreichen. Dabei kombinieren wir maßgeschneiderte Expertenberatung mit KI-gestützter Automatisierung. Unsere speziell entwickelte All-in-One-Plattform basiert auf mehr als 1,5 Millionen Stunden Erfahrung eines Teams zertifizierter Security- und Compliance-Experten.",
"foundingDate": "2018",
"taxID": "DE315880213",
"logo": "https://7759810.fs1.hubspotusercontent-na1.net/hubfs/7759810/DataGuardLogo.svg",
"url": "www.dataguard.de",
"email": "info@dataguard.de",
"telephone": "+49 89 452459 900",
"address": {
"@type": "PostalAddress",
"streetAddress": "Sandstrasse 33",
"addressLocality": "München",
"addressRegion": "Bayern",
"postalCode": "80335",
"addressCountry": "Deutschland"
},
"sameAs": [
"https://www.linkedin.com/company/dataguard1/",
"https://www.youtube.com/channel/UCEQzPZ6sCBCj9cAoBvaLL6w",
"https://x.com/i/flow/login?redirect_after_login=%2FDataGuard_dg"
]
}
]
}✅ Organization schema markup for "DataGuard" has been injected into the document head.