TISAX-Beratung: was Automobilzulieferer für ein bestandenes Assessment wirklich brauchen

TISAX (Trusted Information Security Assessment Exchange) ist der Branchenstandard für Informationssicherheit in der Automobilindustrie. Er wird vom ENX-Verband mit Sitz in Frankfurt am Main betrieben und basiert auf dem Prüfkatalog des Verbands der Automobilindustrie (VDA Information Security Assessment, kurz VDA-ISA). Wer als Zulieferer mit personenbezogenen Daten, Prototypeninformationen oder vertraulichen Konstruktionsdaten arbeitet, wird von seinem OEM-Kunden regelmäßig zum TISAX-Nachweis verpflichtet. Der Katalog umfasst je nach Geltungsbereich rund 80 bis 90 Prüfpunkte über Informationssicherheit, Prototypenschutz und Datenschutz. Die Assessment-Stufen reichen von AL1 (Selbstauskunft) über AL2 (Plausibilisierung) bis AL3 (vor-Ort-Audit) und entscheiden mit über die Vorbereitungstiefe, den Zeitrahmen und das Budget der gesamten Maßnahme.

Dieser Beitrag erklärt, was eine substantielle TISAX-Beratung leistet, welche Stolperfallen Erstkandidaten regelmäßig übersehen, wie das Zusammenspiel zwischen Informationssicherheitsbeauftragtem (ISB), Datenschutzbeauftragtem (DSB) und Geschäftsleitung funktioniert und wie CIVAC den Prozess als Compliance-Plattform und Officer-as-a-Service begleitet. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. Sie erfahren, wie Sie den Scope sauber definieren, den Reifegrad realistisch einschätzen, das Assessment im ersten Anlauf bestehen und das Label über die dreijährige Gültigkeit hinaus stabil führen, ohne dass Personalwechsel zu Lücken im Nachweis führen.

TISAX ist kein Gesetz, sondern eine Branchenanforderung, die über Verträge mit OEMs und Tier-1-Zulieferern Verbindlichkeit erlangt. Der ENX-Verband betreibt das Label, akkreditiert Prüfdienstleister und stellt die Ergebnisse über die ENX-Portal-Plattform den Teilnehmern zur Verfügung. Eine zentrale Eigenschaft von TISAX ist die einmalige Prüfung mit Mehrfachverwertung: Sie zahlen einmal für das Assessment, können das Ergebnis aber gegenüber allen OEMs verwenden, die TISAX akzeptieren. Das spart gegenüber bilateralen Audits jeder Lieferbeziehung erheblichen Aufwand, vermeidet inhaltlich identische Mehrfachprüfungen und ist der Hauptgrund für die Marktdurchsetzung des Standards seit 2017.

Verpflichtend wird TISAX in der Praxis durch Vergaberichtlinien der OEMs und Tier-1-Zulieferer. Volkswagen, BMW, Mercedes-Benz, Stellantis, Ford und große Tier-1-Häuser wie Bosch, Continental oder ZF fordern den Nachweis für Lieferanten mit Zugang zu vertraulichen Informationen. Auch außerhalb der reinen Fahrzeugentwicklung weiten Engineering-Dienstleister, IT-Provider, Logistikunternehmen und Werkzeugbauer den Anwendungsbereich aus. Wer als Zulieferer einen neuen Auftrag akquiriert, sollte deshalb bereits in der Angebotsphase klären, welches Assessment-Level und welcher Scope gefordert werden, um die Vorlaufzeit korrekt zu planen und keinen Liefertermin durch ein fehlendes Label zu verlieren.

