Informationssicherheit Automotive

TISAX

Automotive-Datenschutz mit OEM-Zugang

TISAX ist kein ISO-Standard, sondern das Assessment-Verfahren des Verbands der Automobilindustrie (VDA): Wer als Zulieferer oder Dienstleister vertrauliche OEM-Daten verarbeitet, braucht ein gültiges TISAX-Label — ohne es bleibt der Zugang zu bestimmten Projekten und Datenkategorien verschlossen. IQI ist seit Gründung im Jahr 2000 in der Automobilindustrie aktiv — vom Standort Sundern im Sauerland (NRW) aus, deutschlandweit. IQI berät Unternehmen nach ISO/IEC 27001 und hat spezialisierte Mitarbeiter mit zertifizierten Grundkenntnissen in TISAX® und VDA ISA im Team — ausgebildet durch die TÜV SÜD Akademie. Den schärfsten TISAX-Sachverstand im IQI-Ökosystem bündelt aber Norminator: Wenn es um VDA ISA-Kapitel, Assessment-Level, Prototypenschutz und Gap-Analysen geht, ist Norminator der Experte, den IQI losschickt. IQI erstellt darüber hinaus Rechtskataster im TISAX-Scope — für Unternehmen, die ihre gesetzlichen Informationssicherheitspflichten systematisch dokumentieren müssen.

◆ Automotive-Erfahrung seit 2000

◆ Norminator für TISAX

◆ +30 Rechtskataster im TISAX-Scope

Was ist TISAX?

TISAX steht für Trusted Information Security Assessment Exchange. Es ist kein ISO-Standard und keine Norm im klassischen Sinne, sondern ein Assessment-Verfahren, das der Verband der Automobilindustrie (VDA) gemeinsam mit der ENX Association entwickelt hat. Das Ergebnis ist kein Zertifikat — es ist ein Label, das im ENX-Portal hinterlegt und gezielt an ausgewählte OEM-Partner weitergegeben wird. Das Verfahren basiert auf dem VDA ISA-Katalog (Information Security Assessment). Dieser Katalog geht über die Anforderungen der ISO/IEC 27001 hinaus: andere Schutzklassen für Fahrzeugdaten, strengere Anforderungen an die Lieferkettensicherheit, eigene Anforderungen für den Umgang mit Prototypen und Vorserienteilen. TISAX unterscheidet drei Assessment-Level: AL 1 (Selbstbewertung, kein anerkennungsfähiges Ergebnis), AL 2 (Plausibilitätsprüfung durch ENX-Prüfdienstleister, remote oder vor Ort), AL 3 (vollständiges Vor-Ort-Assessment, höchste Prüftiefe — bei Prototypenschutz obligatorisch).

Das Modul Prototypenschutz ist ein eigenständiger TISAX-Scope für Unternehmen, die mit Fahrzeugprototypen, Vorserienteilen oder unveröffentlichten Designdaten arbeiten: Fotografierverbote, gesicherte Lagerflächen, kontrollierte Entsorgung von Musterbauteilen, Umgang mit CAD-Daten. OEMs wie BMW, Volkswagen, Mercedes-Benz oder Stellantis haben eigene Herstelleranforderungen, die auf dem TISAX-Prototypenschutz aufbauen — in der Regel AL 3 obligatorisch. Das TISAX-Label gilt drei Jahre und muss durch ein erneutes Assessment erneuert werden. Wer den Erneuerungsprozess zu spät startet, verliert temporär seinen TISAX-Status — mit direkten Konsequenzen für laufende OEM-Projekte.

Warum TISAX? OEM-Zugang, Lieferketten-Compliance und Wettbewerbsvorteil

Für Automobilzulieferer ist TISAX kein optionales Qualitätsmerkmal. Es ist die Zugangsvoraussetzung. OEMs wie BMW Group, Volkswagen Group, Mercedes-Benz, Stellantis, Porsche und Audi verlangen von ihren Tier-1- und Tier-2-Zulieferern ein gültiges TISAX-Label, sobald vertrauliche Daten ausgetauscht werden. Wer kein aktuelles Label vorweisen kann, bekommt in der Regel keinen Zugang zu Projektdaten — und damit auch keinen Auftrag. Das betrifft nicht nur klassische Automotive-Zulieferer: Engineering-Dienstleister, Softwarehäuser, IT-Systemhäuser und Logistikunternehmen, die OEM-Daten verarbeiten, geraten zunehmend in den TISAX-Scope ihrer Auftraggeber.

