NIS2 Betroffenheitscheck
Ist Ihr Unternehmen von der NIS2-Richtlinie betroffen? Machen Sie den Betroffenheitscheck
Zum Check
Bg Shape
Alle Beiträge
TISAX

Was ist eine TISAX® Prüfung? Der Schlüssel zur Automobilbranche

Veröffentlicht am 09.05.2025
.
8 min. Lesedauer
Termin Vereinbaren
Inhaltsverzeichnis

In einer Welt, in der Prototypen-Fotos Millionen wert sein können und Konstruktionsdaten das digitale Gold der Automobilindustrie darstellen, erlangt der Schutz sensibler Informationen höchste Priorität. Große Namen wie BMW oder Volkswagen verlangen zunehmend ein TISAX®-Label – ein Prüfzeichen, das Unternehmen aus der gesamten Lieferkette verbinden und deren Informationssicherheit bestätigen soll. Hersteller spielen dabei als zentrale Akteure im TISAX®-Prozess eine entscheidende Rolle, da sie an den Governance-Prozessen beteiligt sind und die Einhaltung der Prüfungsstandards überwachen. TISAX® ist in der gesamten Branche der Automobilindustrie als Standard anerkannt und akzeptiert. Doch was verbirgt sich genau hinter einer TISAX® Prüfung und wie können Sie den Prüfprozess erfolgreich bewältigen? In diesem Leitfaden werfen wir einen detaillierten Blick auf das standardisierte Prüf- und Austauschverfahren TISAX® (Trusted Information Security Assessment Exchange) und zeigen Ihnen, wie Sie Ihr Unternehmen Schritt für Schritt optimal vorbereiten.

TISAX® fungiert als Austauschmechanismus, der den standardisierten Austausch geprüfter Sicherheitsinformationen in der Branche ermöglicht und so die gegenseitige Anerkennung von Prüfergebnissen sicherstellt.

Was ist eine TISAX® Prüfung? – Definition und Grundlagen

Die TISAX®-Prüfung ist ein strukturiertes Verfahren zur Bewertung und Validierung der Informationssicherheit, das speziell für Unternehmen in der Automobilindustrie entwickelt wurde. TISAX® ist eine Norm, die auf der international anerkannten ISO IEC 27001 basiert und die Bedeutung internationaler Normen für den Schutz sensibler Informationen unterstreicht. Im Zentrum des Prozesses steht ein systematisches Assessment, bei dem die Einhaltung der im VDA ISA (Verband der Automobilindustrie Information Security Assessment) definierten Sicherheitsanforderungen überprüft wird, wobei auch die Anforderungen aus Artikel 32 der DSGVO zur Sicherheit der Verarbeitung personenbezogener Daten berücksichtigt werden.

Anders als herkömmliche IT-Sicherheitsprüfungen berücksichtigt TISAX® den besonderen Schutzbedarf im Umgang mit sensiblen Entwicklungsdaten, Prototypinformationen und vernetzten Fahrzeugsystemen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der IT-Grundschutz spielen eine zentrale Rolle bei der Entwicklung von Sicherheitsstandards, die als Grundlage für die TISAX®-Prüfungen dienen. Die Prüfung erfolgt durch akkreditierte Dienstleister, die anhand eines umfassenden Kriterienkatalogs alle sicherheitsrelevanten Aspekte untersuchen – von der Implementierung eines Informationssicherheitsmanagementsystems (ISMS) über physische Zugangskontrollen bis hin zu spezifischen Maßnahmen zur Absicherung von Konstruktionsdaten.

Die besondere Stärke des TISAX®-Systems liegt in der branchenweiten Akzeptanz und im standardisierten Austausch der Prüfergebnisse. Im Rahmen des TISAX®-Systems werden die Pflichten und Rechte der Teilnehmer und Prüfdienstleister vertraglich geregelt, um die Einhaltung der Anforderungen sicherzustellen. Nach erfolgreicher Beendigung der Prüfung erhalten Unternehmen ein TISAX®-Label, das ihre Konformität mit den definierten Anforderungen bestätigt und dabei hilft, den administrativen Aufwand für wiederholte Einzelprüfungen zu vermeiden. Dieses Label hat eine Gültigkeit von drei Jahren und bietet Zulieferern, Dienstleistern und Lieferanten in der gesamten Automobilindustrie einen systematischen Ansatz zur kontinuierlichen Verbesserung ihrer Informationssicherheit.

TISAX® wurde 2017 vom VDA ins Leben gerufen und hat sich seitdem als De-facto-Standard für Informationssicherheit in der Automobilbranche etabliert. Die Objektivität und Qualität der Prüfungen sowie der Prüfergebnisse werden durch die ENX Association überwacht, um die Integrität des Bewertungsprozesses zu gewährleisten. Die Rolle der Dienstleister und Lieferanten ist dabei zentral, da sie regelmäßig Prüfungen durchlaufen, um die Einhaltung der branchenspezifischen Sicherheitsanforderungen zu belegen. Ein besonderer Fokus liegt auf der sicheren Verarbeitung von Informationen und personenbezogenen Daten im Rahmen von TISAX®, wobei die Anforderungen aus Artikel 32 DSGVO maßgeblich sind. Die Resultate der Prüfungen werden hinsichtlich ihrer Einhaltung der Standards und der Sicherstellung der Sicherheit bewertet, um ein hohes Maß an Vertrauen und Schutz in der gesamten Branche zu gewährleisten. Wichtig zu verstehen ist, dass TISAX® keine Zertifizierung im klassischen Sinne darstellt, sondern ein branchenspezifisches Assessment-Modell, das auf den ISO 27001-Grundsätzen basiert, aber speziell auf die Bedürfnisse der Automobilindustrie zugeschnitten ist.

