TISAX verstehen: Zweck, ENX, VDA ISA und gegenseitige Anerkennung
Kernaussage
TISAX (Trusted Information Security Assessment Exchange) ist der Branchenstandard der Automobilindustrie für Informationssicherheit. Sein Zweck ist kein weiteres Zertifikat, sondern ein Austauschmodell: Ein Unternehmen lässt seine Informationssicherheit einmal nach einem einheitlichen Prüfkatalog bewerten und teilt das Ergebnis kontrolliert mit mehreren Geschäftspartnern, statt sich von jedem Kunden einzeln auditieren zu lassen.
Betrieben wird das Modell von der ENX Association im Auftrag des VDA als Governance-Stelle; der inhaltliche Prüfkatalog ist die VDA ISA (Information Security Assessment). Wichtig für das Management: TISAX ist keine ISO-Zertifizierung. Das Ergebnis ist ein TISAX-Label, kein ISO-27001-Zertifikat, auch wenn es inhaltlich an ISO/IEC 27001 und 27002 angelehnt ist.
Problem in der Praxis
Zulieferer in der Automobilindustrie stehen vor einem strukturellen Problem: Jeder OEM und große Kunde will Sicherheit nachgewiesen sehen, bevor sensible Daten, Spezifikationen oder Prototypeninformationen geteilt werden. Ohne gemeinsamen Standard bedeutet das eine Folge individueller Kundenaudits mit jeweils eigenem Fragebogen und eigener Methodik. Das bindet Ressourcen mehrfach für dieselbe Aussage und ist auch für die Kundenseite ineffizient.
TISAX adressiert diese Redundanz: eine standardisierte Bewertung, deren Ergebnis über eine zentrale Plattform mehrfach verwendbar ist. Der Engpass verschiebt sich damit weg vom wiederholten Auditieren hin zur Frage, ob die eigene Sicherheit den geforderten Reifegrad tatsächlich erreicht.
CISO-Einordnung
Für den CISO lohnt es sich, drei Rollen klar auseinanderzuhalten, weil sie häufig verwechselt werden:
- ENX Association: betreibt TISAX im Auftrag des VDA, akkreditiert die Prüfdienstleister und stellt die Austauschplattform bereit. Governance- und Vertrauensstelle, nicht Auditor.
- VDA: Herausgeber des Prüfkatalogs VDA ISA; definiert, was bewertet wird. Aktuelle Hauptversion ist VDA ISA 6 (Herausgeber VDA, veröffentlicht am 15.10.2023, verbindlich für TISAX seit 01.04.2024); der Katalog gliedert sich in die drei Module Informationssicherheit, Prototypenschutz und Datenschutz.
- Akkreditierter Prüfdienstleister: führt das Assessment durch. Weder ENX noch VDA auditieren selbst.
Inhaltlich ist TISAX eng mit ISO/IEC 27001 und 27002 verwandt, ein bestehendes ISMS ist deshalb eine gute Grundlage. Drei Unterschiede sollte der CISO kennen: TISAX arbeitet mit Reifegradlogik statt reiner Konformität, enthält branchenspezifische Module wie den Prototypenschutz, und liefert ein Label statt eines Zertifikats. Der Geltungskontext entsteht über Kundenanforderungen in der OEM-Zulieferer-Beziehung, nicht über generische Marktanerkennung.
Umsetzungsperspektive
Der Ablauf folgt einer wiederkehrenden Logik. Zuerst registriert sich das Unternehmen bei ENX und legt den Scope fest: Standorte, Prüfziele und angestrebte Labels. Diese Scope-Entscheidung ist die wichtigste, weil sie Aufwand, Prüftiefe und Aussagekraft bestimmt. Danach folgt eine Selbstbewertung anhand der VDA ISA, bewertet über ein CMMI-ähnliches Reifegradmodell mit sechs Stufen (0 bis 5, von "unvollständig" bis "optimierend"). Als Zielreife wird in der Regel mindestens Stufe 3 ("etabliert") erwartet; maßgeblich ist die jeweils gültige Katalogversion.
Anschließend prüft ein akkreditierter Dienstleister das Ergebnis. Die Prüftiefe richtet sich nach dem Assessment-Level (AL1, AL2 oder AL3): Je höher der Schutzbedarf, desto strenger Methode und Nachweisanforderung. Bei Abweichungen folgt typischerweise ein Korrekturmaßnahmenplan, bevor das Label über die ENX-Plattform vergeben und kontrolliert geteilt wird. Die Labels bilden den Prüfumfang ab, etwa Informationssicherheit mit Schutzbedarf "Confidential" oder "Strictly Confidential", Prototypenschutz oder Datenschutz mit DSGVO-Bezug. Ein Label ist in der Regel rund drei Jahre gültig; die genaue Geltungsdauer ist anhand der aktuellen ENX-Vorgaben zu prüfen.
