TISAX für Automobilzulieferer

Warum OEMs TISAX verlangen

In der Automobilindustrie ist Informationssicherheit keine optionale Zusatzleistung, sondern eine vertragliche Grundvoraussetzung. Jeder große OEM, ob Volkswagen, BMW, Mercedes-Benz, Stellantis oder Toyota, verlangt von seinen Zulieferern ein gültiges TISAX-Label. Die Begründung ist nachvollziehbar: Konstruktionsdaten, Prototypen-Informationen, Preisstaffeln und Produktionsplanungen fließen täglich über Unternehmensgrenzen hinweg. Ein einzelner Datenverlust kann Millionenschäden verursachen, Produktlaunches verzögern und das Vertrauen in eine gesamte Lieferkette erschüttern.

TISAX (Trusted Information Security Assessment Exchange) wurde genau für dieses Problem geschaffen. Entwickelt vom Verband der Automobilindustrie (VDA) und betrieben durch die ENX Association, ist TISAX der branchenspezifische Standard für Informationssicherheits-Assessments im Automotive-Umfeld. Anders als generische Zertifizierungen wie ISO 27001 adressiert TISAX spezifische Anforderungen der Branche, etwa Prototypenschutz oder den sicheren Umgang mit Fahrzeugentwicklungsdaten.

Für Zulieferer auf allen Tier-Ebenen bedeutet das konkret: Ohne gültiges TISAX-Label kein OEM-Vertrag. Diese Anforderung ist nicht verhandelbar. In der Praxis setzen OEMs TISAX-Labels als K.O.-Kriterium in Ausschreibungen und Lieferantenqualifizierungen ein. Selbst bestehende Lieferantenbeziehungen werden gefährdet, wenn ein Label ausläuft und nicht rechtzeitig erneuert wird. Die Konsequenz: Zulieferer, die TISAX als strategisches Projekt betrachten und frühzeitig investieren, sichern sich einen klaren Wettbewerbsvorteil.

Dabei geht TISAX über eine reine Dokumentenprüfung hinaus. OEMs erwarten, dass du nicht nur Richtlinien auf dem Papier hast, sondern dass Informationssicherheit in deinem Unternehmen gelebt wird. Das betrifft technische Maßnahmen wie Zugriffskontrollen und Verschlüsselung genauso wie organisatorische Prozesse, etwa Schulungen, Incident Response oder das Management von Lieferantenrisiken. TISAX prüft den Reifegrad deines gesamten Informationssicherheits-Managementsystems (ISMS) entlang des VDA ISA Fragenkatalogs.

AL1, AL2 oder AL3: Welches Assessment-Level brauchst du?

TISAX kennt drei Assessment Levels (AL), die sich in Prüftiefe und Sichtbarkeit unterscheiden. Welches Level für dich relevant ist, bestimmt nicht dein eigenes Unternehmen, sondern der anfragende OEM über die sogenannten Scope Labels.

• AL1 (Self-Assessment): Reine Selbsteinschätzung ohne externe Prüfung. In der Praxis von keinem OEM akzeptiert und höchstens für interne Standortvorbereitungen sinnvoll.
• AL2 (Remote-Plausibilitätsprüfung): Prüfung durch einen akkreditierten Prüfdienstleister, typischerweise remote via Videokonferenz. Das Ergebnis wird auf dem ENX-Portal sichtbar und ist für die meisten Tier-2- und Tier-3-Zulieferer das Standard-Level.
• AL3 (Vor-Ort-Audit): Vollständiges On-Site-Audit mit physischer Begehung. Wird von den meisten OEMs für Tier-1-Zulieferer verlangt, insbesondere wenn Prototypendaten oder sehr hohe Vertraulichkeitsstufen im Spiel sind.

Die Entscheidung zwischen AL2 und AL3 hängt von mehreren Faktoren ab: Welche Scope Labels fordert dein OEM? Verarbeitest du Prototypendaten? Hast du physische Standorte mit sensiblen Bereichen (z. B. Prototypenwerkstätten, Testgelände)? Grundsätzlich gilt: Je sensibler die Informationen, desto höher das Assessment Level. In Zweifelsfällen solltest du immer mit deinem OEM klären, welches Level erwartet wird, bevor du dich bei ENX registrierst.

Scoping für Tier-1 vs. Tier-2 vs. Tier-3

Deine Position in der Lieferkette bestimmt maßgeblich den Umfang deines TISAX-Assessments. TISAX unterscheidet drei zentrale Scope-Bereiche, die jeweils eigene Labels haben:

• Informationssicherheit (Info hoch / Info sehr hoch): Betrifft den Schutz vertraulicher Geschäftsinformationen. Nahezu jeder Zulieferer benötigt mindestens dieses Label.
• Prototypenschutz: Relevant für Unternehmen, die physische oder digitale Prototypen-Informationen verarbeiten. Typischerweise für Tier-1 und spezialisierte Tier-2-Zulieferer mit Entwicklungsaufträgen.
• Datenschutz (DSGVO): Erforderlich, wenn personenbezogene Daten im Auftrag des OEM verarbeitet werden, etwa bei Connected-Car-Diensten oder Flottenmanagement.

Tier-1-Zulieferer haben in der Regel den umfangreichsten Scope: Informationssicherheit auf sehr hohem Niveau, Prototypenschutz und häufig auch Datenschutz. Das Assessment-Level ist fast immer AL3. Tier-2-Zulieferer benötigen oft nur Informationssicherheit (hoch oder sehr hoch) und kommen mit AL2 aus. Tier-3-Zulieferer haben den schlanksten Scope, müssen aber trotzdem ein ISMS nachweisen, das den VDA-ISA-Anforderungen entspricht. Die richtige Scope-Definition zu Beginn spart erheblich Zeit und Budget.