Grundlagen der Informationssicherheit in der Automobilbranche

In der Automobilbranche ist Informationssicherheit weit mehr als ein technisches Schlagwort – sie bildet die Basis für Vertrauen, Innovation und nachhaltige Zusammenarbeit zwischen Unternehmen, Zulieferern und Geschäftspartnern

TISAX® im Kontext: Zertifizierungen und Standards im Vergleich

Der TISAX®-Prüfungsprozess: Von der Registrierung bis zum Label

Der Weg zum TISAX®-Label ist klar strukturiert und unterteilt sich in drei zentrale Phasen, die den gesamten Prozess transparent und nachvollziehbar machen:

Nach Abschluss der Prüfung werden die Ergebnisse im TISAX®-Portal veröffentlicht. Dabei wird sichergestellt, dass die Objektivität und Qualität der Resultate durch die ENX-Organisation überwacht werden. Zudem bleiben die Rechte der Teilnehmer bei der Veröffentlichung der Prüfergebnisse gewahrt.

1. Registrierung im ENX-Portal

Der erste Schritt ist die Registrierung im ENX-Portal, bei der der Geltungsbereich der Prüfung präzise definiert wird. Hier erfassen Sie Unternehmensdaten, wählen anhand Ihrer geschäftlichen Anforderungen die relevanten Prüfziele aus und legen den geografischen sowie organisatorischen Umfang des Assessments fest.

Diese detaillierte Scope-Definition ist entscheidend, da sie bestimmt, welche Unternehmensbereiche und Prozesse geprüft werden müssen. Ein zu eng gefasster Scope könnte wichtige Sicherheitsaspekte übersehen, während ein zu weit gefasster Scope unnötige Kosten verursacht. Trustspace empfiehlt hier, sich von Experten beraten zu lassen, um den optimalen Prüfumfang festzulegen.

Die Registrierungsgebühren variieren je nach Unternehmensgröße und gewähltem Assessment-Level. Die Höhe der Gebühren und die Einordnung als kleines oder mittleres Unternehmen (KMU) hängen von der Zahl der beschäftigten Mitarbeiter und dem Umsatz ab, wie sie von der EU-Kommission definiert werden. Unternehmen, die Teil einer größeren Unternehmensgruppe sind, müssen dies bei der Registrierung angeben. Statistiken spielen eine wichtige Rolle bei der Abgrenzung und Analyse von KMU im TISAX®-Kontext, da sie auf Basis der von der EU-Kommission festgelegten Kriterien wie Beschäftigtenzahl und Umsatz erstellt werden. Nach Abschluss der Registrierung erhalten Sie eine eindeutige TISAX®-ID, die Ihr Unternehmen im gesamten TISAX®-Ökosystem identifiziert.

2. Prüfung

In der zweiten Phase erfolgt die eigentliche Bewertung Ihrer Informationssicherheitsmaßnahmen. Zunächst wird oft eine interne Selbsteinschätzung (Assessment Level 1) durchgeführt, die eventuelle Schwachstellen frühzeitig aufzeigt. Diese Selbsteinschätzung umfasst über 50 Kontrollanforderungen mit mehr als 300 Einzelfragen und sollte gründlich und ehrlich durchgeführt werden. Ein zentrales Prüfziel ist dabei die sichere Verarbeitung von Informationen und personenbezogenen Daten.

Anschließend wählen Sie einen vom ENX zugelassenen Prüfdienstleister aus, wobei die Rolle von Dienstleistern bei der Durchführung der TISAX®-Prüfung und der Bewertung der Sicherheitsstandards bei Lieferanten und Partnern besonders im Fokus steht. Abhängig vom gewählten Assessment-Level findet entweder eine Dokumentenprüfung (Level 2) oder eine Vor-Ort-Prüfung inklusive Interviews und Stichproben (Level 3) statt. Der Prüfdienstleister bewertet dabei, inwieweit Ihre implementierten Maßnahmen den TISAX®-Anforderungen entsprechen.

Bei Auftreten von Abweichungen erhalten Sie einen detaillierten Bericht mit Verbesserungsvorschlägen. Sie haben dann die Möglichkeit, diese zu beheben und durch eine Nachprüfung bestätigen zu lassen, dass Ihre Korrekturmaßnahmen effektiv umgesetzt wurden. Dieser iterative Prozess kann mehrere Monate in Anspruch nehmen, weshalb eine frühzeitige Vorbereitung essenziell ist.

3. Ergebnisaustausch

Nach erfolgreicher Durchführung der Prüfung werden die erzielten Ergebnisse in der TISAX®-Plattform veröffentlicht. Sie als Teilnehmer behalten dabei die volle Kontrolle darüber, welche Informationen mit wem geteilt werden. Die Plattform ermöglicht es, den Zugriff auf Ihre Ergebnisse gezielt für bestimmte Geschäftspartner freizugeben.

Diese standardisierte Veröffentlichung ist ein zentraler Mehrwert von TISAX®, da sie nicht nur Zeit und Kosten spart, sondern auch einen einheitlichen Sicherheitsstandard in der gesamten Lieferkette fördert. Über den gesamten Gültigkeitszeitraum von drei Jahren können Sie Ihren Nachweis der TISAX®-Konformität auf einfache Weise erbringen, ohne wiederholt separate Audits durchführen zu müssen.