CIVAC begleitet die Vorbereitung mit der Rolle Informationssicherheitsbeauftragter, die im Workspace mit Bestellurkunde, Risikoregister, Maßnahmenplan und Berichtslinie an die Geschäftsleitung vorkonfiguriert ist. Wer den Workspace lizenziert, führt die interne ISB-Funktion strukturiert. Wer die Officer-as-a-Service-Variante wählt, lässt einen externen Informationssicherheitsbeauftragten bestellen, der das Mandat mit allen Pflichten übernimmt. In beiden Varianten ist die Bestellurkunde, unterschrieben, abgelegt, belegbar das erste Dokument, das ein TISAX-Auditor sehen will. Fehlt sie, beginnt das Assessment mit einem Negativ-Eindruck, der sich in den folgenden Stichproben fortsetzt.

Der VDA-ISA-Katalog ist das fachliche Rückgrat des TISAX-Assessments. Die aktuelle Version 6.0.4 umfasst drei Module: Informationssicherheit, Prototypenschutz und Datenschutz nach DSGVO. Das Modul Informationssicherheit enthält rund 41 Kontrollen, gruppiert in Themen wie Organisation, Zugriffskontrolle, Lieferantenmanagement, Incident-Management und Kontinuitätsmanagement. Prototypenschutz adressiert physische Sicherheit, Geheimhaltung und Foto-/Aufnahmeverbote in besonders sensiblen Entwicklungsbereichen. Datenschutz übernimmt im Wesentlichen DSGVO-Pflichten, die bei jedem Lieferanten unabhängig von TISAX gelten. Welche Module bewertet werden, ergibt sich aus dem Geltungsbereich und der OEM-Anforderung.

Die Bewertung erfolgt je Kontrolle auf einer Reifegradskala von 0 bis 5. Reifegrad 0 bedeutet, dass keine Maßnahme existiert. Reifegrad 3 entspricht einer dokumentierten, gelebten und überprüften Praxis und ist die Mindestschwelle für ein bestandenes Assessment, sofern der OEM nicht höhere Anforderungen stellt. Reifegrad 4 verlangt zusätzlich die quantitative Wirksamkeitsmessung, Reifegrad 5 eine kontinuierliche Verbesserung mit Optimierung der Messgrößen. Erstkandidaten sollten Reifegrad 3 in jeder einzelnen Kontrolle anstreben, statt punktuell höhere Reifegrade zu erreichen und in anderen Kontrollen unter 3 zu bleiben. Eine ungleichmäßige Verteilung kostet im Assessment mehr als ein flächendeckend solides Niveau.

Eine substantielle TISAX-Beratung beginnt mit der Gap-Analyse je Kontrolle. CIVAC führt diese im Workspace als geführten Fragenkatalog durch, der die VDA-ISA-Struktur exakt abbildet und automatisch Dokumentennachweise verknüpft. Hygiene-, IT- und Personalprozesse werden je Kontrolle zugeordnet, sodass am Ende klar ist, welche Maßnahme welche Kontrolle erfüllt und welche Nachweise fehlen. Audit-fest, dokumentiert, VDA-ISA-fest. Diese Spur reicht im Assessment für die Plausibilisierung in AL2 und in AL3 für die vor-Ort-Stichprobe, ohne dass Dokumente aus unterschiedlichen Ablagen zusammengesucht werden müssen.

Der TISAX-Geltungsbereich (Scope) entscheidet über Aufwand, Kosten und Aussagekraft des Labels. Er wird im ENX-Portal eingetragen und im Assessment geprüft. Ein zu weit gefasster Scope erhöht die Prüfdauer und die Kosten erheblich, weil mehr Standorte, Abteilungen und Systeme zu betrachten sind. Ein zu eng gefasster Scope führt dazu, dass OEMs das Label nicht akzeptieren, weil die für sie relevanten Bereiche nicht abgedeckt sind. Der häufigste Fehler ist die Beschränkung auf eine einzige Abteilung, obwohl der OEM den Standort als Ganzes prüfen möchte.

