Aufbau des VDA ISA: die drei Module
Kernaussage
Der VDA ISA ist der Prüfkatalog hinter TISAX. Er ist nicht ein einziger monolithischer Fragebogen, sondern in Module gegliedert: Informationssicherheit, Prototypenschutz und Datenschutz. Diese Module sind fachlich unterschiedlich motiviert und werden nicht automatisch alle gleichzeitig geprüft. Welche Module für ein Unternehmen relevant sind, ergibt sich aus den Prüfzielen und den damit verbundenen TISAX-Labels, die in der Regel ein Kunde aus der Automobilindustrie fordert. Die aktuelle Hauptversion des Katalogs ist der VDA ISA 6 (herausgegeben vom VDA am 15.10.2023, verbindlich für TISAX ab 01.04.2024); mögliche Folge-Minor-Versionen sind vor verbindlicher Nutzung zu prüfen.
Genauso wichtig wie die Modulstruktur ist die Bewertungslogik: Der VDA ISA arbeitet reifegradbasiert. Geprüft wird nicht nur, ob eine Maßnahme existiert, sondern wie verlässlich, gesteuert und nachweisbar sie betrieben wird. TISAX-Vorbereitung ist damit eine Reifegradaufgabe, keine reine Abhakübung.
Problem in der Praxis
Viele Organisationen behandeln den VDA ISA wie eine Checkliste, die man einmal ausfüllt. Daraus entstehen zwei typische Fehlannahmen: man müsse stets den gesamten Katalog mit allen Modulen bedienen, und eine vorhandene Maßnahme reiche aus, um ein Kriterium zu erfüllen.
Beides geht an der Konstruktion des Katalogs vorbei. Der Modulzuschnitt bedeutet, dass Prototypenschutz und Datenschutz nur dann zum Prüfumfang gehören, wenn die entsprechenden Prüfziele beauftragt sind. Die Reifegradlogik bedeutet, dass eine isolierte, undokumentierte oder ungesteuerte Maßnahme bewertungstechnisch wenig wert ist, selbst wenn sie technisch vorhanden ist. In der Folge wird entweder zu viel vorbereitet oder zu flach, und beides kostet Zeit, Geld und im Zweifel die termingerechte Label-Vergabe.
CISO-Einordnung
Die drei Module lassen sich konzeptionell klar voneinander abgrenzen.
Das Modul Informationssicherheit ist der inhaltliche Kern und an der ISO/IEC-27001/27002-Logik orientiert. Es deckt die organisatorischen und technischen Grundlagen ab, mit denen ein Unternehmen Vertraulichkeit, Integrität und Verfügbarkeit seiner Informationen steuert, und ist faktisch in jedem TISAX-Vorhaben relevant.
Das Modul Prototypenschutz adressiert eine branchenspezifische Besonderheit der Automobilindustrie: den Schutz unveröffentlichter Fahrzeuge, Bauteile und Erprobungen vor unbefugter Kenntnisnahme. Hier geht es stark um physische Sicherheit, Zutritts- und Zugangsregelungen, Geheimhaltung sowie um den Schutz bei Transporten, Tests und Veranstaltungen. Dieses Modul ist nur einschlägig, wenn ein Unternehmen tatsächlich mit schützenswerten Prototypen oder Erprobungsträgern umgeht.
Das Modul Datenschutz nimmt Bezug auf die Anforderungen der DSGVO und betrachtet die Verarbeitung personenbezogener Daten, insbesondere im Auftrag, mit gesonderter Betrachtung besonderer Kategorien personenbezogener Daten. Es ist relevant, wenn ein Dienstleister solche Daten für Auftraggeber verarbeitet.