Beachten Sie, dass jährliche Überwachungsaudits erforderlich sind, um sicherzustellen, dass Ihr Informationssicherheitsniveau aufrechterhalten wird. Diese sind weniger umfangreich als die Erstprüfung, aber dennoch wichtig für die kontinuierliche Gültigkeit Ihres TISAX®-Labels.

Autor
Felix Mosler
Head of Information Security
Termin Vereinbaren

TISAX®-Vorbereitung für KMU: Effiziente ISMS-Implementierung mit TrustspaceOS

Besonders für kleine und mittlere Unternehmen in der Automobilzulieferindustrie stellt die Vorbereitung auf eine TISAX® Prüfung eine spezifische Herausforderung dar. Begrenzte personelle und finanzielle Ressourcen treffen auf ein umfassendes Sicherheitsanforderungsprofil.

Die Experten von Trustspace haben diese Problematik erkannt und mit TrustspaceOS eine spezialisierte ISMS-Software entwickelt, die KMU gezielt unterstützt. Die Plattform hilft dabei, die komplexen TISAX®-Anforderungen in überschaubare Arbeitsschritte zu unterteilen und den gesamten Implementierungsprozess effizient zu gestalten:

  1. Gap-Analyse: TrustspaceOS ermöglicht eine strukturierte Bestandsaufnahme und identifiziert präzise die Lücken zwischen Ihrem aktuellen Sicherheitsniveau und den TISAX®-Anforderungen.
  2. Maßnahmenplanung: Basierend auf der Gap-Analyse generiert die Software einen priorisierten Maßnahmenplan mit klaren Verantwortlichkeiten und Zeitvorgaben.
  3. Dokumentenmanagement: Ein integriertes System mit vorgefertigten Vorlagen reduziert den manuellen Aufwand erheblich und beschleunigt die Erstellung sowie Pflege der notwendigen Nachweise.
  4. Asset- und Risikomanagement: Die Plattform ermöglicht eine lückenlose Erfassung aller sicherheitsrelevanten IT-Komponenten und unterstützt bei der systematischen Risikobewertung.
  5. Lieferantenmanagement: Besonders in der dynamischen Umgebung der Automobilzulieferindustrie ist das Monitoring von Drittanbietern entscheidend – TrustspaceOS macht dies einfach und effektiv.

Der strukturierte Ansatz von TrustspaceOS reduziert nicht nur den Vorbereitungsaufwand für die TISAX® Prüfung, sondern schafft auch einen nachhaltigen Mehrwert für die gesamte Informationssicherheit des Unternehmens. Die Software wächst mit Ihren Anforderungen und unterstützt Sie auch bei anderen Compliance-Aufgaben wie NIS-2 oder ISO 27001.

Die wichtigsten TISAX®-Prüfziele und Assessment-Level im Überblick

Ein zentraler Bestandteil der TISAX® Prüfung ist die Auswahl der passenden Prüfziele und Assessment-Level, die den Umfang und die Intensität der Prüfung festlegen.

TISAX® unterscheidet drei Assessment-Level, deren Wahl vom Schutzbedarf der verarbeiteten Informationen abhängt:

• Assessment-Level 1 (AL 1): Eine interne Selbsteinschätzung, die lediglich auf Vollständigkeit geprüft wird. Diese Stufe dient vor allem der internen Vorbereitung und Identifikation potenzieller Sicherheitslücken. AL1 ist in der Praxis kaum relevant, da die meisten Automobilhersteller mindestens AL2 fordern.

• Assessment-Level 2 (AL 2): Dieser Level richtet sich an Informationen mit hohem Schutzbedarf. Neben einer Plausibilitätsprüfung der Selbsteinschätzung werden Nachweise eingefordert und in der Regel ein Interview mit dem Verantwortlichen für Informationssicherheit durchgeführt – oft als Webkonferenz. AL2 ist für viele Zulieferer ohne direkten Zugang zu hochsensiblen Daten ausreichend.

• Assessment-Level 3 (AL 3): Für Informationen mit sehr hohem Schutzbedarf ist neben den Maßnahmen von AL 2 eine umfassende Vor-Ort-Prüfung erforderlich, bei der die implementierten Sicherheitsmaßnahmen detailliert begutachtet werden. Dies betrifft besonders Unternehmen, die mit Prototypdaten oder vernetzten Fahrzeugsystemen arbeiten.

Die wichtigsten TISAX®-Prüfziele umfassen:

  1. Information Security Basic Assessment: Dies ist das Grundmodul und für alle TISAX®-Teilnehmer verpflichtend. Es umfasst die Basisanforderungen an ein ISMS nach ISO 27001.
  2. Schutz von Prototypen: Dieses Modul richtet sich an Unternehmen, die mit physischen Prototypen oder Prototyp-Komponenten arbeiten und enthält spezifische Anforderungen zu deren Schutz.
  3. Schutz von Prototypdaten: Hier geht es um den Schutz digitaler Prototypdaten, wie CAD-Modelle oder Entwicklungsdokumente und die sichere Verarbeitung dieser sensiblen Daten.
  4. Datenschutz: Dieses Modul prüft die Einhaltung der Datenschutzanforderungen gemäß DSGVO, insbesondere im Hinblick auf die sichere Verarbeitung personenbezogener Daten gemäß Artikel 32 DSGVO.
  5. Connected Car: Spezielle Anforderungen für Unternehmen, die an vernetzten Fahrzeugsystemen arbeiten.

