TISAX-Anforderungen nach VDA ISA

TISAX-Anforderungen: Was wird geprüft?

Die TISAX-Anforderungen basieren auf dem VDA ISA Fragenkatalog (Information Security Assessment), aktuell in Version 6.x. Der Katalog ist in neun Kapitel gegliedert, die alle relevanten Bereiche der Informationssicherheit abdecken — von IT-Sicherheit über physische Sicherheit bis hin zu Compliance und Datenschutz.

Jedes Kapitel enthält Prüfziele mit konkreten Fragen, die du im Self-Assessment beantworten und im Audit nachweisen musst. Dabei wird für jedes Prüfziel ein Reifegrad von 0 bis 5 ermittelt. Für ein erfolgreiches Assessment musst du mindestens Reifegrad 3 ("Etabliert") bei allen relevanten Prüfzielen erreichen.

Die 9 Kapitel des VDA ISA im Überblick

Kapitel 1: Informationssicherheits-Policies

Dieses Kapitel prüft, ob du eine dokumentierte Informationssicherheitspolitik hast, die von der Geschäftsleitung genehmigt und kommuniziert wird. Der Auditor erwartet eine klare Sicherheitsstrategie, definierte Verantwortlichkeiten, regelmäßige Reviews der Policy und nachweisbare Kommunikation an alle Mitarbeiter. Ohne eine solide Policy-Grundlage fehlt die Basis für alle weiteren Kapitel.

Kapitel 2: Organisation der Informationssicherheit

Hier geht es um die organisatorische Verankerung der Informationssicherheit. Geprüft werden die Aufbauorganisation (Wer ist verantwortlich?), die Einbindung der Geschäftsleitung, die Zusammenarbeit mit externen Partnern und die Trennung von Zuständig- keiten (Segregation of Duties). Der Auditor will sehen, dass Informationssicherheit kein Randthema ist, sondern in der Unternehmensstruktur verankert.

Kapitel 3: HR-Sicherheit (Personelle Sicherheit)

Personelle Sicherheit umfasst Maßnahmen vor, während und nach der Beschäftigung. Geprüft werden Hintergrundüberprüfungen, Vertraulichkeitsvereinbarungen, Schulungsprogramme und Prozesse beim Ausscheiden von Mitarbeitern (Entzug von Zugriffsrechten, Rückgabe von Arbeitsmitteln). Besonders wichtig: Nachweisbare Security-Awareness-Schulungen für alle Mitarbeiter mit Zugang zu schützenswerten Informationen.

Kapitel 4: Physische Sicherheit

Die physische Sicherheit ist besonders bei AL3-Assessments entscheidend, da hier eine Vor-Ort-Begehung stattfindet. Geprüft werden Zutrittskontrollen (Kartensysteme, Schlösser, Schleusen), Besuchermanagement, Sicherheitszonen, Schutz von Serverräumen, Kameraüberwachung und der Umgang mit Wechseldatenträgern. Bei Prototypenschutz gelten zusätzliche Anforderungen an Sperrzonen und Sichtschutz.

Kapitel 5: Zugangssteuerung und Kryptografie

Dieses Kapitel prüft die logische Zugriffskontrolle auf IT-Systeme und Daten. Gefragt wird nach Berechtigungskonzepten (Need-to-Know-Prinzip), Passwort-Richtlinien, Multi-Faktor-Authentifizierung, Privileged Access Management und regelmäßigen Access Reviews. Im Bereich Kryptografie werden Verschlüsselungsstandards (at rest und in transit), Schlüsselmanagement und Zertifikatsverwaltung geprüft.

Kapitel 6: Operations Security

Operations Security deckt den technischen Betrieb ab: Change Management, Kapazitätsplanung, Malware-Schutz, Backup-Strategien, Logging und Monitoring, Schwachstellen-Management und Patch-Management. Der Auditor prüft, ob dokumentierte Prozesse existieren und ob diese nachweisbar gelebt werden. Besonders häufiger Stolperstein: fehlendes oder unvollständiges Patch-Management.

Kapitel 7: Incident Management

Geprüft wird, ob ein dokumentierter Incident-Response-Prozess existiert: Erkennung, Meldung, Analyse, Behebung und Lessons Learned. Der Auditor erwartet definierte Eskalationswege, Verantwortlichkeiten, Melde-Templates und Nachweise über durchgeführte Übungen oder tatsächliche Vorfälle. Ohne einen nachweisbaren Incident-Management-Prozess ist Reifegrad 3 kaum erreichbar.

Kapitel 8: Business Continuity Management (BCM)

BCM prüft die Notfallvorsorge: Business-Impact-Analysen, Notfallpläne, Wiederherstellungsprozesse (Disaster Recovery), definierte RTO/RPO-Werte und regelmäßige Notfallübungen. Besonders relevant für die neuen Verfügbarkeits-Labels seit 2023, aber auch für alle anderen Labels ein Pflichtkapitel.

Kapitel 9: Compliance

Das Compliance-Kapitel prüft die Einhaltung gesetzlicher und vertraglicher Anforderungen: Datenschutz (DSGVO-Konformität), Urheberrecht, regulatorische Anforderungen, Lizenzmanagement und die regelmäßige Überprüfung der Einhaltung durch interne Audits. Hier überschneidet sich TISAX stark mit ISO 27001 und DSGVO-Anforderungen.

Prüftiefe je nach Assessment Level

Die inhaltlichen Anforderungen sind für AL2 und AL3 identisch — der VDA ISA Katalog unterscheidet nicht nach Assessment Level. Der Unterschied liegt in der Prüftiefe:

• AL2 (Remote): Der Auditor prüft Dokumentation und führt Interviews. Physische Sicherheitsmaßnahmen werden anhand von Dokumenten, Fotos und Bildschirmfreigaben bewertet. Stichproben sind eingeschränkt.
• AL3 (Vor Ort): Der Auditor prüft alles wie bei AL2, führt zusätzlich aber eine physische Begehung durch, nimmt technische Stichproben (z. B. Firewall-Konfigurationen, Berechtigungen), prüft Zutrittskontrollen real und bewertet die physische Umsetzung von Sicherheitsmaßnahmen.

Für eine detaillierte Betrachtung des Fragenkatalogs, einschließlich der Unterschiede zwischen Muss- und Soll-Anforderungen, lies unsere Seite zum VDA ISA Katalog.

Wie du dich systematisch vorbereitest

Die neun Kapitel können überwältigend wirken — besonders für Unternehmen, die noch kein ISMS haben. Ein strukturierter Ansatz hilft:

• Scope definieren: Welche Standorte, welche Labels, welches Assessment Level?
• Gap-Analyse: Jeden ISA-Abschnitt durchgehen und den Ist-Zustand dokumentieren. Kopexa bietet hierfür einen vorgeladenen Maßnahmenkatalog, der dir sofort zeigt, wo du stehst.
• Priorisieren: Muss-Anforderungen zuerst, dann Soll-Anforderungen. Lücken mit dem größten Reifegrad-Delta haben höchste Priorität.
• Umsetzen und Nachweisen: Maßnahmen implementieren und lückenlos dokumentieren. Ohne Nachweis keine Anerkennung im Audit.

Die vollständige Schritt-für-Schritt-Anleitung findest du in unserer TISAX-Checkliste.