TISAX-Scope	Assessment-Level	Typische Vorbereitungsdauer	Häufigste Herausforderung
Nur Informationssicherheit (IS)	AL 2	2–4 Monate	Lücken in Zugriffssteuerung und Incident-Management
IS + Prototypenschutz	AL 3	4–8 Monate	Physische Sicherheit, CAD-Datenschutz
IS + Prototypenschutz + Datenschutz	AL 3	6–12 Monate	Verknüpfung DSGVO/VDA ISA, Datenkategorisierung

5 Fallstricke, die TISAX-Vorbereitungen scheitern lassen

01 — Den VDA ISA-Gap systematisch unterschätzt. Unternehmen, die bereits nach ISO/IEC 27001 arbeiten, gehen in die TISAX-Vorbereitung mit der Annahme: „Das meiste haben wir schon." In der Gap-Analyse zeigt sich dann regelmäßig, dass automotive-spezifische VDA ISA-Anforderungen — Schutzklassifizierung von OEM-Daten, Lieferkettensicherheit, sicheres Löschen von Trägersystemen — in der ISO 27001-Implementierung schlicht nicht adressiert wurden.

02 — Den falschen Assessment-Level gewählt. AL 2 oder AL 3 — das ist nicht immer selbst entscheidbar. Der OEM-Partner gibt vor, welchen Level er erwartet. Unternehmen, die eigenständig AL 2 einplanen und erst kurz vor dem Assessment erfahren, dass ihr OEM AL 3 fordert, stehen vor einem strukturellen Problem: Ein AL 3-Assessment verlangt Vor-Ort-Prüfungen mit einer Tiefe, für die AL 2-Vorbereitungen nicht ausreichen.

03 — Den Prototypenschutz vergessen oder zu spät einbezogen. Unternehmen, die gelegentlich mit Vorserienteilen oder unveröffentlichten Designdaten arbeiten, müssen das Prototypenschutz-Modul im Scope einschließen. Das wird häufig erst erkannt, wenn der OEM-Partner explizit danach fragt — oder wenn das Assessment bereits geplant ist. Nachträgliche Scope-Erweiterungen: anderes Assessment, mehr Zeit.

04 — ISO 27001 ≠ TISAX: Lücken, die man nicht sieht. Der VDA ISA stellt Anforderungen, die in ISO 27001 strukturell nicht vorhanden sind: eigene Schutzbedarfsfeststellung für Fahrzeugdaten, Anforderungen an Remote-Zugänge zu OEM-Systemen, konkrete Maßgaben für den Umgang mit OEM-definierten Datenkategorien. Wer diese Lücken erst im Assessment entdeckt, muss mit erheblichem Nachbesserungsaufwand rechnen.

05 — ENX-Portal-Fristen nicht im Blick. Ein TISAX-Label gilt drei Jahre. Die Erneuerung muss aktiv beantragt, geplant und mit einem erneuten Assessment abgeschlossen werden — rechtzeitig, bevor das bestehende Label ausläuft. Assessments durch ENX-Prüfdienstleister haben Vorlaufzeiten von mehreren Wochen bis Monaten. Wer zu spät startet, verliert temporär seinen TISAX-Status — mit direkten Konsequenzen für laufende OEM-Projekte.

TISAX im Kontext: ISO/IEC 27001, IATF 16949 und DSGVO

ISO/IEC 27001 Konzeptionelle Basis — aber nicht identisch. Der VDA ISA-Katalog ist aus ISO 27001 hervorgegangen und teilt die grundlegende Systematik. Unternehmen mit bestehender ISO 27001-Implementierung haben eine solide Basis — aber keine Garantie. Der VDA ISA verlangt automotive-spezifische Ergänzungen, die in ISO 27001 strukturell nicht vorgesehen sind.

IATF 16949 Automotive-Kontext, anderer Regelungsbereich. IATF 16949 regelt das Qualitätsmanagementsystem — TISAX regelt die Informationssicherheit. Beide Anforderungen kommen aus der Automotive-Lieferkette, haben aber keinen normativen Überschneidungsbereich.

Rechtskataster Datenschutz als Pflicht im TISAX-Kontext. Der TISAX-Scope „Datenschutz" verbindet die TISAX-Anforderungen mit den Pflichten aus DSGVO und BDSG. Ein Rechtskataster im TISAX-Scope identifiziert alle relevanten Rechtspflichten systematisch.

IQI hat Norminator zu TISAX befragt — hier sind seine Antworten

Norminator ist der TISAX-Experte im IQI-Ökosystem. Wir haben ihm sieben Fragen gestellt — dieselben, die uns Automotive-Unternehmen am häufigsten stellen.

Was ist TISAX eigentlich — und warum ist es keine Norm?