Die systematische Klassifizierung der Daten und die gezielte Auswahl der Prüfziele ermöglichen es, den konkreten Sicherheitsbedarf präzise zu adressieren und so eine erfolgreiche Prüfung zu erreichen. Die Experten von Trustspace empfehlen, frühzeitig eine Datenklassifizierung durchzuführen, um die relevanten Prüfziele korrekt zu identifizieren.

Fazit: TISAX® Prüfung als Schlüssel zur nachhaltigen Informationssicherheit

Die TISAX® Prüfung ist weit mehr als nur eine formale Anforderung – sie stellt ein unverzichtbares Instrument dar, um den hohen Sicherheitsstandards in der Automobilindustrie gerecht zu werden. Durch den klar strukturierten Prozess können Unternehmen nicht nur ihre Sicherheitslücken identifizieren und beheben, sondern auch das gegenseitige Vertrauen in der gesamten Lieferkette signifikant stärken.

Die Vorteile des TISAX®-Labels sind vielfältig:

  • Einheitlicher Sicherheitsstandard in der gesamten Automobilbranche
  • Reduzierung von Mehrfachprüfungen durch gegenseitige Anerkennung
  • Verbesserung der internen Sicherheitsprozesse und des Risikomanagements
  • Wettbewerbsvorteil gegenüber nicht-geprüften Unternehmen
  • Vertrauensbildung bei Kunden und Geschäftspartnern

Besonders für KMU bietet eine spezialisierte Lösung wie TrustspaceOS die Möglichkeit, den gesamten Implementierungsprozess effizient zu bewältigen und damit langfristig wettbewerbsfähig zu bleiben. Die Investition in eine professionelle TISAX®-Vorbereitung zahlt sich mehrfach aus – nicht nur durch den Zugang zu Aufträgen in der Automobilindustrie, sondern auch durch ein insgesamt verbessertes Sicherheitsniveau.

Nutzen Sie den Mehrwert eines TISAX®-Labels, um sich am Markt zu differenzieren und den Schutz Ihrer sensiblen Daten nachhaltig sicherzustellen. Mit dem richtigen Partner an Ihrer Seite wird die TISAX® Prüfung von einer Herausforderung zur Chance für nachhaltiges Wachstum in der Automobilbranche.

Autor
Felix Mosler
Head of Information Security
Termin Vereinbaren

In einer Welt, in der Prototypen-Fotos Millionen wert sein können und Konstruktionsdaten das digitale Gold der Automobilindustrie darstellen, erlangt der Schutz sensibler Informationen höchste Priorität. Große Namen wie BMW oder Volkswagen verlangen zunehmend ein TISAX®-Label – ein Prüfzeichen, das Unternehmen aus der gesamten Lieferkette verbinden und deren Informationssicherheit bestätigen soll. Hersteller spielen dabei als zentrale Akteure im TISAX®-Prozess eine entscheidende Rolle, da sie an den Governance-Prozessen beteiligt sind und die Einhaltung der Prüfungsstandards überwachen. TISAX® ist in der gesamten Branche der Automobilindustrie als Standard anerkannt und akzeptiert. Doch was verbirgt sich genau hinter einer TISAX® Prüfung und wie können Sie den Prüfprozess erfolgreich bewältigen? In diesem Leitfaden werfen wir einen detaillierten Blick auf das standardisierte Prüf- und Austauschverfahren TISAX® (Trusted Information Security Assessment Exchange) und zeigen Ihnen, wie Sie Ihr Unternehmen Schritt für Schritt optimal vorbereiten.

TISAX® fungiert als Austauschmechanismus, der den standardisierten Austausch geprüfter Sicherheitsinformationen in der Branche ermöglicht und so die gegenseitige Anerkennung von Prüfergebnissen sicherstellt.

Was ist eine TISAX® Prüfung? – Definition und Grundlagen

Die TISAX®-Prüfung ist ein strukturiertes Verfahren zur Bewertung und Validierung der Informationssicherheit, das speziell für Unternehmen in der Automobilindustrie entwickelt wurde. TISAX® ist eine Norm, die auf der international anerkannten ISO IEC 27001 basiert und die Bedeutung internationaler Normen für den Schutz sensibler Informationen unterstreicht. Im Zentrum des Prozesses steht ein systematisches Assessment, bei dem die Einhaltung der im VDA ISA (Verband der Automobilindustrie Information Security Assessment) definierten Sicherheitsanforderungen überprüft wird, wobei auch die Anforderungen aus Artikel 32 der DSGVO zur Sicherheit der Verarbeitung personenbezogener Daten berücksichtigt werden.

Anders als herkömmliche IT-Sicherheitsprüfungen berücksichtigt TISAX® den besonderen Schutzbedarf im Umgang mit sensiblen Entwicklungsdaten, Prototypinformationen und vernetzten Fahrzeugsystemen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der IT-Grundschutz spielen eine zentrale Rolle bei der Entwicklung von Sicherheitsstandards, die als Grundlage für die TISAX®-Prüfungen dienen. Die Prüfung erfolgt durch akkreditierte Dienstleister, die anhand eines umfassenden Kriterienkatalogs alle sicherheitsrelevanten Aspekte untersuchen – von der Implementierung eines Informationssicherheitsmanagementsystems (ISMS) über physische Zugangskontrollen bis hin zu spezifischen Maßnahmen zur Absicherung von Konstruktionsdaten.