Typische Fehler
- TISAX wird wie eine ISO-Zertifizierung behandelt, statt das Label im Austauschmodell zu verstehen.
- Der Scope wird zu breit oder zu eng gewählt, ohne Kundenanforderungen und Schutzbedarfe vorher zu klären.
- Assessment-Level und Labels werden nicht mit dem Kunden abgestimmt, sodass das Ergebnis später nicht ausreicht.
- Der Prototypenschutz wird unterschätzt, weil er kein typischer Standardfokus eines allgemeinen ISMS ist und als branchenspezifischer Zusatz oft eigene Maßnahmen erfordert.
- Reifegrade werden optimistisch gesetzt, ohne dass die Nachweise im Assessment standhalten.
Risiken und Trade-offs
Der zentrale Trade-off liegt im Scope. Ein zu breiter Scope erhöht Aufwand und Prüfkosten erheblich, ein zu enger Scope erzeugt ein Label, das die Kundenanforderung nicht abdeckt und damit wertlos ist. Beides ist teuer, nur auf unterschiedliche Weise.
Ein zweiter Trade-off betrifft ein bestehendes ISMS: Wer bereits ISO/IEC 27001-orientiert arbeitet, kann viel Substanz wiederverwenden, sollte aber Reifegradlogik und branchenspezifische Module als Zusatzaufwand einplanen. Da sich Versions-, Label- und Geltungsdetails ändern, sind verbindliche Angaben stets gegen die aktuellen Vorgaben von ENX und VDA abzugleichen.
Entscheidungspunkte
- Welche Kunden fordern TISAX, und welche Labels und Assessment-Level verlangen sie konkret?
- Welcher Scope (Standorte, Prüfziele) ist fachlich notwendig und wirtschaftlich vertretbar?
- Nutzen wir ein bestehendes ISMS als Basis, oder bauen wir den Steuerungskern parallel auf?
- Ist der Prototypenschutz relevant, und wer verantwortet ihn organisatorisch?
Praktische Empfehlungen
- Klären Sie zuerst die Kundenanforderung schriftlich: welche Labels, welches Assessment-Level, welcher Standort. Das definiert den Scope.
- Behandeln Sie TISAX als Lieferfähigkeits-Thema mit Vertrieb und Management, nicht nur als IT-Projekt.
- Nutzen Sie ein vorhandenes ISMS als Fundament, planen Sie aber Mehraufwand für Reifegradnachweise und branchenspezifische Module ein.
- Setzen Sie Reifegrade ehrlich an und sammeln Sie Nachweise aus dem Regelbetrieb, nicht erst kurz vor dem Assessment.
- Verankern Sie das Label-Ablaufdatum im Steuerungskalender und gleichen Sie verbindliche Details gegen die aktuellen ENX- und VDA-Vorgaben ab.
Relevante Normreferenzen
- TISAX (ENX Association, im Auftrag des VDA): Referenz für das Austausch- und Anerkennungsmodell. Lizenziert, nur als Verweis zu nutzen.
- VDA ISA (Information Security Assessment, Herausgeber VDA): Referenz für den inhaltlichen Prüfkatalog; aktuelle Hauptversion VDA ISA 6 (verbindlich für TISAX seit 01.04.2024). Mögliche Folgeversionen und der verbindliche Stand sind vor Nutzung bei VDA/ENX zu prüfen. Lizenziert, nur als Verweis zu nutzen.
- ISO/IEC 27001 und ISO/IEC 27002: Referenz für die verwandten ISMS-Anforderungen und Maßnahmen, an die TISAX angelehnt ist.
Häufige Fragen
Ist TISAX dasselbe wie eine ISO-27001-Zertifizierung?+
Nein. TISAX ist an ISO/IEC 27001 und 27002 angelehnt, führt aber zu einem TISAX-Label im Austauschmodell statt zu einem ISO-Zertifikat und arbeitet mit Reifegradlogik und branchenspezifischen Modulen.
Wer steckt hinter TISAX?+
Die ENX Association betreibt TISAX im Auftrag des VDA und stellt die Austauschplattform bereit. Der VDA gibt den Prüfkatalog VDA ISA heraus. Die Assessments führen akkreditierte Prüfdienstleister durch.
Warum nutzt die Branche TISAX statt einzelner Kundenaudits?+
Weil ein einmaliges, standardisiertes Assessment über die ENX-Plattform mit mehreren Partnern geteilt werden kann und so wiederholte bilaterale Einzelaudits ersetzt.
Gilt ein TISAX-Label dauerhaft?+
Nein, es ist in der Regel rund drei Jahre gültig; die genaue Geltungsdauer ist anhand der aktuellen ENX-Vorgaben zu prüfen.
Vom Wissen zur Umsetzung
Die Cybervize-Plattform und unsere Beratung setzen TISAX / VDA ISA prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.
Passende Leistung ansehenVerwandte Artikel
Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: tisax-001.
