EFS Consulting
Home / Insights / TISAX® (Trusted Information Security Assessment Exchange): Ein Leitfaden für Unternehmen
search-icon
Contact EN
EFS Consulting
LinkedIn Instagram Spotify Apple Podcasts Youtube
Information Security
Wolfgang Walter, Engagement Manager bei EFS Consulting

Wolfgang Walter

Linked In get in touch

Elisabeth Geismann

Linked In get in touch
18.02.2025

TISAX® (Trusted Information Security Assessment Exchange): Ein Leitfaden für Unternehmen

In diesem Insight wird ein umfassender Überblick über TISAX® als Standard für Informationssicherheit in der Automobilindustrie gegeben. Vorteile, Prüfprozess und Anforderungen der Zertifizierung werden ebenso beleuchtet, so wie die neuesten Änderungen im Information Security Assessment (ISA) Katalog des VDA (Verband der Automobilindustrie) und deren Auswirkungen auf Unternehmen. Darüber hinaus wird erläutert, wie TISAX® Unternehmen zukunftssicher macht – und wie EFS Consulting dabei gezielt unterstützt.

Das Wichtigste in Kürze 

  • TISAX® als Standard: TISAX® ist ein international anerkannter Standard für Informationssicherheitsmanagement, speziell entwickelt für die Automobilindustrie, basierend auf dem ISO 27001-Standard 
  • Schutz sensibler Daten: Ziel von TISAX® ist der Schutz vertraulicher Informationen entlang der Lieferkette und die Schaffung von Vertrauen durch standardisierte Prüfverfahren. 
  • Relevanz für Unternehmen: TISAX® ist relevant für Automobilhersteller (OEMs), Zulieferer und IT-Dienstleister, die sensible Informationen austauschen oder verarbeiten. 
  • Vorteile der Zertifizierung: Unternehmen profitieren von gesteigertem Vertrauen, reduzierten Risiken, verbesserter Effizienz und einem klaren Marktvorteil durch ein TISAX®-Label. 
  • Strukturierter Prozess: Der Zertifizierungsprozess umfasst die Registrierung, ein Self-Assessment, externe Prüfungen und die Ausstellung des TISAX®-Labels, angepasst an die Sicherheitsanforderungen des jeweiligen Unternehmens. 

 

Was ist TISAX®? 

TISAX® (Trusted Information Security Assessment Exchange) ist ein international anerkannter Standard für Informationssicherheitsmanagement, speziell entwickelt für die Automobilindustrie. Das Ziel dabei ist der Schutz sensibler Informationen innerhalb der Lieferkette, die Schaffung von Vertrauen und Gewährleistung von Automotive Compliance durch ein einheitliches Prüfverfahren. 

Ursprung und Ziel  

TISAX® wurde von der ENX Association in Zusammenarbeit mit dem Verband der Automobilindustrie (VDA) entwickelt und basiert auf dem ISA (Information Security Assessment)-Katalog, der die Anforderungen der ISO 27001 integriert. Es ermöglicht Unternehmen, Sicherheitsstandards transparent und effizient zu kommunizieren. Die Effizienzsteigerung wird durch standardisierte Prüfverfahren erreicht, die doppelte Aufwände reduzieren und die Zusammenarbeit entlang der digitalen Supply Chain fördern. 

Wer benötigt TISAX®? 

TISAX® ist für alle Unternehmen relevant, die in der Automobilbranche tätig sind und vertrauliche Informationen wie Prototypendaten oder Produktionspläne austauschen. Typische Zielgruppen sind: 

  • Automobilhersteller (OEMs): Um sensible Daten in der Lieferkette zu schützen. 
  • Automobilzulieferer: Diejenigen, die technische und geschäftskritische Informationen verarbeiten oder weitergeben. 
  • IT-Dienstleister: Diejenigen, die direkten Zugang zu Daten und Systemen der Automobilbranche haben. 

Darüber hinaus setzen viele Unternehmen außerhalb der Automobilindustrie auf TISAX®, um ihre Informationssicherheitsstandards zu verbessern und sich als vertrauenswürdiger Partner zu positionieren. 