Die besondere Stärke des TISAX®-Systems liegt in der branchenweiten Akzeptanz und im standardisierten Austausch der Prüfergebnisse. Im Rahmen des TISAX®-Systems werden die Pflichten und Rechte der Teilnehmer und Prüfdienstleister vertraglich geregelt, um die Einhaltung der Anforderungen sicherzustellen. Nach erfolgreicher Beendigung der Prüfung erhalten Unternehmen ein TISAX®-Label, das ihre Konformität mit den definierten Anforderungen bestätigt und dabei hilft, den administrativen Aufwand für wiederholte Einzelprüfungen zu vermeiden. Dieses Label hat eine Gültigkeit von drei Jahren und bietet Zulieferern, Dienstleistern und Lieferanten in der gesamten Automobilindustrie einen systematischen Ansatz zur kontinuierlichen Verbesserung ihrer Informationssicherheit.

TISAX® wurde 2017 vom VDA ins Leben gerufen und hat sich seitdem als De-facto-Standard für Informationssicherheit in der Automobilbranche etabliert. Die Objektivität und Qualität der Prüfungen sowie der Prüfergebnisse werden durch die ENX Association überwacht, um die Integrität des Bewertungsprozesses zu gewährleisten. Die Rolle der Dienstleister und Lieferanten ist dabei zentral, da sie regelmäßig Prüfungen durchlaufen, um die Einhaltung der branchenspezifischen Sicherheitsanforderungen zu belegen. Ein besonderer Fokus liegt auf der sicheren Verarbeitung von Informationen und personenbezogenen Daten im Rahmen von TISAX®, wobei die Anforderungen aus Artikel 32 DSGVO maßgeblich sind. Die Resultate der Prüfungen werden hinsichtlich ihrer Einhaltung der Standards und der Sicherstellung der Sicherheit bewertet, um ein hohes Maß an Vertrauen und Schutz in der gesamten Branche zu gewährleisten. Wichtig zu verstehen ist, dass TISAX® keine Zertifizierung im klassischen Sinne darstellt, sondern ein branchenspezifisches Assessment-Modell, das auf den ISO 27001-Grundsätzen basiert, aber speziell auf die Bedürfnisse der Automobilindustrie zugeschnitten ist.

Grundlagen der Informationssicherheit in der Automobilbranche

In der Automobilbranche ist Informationssicherheit weit mehr als ein technisches Schlagwort – sie bildet die Basis für Vertrauen, Innovation und nachhaltige Zusammenarbeit zwischen Unternehmen, Zulieferern und Geschäftspartnern

TISAX® im Kontext: Zertifizierungen und Standards im Vergleich

Der TISAX®-Prüfungsprozess: Von der Registrierung bis zum Label

Der Weg zum TISAX®-Label ist klar strukturiert und unterteilt sich in drei zentrale Phasen, die den gesamten Prozess transparent und nachvollziehbar machen:

Nach Abschluss der Prüfung werden die Ergebnisse im TISAX®-Portal veröffentlicht. Dabei wird sichergestellt, dass die Objektivität und Qualität der Resultate durch die ENX-Organisation überwacht werden. Zudem bleiben die Rechte der Teilnehmer bei der Veröffentlichung der Prüfergebnisse gewahrt.

1. Registrierung im ENX-Portal

Der erste Schritt ist die Registrierung im ENX-Portal, bei der der Geltungsbereich der Prüfung präzise definiert wird. Hier erfassen Sie Unternehmensdaten, wählen anhand Ihrer geschäftlichen Anforderungen die relevanten Prüfziele aus und legen den geografischen sowie organisatorischen Umfang des Assessments fest.

Diese detaillierte Scope-Definition ist entscheidend, da sie bestimmt, welche Unternehmensbereiche und Prozesse geprüft werden müssen. Ein zu eng gefasster Scope könnte wichtige Sicherheitsaspekte übersehen, während ein zu weit gefasster Scope unnötige Kosten verursacht. Trustspace empfiehlt hier, sich von Experten beraten zu lassen, um den optimalen Prüfumfang festzulegen.

Die Registrierungsgebühren variieren je nach Unternehmensgröße und gewähltem Assessment-Level. Die Höhe der Gebühren und die Einordnung als kleines oder mittleres Unternehmen (KMU) hängen von der Zahl der beschäftigten Mitarbeiter und dem Umsatz ab, wie sie von der EU-Kommission definiert werden. Unternehmen, die Teil einer größeren Unternehmensgruppe sind, müssen dies bei der Registrierung angeben. Statistiken spielen eine wichtige Rolle bei der Abgrenzung und Analyse von KMU im TISAX®-Kontext, da sie auf Basis der von der EU-Kommission festgelegten Kriterien wie Beschäftigtenzahl und Umsatz erstellt werden. Nach Abschluss der Registrierung erhalten Sie eine eindeutige TISAX®-ID, die Ihr Unternehmen im gesamten TISAX®-Ökosystem identifiziert.

2. Prüfung

In der zweiten Phase erfolgt die eigentliche Bewertung Ihrer Informationssicherheitsmaßnahmen. Zunächst wird oft eine interne Selbsteinschätzung (Assessment Level 1) durchgeführt, die eventuelle Schwachstellen frühzeitig aufzeigt. Diese Selbsteinschätzung umfasst über 50 Kontrollanforderungen mit mehr als 300 Einzelfragen und sollte gründlich und ehrlich durchgeführt werden. Ein zentrales Prüfziel ist dabei die sichere Verarbeitung von Informationen und personenbezogenen Daten.

