Die TISAX Zertifizierung (Trusted Information Security Assessment Exchange) hat sich in der Automobilindustrie als unverzichtbarer Standard für Informationssicherheit etabliert. Für IT-Dienstleister, Zulieferer und Partner der großen Automobilhersteller ist TISAX nicht mehr nur eine optionale Qualifikation, sondern eine grundlegende Geschäftsvoraussetzung. Als IT-Beratung mit langjähriger Projekterfahrung bei europäischen Automotive-OEMs verstehen wir die komplexen Anforderungen und praktischen Herausforderungen, die mit der TISAX-Zertifizierung verbunden sind.
Was ist TISAX und warum ist es für die Automobilindustrie relevant?
TISAX wurde vom VDA (Verband der Automobilindustrie) entwickelt, um einen einheitlichen Prüf- und Austauschstandard für Informationssicherheit in der automobilen Lieferkette zu schaffen. Der Standard basiert auf dem international anerkannten ISA-Katalog (Information Security Assessment) und adressiert spezifische Anforderungen der Automobilbranche hinsichtlich Datenschutz, Prototypenschutz und IT-Sicherheit.
Die zentrale Herausforderung, die TISAX löst, ist die Vermeidung redundanter Sicherheitsaudits. Vor der Einführung von TISAX mussten Zulieferer oft mehrfach ähnliche Prüfungen durch verschiedene OEMs über sich ergehen lassen. Mit TISAX wird eine Prüfung durchgeführt, deren Ergebnis über die ENX-Plattform (European Network Exchange) mit allen teilnehmenden OEMs geteilt werden kann.
Die drei Schutzziele von TISAX
TISAX fokussiert sich auf drei wesentliche Schutzziele, die für die Zusammenarbeit mit Automobilherstellern kritisch sind:
- Informationssicherheit: Schutz sensibler Unternehmensdaten und technischer Informationen vor unbefugtem Zugriff, Verlust oder Manipulation
- Prototypenschutz: Sicherstellung der physischen und digitalen Sicherheit von Prototypen, Designs und Entwicklungsdaten
- Datenschutz: Gewährleistung der DSGVO-konformen Verarbeitung personenbezogener Daten
Die TISAX Assessment Levels im Detail
TISAX kennt drei verschiedene Assessment Levels (AL), die sich in Tiefe und Umfang der Prüfung unterscheiden. Die Wahl des passenden Levels hängt von der Art der Geschäftsbeziehung und dem Schutzbedarf der zu verarbeitenden Informationen ab.
Assessment Level 1
AL1 ist die Einstiegsstufe und basiert auf einer Selbstauskunft des Unternehmens ohne externe Prüfung. Dieses Level eignet sich für Geschäftsbeziehungen mit geringem Schutzbedarf und wird nur noch selten von OEMs akzeptiert.
Assessment Level 2
AL2 ist der am häufigsten geforderte Standard und beinhaltet ein vollständiges Audit durch einen akkreditierten Prüfdienstleister. Die Prüfung umfasst sowohl die Überprüfung von Dokumentationen als auch Vor-Ort-Begehungen. Für die meisten IT-Dienstleister und Zulieferer ist AL2 die relevante Zertifizierungsstufe.
Assessment Level 3
AL3 stellt die höchste Anforderungsstufe dar und wird bei besonders sensiblen Projekten mit sehr hohem Schutzbedarf gefordert. Zusätzlich zu AL2 werden hier auch Interviews mit Mitarbeitern durchgeführt und technische Sicherheitsmaßnahmen detailliert geprüft.
Der Weg zur TISAX-Zertifizierung: Schritt für Schritt
Die Vorbereitung auf eine TISAX-Zertifizierung ist ein strukturierter Prozess, der je nach Ausgangssituation des Unternehmens zwischen drei und zwölf Monaten dauern kann. Aus unserer Projekterfahrung bei großen europäischen OEMs haben wir einen bewährten Implementierungsansatz entwickelt.