Ein belastbarer Scope nennt Standorte mit Adresse, Geschäftsbereiche mit Tätigkeitsbeschreibung und Schutzbedarfsklassen für die verarbeiteten Informationen. Die Schutzbedarfsklassen sind in TISAX als normal, hoch und sehr hoch definiert und korrespondieren mit den Assessment-Leveln AL1, AL2 und AL3. Wer für Konstruktionsdaten eines bestimmten Modells gebucht ist, wird typischerweise hoch oder sehr hoch eingestuft, was AL2 oder AL3 nach sich zieht. Ein einmal eingetragener Scope kann nur durch ein neues Assessment geändert werden, weshalb die Sorgfalt zu Beginn entscheidend ist.

CIVAC unterstützt die Scope-Definition im Workspace mit einer Vorlage, die Standorte, Bereiche, Datenflüsse und Schutzbedarfsklassen strukturiert erfasst. Der externe oder interne Informationssicherheitsbeauftragte plausibilisiert die Eintragungen mit der Geschäftsleitung und stellt sicher, dass Vertragsklauseln mit OEMs nicht aus dem Scope herausfallen. Bei mehreren Standorten lässt sich ein Multi-Site-Scope abbilden, der die zentralen Sicherheitsfunktionen einmalig prüfen lässt und Standort-spezifische Besonderheiten separat dokumentiert. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Das schützt im Audit vor der unangenehmen Frage, warum ein OEM-relevanter Bereich nicht im Geltungsbereich ist und wer dafür die Verantwortung trägt.

Die drei Assessment-Level unterscheiden Tiefe und Form der Prüfung. AL1 entspricht einer Selbstauskunft des Lieferanten ohne externe Validierung, die in der Praxis selten gefordert und akzeptiert wird. AL2 ist die Standardstufe für Informationen mit hohem Schutzbedarf. Ein akkreditierter Prüfdienstleister plausibilisiert die Selbstauskunft per Dokumentenprüfung und Interview, meist remote über Videokonferenz. AL3 verlangt zusätzlich eine vor-Ort-Begehung mit Stichprobenprüfungen am Standort. Für Prototypenschutz ist AL3 in vielen Fällen verpflichtend, weil physische Sicherheitsmaßnahmen wie Foto-Verbote, Zugangskontrollen und Besucherregister nur vor Ort prüfbar sind. Die Wahl des Levels ist deshalb keine Stilfrage, sondern eine Folge des Schutzbedarfs.

Der Prüfdienstleister arbeitet nach standardisierten Stichprobenplänen. Dokumente werden je Kontrolle stichprobenartig angefordert, Interviews mit Beschäftigten verifizieren die gelebte Praxis. Eine häufige Beanstandung ist die Diskrepanz zwischen Dokumentenstand und Beschäftigtenkenntnis: Die Richtlinie existiert, aber der relevante Mitarbeiter weiß nichts von ihr. Diese Lücke entsteht regelmäßig dann, wenn Richtlinien ohne Schulung und ohne Nachweisspur eingeführt werden, häufig erst kurz vor dem Assessment. Die Folge ist eine Major Non-Conformity, die zu einer Wiederholungsprüfung führt und damit zu erheblichen Mehrkosten und einem Liefertermin-Risiko gegenüber dem OEM-Kunden.

CIVAC verknüpft im Workspace jede Richtlinie mit dem zugehörigen Schulungsmodul und der Quittung jedes Beschäftigten. Bei der Assessment-Vorbereitung erstellt die Plattform einen Bereitstellungsindex, der je Kontrolle die relevanten Dokumente, Schulungsnachweise und Interviewvorbereitungen bündelt. Der Prüfer ruft an, der Nachweis liegt bereit. Geschäftsleitung und ISB können vor dem eigentlichen Assessment einen Probelauf mit den 490 Audit-Vorlagen aus dem Workspace durchführen, der typische Stichprobenprüfungen simuliert. Damit sinkt die Wahrscheinlichkeit, dass im echten Assessment Überraschungen auftreten, die das Label gefährden oder einen Nachprüfungstermin erzwingen.