Anschließend wählen Sie einen vom ENX zugelassenen Prüfdienstleister aus, wobei die Rolle von Dienstleistern bei der Durchführung der TISAX®-Prüfung und der Bewertung der Sicherheitsstandards bei Lieferanten und Partnern besonders im Fokus steht. Abhängig vom gewählten Assessment-Level findet entweder eine Dokumentenprüfung (Level 2) oder eine Vor-Ort-Prüfung inklusive Interviews und Stichproben (Level 3) statt. Der Prüfdienstleister bewertet dabei, inwieweit Ihre implementierten Maßnahmen den TISAX®-Anforderungen entsprechen.

Bei Auftreten von Abweichungen erhalten Sie einen detaillierten Bericht mit Verbesserungsvorschlägen. Sie haben dann die Möglichkeit, diese zu beheben und durch eine Nachprüfung bestätigen zu lassen, dass Ihre Korrekturmaßnahmen effektiv umgesetzt wurden. Dieser iterative Prozess kann mehrere Monate in Anspruch nehmen, weshalb eine frühzeitige Vorbereitung essenziell ist.

3. Ergebnisaustausch

Nach erfolgreicher Durchführung der Prüfung werden die erzielten Ergebnisse in der TISAX®-Plattform veröffentlicht. Sie als Teilnehmer behalten dabei die volle Kontrolle darüber, welche Informationen mit wem geteilt werden. Die Plattform ermöglicht es, den Zugriff auf Ihre Ergebnisse gezielt für bestimmte Geschäftspartner freizugeben.

Diese standardisierte Veröffentlichung ist ein zentraler Mehrwert von TISAX®, da sie nicht nur Zeit und Kosten spart, sondern auch einen einheitlichen Sicherheitsstandard in der gesamten Lieferkette fördert. Über den gesamten Gültigkeitszeitraum von drei Jahren können Sie Ihren Nachweis der TISAX®-Konformität auf einfache Weise erbringen, ohne wiederholt separate Audits durchführen zu müssen.

Beachten Sie, dass jährliche Überwachungsaudits erforderlich sind, um sicherzustellen, dass Ihr Informationssicherheitsniveau aufrechterhalten wird. Diese sind weniger umfangreich als die Erstprüfung, aber dennoch wichtig für die kontinuierliche Gültigkeit Ihres TISAX®-Labels.

Alle Beiträge
TISAX
8 min. Lesedauer

Was ist eine TISAX® Prüfung? Der Schlüssel zur Automobilbranche

Veröffentlicht am
28.04.2025
Termin Vereinbaren
Was ist eine TISAX® Prüfung? Der Schlüssel zur Automobilbranche
Autor
Felix Mosler
Felix Mosler
Head of Information Security
Termin Vereinbaren
Inhaltsverzeichnis

In einer Welt, in der Prototypen-Fotos Millionen wert sein können und Konstruktionsdaten das digitale Gold der Automobilindustrie darstellen, erlangt der Schutz sensibler Informationen höchste Priorität. Große Namen wie BMW oder Volkswagen verlangen zunehmend ein TISAX®-Label – ein Prüfzeichen, das Unternehmen aus der gesamten Lieferkette verbinden und deren Informationssicherheit bestätigen soll. Hersteller spielen dabei als zentrale Akteure im TISAX®-Prozess eine entscheidende Rolle, da sie an den Governance-Prozessen beteiligt sind und die Einhaltung der Prüfungsstandards überwachen. TISAX® ist in der gesamten Branche der Automobilindustrie als Standard anerkannt und akzeptiert. Doch was verbirgt sich genau hinter einer TISAX® Prüfung und wie können Sie den Prüfprozess erfolgreich bewältigen? In diesem Leitfaden werfen wir einen detaillierten Blick auf das standardisierte Prüf- und Austauschverfahren TISAX® (Trusted Information Security Assessment Exchange) und zeigen Ihnen, wie Sie Ihr Unternehmen Schritt für Schritt optimal vorbereiten.

TISAX® fungiert als Austauschmechanismus, der den standardisierten Austausch geprüfter Sicherheitsinformationen in der Branche ermöglicht und so die gegenseitige Anerkennung von Prüfergebnissen sicherstellt.

Was ist eine TISAX® Prüfung? – Definition und Grundlagen

Die TISAX®-Prüfung ist ein strukturiertes Verfahren zur Bewertung und Validierung der Informationssicherheit, das speziell für Unternehmen in der Automobilindustrie entwickelt wurde. TISAX® ist eine Norm, die auf der international anerkannten ISO IEC 27001 basiert und die Bedeutung internationaler Normen für den Schutz sensibler Informationen unterstreicht. Im Zentrum des Prozesses steht ein systematisches Assessment, bei dem die Einhaltung der im VDA ISA (Verband der Automobilindustrie Information Security Assessment) definierten Sicherheitsanforderungen überprüft wird, wobei auch die Anforderungen aus Artikel 32 der DSGVO zur Sicherheit der Verarbeitung personenbezogener Daten berücksichtigt werden.

