Automotive · VDA ISA · Informationssicherheit

TISAX® – Vertrauenswürdige
Informationssicherheit in der Automobilindustrie

TISAX® (Trusted Information Security Assessment Exchange) ist der Branchenstandard der Automobilindustrie für Informationssicherheit. Compliance Online unterstützt Sie bei der strukturierten Vorbereitung Ihres TISAX®-Assessments auf Basis des VDA ISA-Fragenkatalogs.

VDA / ENX Association TISAX® Label als Nachweis Aktuelle Version: VDA ISA 6.0

Was ist TISAX®?

Der Informationssicherheitsstandard der Automobilindustrie

TISAX® (Trusted Information Security Assessment Exchange) ist ein branchenspezifisches Assessment-Verfahren, das auf dem VDA ISA-Fragenkatalog (Information Security Assessment) basiert und inhaltlich an ISO/IEC 27001 angelehnt ist.

Entwickelt vom Verband der Automobilindustrie (VDA) und betrieben durch die ENX Association, ermöglicht TISAX® Unternehmen, ihr Informationssicherheitsniveau einmalig prüfen zu lassen und das Ergebnis über die TISAX®-Plattform mit mehreren OEMs und Tier-1-Lieferanten zu teilen — ohne wiederholte Einzel-Audits.

Pflicht für Automobilzulieferer: BMW, Mercedes-Benz, Volkswagen, Stellantis und zahlreiche weitere OEMs setzen TISAX® als verbindliche Voraussetzung für die Zusammenarbeit voraus — insbesondere bei Projekten mit schutzbedürftigen Informationen.

Automobilzulieferer (Tier 1 / Tier 2)

Direkte und indirekte Lieferanten, die Prototypen-Informationen, Konstruktionsdaten oder schutzbedürftige Fahrzeugdaten verarbeiten.

IT- und Software-Dienstleister

Unternehmen, die IT-Systeme, Softwarelösungen oder Cloud-Dienste für Automotive-Kunden bereitstellen.

Engineering- und Beratungsunternehmen

Dienstleister, die Zugang zu vertraulichen Entwicklungsinformationen oder Prototypen-Daten erhalten.

VDA ISA Anforderungsbereiche

Was TISAX® / VDA ISA fordert

Informationssicherheit (IS)

Schutz von Informationswerten: Klassifizierung, Zugangskontrollen, Verschlüsselung, Schwachstellenmanagement und Incident Response.

Prototypenschutz

Besondere Anforderungen zum physischen und logischen Schutz von Prototypen, Testfahrzeugen und unveröffentlichten Fahrzeugdesigns.

Datenschutz (DSGVO-Kontext)

Verarbeitung personenbezogener Daten im Automobilumfeld, insbesondere Anforderungen an Auftragsverarbeitung und Betroffenenrechte.

Lieferantenkette

Anforderungen an das Management von Unterlieferanten, die ihrerseits Zugang zu schutzbedürftigen Informationen erhalten.

Risikobeurteilung

Systematische Bewertung von Risiken für Informationswerte — Grundlage für die Ableitung und Umsetzung von Schutzmaßnahmen.

Interne Überprüfung

Regelmäßige interne Kontrollen des Informationssicherheitsniveaus als Vorbereitung auf das externe TISAX®-Assessment.

Mit Compliance Online

In 3 Schritten zum TISAX®-Label

IST-Stand analysieren

VDA ISA Fragenkatalog systematisch durcharbeiten, Informationswerte erfassen und bestehende Maßnahmen dokumentieren — Gap-Analyse als Grundlage.

Maßnahmen umsetzen

Identifizierte Lücken schließen: Maßnahmenmanagement, Richtlinien erstellen, Schulungen durchführen und Nachweise strukturiert ablegen.

Assessment bestehen

Zugelassenen TISAX®-Prüfdienstleister beauftragen, Assessment durchführen lassen und Label über die ENX-Plattform teilen.

Relevante Module

Managementsysteme Asset-Register Risikoanalysen Interne Audits Checklisten Schulungsplattform

FAQ

Häufige Fragen zu TISAX®

TISAX® basiert inhaltlich auf ISO 27001, ist aber spezifisch für die Automobilindustrie ausgerichtet und enthält branchenspezifische Anforderungen (z.B. Prototypenschutz). Das Assessment erfolgt durch zugelassene TISAX®-Prüfdienstleister; das Label wird über die ENX-Plattform geteilt. Eine ISO-27001-Zertifizierung kann die TISAX®-Vorbereitung erheblich erleichtern.

TISAX® unterscheidet drei Assessment-Level: AL1 (Self-Assessment, nur für interne Nutzung), AL2 (Remote-Assessment durch Prüfdienstleister, für normale Schutzbedarfe) und AL3 (Vor-Ort-Assessment, für hohe und sehr hohe Schutzbedarfe wie Prototypen). Der benötigte Level wird in der Regel vom OEM vorgegeben.

Ein TISAX®-Label ist drei Jahre gültig. Danach ist eine erneute Prüfung erforderlich. Unternehmen sollten die kontinuierliche Dokumentation ihrer Maßnahmen sicherstellen, um bei der Folgebewertung gut vorbereitet zu sein.

Grundsätzlich ja — jedes Unternehmen führt sein eigenes Assessment durch. Das Ergebnis (Label) wird dann über die ENX-Plattform mit den berechtigten OEMs und Tier-1-Lieferanten geteilt, sodass kein separates Audit pro Kunde notwendig ist.