TISAX® – alles, was du wissen musst

Wer sich das erste Mal mit dem Thema TISAX auseinandersetzt, läuft Gefahr den Wald vor lauter Bäumen nicht zu sehen. Wir bringen Licht ins Dunkel und klären auf: über Definitionen, Zertifizierungen und Prüforganisationen, Anforderungen und die praktische Umsetzung.

Icon Good to know

Was ist TISAX?

TISAX ist die Abkürzung für Trusted Information Security Assessment Exchange. Es handelt sich um einen Standard der Automobilindustrie für die Verarbeitung vertraulicher Informationen und Daten und dem Prototypenschutz.

TISAX wurde 2017 vom Verband der Automobilindustrien VDA ins Leben gerufen und orientiert sich stark an der bestehenden Norm ISO 27001. Der Zertifizierungsprozess wird auf Grundlage des VDA Information Security Assessment (VDA ISA) durchgeführt. Betrieben wird TISAX durch die ENX Association als neutrale Instanz.


Die TISAX-Zertifizierung

TISAX bietet mehr als Maßnahmenempfehlungen – Ziel ist eine TISAX-Zertifizierung. Diese Zertifizierung sind für registrierte Teilnehmerinnen und Teilnehmer auf der Online-Plattform TISAX-Exchange verfügbar. So wird die gemeinsame Anerkennung des Standards gewährleistet.

Um eine Zertifizierung zu erlangen, müssen die Unternehmen die Anforderungen des VDA-ISA Fragenkatalog erfüllen. TISAX-Zertifizierungen gibt es auf unterschiedlichen Leveln und unterschiedlichen Labels. Dazu später mehr.

Anders als bei anderen Zertifizierungen gibt es bei TISAX kein Zertifikat zum Ausdrucken oder als PDF. Stattdessen gibt es ein kleines Label mit der Aufschrift „Result Available”, das auf von der ENX bereitgestellt und auf der jeweiligen Website des Unternehmens eingebunden werden kann.


Wer fordert eine TISAX-Zertifizierung?

Seit 2017 verlangen Auftraggebende der Automobilindustrie, sogenannte OEMs (Original Equipment Manufacturer) TISAX in Rahmenverträgen und Einkaufsbedingungen.

Insbesondere gilt das für Audi, BWM, Mercedes Benz und Volkswagen. Weitere Details, Informationen für Informationssicherheit bei einzelnen OEMs haben wir auf dieser Übersicht für dich zusammengefasst.

Checkliste für den TISAX-Audit

Du möchtest wissen, wie gut dein Unternehmen auf ein TISAX-Audit vorbereitet ist? Wir haben für dich eine übersichtliche Checkliste erstellt, die die wichtigsten Maßnahmen aus den 45 Controls in 7 Kapiteln des ISA Katalogs enthält und dir bei der Vorbereitung auf deine TISAX-Zertifizierung hilft. Fülle jetzt unsere Checkliste aus und finde heraus, wo dein Unternehmen steht.

Checkliste anzeigen

Der TISAX Fragenkatalog

Der TISAX Fragenkatalog wird häufig auch als VDA ISA bezeichnet. VDA ist das Kürzel für den Verband der Automobilindustrie, ISA steht für Information Security Assessment.

Im Prinzip dient der TISAX Fragenkatalog dazu, TISAX Anforderungen zu festzusetzen. Der Fragenkatalog ist die Basis für ein Self-Assessment der Informationssicherheit, TISAX- Audits und auch die eigentliche TISAX Prüfung. Der ISA hat zuletzt im Update 5.0 eine neue Struktur bekommen, unter anderem wurde die Darstellung der Anforderungen in Spalten überführt und einige Themen zusammengefasst. Mehr Informationen zum VDA ISA Fragenkatalog und einen Download findest du hier.


Wer prüft TISAX?

Basis für die TISAX-Prüfung und auch die Zertifizierung ist das VDA Information Security Assessment (VDA ISA). Der VDA ISA Fragebogen wird bereits in 40 Ländern als gemeinsame Prüfungsgrundlage genutzt. TISAX-Audits dürfen ausschließlich von akkreditierten Prüfdienstleistern durchgeführt werden. Auch TISAX-Auditoren müssen eine standardisierte Prüfung über Ihre Kenntnisse ablegen, bevor sie prüfen dürfen.


Welche TISAX Level gibt es?

TISAX unterscheidet eigentlich nur zwei Assessment Level: AL2 und AL3. Den meisten stellt sich sofort die Frage: Was ist AL1? Assessment Level 1 ist eine reine Selbsteinschätzung und hat deswegen eine niedrige Vertrauensstufe und wird offiziell wenig verwendet.
Bei TISAX-Level AL2 überprüfen Prüfdienstleister die eingereichte Selbsteinschätzung auf Plausibilität – in der Regel online. Eine Prüfung im Assessment-Level 3 erfasst umfassend alles auf geltende Anforderungen. Die TISAX-Auditoren prüfen sowohl die Selbsteinschätzung als auch weitere eingereichte Unterlagen, es werden Interviews durchgeführt und auch eine Begehung vor Ort.


Welche TISAX-Label gibt es?

Neben den oben beschriebenen TISAX-Leveln, gibt es auch TISAX-Label, die sogenannten Freigabe Label. Diese Labels treffen Aussagen über die Art der Freigabe und Klassifizierung der TISAX-Zertifizierung. Insgesamt gibt es 10 Label aufgeteilt in den Kategorien Grundmodul Information und den Zusatzmodulen Datenschutz und Prototypenschutz. Hier findest du eine genaue Übersicht über alle TISAX-Labels.


Was kostet eine TISAX Prüfung?

Die endgültigen Kosten für eine TISAX-Zertifizierung hängen immer vom individuellen Fall ab und werden von verschiedenen Faktoren, wie der Unternehmensgröße, den Ziel-Labeln und den erforderlichen Maßnahmen beeinflusst. Grundsätzlich kannst du als Unternehmen mit einer Spanne von 30.000 – 80.000 Euro für eine TISAX-Zertifizierung rechnen. Alleine die Kosten für die Prüfung beginnen bei 5.000-8.000€. Wir haben alles anhand von drei Beispielen verständlich aufgeschlüsselt. Hier geht es zur Übersicht für die TISAX-Kosten.


Was macht ein ISB und was hat das mit TISAX zu tun?

Eine gesetzliche Verpflichtung zur Bestellung eines oder einer Informationssicherheitsbeauftragten (ISB) besteht nur für Unternehmen der kritischen Infrastruktur, zum Beispiel für Energieversorger oder Telekommunikationsunternehmen.
Aber auch in anderen Branchen führt kein Weg daran vorbei. Gilt TISAX beispielsweise als Grundlage für die geschäftliche Zusammenarbeit, muss die Einführung eines Information Security Management System (ISMS) und die Bestellung einer oder eines ISB nachgewiesen werden. Ein ISB verwaltet und koordiniert Maßnahmen rund um Informationssicherheit: etwa die Verarbeitung, Verwaltung und das Speichern von Informationen.


Was ist der Unterschied zwischen TISAX und ISO 27001?

TISAX ist eine Weiterentwicklung der internationalen Norm IS0 27001. Der VDA und die ENX Association haben diese Norm jedoch um einige branchenspezifische Anforderungen ergänzt, so zum Beispiel Datenschutz oder den Prototypenschutz. Auch der Prüfprozess und die empfohlenen Maßnahmen sind verändert