Phase 1: Gap-Analyse und Scope-Definition
Der erste Schritt besteht in einer ehrlichen Bestandsaufnahme. Welche Sicherheitsmaßnahmen sind bereits vorhanden? Wo bestehen Lücken im Vergleich zu den TISAX-Anforderungen? Die Scope-Definition ist dabei entscheidend: Es muss klar definiert werden, welche Organisationseinheiten, Standorte und Prozesse in das Assessment einbezogen werden sollen.
In dieser Phase empfehlen wir die Durchführung eines internen Pre-Assessments anhand des ISA-Katalogs. Die rund 120 Kontrollfragen des Katalogs geben eine klare Orientierung über den erforderlichen Handlungsbedarf.
Phase 2: Implementierung der Sicherheitsmaßnahmen
Basierend auf der Gap-Analyse werden nun die fehlenden Sicherheitsmaßnahmen implementiert. Dies betrifft typischerweise mehrere Bereiche:
- Organisatorische Maßnahmen: Erstellung oder Aktualisierung von Sicherheitsrichtlinien, Prozessdokumentationen und Verantwortlichkeitsregelungen
- Technische Maßnahmen: Implementierung von Zugangskontrollen, Verschlüsselung, Netzwerksegmentierung, Logging und Monitoring
- Physische Sicherheit: Zugangskontrollsysteme, Besucherregelungen, sichere Bereiche für Prototypen
- Personal- und Awareness-Maßnahmen: Schulungen, Verpflichtungserklärungen, Sensibilisierung für Sicherheitsthemen
Phase 3: Dokumentation und Nachweisführung
Ein kritischer Erfolgsfaktor für das TISAX-Audit ist eine lückenlose Dokumentation. Auditor:innen benötigen Nachweise, dass Sicherheitsmaßnahmen nicht nur auf dem Papier existieren, sondern gelebt werden. Hierzu gehören:
- Informationssicherheits-Management-System (ISMS) Dokumentation
- Risikoanalysen und Schutzbedarfsfeststellungen
- Schulungsnachweise und Sensibilisierungsmaßnahmen
- Incident-Management-Protokolle
- Protokolle über Sicherheitsüberprüfungen und Tests
- Verträge mit Dienstleistern inklusive Sicherheitsvereinbarungen
Phase 4: Das eigentliche TISAX-Audit
Sobald das Unternehmen sich bereit fühlt, wird über die ENX-Plattform ein akkreditierter Audit Provider beauftragt. Das Audit selbst gliedert sich in mehrere Teile:
Die Dokumentenprüfung erfolgt remote und umfasst die Analyse aller relevanten Richtlinien, Prozesse und Nachweise. Anschließend findet die Vor-Ort-Prüfung statt, bei der die Auditor:innen die praktische Umsetzung der dokumentierten Maßnahmen überprüfen. Dies beinhaltet Rundgänge durch die Räumlichkeiten, Stichproben bei technischen Systemen und bei AL3 auch Mitarbeiterinterviews.
Typische Herausforderungen und Stolpersteine
Aus unserer Beratungspraxis kennen wir die häufigsten Fallstricke, die Unternehmen auf dem Weg zur TISAX-Zertifizierung begegnen:
Unterschätzung des Aufwands
Viele Unternehmen gehen davon aus, dass bestehende ISO 27001-Zertifizierungen oder allgemeine IT-Sicherheitsmaßnahmen ausreichen. TISAX hat jedoch spezifische Anforderungen, insbesondere beim Prototypenschutz, die über klassische Informationssicherheit hinausgehen.
Mangelhafte Scope-Abgrenzung
Eine unklare Definition des Audit-Scopes führt häufig zu Problemen. Wenn beispielsweise Cloud-Dienstleister oder externe Rechenzentren genutzt werden, muss geklärt werden, ob und wie diese in den Scope einbezogen werden müssen.