Die Vorbereitungszeit auf ein TISAX-Assessment hängt vom Ausgangsreifegrad und vom angestrebten Level ab. Erstkandidaten mit unstrukturierter Dokumentenlage benötigen erfahrungsgemäß sechs bis neun Monate bis zur Assessment-Reife. Unternehmen mit bestehendem ISO/IEC 27001-ISMS verkürzen die Vorbereitung auf drei bis vier Monate, weil viele VDA-ISA-Kontrollen mit ISO-27001-Annex-A-Controls korrespondieren. Eine vollständige Neudokumentation der Informationssicherheit ist in der Regel nicht erforderlich, wohl aber eine Anpassung an die TISAX-spezifischen Anforderungen zu Prototypenschutz und Datenfluss-Mapping.

Die Kosten setzen sich aus drei Blöcken zusammen. Erstens die ENX-Registrierungsgebühr, die je nach Unternehmensgröße zwischen 525 und 2.500 Euro liegt und über drei Jahre gilt. Zweitens das Honorar des Prüfdienstleisters, das je nach Scope und Level zwischen 8.000 und 30.000 Euro liegt. Drittens die interne Vorbereitung mit Beratung, Schulung und Maßnahmenumsetzung. Hier liegen die Kosten je nach Reifegrad zwischen 15.000 und 80.000 Euro. Die größte Variable ist nicht der Prüfdienstleister, sondern die Frage, wie viele Maßnahmen vor dem Assessment noch umgesetzt werden müssen.

CIVAC bietet das CIVAC-SLA von 2 Werktagen statt der üblichen 2 bis 6 Wochen für Beratungsanfragen. Im Workspace lässt sich der Status jeder Kontrolle laufend nachhalten, was den ISB beim Reporting an die Geschäftsleitung entlastet. Bei der Officer-as-a-Service-Variante übernimmt ein externer Informationssicherheitsbeauftragter das Mandat und führt die Vorbereitung mit den 490 Audit-Vorlagen, dem Risikoregister und dem Maßnahmenkatalog. Die Kosten bleiben planbar, weil Mehraufwand für unklare Verantwortlichkeiten und improvisierte Dokumentation entfällt. Über die dreijährige Gültigkeit des Labels führt die Plattform die jährlichen Reviews und Folgeschulungen, sodass die Re-Assessment-Vorbereitung deutlich schlanker bleibt als die Erstprüfung.

Die Rolle des Informationssicherheitsbeauftragten ist im VDA-ISA-Katalog explizit gefordert. Sie ist keine reine Position, sondern eine formale Bestellung mit Aufgabenbeschreibung, Berichtslinie an die oberste Leitung und Ressourcenzusage. Der Auditor prüft im Assessment regelmäßig vier Aspekte: Liegt eine Bestellurkunde vor, ist die Berichtslinie definiert, hat der ISB Zugang zur obersten Leitung, sind ihm die erforderlichen Ressourcen zugesagt. Eine reine Rollenbezeichnung im Organigramm ohne Bestellung reicht im Audit nicht. Auch eine Bestellung ohne dokumentierte Berichtslinie und Ressourcen wird als unzureichend bewertet und kann zu einer Non-Conformity führen, die das Label verzögert oder verhindert.

Die Haftung des ISB ist in Deutschland zivilrechtlich geregelt. Bei vorsätzlichem oder grob fahrlässigem Verhalten kann er für Schäden in Anspruch genommen werden, die durch unterlassene oder fehlerhafte Pflichterfüllung entstehen. Praktisch wirkt die Haftung jedoch in der Regel über das Anstellungsverhältnis und durch die Berufshaftpflicht des externen ISB. Wer einen internen ISB benennt, sollte die Aufgabenbeschreibung präzise fassen und die Vertretungsregelung dokumentieren, damit Urlaubs- und Krankheitsphasen nicht zu Lücken führen. Wer einen externen ISB bestellt, achtet auf den Versicherungsumfang, die SLA-Reaktionszeiten und die Erreichbarkeit im Eskalationsfall.