Welche Prüfziele beauftragt sind, schlägt sich in den TISAX-Labels nieder. Das Modul Informationssicherheit kennt je nach Schutzbedarf die Labels "Confidential" und "Strictly Confidential", während Prototypenschutz und Datenschutz jeweils eigene Labels tragen ("Prototypenschutz" beziehungsweise "Datenschutz"). Parallel bestimmen die Assessment-Level AL1, AL2 und AL3 die Prüftiefe und -methode mit steigender Strenge: von der eher plausibilitätsorientierten Prüfung (AL1) über die nachweisbasierte Prüfung (AL2) bis zur vertieften beziehungsweise Vor-Ort-Prüfung (AL3). Ein höherer Schutzbedarf führt zu einem höheren Assessment-Level; die konkrete Zuordnung von Methode und Level ist gegen die aktuelle ENX/VDA-Fassung zu prüfen.
Quer über alle Module liegt das Reifegradmodell. Es ist CMMI-ähnlich aufgebaut und unterscheidet sechs Stufen von "unvollständig" bis "optimierend". Maßgeblich ist die geforderte Zielreife, die üblicherweise auf der Stufe "etabliert" liegt; einzelne Prüfziele können höhere Zielwerte verlangen. Konkrete Stufenzuordnung und Zielwerte sind Vorgaben des jeweiligen Katalogstands und vor verbindlicher Nutzung gegen die aktuelle ENX/VDA-Fassung zu prüfen.
Umsetzungsperspektive
Aus Sicht des CISO ergibt sich daraus eine klare Reihenfolge der Vorbereitung.
Zuerst steht die Scope- und Modulentscheidung. Welche Prüfziele und Labels fordert der Kunde? Daraus folgt, welche Module überhaupt in den Prüfumfang gehören und in welchem Assessment-Level (AL1, AL2 oder AL3). Erst danach lohnt sich die inhaltliche Tiefe.
Anschließend folgt die reifegradorientierte Selbstbewertung. Der VDA ISA wird üblicherweise über einen Excel-basierten Selbstcheck bearbeitet, der auch im späteren Assessment Bezugspunkt ist. Es geht nicht um das Ankreuzen, sondern um die ehrliche Einschätzung, wie gesteuert und nachweisbar eine Maßnahme tatsächlich betrieben wird.
Danach folgt die Schließung der Reifegradlücken. Wo eine Maßnahme zwar vorhanden, aber nicht dokumentiert, gesteuert oder wirksamkeitsgeprüft ist, fehlt Reife. Diese Lücken werden gezielt gehoben, idealerweise so, dass Nachweise als Nebenprodukt des Regelbetriebs entstehen und nicht erst kurz vor dem Assessment.
Wer bereits ein ISO/IEC-27001-orientiertes ISMS betreibt, hat für das Modul Informationssicherheit eine gute Grundlage. Prototypenschutz und Datenschutz erfordern jedoch gezielte Ergänzungen, die ein klassisches ISMS nicht automatisch mitbringt.
Typische Fehler
- Alle drei Module werden vorbereitet, obwohl nur das Modul Informationssicherheit beauftragt ist.
- Die Modulwahl wird intern getroffen, statt sie aus den Kundenanforderungen und den geforderten Labels abzuleiten.
- Der Reifegrad wird mit der reinen Existenz einer Maßnahme verwechselt.
- Nachweise werden kurz vor dem Assessment zusammengesucht statt im Betrieb erzeugt.
- Prototypenschutz wird als reines IT-Thema behandelt, obwohl physische Sicherheit und Geheimhaltung zentral sind.
- Versions- und Zielwertvorgaben werden aus älteren Quellen übernommen statt aus dem aktuellen Katalogstand.
Risiken und Trade-offs
Ein zu breiter Scope erzeugt Aufwand für Module, die niemand fordert. Ein zu enger Scope führt dazu, dass ein gefordertes Label nicht erreicht wird und das Assessment nachgebessert werden muss.