Fehlende gelebte Praxis
Dokumentation allein reicht nicht aus. Auditor:innen überprüfen gezielt, ob Sicherheitsmaßnahmen im Alltag tatsächlich angewendet werden. Fehlende Schulungsnachweise, nicht durchgeführte Reviews oder ignorierte Sicherheitsrichtlinien führen zu Nichtkonformitäten.
TISAX und moderne IT-Architekturen
In Zeiten von Cloud Computing, Remote Work und agiler Softwareentwicklung stellt TISAX besondere Herausforderungen an moderne IT-Architekturen. Aus unseren Projekten bei Automotive-OEMs haben wir Best Practices entwickelt, wie sich TISAX-Compliance mit zeitgemäßen IT-Konzepten vereinbaren lässt.
Cloud Services und TISAX
Die Nutzung von Cloud-Diensten ist grundsätzlich TISAX-konform möglich, erfordert aber sorgfältige Planung. Entscheidend ist die Auswahl von Cloud-Providern mit entsprechenden Zertifizierungen (z.B. ISO 27001, C5) und die Implementierung zusätzlicher Schutzmaßnahmen wie Verschlüsselung und Zugangskontrollen. Bei der Verarbeitung besonders sensibler Daten empfehlen wir den Einsatz von Private Cloud oder Hybrid-Cloud-Architekturen mit deutschen Rechenzentren.
DevOps und Continuous Integration
Moderne Entwicklungsprozesse mit CI/CD-Pipelines müssen unter TISAX besonders abgesichert werden. Dies umfasst sichere Code-Repositories, Zugriffsverwaltung, automatisierte Sicherheitstests und sichere Deployment-Prozesse. Unsere Erfahrung zeigt, dass eine konsequente Infrastructure-as-Code-Strategie die TISAX-Compliance sogar erleichtern kann, da Konfigurationen versioniert und nachvollziehbar sind.
Die Rolle von AI und ML unter TISAX-Gesichtspunkten
Als Beratung mit AI Engineering-Kompetenz beobachten wir, dass künstliche Intelligenz und Machine Learning zunehmend in automotive Entwicklungsprozesse Einzug halten. Hier entstehen neue Sicherheitsherausforderungen: Trainingsdaten können sensitive Informationen enthalten, ML-Modelle selbst stellen schützenswertes geistiges Eigentum dar, und KI-Systeme können neue Angriffsvektoren eröffnen.
TISAX adressiert diese Themen zwar nicht explizit, die allgemeinen Prinzipien der Informationssicherheit gelten jedoch auch hier. Wir empfehlen für KI-Projekte im Automotive-Kontext besondere Maßnahmen wie Data Governance-Frameworks, Modell-Versionierung, sichere MLOps-Pipelines und spezielle Zugriffskontrollkonzepte.
Aufrechterhaltung und Rezertifizierung
Eine TISAX-Zertifizierung ist drei Jahre gültig. Dies bedeutet jedoch nicht, dass in diesem Zeitraum keine Aktivitäten erforderlich sind. Ein effektives Informationssicherheits-Management muss kontinuierlich betrieben werden. Regelmäßige interne Audits, Updates von Risikoanalysen und Anpassungen an neue Bedrohungslagen sind essentiell.
Zudem verlangen viele OEMs bereits deutlich vor Ablauf der drei Jahre eine Rezertifizierung, insbesondere wenn sich Scope, Standorte oder wesentliche Prozesse geändert haben. Eine proaktive Überwachung der Gültigkeit und rechtzeitige Planung der Rezertifizierung ist daher unerlässlich.
Häufig gestellte Fragen
Wie lange dauert eine TISAX-Zertifizierung und was kostet sie?
Die Gesamtdauer von der Entscheidung bis zur erfolgreichen Zertifizierung beträgt typischerweise 4-8 Monate, abhängig vom Reifegrad der bestehenden Sicherheitsmaßnahmen. Die Kosten setzen sich zusammen aus internen Aufwänden für Implementierung und Dokumentation (oft 50-200 Personentage), externen Beratungskosten (optional, 20.000-80.000 EUR je nach Unternehmensgröße) und Audit-Gebühren (5.000-25.000 EUR je nach Scope und Assessment Level). Die Gesamtinvestition liegt für mittelständische IT-Dienstleister typischerweise zwischen 40.000 und 150.000 EUR.
