Assessment-Level und Labels: Prüftiefe und Schutzbedarf in TISAX steuern
Kernaussage
In TISAX entscheiden zwei Stellschrauben darüber, wie aufwendig ein Assessment wird und welches Ergebnis ausgetauscht werden kann: das Assessment-Level (AL1, AL2, AL3) und die Labels. Das Assessment-Level bestimmt die Prüftiefe und -methode, also wie streng und mit welchem Nachweisaufwand geprüft wird. Die Labels beschreiben den Prüfumfang und das geforderte Schutzniveau, etwa für vertrauliche Informationen, Prototypen oder personenbezogene Daten.
Beide hängen zusammen: Der Schutzbedarf der im Kundenauftrag verarbeiteten Informationen treibt das Assessment-Level. Je höher der Schutzbedarf, desto höher das AL und desto tiefer die Prüfung. Für den CISO ist das eine Scoping- und Kostenentscheidung, die früh und bewusst getroffen werden muss, nicht erst beim Prüfdienstleister.
Problem in der Praxis
Viele TISAX-Vorhaben starten mit der Frage "Wir brauchen TISAX" statt mit der präzisen Frage "Welches Label, welcher Schutzbedarf, welches Assessment-Level für welchen Standort". Das Ergebnis sind teure Korrekturschleifen: Ein zu niedriges AL deckt die Kundenanforderung nicht ab, ein zu hohes AL erzeugt Vor-Ort-Aufwand, den der Vertrag nicht verlangt.
Typisch ist auch die Verwechslung der Ebenen. Das Assessment-Level wird mit dem Reifegrad verwechselt, oder das Label wird als Formsache behandelt. Tatsächlich ist die Kombination aus Label und AL die eigentliche Aussage des Prüfergebnisses: Sie sagt einem Kunden, welches Schutzniveau geprüft wurde und mit welcher Prüftiefe. Wer die Kundenanforderung nicht sauber erfragt (sie kommt häufig vom OEM), prüft am tatsächlichen Bedarf vorbei.
CISO-Einordnung
Die drei Assessment-Level bilden eine Eskalation der Prüfstrenge ab: von einer eher plausibilitätsorientierten Prüfung über eine nachweisbasierte Prüfung bis zu einer vertieften Prüfung mit Vor-Ort-Anteil. Der CISO sollte diese Logik kennen, die verbindliche Zuordnung von Methode, Remote-Anteil und Vor-Ort-Pflicht je AL aber aus den aktuellen ENX- und VDA-Vorgaben übernehmen, da diese Details versionsabhängig sind.
Die Labels beschreiben das Schutzbedarfs- und Themenfeld. Im Bereich Informationssicherheit sind "Confidential" und "Strictly Confidential" die Labels beziehungsweise Assessment-Objectives, die mit hohem beziehungsweise sehr hohem Vertraulichkeits-Schutzbedarf korrespondieren; sie haben die früheren Bezeichnungen "Info High" und "Info Very High" abgelöst. Daneben gibt es Labels für den Prototypenschutz, etwa für Prototypen-Bauteile und -Fahrzeuge sowie Testfahrzeuge und Veranstaltungen, und für den Datenschutz, der über zwei Assessment-Objectives abgebildet wird: allgemeiner Datenschutz sowie besondere Kategorien personenbezogener Daten.
Der Zusammenhang: Der Schutzbedarf bestimmt das Label und treibt das Assessment-Level; Prototypenschutz und besonders sensible Daten ziehen in der Regel die strengeren Prüfformen nach sich. Die genaue Zuordnung von Schutzbedarf zu konkretem AL ist jedoch eine verbindliche Regelwerksvorgabe und sollte beim Prüfdienstleister verifiziert werden.
Umsetzungsperspektive
Aus CISO-Sicht läuft die Steuerung in einer klaren Reihenfolge ab:
- Zuerst die Kundenanforderung klären: Welche Labels und welches Schutzniveau verlangt der OEM oder Auftraggeber konkret?
- Dann den Schutzbedarf der betroffenen Informationen, Prototypen und Daten je Standort bestimmen.
- Daraus das benötigte Label und das passende Assessment-Level ableiten.
- Erst danach Scope, Standorte und Prüfziele bei der ENX-Plattform registrieren.
Diese Reihenfolge verhindert, dass das AL geraten wird. Das Assessment-Level ist kein interner Ehrgeiz, sondern die Antwort auf einen extern definierten Schutzbedarf: Ein Standort mit nur unkritischen Aufgaben braucht kein Vor-Ort-Assessment der höchsten Stufe, ein Standort mit Prototypen oder hochvertraulichen Entwicklungsdaten dagegen sehr wahrscheinlich. Wichtig bleibt die Trennung der Begriffe: Das AL steuert die Prüfmethode, das Label steuert Umfang und Schutzniveau, der Reifegrad bewertet die Prüfziele inhaltlich.
Vergebene Labels werden anschließend über die ENX-TISAX-Plattform kontrolliert mit Partnern geteilt; die Geltungsdauer beträgt in der Regel drei Jahre, ist jedoch vor verbindlicher Aussage zu prüfen.