CIVAC stellt die Bestellurkunde, die Aufgabenbeschreibung, die Berichtslinie und das Vertretungskonzept im Workspace als Vorlage bereit. Bei der Officer-as-a-Service-Variante übernehmen CIVAC-Beauftragte das Mandat mit dokumentierter Versicherung und einem festen Reaktionsfenster von 2 Werktagen. Bestellurkunde, unterschrieben, abgelegt, belegbar. Die Plattform führt die ISB-Tätigkeiten mit Tagebuchcharakter, sodass im Schadensfall die geleisteten Maßnahmen nachweisbar sind. Diese Spur ist nicht nur für TISAX relevant, sondern auch für die laufende Berichtspflicht an die Geschäftsleitung, die im Fall einer Konzernrevision ebenfalls geprüft wird.

TISAX ist kein isolierter Standard, sondern berührt mehrere parallele Regelwerke. ISO/IEC 27001:2022 ist die internationale Norm für Informationssicherheits-Managementsysteme. Ihre 93 Annex-A-Controls überlappen sich zu rund 70 % mit den VDA-ISA-Anforderungen. NIS-2 verpflichtet wesentliche und wichtige Einrichtungen zu strukturierten Sicherheitsmaßnahmen, einschließlich Meldepflichten innerhalb von 24 Stunden Frühwarnung und 72 Stunden Folgemeldung. Die DSGVO regelt den Schutz personenbezogener Daten und ist über das TISAX-Datenschutzmodul direkt eingebunden. Wer mehrere dieser Pflichten hat, profitiert von einer integrierten Sicht statt parallel laufender Dokumentationen, die sich in den Inhalten widersprechen können.

Eine gut aufgesetzte Compliance-Plattform mappt die Kontrollen ein einziges Mal und verknüpft sie mit allen relevanten Standards. Wer eine Zutrittskontrollrichtlinie hat, erfüllt damit gleichzeitig Annex A 5.15 in ISO 27001, eine VDA-ISA-Kontrolle in TISAX und die Art. 32 DSGVO-Pflicht zu technisch-organisatorischen Maßnahmen. Bei einem Audit nach einem anderen Standard lässt sich der bestehende Nachweis wiederverwenden, statt ein neues Dokument zu erstellen. Diese Wiederverwendung ist der Hauptgrund, warum mittelständische Zulieferer mit Mehrfachpflichten den Aufwand in den Griff bekommen und nicht für jeden Standard eine eigene Compliance-Funktion aufbauen müssen.

CIVAC führt die Mehrfach-Compliance in einem Workspace mit 25 Beauftragten-Rollen. Der ISB koordiniert TISAX und ISO 27001, der Datenschutzbeauftragte übernimmt die DSGVO- und Datenschutzmodul-Verantwortung, ein NIS-2-Beauftragter trägt die Meldepflichten. Alle Rollen arbeiten auf demselben Datenbestand mit unterschiedlichen Sichten. Eine Änderung an einer Richtlinie wirkt sofort in allen Standards, ohne dass parallele Versionen entstehen. Die EU-Datenresidenz der Plattform stellt sicher, dass die Compliance-Daten selbst nicht in Drittländer transferiert werden, was bei Konzernen mit US-Mutter eine relevante Designentscheidung ist und im Audit positiv vermerkt wird.

Das TISAX-Label gilt drei Jahre. In dieser Zeit ist der Nachweis stabil zu halten, was eine kontinuierliche Pflege des Informationssicherheits-Managements erfordert. Änderungen am Scope, etwa durch neue Standorte, neue Geschäftsbereiche oder neue OEM-Kunden, lösen Anpassungsbedarf aus, der im ungünstigen Fall ein vorgezogenes Re-Assessment erzwingt. Personalwechsel beim ISB, beim DSB oder in Schlüsselrollen wie IT-Leitung und HR können zu Brüchen in der Belegspur führen, wenn die Übergaben nicht systematisch erfolgen. Vorfallsmanagement und Datenpannen müssen weiterhin nach den TISAX-Vorgaben dokumentiert werden, einschließlich der Berichterstattung an OEM-Kunden, sofern der Vertrag das vorsieht.