Kann ein Unternehmen ohne ISO 27001 TISAX-zertifiziert werden?
Ja, eine bestehende ISO 27001-Zertifizierung ist keine Voraussetzung für TISAX. Allerdings basiert TISAX auf ähnlichen Prinzipien wie ISO 27001, sodass vorhandene ISMS-Strukturen die Vorbereitung erheblich erleichtern. Unternehmen ohne ISO 27001 können TISAX direkt anstreben, müssen dann aber alle erforderlichen Sicherheitsmaßnahmen und Dokumentationen von Grund auf aufbauen. In der Praxis nutzen viele Unternehmen die TISAX-Vorbereitung auch als Einstieg in ein umfassendes ISMS, das später auch für ISO 27001 genutzt werden kann.
Welche Rolle spielen Subunternehmer und Cloud-Provider bei TISAX?
Subunternehmer und Cloud-Provider müssen im Rahmen der TISAX-Zertifizierung besonders betrachtet werden. Grundsätzlich gilt: Das zertifizierte Unternehmen bleibt verantwortlich für die Sicherheit, auch wenn Dienste ausgelagert werden. Dies bedeutet, dass entsprechende Sicherheitsvereinbarungen getroffen, Dienstleister sorgfältig ausgewählt und deren Sicherheitsniveau regelmäßig überprüft werden müssen. Cloud-Provider sollten über eigene relevante Zertifizierungen verfügen. Bei kritischen Diensten kann auch eine eigene TISAX-Zertifizierung des Dienstleisters erforderlich sein. Die genaue Handhabung hängt vom Schutzbedarf der verarbeiteten Informationen ab.
Was passiert, wenn das TISAX-Audit nicht bestanden wird?
TISAX kennt kein striktes "Bestanden/Nicht bestanden", sondern arbeitet mit einem differenzierten Bewertungssystem. Festgestellte Nichtkonformitäten werden klassifiziert nach ihrer Schwere. Bei geringfügigen Abweichungen kann das Assessment Label trotzdem erteilt werden, mit der Auflage, die Mängel innerhalb einer Frist zu beheben. Bei schwerwiegenden Mängeln wird das Label nicht erteilt und es müssen zunächst grundlegende Sicherheitslücken geschlossen werden, bevor ein erneutes Audit sinnvoll ist. In jedem Fall erhält das Unternehmen einen detaillierten Auditbericht mit konkreten Verbesserungsempfehlungen. Die meisten Unternehmen nutzen diese Erkenntnisse für gezielte Nachbesserungen.
Wie unterscheidet sich TISAX von anderen Sicherheitsstandards wie ISO 27001 oder BSI Grundschutz?
Während ISO 27001 ein allgemeiner, international anerkannter Standard für Informationssicherheits-Management-Systeme ist und der BSI Grundschutz spezifische Anforderungen für Behörden und kritische Infrastrukturen in Deutschland definiert, ist TISAX speziell auf die Bedürfnisse der Automobilindustrie zugeschnitten. TISAX beinhaltet zusätzliche Anforderungen zum Prototypenschutz und zur physischen Sicherheit, die in anderen Standards nicht in dieser Form vorkommen. Ein wesentlicher Unterschied ist auch das Sharing-Konzept: TISAX-Ergebnisse können über die ENX-Plattform mit allen teilnehmenden OEMs geteilt werden, während ISO 27001-Zertifikate zwar öffentlich sind, aber nicht automatisch gegenseitig anerkannt werden. In der Praxis ergänzen sich die Standards häufig: Eine ISO 27001-Zertifizierung bietet eine solide Basis, auf der TISAX mit branchenspezifischen Anforderungen aufbaut.