Typische Fehler
- Das Assessment-Level wird intern festgelegt, ohne die tatsächliche Kundenanforderung zu erfragen.
- AL und Reifegrad werden verwechselt, sodass Prüftiefe und inhaltliche Bewertung vermischt werden.
- Der Schutzbedarf wird pauschal für das ganze Unternehmen statt differenziert je Standort und Datenart bestimmt.
- Erforderliche Datenschutz- oder Prototypen-Labels werden vergessen, obwohl entsprechende Verarbeitung stattfindet.
- Die Geltungsdauer und Versionsstände werden als fix angenommen, statt sie vor der Registrierung zu verifizieren.
Risiken und Trade-offs
Ein zu niedrig gewähltes Assessment-Level ist das größte Risiko: Das Label deckt die Kundenanforderung nicht ab, die Anerkennung im Austauschmodell läuft ins Leere, und das Vorhaben muss in einem höheren AL wiederholt werden. Ein zu hoch gewähltes AL ist das umgekehrte Problem: Eine vertiefte Prüfung mit Vor-Ort-Anteil bindet Zeit, Geld und Kapazität, die der Vertrag nicht verlangt. Angemessen ist das passende Niveau je Standort, nicht das maximale Niveau überall.
Ein weiterer Trade-off betrifft die Label-Breite. Mehr Labels bedeuten breitere Anerkennung gegenüber unterschiedlichen Kunden, aber auch mehr Prüfaufwand und mehr Nachweise. Prototypenschutz erfordert zudem physische und organisatorische Maßnahmen, die über die reine Informationssicherheit hinausgehen und eigene Investitionen auslösen können.
Entscheidungspunkte
- Welches Label und welches Schutzniveau verlangt der konkrete Kunde, und liegt das schriftlich vor?
- Welcher Schutzbedarf besteht je Standort für Informationen, Prototypen und personenbezogene Daten?
- Welches Assessment-Level ergibt sich daraus, und ist diese Zuordnung mit dem Prüfdienstleister bestätigt?
- Werden mehrere Labels benötigt, und rechtfertigt der Marktnutzen den zusätzlichen Prüfaufwand?
- Sind Versionsstand, Methodik je AL und Geltungsdauer aktuell gegen die ENX- und VDA-Vorgaben geprüft?
Praktische Empfehlungen
- Beginnen Sie immer bei der Kundenanforderung und dokumentieren Sie die geforderte Kombination aus Label und Assessment-Level.
- Bestimmen Sie den Schutzbedarf differenziert je Standort und Datenart, nicht pauschal für das Gesamtunternehmen.
- Leiten Sie das Assessment-Level aus dem Schutzbedarf ab und lassen Sie die Zuordnung vom Prüfdienstleister bestätigen.
- Halten Sie AL, Label und Reifegrad konzeptionell und in der Kommunikation sauber getrennt.
- Verifizieren Sie Versionsstand, AL-Methodik und Geltungsdauer vor der Registrierung gegen die aktuellen ENX- und VDA-Vorgaben.
Relevante Normreferenzen
- VDA ISA (Information Security Assessment): Referenz für Prüfkatalog, Module und Reifegradlogik; lizenziert, nur als Verweis, kein Wortlaut.
- TISAX-Regelwerk der ENX Association: Referenz für Assessment-Level, Labels, Schutzbedarf-Zuordnung und Austauschmodell; lizenziert, nur als Verweis.
- ISO/IEC 27001/27002: Referenz für den inhaltlichen Bezugsrahmen, an den die TISAX-Inhalte angelehnt sind.
Häufige Fragen
Was ist der Unterschied zwischen Assessment-Level und Label?+
Das Assessment-Level beschreibt die Prüftiefe und -methode. Das Label beschreibt den Prüfumfang und das geforderte Schutzniveau, etwa für vertrauliche Informationen, Prototypen oder personenbezogene Daten.
Wie hängen Schutzbedarf und Assessment-Level zusammen?+
Der Schutzbedarf der verarbeiteten Informationen treibt das Assessment-Level. Je höher der Schutzbedarf, desto höher das AL und desto tiefer die Prüfung. Die konkrete Zuordnung gibt das Regelwerk vor.
Was bedeuten "Confidential" und "Strictly Confidential"?+
Es sind die TISAX-Labels beziehungsweise Assessment-Objectives im Bereich Informationssicherheit, die mit hohem beziehungsweise sehr hohem Vertraulichkeits-Schutzbedarf korrespondieren. Sie haben die früheren Bezeichnungen "Info High" und "Info Very High" abgelöst.
Wer legt das benötigte Level fest?+
In der Praxis ergibt es sich aus der Kundenanforderung, etwa eines OEM, und dem Schutzbedarf je Standort. Es sollte nicht intern geraten, sondern mit dem Prüfdienstleister bestätigt werden. Die Geltungsdauer eines Labels beträgt in der Regel drei Jahre, ist aber vor verbindlicher Aussage gegen die aktuellen ENX-Vorgaben zu prüfen.
Vom Wissen zur Umsetzung
Die Cybervize-Plattform und unsere Beratung setzen TISAX / VDA ISA prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.
Passende Leistung ansehenVerwandte Artikel
Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: tisax-004.