Bei der Reife gilt ein vergleichbarer Trade-off. Wer pauschal die höchsten Reifegrade anstrebt, überinvestiert dort, wo die geforderte Zielreife niedriger liegt. Wer nur formal die Mindestschwelle bedient, riskiert, dass im Assessment die fehlende Steuerung oder Nachweisbarkeit auffällt. Hinzu kommt der Zeitfaktor: Reifegrade lassen sich nicht kurzfristig erzeugen, weil "etabliert" und höher eine gewisse Betriebshistorie und Nachweislage voraussetzen. Eine späte TISAX-Vorbereitung kollidiert daher regelmäßig mit Kundenterminen.
Entscheidungspunkte
- Welche Prüfziele und Labels fordert der Kunde, und welche Module folgen daraus zwingend?
- In welchem Assessment-Level (AL1, AL2 oder AL3) wird geprüft, und passt das zum tatsächlichen Schutzbedarf?
- Welche Zielreife ist je Prüfziel gefordert, und wo liegt heute realistisch der Reifegrad?
- Welche bestehenden ISMS-Bestandteile sind auf das Modul Informationssicherheit anrechenbar?
- Welche zusätzlichen Fähigkeiten braucht es für Prototypenschutz und Datenschutz, falls diese im Scope sind?
Praktische Empfehlungen
- Leiten Sie Modulwahl und Assessment-Level aus den Kundenanforderungen ab, nicht aus internen Annahmen.
- Behandeln Sie die Selbstbewertung als ehrliche Reifegradanalyse, nicht als Checkliste.
- Trennen Sie sauber zwischen "Maßnahme vorhanden" und "Maßnahme etabliert und nachweisbar".
- Planen Sie für Reifegradaufbau ausreichend Vorlauf vor dem geplanten Assessment ein.
- Prüfen Sie den aktuellen Katalog- und Versionsstand sowie die geforderten Zielwerte direkt bei ENX/VDA, bevor Sie verbindlich planen.
- Verankern Sie Prototypenschutz, falls relevant, organisatorisch über IT und physische Sicherheit hinweg.
Relevante Normreferenzen
- VDA ISA (Information Security Assessment): lizenzierter Prüfkatalog des VDA, Grundlage von TISAX; aktuelle Hauptversion VDA ISA 6 (VDA-Veröffentlichung 15.10.2023, verbindlich für TISAX ab 01.04.2024); hier nur als Konzept- und Strukturreferenz, ohne Wiedergabe von Kriterien.
- TISAX (Trusted Information Security Assessment Exchange): Verfahren und Label-Modell der ENX Association im Auftrag des VDA.
- ISO/IEC 27001 / 27002: inhaltliche Orientierung des Moduls Informationssicherheit (allgemeine Referenz).
- DSGVO: Bezugsrahmen des Moduls Datenschutz (allgemeine Referenz).
Häufige Fragen
Aus welchen Modulen besteht der VDA ISA?+
Aus den Modulen Informationssicherheit, Prototypenschutz und Datenschutz. Sie sind fachlich unterschiedlich motiviert und nicht automatisch alle im Prüfumfang.
Müssen immer alle drei Module geprüft werden?+
Nein. Welche Module relevant sind, ergibt sich aus den geforderten Prüfzielen und TISAX-Labels, die in der Regel der Kunde vorgibt.
Was bedeutet reifegradbasiert?+
Es wird nicht nur geprüft, ob eine Maßnahme existiert, sondern wie gesteuert, etabliert und nachweisbar sie betrieben wird. Üblicherweise wird mindestens die Stufe "etabliert" angestrebt, einzelne Prüfziele können höher liegen; der konkrete Wert ist gegen den aktuellen Katalogstand zu prüfen.
Reicht ein ISO-27001-ISMS für TISAX aus?+
Es ist eine gute Grundlage für das Modul Informationssicherheit, deckt aber Prototypenschutz und Datenschutz nicht automatisch ab.
Vom Wissen zur Umsetzung
Die Cybervize-Plattform und unsere Beratung setzen TISAX / VDA ISA prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.
Passende Leistung ansehenVerwandte Artikel
Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: tisax-002.