Wer darf für TISAX® prüfen? 

Ausschließlich akkreditierte Prüfdienstleister, die von der ENX Association zugelassen sind, dürfen TISAX®-Zertifizierungen in Form von Prüfungen durchführen, die von Selbstauskünften bis zu umfangreichen Vor-Ort-Audits reichen. Zu den bekanntesten TISAX-Prüfdienstleistern zählen beispielsweise Organisationen wie TÜV, Dekra oder SGS. 

Warum TISAX®-Zertifizierung: Vorteile für Unternehmen 

Eine TISAX®-Zertifizierung bietet zahlreiche Vorteile: 

  • Vertrauen aufbauen: Unternehmen mit TISAX®-Label signalisieren, dass sie höchste Sicherheitsstandards einhalten. 
  • Kundenerwartungen erfüllen: Viele OEMs setzen TISAX® für die Zusammenarbeit voraus. 
  • Effizienz steigern: Einheitliche Prüfverfahren vermeiden redundante Audits und senken Kosten. 
  • Risikomanagement verbessern: Die Schutzbedarfsanalyse und Risikoanalyse helfen, Schwachstellen zu erkennen und Risiken proaktiv zu minimieren. 
  • Marktvorteil sichern: TISAX® bietet Unternehmen die Möglichkeit, sich als sicherer und zuverlässiger Partner in der Branche zu positionieren. 

 

Die Schritte zu TISAX® vereinfacht 

1. Kosten und Zeitaufwand für die Zertifizierung 

Der Weg zur TISAX®-Zertifizierung erfordert eine gezielte Vorbereitung, deren Aufwand von mehreren Faktoren abhängt: 

  • Unternehmensgröße und Komplexität: Umfangreiche Prozesse und ein großes TISAX-Scope erhöhen den Aufwand. 
  • Assessment-Level: Die Tiefe der Prüfung wird durch die Anforderungen bzw. das Assessment Level (z. B. „AL 1“, „AL 2“ oder „AL 3“) bestimmt. 
  • Vorbereitungsgrad: Unternehmen, die bereits ein Informationssicherheits-Management-System (ISMS) nach ISO 27001 eingeführt haben, können den Prozess erheblich beschleunigen. 

Die Dauer des gesamten Prozesses – von der Registrierung bis zur Ausstellung des TISAX®-Labels – beträgt in der Regel drei bis neun Monate. Dabei hängen die Kosten ebenfalls von Faktoren wie dem gewählten Prüfdienstleister, dem Standort und den spezifischen Anforderungen ab. 

2. Der TISAX®-Prozess im Überblick 

Ein strukturierter Ablauf ist entscheidend für eine erfolgreiche Zertifizierung. Die Schritte umfassen: 

  1. TISAX-Registrierung: Anmeldung über die TISAX-Plattform (ENX-Portal) und Festlegung des TISAX-Scope. 
  2. Selbstbewertung: Durchführung eines TISAX®-Self-Assessments, um bestehende Sicherheitsmaßnahmen zu überprüfen. 
  3. Prüfdienstleister beauftragen: Auswahl eines akkreditierten TISAX-Prüfdienstleisters. 
  4. Externe Prüfung: Durchführung eines Audits, das je nach Assessment-Level vor Ort stattfinden kann. 
  5. Erhalt des TISAX®-Labels: Nach erfolgreicher Prüfung erhalten Unternehmen das Label, das in der digitalen Supply Chain einsehbar ist. 

3. Assessment-Level und Anforderungen 

Die TISAX®-Zertifizierung gliedert sich in drei Assessment-Level (AL): 

  • AL 1: Selbstauskunft ohne externe Verifizierung. 
  • AL 2: Stichprobenartige externe Prüfung. 
  • AL 3: Umfassendes Audit mit tiefgehenden Vor-Ort-Prüfungen. 