Anders als herkömmliche IT-Sicherheitsprüfungen berücksichtigt TISAX® den besonderen Schutzbedarf im Umgang mit sensiblen Entwicklungsdaten, Prototypinformationen und vernetzten Fahrzeugsystemen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der IT-Grundschutz spielen eine zentrale Rolle bei der Entwicklung von Sicherheitsstandards, die als Grundlage für die TISAX®-Prüfungen dienen. Die Prüfung erfolgt durch akkreditierte Dienstleister, die anhand eines umfassenden Kriterienkatalogs alle sicherheitsrelevanten Aspekte untersuchen – von der Implementierung eines Informationssicherheitsmanagementsystems (ISMS) über physische Zugangskontrollen bis hin zu spezifischen Maßnahmen zur Absicherung von Konstruktionsdaten.

Die besondere Stärke des TISAX®-Systems liegt in der branchenweiten Akzeptanz und im standardisierten Austausch der Prüfergebnisse. Im Rahmen des TISAX®-Systems werden die Pflichten und Rechte der Teilnehmer und Prüfdienstleister vertraglich geregelt, um die Einhaltung der Anforderungen sicherzustellen. Nach erfolgreicher Beendigung der Prüfung erhalten Unternehmen ein TISAX®-Label, das ihre Konformität mit den definierten Anforderungen bestätigt und dabei hilft, den administrativen Aufwand für wiederholte Einzelprüfungen zu vermeiden. Dieses Label hat eine Gültigkeit von drei Jahren und bietet Zulieferern, Dienstleistern und Lieferanten in der gesamten Automobilindustrie einen systematischen Ansatz zur kontinuierlichen Verbesserung ihrer Informationssicherheit.

TISAX® wurde 2017 vom VDA ins Leben gerufen und hat sich seitdem als De-facto-Standard für Informationssicherheit in der Automobilbranche etabliert. Die Objektivität und Qualität der Prüfungen sowie der Prüfergebnisse werden durch die ENX Association überwacht, um die Integrität des Bewertungsprozesses zu gewährleisten. Die Rolle der Dienstleister und Lieferanten ist dabei zentral, da sie regelmäßig Prüfungen durchlaufen, um die Einhaltung der branchenspezifischen Sicherheitsanforderungen zu belegen. Ein besonderer Fokus liegt auf der sicheren Verarbeitung von Informationen und personenbezogenen Daten im Rahmen von TISAX®, wobei die Anforderungen aus Artikel 32 DSGVO maßgeblich sind. Die Resultate der Prüfungen werden hinsichtlich ihrer Einhaltung der Standards und der Sicherstellung der Sicherheit bewertet, um ein hohes Maß an Vertrauen und Schutz in der gesamten Branche zu gewährleisten. Wichtig zu verstehen ist, dass TISAX® keine Zertifizierung im klassischen Sinne darstellt, sondern ein branchenspezifisches Assessment-Modell, das auf den ISO 27001-Grundsätzen basiert, aber speziell auf die Bedürfnisse der Automobilindustrie zugeschnitten ist.

Grundlagen der Informationssicherheit in der Automobilbranche

In der Automobilbranche ist Informationssicherheit weit mehr als ein technisches Schlagwort – sie bildet die Basis für Vertrauen, Innovation und nachhaltige Zusammenarbeit zwischen Unternehmen, Zulieferern und Geschäftspartnern

TISAX® im Kontext: Zertifizierungen und Standards im Vergleich

Der TISAX®-Prüfungsprozess: Von der Registrierung bis zum Label

Der Weg zum TISAX®-Label ist klar strukturiert und unterteilt sich in drei zentrale Phasen, die den gesamten Prozess transparent und nachvollziehbar machen:

Nach Abschluss der Prüfung werden die Ergebnisse im TISAX®-Portal veröffentlicht. Dabei wird sichergestellt, dass die Objektivität und Qualität der Resultate durch die ENX-Organisation überwacht werden. Zudem bleiben die Rechte der Teilnehmer bei der Veröffentlichung der Prüfergebnisse gewahrt.

1. Registrierung im ENX-Portal

Der erste Schritt ist die Registrierung im ENX-Portal, bei der der Geltungsbereich der Prüfung präzise definiert wird. Hier erfassen Sie Unternehmensdaten, wählen anhand Ihrer geschäftlichen Anforderungen die relevanten Prüfziele aus und legen den geografischen sowie organisatorischen Umfang des Assessments fest.

Diese detaillierte Scope-Definition ist entscheidend, da sie bestimmt, welche Unternehmensbereiche und Prozesse geprüft werden müssen. Ein zu eng gefasster Scope könnte wichtige Sicherheitsaspekte übersehen, während ein zu weit gefasster Scope unnötige Kosten verursacht. Trustspace empfiehlt hier, sich von Experten beraten zu lassen, um den optimalen Prüfumfang festzulegen.

Die Registrierungsgebühren variieren je nach Unternehmensgröße und gewähltem Assessment-Level. Die Höhe der Gebühren und die Einordnung als kleines oder mittleres Unternehmen (KMU) hängen von der Zahl der beschäftigten Mitarbeiter und dem Umsatz ab, wie sie von der EU-Kommission definiert werden. Unternehmen, die Teil einer größeren Unternehmensgruppe sind, müssen dies bei der Registrierung angeben. Statistiken spielen eine wichtige Rolle bei der Abgrenzung und Analyse von KMU im TISAX®-Kontext, da sie auf Basis der von der EU-Kommission festgelegten Kriterien wie Beschäftigtenzahl und Umsatz erstellt werden. Nach Abschluss der Registrierung erhalten Sie eine eindeutige TISAX®-ID, die Ihr Unternehmen im gesamten TISAX®-Ökosystem identifiziert.

