TISAX für IT-Dienstleister & SaaS-Anbieter

Warum IT-Dienstleister und SaaS-Anbieter TISAX brauchen

TISAX ist längst nicht mehr nur für klassische Zulieferer relevant. Die Digitalisierung der Automobilindustrie hat dazu geführt, dass IT-Dienstleister, SaaS-Anbieter und Cloud-Provider zunehmend in die Lieferkette eingebunden sind — und damit unter die TISAX-Anforderungen fallen. Wenn du Software, IT-Services oder Cloud-Infrastruktur für OEMs oder Tier-1-Zulieferer bereitstellst, wirst du früher oder später nach einem TISAX-Label gefragt.

Der Treiber ist die OEM-Anforderung: Immer mehr Automobilhersteller verlangen von allen Partnern in der Lieferkette — nicht nur von den Teilelieferanten, sondern auch von den IT-Partnern — ein TISAX-Label. Ohne Label kein Auftrag, kein Zugang zum ENX-Portal und keine Sichtbarkeit als vertrauenswürdiger Partner.

Scope-Definition für IT-Dienstleister

Die Scope-Definition ist für Dienstleister besonders wichtig — und oft kniffliger als für klassische Zulieferer. Der Scope muss klar abgrenzen, was geprüft wird und was nicht.

Was typischerweise in Scope fällt

• Systeme: Alle IT-Systeme, die OEM-Daten verarbeiten, speichern oder übertragen — Produktionsserver, Datenbanken, Backup-Systeme, CI/CD-Pipelines
• Daten: Alle Informationen, die von oder für OEMs verarbeitet werden — Kundendaten, Produktionsdaten, Personaldaten, Konfigurationsdaten
• Personal: Alle Mitarbeiter mit Zugang zu OEM-Daten oder den Systemen, die sie verarbeiten — Entwickler, Admins, Support-Mitarbeiter, Projektmanager
• Standorte: Alle Standorte, an denen OEM-Daten verarbeitet werden — Büros, Rechenzentren, Home-Office-Arbeitsplätze (bei Remote-Arbeit)

Was typischerweise nicht in Scope fällt

• Systeme und Prozesse, die ausschließlich für Nicht-Automotive- Kunden betrieben werden (sofern sie vollständig getrennt sind)
• Interne Unternehmensprozesse ohne Berührung mit OEM-Daten (Marketing, Buchhaltung, eigene HR)
• Standorte ohne OEM-Datenbezug (reine Verwaltungsstandorte)

Achtung: Die Abgrenzung muss sauber dokumentiert und dem Auditor nachvollziehbar dargelegt werden. Ein zu enger Scope wird vom Auditor hinterfragt, ein zu breiter Scope treibt die Kosten unnötig hoch.

Cloud- und SaaS-spezifische Anforderungen

Multi-Tenant-Architektur

SaaS-Anbieter mit Multi-Tenant-Architektur stehen vor besonderen Herausforderungen: Wie stellst du sicher, dass OEM-Daten von anderen Mandanten isoliert sind? Der Auditor prüft: logische Datentrennung, Tenant-Isolation auf Datenbank- und Anwendungsebene, Zugriffskontrolle zwischen Mandanten und die Nachweisbarkeit der Isolation.

Bei Multi-Tenant-Systemen kann der Scope auf den spezifischen Mandanten des OEM beschränkt werden — sofern die Isolation nachweisbar ist. Ohne nachweisbare Isolation fällt die gesamte Plattform in Scope.

Dedicated Environments

Dedicated Environments (eigene Server, eigene Datenbank-Instanz, eigenes Netzwerk-Segment für den OEM) vereinfachen die Scope-Abgrenzung erheblich. Der Auditor muss nur die dedizierte Umgebung prüfen, nicht die gesamte Plattform. Nachteil: höhere Betriebskosten und komplexere Infrastruktur.

Standort der Rechenzentren

Der Standort der Rechenzentren ist für TISAX relevant: OEM-Daten sollten in der EU/EWR verarbeitet werden. Rechenzentren in Drittländern (insbesondere USA) erfordern zusätzliche Schutzmaßnahmen und Rechtsgrundlagen (z. B. EU-US Data Privacy Framework, Standardvertragsklauseln). Einige OEMs verlangen explizit Rechenzentren in Deutschland oder der EU.

TISAX als Wettbewerbsvorteil

Ein TISAX-Label ist nicht nur eine Pflichterfüllung, sondern ein strategischer Marktvorteil. Die Automobilindustrie ist einer der größten IT-Märkte in Europa. Mit einem TISAX-Label öffnest du dir den Zugang zu einem Markt, der für viele Wettbewerber verschlossen bleibt:

• Zugang zur Automotive-Lieferkette: Ohne TISAX-Label wirst du in Ausschreibungen der OEMs nicht berücksichtigt
• Vertrauenssignal: Ein TISAX-Label zeigt, dass du die strengen Sicherheitsanforderungen der Automobilindustrie erfüllst — das schafft Vertrauen auch bei Nicht-Automotive-Kunden
• Differenzierung: Viele IT-Dienstleister haben noch kein TISAX-Label. Wer früh investiert, hat einen Vorsprung gegenüber Wettbewerbern
• Cross-Selling-Potenzial: Mit einem TISAX-Label kannst du bestehende Automotive-Kunden für weitere Services gewinnen, die TISAX erfordern

Typische Timeline für IT-Dienstleister

IT-Dienstleister haben gegenüber klassischen Zulieferern einen Vorteil: IT-Sicherheitsmaßnahmen sind meist schon vorhanden. Verschlüsselung, Zugangssteuerung, Monitoring und Patch-Management sind im IT-Tagesgeschäft Standard. Dadurch ist die Timeline oft kürzer als bei produzierenden Unternehmen.

Mit einem bestehenden ISMS (z. B. ISO 27001) reduziert sich der Aufwand auf 6-10 Wochen. Detaillierte Kostenaufstellungen findest du auf unserer Seite zu TISAX Kosten und Ablauf.

Typische Labels für IT-Dienstleister

Die meisten IT-Dienstleister benötigen folgende Labels:

• Info hoch (AL2): Standard für alle Dienstleister, die vertrauliche OEM-Daten verarbeiten
• Datenschutz (AL2): Bei Auftragsverarbeitung personenbezogener Daten für OEMs
• Verfügbarkeit hoch (AL2): Bei produktionskritischen IT-Systemen und Cloud-Diensten

AL3-Labels sind für IT-Dienstleister selten erforderlich, es sei denn, du verarbeitest besondere Kategorien personenbezogener Daten oder hast direkten Zugang zu Prototypendaten. Für die Scope-Festlegung informiere dich über die Assessment Levels.

Die vollständige Schritt-für-Schritt-Anleitung zur TISAX-Vorbereitung findest du in unserer TISAX-Checkliste.