Das Re-Assessment ist regelmäßig schlanker als das Erst-Assessment, vorausgesetzt der Reifegrad ist über die Laufzeit stabil. Wer das Label im ersten Anlauf mit knappen Reifegraden erreicht hat, läuft Gefahr, beim Re-Assessment durchzufallen, weil zwischenzeitliche Personalwechsel und unterbliebene jährliche Reviews die Wirksamkeit der Maßnahmen reduziert haben. Eine kontinuierliche Pflege im Workspace mit Erinnerungen, Reviews und Trainingsschleifen ist die einzig belastbare Strategie für die dauerhafte Aufrechterhaltung des Labels und vermeidet kostspielige Notfall-Beratung kurz vor dem Re-Audit.

CIVAC führt die jährlichen Reviews, die Schulungswiederholungen und die Maßnahmenüberprüfungen im Workspace mit automatischen Erinnerungen und Eskalationen an die Berichtslinie. Vorfälle werden über einen strukturierten Meldepfad erfasst, der den NIS-2-Pfad mit 24h-Frühwarnung und 72h-Folgemeldung sowie den DSGVO-Pfad mit 72 Stunden nach Art. 33 abdeckt. Frist läuft ab Kenntnis. Vertretungssituationen bei Urlaub oder Krankheit werden durch die Plattform abgefangen, sodass die OEM-Berichterstattung auch in Personalengpässen nicht reißt. Die EU-Datenresidenz und die ISO 27001:2022-Konformität des Workspace selbst sind dokumentiert und in Lieferanten-Audits unmittelbar belegbar.

Eine TISAX-Beratung, die nur das Assessment vorbereitet und danach den Lieferanten allein lässt, erzeugt häufig genau das Muster, das im Re-Assessment durchfällt. Belastbar ist eine Beratung, die den ISB-Mandat strukturell verankert, die Dokumentation in ein wartbares System überführt und die jährlichen Pflegezyklen automatisch anstößt. Genau dafür ist CIVAC aufgesetzt. CIVAC ist eine Compliance-Plattform und Officer-as-a-Service mit Workspace, 490 Audit-Vorlagen, Bestellurkunden, Berichtslinie, NIS-2-Meldepfad, ISO 27001:2022-ISMS und EU-Datenresidenz. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen.

Das Modell ist auf den Mittelstand zugeschnitten. Wer im Haus einen erfahrenen ISB hat, lizenziert den Workspace und nutzt die Vorlagen, das Risikoregister und die Berichtslinie als Werkzeug. Wer keinen ISB hat oder bei Personalwechsel eine Übergangslösung braucht, bestellt einen CIVAC-Beauftragten mit dokumentierter Versicherung und festem SLA. In beiden Varianten ist die Belegspur identisch und im Audit unmittelbar zugriffsfähig. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Auch ein Wechsel vom internen zum externen Mandat oder zurück ist möglich, ohne dass Dokumentation neu aufgebaut werden muss.

Wenn Sie ein konkretes TISAX-Assessment vorbereiten, das Label aufrechterhalten oder eine ungeordnete Dokumentenlage in eine prüfbare Form bringen wollen, beginnen wir mit einer strukturierten Gap-Analyse. Aus dem Lesen einen Auftrag machen. Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular, um eine Erstbewertung Ihres Reifegrades zu vereinbaren. Sie erhalten innerhalb von zwei Werktagen eine Lückenliste mit Lieferterminen und einen Vorschlag, welche Variante (interner Workspace oder Officer-as-a-Service) zu Ihrer Organisation passt. Ergebnis ist eine TISAX-Organisation, die im ersten Assessment trägt und im Re-Assessment bestätigt wird.