Typische Stolpersteine bei der Erstprüfung

Viele Zulieferer unterschätzen den Aufwand einer TISAX-Erstprüfung. Aus der Praxis kennen wir folgende wiederkehrende Fehler, die Assessments verzögern oder zu negativen Ergebnissen führen:

• Unklares Scoping: Ohne präzise Definition des Assessment-Scopes (welche Standorte, welche Prozesse, welche IT-Systeme) wird der Aufwand unkontrollierbar. Der Auditor kann nur bewerten, was klar abgegrenzt ist. Viele Unternehmen definieren den Scope zu breit und binden unnötig viele Abteilungen ein, oder zu eng und vergessen kritische Systeme.
• Fehlende Asset-Inventarisierung: TISAX verlangt eine vollständige Übersicht aller informationsverarbeitenden Assets. Dazu gehören Server, Laptops, Mobilgeräte, Cloud-Dienste und auch physische Akten. Wer kein gepflegtes IT-Asset-Management hat, steht im Assessment vor einem erheblichen Nachholbedarf.
• Lückenhafte ISMS-Dokumentation: Richtlinien, die nur als Entwurf existieren oder nie von der Geschäftsführung freigegeben wurden, zählen nicht. Der Auditor prüft, ob Policies aktuell, freigegeben und den Mitarbeitenden zugänglich sind. Fehlende Dokumente wie eine Informationssicherheitsleitlinie, Risikobehandlungsplan oder Incident-Response-Plan sind häufige Major Findings.
• Mangelnde Mitarbeitersensibilisierung: TISAX prüft nicht nur Technik und Dokumente, sondern auch das Bewusstsein der Mitarbeitenden. Regelmäßige Schulungen und dokumentierte Awareness-Maßnahmen sind Pflicht. Wenn Mitarbeitende im Interview nicht wissen, was die Informationssicherheitsleitlinie beinhaltet, ist das ein klares Finding.
• Unterschätzte physische Sicherheit: Insbesondere bei AL3-Audits prüft der Auditor vor Ort die physische Sicherheit. Zugangskontrollen, abschließbare Schränke, Clean-Desk-Policy und Besuchermanagement müssen nicht nur dokumentiert, sondern im Alltag umgesetzt sein.

Kosten und Zeitrahmen

Die Gesamtkosten eines TISAX-Assessments setzen sich aus mehreren Posten zusammen. Für eine realistische Budgetplanung solltest du folgende Faktoren berücksichtigen:

• ENX-Registrierung: Die Registrierung beim ENX-Portal kostet ca. 4.500 EUR und ist der erste formale Schritt. Hier wählst du Assessment-Scope und Prüfdienstleister.
• Audit-Kosten: Die Gebühren des Prüfdienstleisters liegen je nach Assessment Level und Unternehmensgröße zwischen 5.000 und 15.000 EUR. AL3-Audits mit Vor-Ort-Begehung sind naturgemäß teurer als AL2-Remote-Audits.
• Interner Aufwand: Der größte Kostenblock ist häufig der interne Aufwand. Rechne mit 3 bis 6 Monaten Vorbereitungszeit, in denen dein ISMS aufgebaut oder überarbeitet wird. Je nach Ausgangslage bindet das 0,5 bis 2 FTE.
• Tool-Kosten: Eine GRC-Plattform wie Kopexa (ab 249 EUR/Monat) reduziert den internen Aufwand um 40 bis 60 % und verkürzt die Vorbereitungszeit erheblich. Im Vergleich zu externen Beratern (50.000 bis 100.000+ EUR) ist das eine kosteneffiziente Alternative.

Der typische Zeitrahmen von der Entscheidung bis zum Label beträgt 4 bis 8 Monate: 3 bis 6 Monate Vorbereitung, 1 bis 2 Monate für das eigentliche Assessment und die Ergebnisfreigabe. Mit einer strukturierten Vorbereitung und der richtigen Tool-Unterstützung lässt sich der untere Rand dieses Zeitrahmens realistisch erreichen.

Kein Label = kein OEM-Vertrag

Die geschäftlichen Konsequenzen eines fehlenden TISAX-Labels sind unmittelbar und schwerwiegend. OEMs setzen ein gültiges Label als zwingende Voraussetzung in ihren Einkaufsbedingungen. Ohne Label wirst du in Ausschreibungen nicht berücksichtigt und bestehende Verträge können bei Ablauf des Labels nicht verlängert werden. In einem Markt, in dem die Zahl der TISAX-zertifizierten Zulieferer stetig wächst, ist ein fehlendes Label ein klarer Wettbewerbsnachteil.

Darüber hinaus wirkt sich TISAX zunehmend auf die gesamte Lieferkette aus: Tier-1-Zulieferer werden von OEMs verpflichtet, die TISAX-Compliance ihrer eigenen Unterlieferanten zu prüfen und nachzuweisen. Der Druck kommt also nicht nur von oben, sondern auch von den direkten Geschäftspartnern. Wer frühzeitig investiert, positioniert sich als verlässlicher Partner in einer zunehmend sicherheitsbewussten Branche.

Nächste Schritte

Du möchtest tiefer in einzelne TISAX-Themen einsteigen? Hier findest du weiterführende Inhalte:

• TISAX Content Hub mit detaillierten Guides zu Assessment Levels, VDA ISA und Checklisten
• Supplier-Compliance in der Lieferkette mit Fokus auf Multi-Tier-Monitoring und Label-Lifecycle
• TISAX-Software im Vergleich mit TCO-Analyse und Feature-Matrix