Welches Assessment-Level zu wählen ist, hängt dabei von den gewählten Prüfzielen ab, die sich wiederum von den Sicherheitsanforderungen und dem Schutzbedarf ableiten lassen. Diese Anforderungen werden häufig durch Kunden, wie OEMs, vorgegeben. Aktuell gibt es zwölf Prüfziele: 

  1. Info High: Informationen mit hohem Schutzbedarf werden verarbeitet. 
  2. Info Very High: Informationen mit sehr hohem Schutzbedarf werden verarbeitet. 
  3. Confidential: Informationen mit hohem Schutzbedarf der Vertraulichkeit werden verarbeitet. 
  4. Strictly Confidential: Informationen mit sehr hohem Schutzbedarf der Vertraulichkeit werden verarbeitet. 
  5. High Availability: Eine hohe Verfügbarkeit der Produkte/Dienstleistungen wird vorausgesetzt. 
  6. Very High Availability: Eine sehr hohe Verfügbarkeit der Produkte/Dienstleistungen wird vorausgesetzt. 
  7. Proto Parts: Es werden schutzbedürftige Komponenten oder Bauteile hergestellt. 
  8. Proto Vehicles: Es werden schutzbedürftige Fahrzeuge hergestellt, gelagert oder zur Verfügung gestellt. 
  9. Test Vehicles: Es werden Tests und Probefahrten mit schutzbedürftigen Fahrzeugen durchgeführt. 
  10. Proto Events: Es werden schutzbedürftige Fahrzeuge, Komponenten oder Bauteile für Ausstellungen oder sonstige Veranstaltungen zur Verfügung verwendet. 
  11. Data: Personenbezogene Daten werden verarbeitet. 
  12. Special Data: Spezielle Kategorien von personenbezogenen Daten werden verarbeitet. 

4. Beteiligte Akteure: Anbieter, Prüfdienstleister und Kunden 

Der Erfolg einer TISAX®-Zertifizierung basiert auf der Zusammenarbeit mehrerer Akteure: 

  • Anbieter: Unternehmen, die TISAX® durchführen. 
  • Prüfdienstleister: Organisationen wie TÜV oder Dekra, die Prüfungen durchführen. 
  • Kunden: OEMs und andere Partner, die die Zertifizierung als Voraussetzung für eine Zusammenarbeit fordern. 

 

Die Bedeutung von TISAX® für die Zukunft 

TISAX® hat sich als Standard für Informationssicherheit in der Automobilindustrie etabliert. Mit den Änderungen im ISA-Katalog Version 6.0 zeigt sich, wie dynamisch und zukunftsorientiert dieser Standard ist. Unternehmen, die in einem zunehmend digitalisierten und vernetzten Markt bestehen möchten, profitieren von einer kontinuierlichen Anpassung an neue Sicherheitsanforderungen. 

TISAX® 2024: Änderungen nach ISA-Version 6.0  

Der Umstieg auf den ISA-Katalog Version 6.0 zum 1. April 2024 war kein Aprilscherz: Die bereits im Oktober 2023 angekündigte Überarbeitung des Information Security Assessment (ISA) Katalogs kommt mit nennenswerten Änderungen und Updates des bekannten Prüfstandards. 

Welche Änderungen bringt ISA 6.0 mit sich? 

Ransomware-Angriffe sind und bleiben eines der lukrativsten Geschäfte für Angreifer. Mit der steigenden Anzahl solcher Krisenvorfälle erhöht sich auch das resultierende Risiko und das Bedürfnis, präventive Maßnahmen zu setzen. Der Fokus im ISA 6.0 liegt daher verstärkt auf Incident- und Krisenmanagement. Eine Übersicht der neuen Kontrollen macht dies deutlich:

Angriffe erkennen 

  • Control 1.6.1: Einrichtung eines funktionierenden Meldesystems für Sicherheitsvorfälle 

Auf Vorfälle reagieren 

  • Control 1.6.2: Schnelle und koordinierte Reaktion auf Sicherheitsvorfälle 
  • Control 5.2.8: IT-Service-Continuity Planung zur Sicherstellung wesentlicher Geschäftsprozesse 
  • Control 1.6.3: Vorbereitung auf Krisensituationen und angemessenes Krisenmanagement 