2. Prüfung

In der zweiten Phase erfolgt die eigentliche Bewertung Ihrer Informationssicherheitsmaßnahmen. Zunächst wird oft eine interne Selbsteinschätzung (Assessment Level 1) durchgeführt, die eventuelle Schwachstellen frühzeitig aufzeigt. Diese Selbsteinschätzung umfasst über 50 Kontrollanforderungen mit mehr als 300 Einzelfragen und sollte gründlich und ehrlich durchgeführt werden. Ein zentrales Prüfziel ist dabei die sichere Verarbeitung von Informationen und personenbezogenen Daten.

Anschließend wählen Sie einen vom ENX zugelassenen Prüfdienstleister aus, wobei die Rolle von Dienstleistern bei der Durchführung der TISAX®-Prüfung und der Bewertung der Sicherheitsstandards bei Lieferanten und Partnern besonders im Fokus steht. Abhängig vom gewählten Assessment-Level findet entweder eine Dokumentenprüfung (Level 2) oder eine Vor-Ort-Prüfung inklusive Interviews und Stichproben (Level 3) statt. Der Prüfdienstleister bewertet dabei, inwieweit Ihre implementierten Maßnahmen den TISAX®-Anforderungen entsprechen.

Bei Auftreten von Abweichungen erhalten Sie einen detaillierten Bericht mit Verbesserungsvorschlägen. Sie haben dann die Möglichkeit, diese zu beheben und durch eine Nachprüfung bestätigen zu lassen, dass Ihre Korrekturmaßnahmen effektiv umgesetzt wurden. Dieser iterative Prozess kann mehrere Monate in Anspruch nehmen, weshalb eine frühzeitige Vorbereitung essenziell ist.

3. Ergebnisaustausch

Nach erfolgreicher Durchführung der Prüfung werden die erzielten Ergebnisse in der TISAX®-Plattform veröffentlicht. Sie als Teilnehmer behalten dabei die volle Kontrolle darüber, welche Informationen mit wem geteilt werden. Die Plattform ermöglicht es, den Zugriff auf Ihre Ergebnisse gezielt für bestimmte Geschäftspartner freizugeben.

Diese standardisierte Veröffentlichung ist ein zentraler Mehrwert von TISAX®, da sie nicht nur Zeit und Kosten spart, sondern auch einen einheitlichen Sicherheitsstandard in der gesamten Lieferkette fördert. Über den gesamten Gültigkeitszeitraum von drei Jahren können Sie Ihren Nachweis der TISAX®-Konformität auf einfache Weise erbringen, ohne wiederholt separate Audits durchführen zu müssen.

Beachten Sie, dass jährliche Überwachungsaudits erforderlich sind, um sicherzustellen, dass Ihr Informationssicherheitsniveau aufrechterhalten wird. Diese sind weniger umfangreich als die Erstprüfung, aber dennoch wichtig für die kontinuierliche Gültigkeit Ihres TISAX®-Labels.

Das könnte Sie auch interessieren...

Mit TrustSpace automatisieren Sie das Management Ihrer Informationssicherheit. Ihre All-in-One Lösung für IT Compliance.

Secure Operations Centers (SOC): Ein Überblick

IT-Sicherheit

Secure Operations Centers (SOC): Ein Überblick

SOC einfach erklärt: Lernen Sie, wie ein Security Operations Center funktioniert – inklusive Technik, Betrieb und Personal.

Client Image

Felix Mosler

10.01.2025

Arrow Icon
Was ist eine TISAX® Prüfung? Der Schlüssel zur Automobilbranche

TISAX

Was ist eine TISAX® Prüfung? Der Schlüssel zur Automobilbranche

Die TISAX® Prüfung ist der Schlüssel für Zulieferer in der Automobilindustrie, um ihre Informationssicherheit nachzuweisen. Dieser Beitrag erklärt den gesamten Prozess von der Registrierung bis zum Label und zeigt, wie Sie Ihr Unternehmen optimal vorbereiten können.

Client Image

Felix Mosler

28.04.2025

Arrow Icon
Die Schutzziele der Informationssicherheit erklärt: Was Sie wissen sollten.

Informationssicherheit

Die Schutzziele der Informationssicherheit erklärt: Was Sie wissen sollten.

Die Schutzziele der Informationssicherheit – Vertraulichkeit, Integrität und Verfügbarkeit – sind essenziell für den Schutz Ihrer Unternehmensdaten. Erfahren Sie in unserem Leitfaden, wie Sie diese Ziele strategisch umsetzen und rechtliche Anforderungen erfüllen können.

Client Image

Stefania Vetere

25.04.2025

Arrow Icon

Ihre Sicherheit beginnt hier

Automatisieren Sie Ihre IT-Compliance

Jetzt Termin buchen

Wir denken IT-Sicherheit neu.

Habersaathstraße 58
10115 Berlin
Deutschland

info@trustspace.io
+49 158 88279145

Über Trustspace
Über Uns
Produkt
Blog
ISMS Portal
Hilfe & Service
FAQ
Kontakt
Rechtliche Hinweise
AGB
Datenschutz
Impressum

© 2024 TrustSpace. All Rights Reserved.

Icon
×

Haben Sie eine Frage?

Lassen Sie sich unter +49 157 8277 8728 direkt von einem unserer Experten beraten.

Oder

Wir melden uns per Email bei Ihnen