Wiederherstellung ermöglichen 

  • Control 5.2.9 Implementierung eines soliden Backups und Restore-Konzepts 

Resilienz erhöhen 

  • Control 1.3.4: Sicheres Management von Software auf Clients 

Umstellung auf Englisch als führende Sprache 

Nicht nur Continuity-Fans, sondern auch multilinguale Talente dürfen sich freuen – mit der offiziellen Umstellung auf Englisch als führende Sprache für den ISA-Katalog sollen Einheitlichkeit und eine globale Reichweite ermöglicht werden. Folglich kann immer das englische Original zur Rate gezogen werden, sollten Zweifel oder Unverständlichkeiten in anderen Versionen aufkommen. Damit ist auch eine persönliche Freigabe der diversen Übersetzungen durch die Expertengruppe nicht mehr erforderlich. Derzeit sind acht offizielle Übersetzungen geplant, alle abgeleitet von der englischen Master-Version. 

Mehr Anforderungen – aber auch mehr Hilfestellung 

Die Überarbeitung endet nicht nur mit der Aktualisierung von Kontrollen, sondern wird durch zusätzliche Hilfestellungen und Referenzen zu internationalen Standards wie NIST SP-800-52, BSI IT-Grundschutz, ISO/IEC 27001:2022 und einem komplett überarbeiteten Datenschutzkatalog zur Unterstützung der Einhaltung der DSGVO (Datenschutz-Grundverordnung) erweitert. 

Was bedeutet die Umstellung jetzt für Unternehmen? 

Grundsätzlich gilt: Seit dem 1. April 2024 ist die ISA 6.0 für alle nach diesem Datum beauftragten TISAX®-Bewertungen verpflichtend. 

  • TISAX ® -Bewertungen nach dem veralteten ISA 5, die bis vor dem Stichtag beauftragt wurden, dürfen auch nach diesem abgeschlossen werden. Dies gilt auch für Bewertungen von Korrekturen, Scope-Erweiterungen und Folgemaßnahmen. 
  • Falls eine Bewertung auf ISA 5 Basis vor dem 1. April beantragt wurde, aber ein Umstieg auf ISA 6.0 gewünscht ist, ist dies in Absprache mit dem Prüfdienstleister möglich. 

Bereits abgeschlossene Prüfungen behalten ihre Gültigkeit. Eine erneute Bewertung ist erst erforderlich, wenn das bestehende TISAX®-Label abläuft. 

 

Unterstützung auf dem Weg zur TISAX®-Zertifizierung 

EFS Consulting bietet ganzheitliche Unterstützung auf dem Weg zur TISAX®-Zertifizierung. Das erfahrene Team analysiert Ihr bestehendes Informationssicherheits-Managementsystem, identifiziert Optimierungspotenziale und begleitet Sie durch den gesamten Zertifizierungsprozess. 

Von der Definition des TISAX®-Scopes über die Durchführung eines Self-Assessments bis hin zur Auswahl und Zusammenarbeit mit akkreditierten Prüfdienstleistern – EFS Consulting steht Ihnen mit Fachwissen und praxisnaher Unterstützung zur Seite. 

Mit EFS Consulting an Ihrer Seite stellen Sie sicher, dass Ihr Unternehmen optimal auf die Anforderungen von TISAX® vorbereitet ist und langfristig von den Vorteilen der Zertifizierung profitiert. 

 

Fazit 

TISAX® ist ein unverzichtbarer Standard für Unternehmen, die Informationssicherheit in der Automobilindustrie gewährleisten möchten. Die ständige Weiterentwicklung wie der Umstieg auf ISA 6.0 zeigt die Relevanz für die Zukunft. Kontaktieren Sie EFS Consulting noch heute, um Ihre TISAX®-Zertifizierung effizient und erfolgreich umzusetzen! 

 

 

Mehr über diese Business Area
Information Security

Insights

NIS-2-Richtlinie: Ein Meilenstein für die Cybersicherheit in Europa
Gesetzlicher Rahmen für autonomes Fahren
DSGVO einfach erklärt: Data Privacy, Cybersicherheit und Pflichten für Unternehmen
Alle Insights