TISAX ist kein ISO-Standard, sondern ein branchenspezifisches Assessment-Verfahren des VDA auf Basis des VDA ISA-Katalogs. Es gibt kein öffentliches Zertifikat. Das Ergebnis ist ein Label, das im ENX-Portal hinterlegt und nur für gezielt freigegebene OEM-Partner sichtbar ist. Wer also fragt „Sind Sie TISAX-zertifiziert?", stellt bereits die falsche Frage — richtig wäre: „Haben Sie ein gültiges TISAX-Label für den relevanten Scope, und haben Sie es mit uns geteilt?"

Wo liegen die häufigsten Lücken, die Zulieferer in der Gap-Analyse unterschätzen?

Die Top-Befunde: Keine nachweisbare Security-Awareness-Schulung (VDA ISA Kapitel 2) — Schulungen finden statt, aber nicht dokumentiert, keine Teilnehmerlisten. Unzureichendes Berechtigungsmanagement (Kapitel 4) — zu viele Admins, geteilte Accounts, kein automatisiertes Deprovisioning. Fehlendes Patch-Management (Kapitel 5) — Updates werden „irgendwann" eingespielt, aber nicht nach Kritikalität priorisiert. Keine Geheimhaltungsvereinbarungen mit Dienstleistern (Kapitel 6) — Reinigungskräfte, IT-Dienstleister ohne IS-Klausel. Und wenn Prototypenschutz im Scope ist: Gar kein Konzept vorhanden, Prototypen im gleichen Regal wie Serienteile.

AL 2 oder AL 3 — wie entscheide ich das?

Die Entscheidung liegt nicht bei Ihnen, sondern bei Ihrem OEM. Sobald Prototypenschutz im Scope ist, ist AL 3 obligatorisch — kein OEM akzeptiert hier AL 2. AL 2 ist der Standardfall für reine Informationssicherheits-Scopes ohne Prototypen. Praktischer Tipp: Wenn Sie wissen, dass AL 3 irgendwann unvermeidlich ist — planen Sie direkt für AL 3. Ein Upgrade von AL 2 auf AL 3 bedeutet ein vollständig neues Assessment.

Was bedeutet Prototypenschutz konkret — was prüft der Auditor vor Ort?

Der Auditor bei AL 3 macht keine reine Aktenkontrolle. Er geht durch Ihre Räume. Er prüft, ob Prototypenbereiche erkennbar als solche gekennzeichnet sind. Er fragt nach, wie Musterbauteile entsorgt werden — und ob ein Vernichtungsnachweis existiert. Die häufigsten Hauptabweichungen: Mitarbeiter kennen die Regeln nicht, Prototypen sind nicht von Serienteilen getrennt, externe Dienstleister haben keine Geheimhaltungserklärung.

Was ist der eine Rat, den du jedem Zulieferer vor dem Assessment mitgibst?

Dokumentieren Sie nichts, was Sie nicht auch live erklären können. Wenn der Lagerist nicht weiß, was ein Prototyp ist, die CAD-Konstrukteurin nicht erklären kann, wie sie mit streng vertraulichen Daten umgeht, oder der IT-Admin zögert, wenn er nach dem Patchstand gefragt wird, ist das eine Hauptabweichung — egal wie perfekt Ihre Handbücher geschrieben sind. Machen Sie einen Probelauf: Gehen Sie mit Ihren Leuten durch die kritischen Prozesse, bevor der Auditor kommt.

→ Norminator selbst fragen — KI-basierter Berater für TISAX und VDA ISA

TISAX in der Praxis: Wer braucht das Label?

IQI begleitet über 30 aktive Rechtskataster-Mandate im TISAX-Scope — und das Portfolio zeigt drei klar erkennbare Cluster. Den größten Anteil bilden Automotive-Zulieferer aus Metallbearbeitung, Kunststofftechnik, Werkzeugbau und Oberflächentechnik: direkt in OEM-Lieferketten eingebunden, TISAX-Label faktische Voraussetzung für die Geschäftsbeziehung. Der zweite Cluster sind IT- und Softwaredienstleister mit OEM-Kontakt: Für sie ist TISAX oft der erste VDA-Standard überhaupt — Scope unterscheidet sich deutlich: weniger physische Sicherheit, mehr Datenkategorisierung und Remote-Zugriffssteuerung. Der dritte Cluster sind Engineering- und Automationsdienstleister: Unternehmen, die Sondermaschinen oder Entwicklungsdienstleistungen für die Automobilindustrie liefern und Zugriff auf OEM-Konstruktionsdaten oder Vorserieninformationen haben.

So unterstützt IQI bei Informationssicherheit Automotive

Rechtskataster TISAX-Scope

Über 30 aktive Mandate

DSGVO (EU 2016/679), BDSG, NIS2 (EU 2022/2555), IT-Sicherheitsgesetz 2.0 (BSIG), GeschGehG — der VDA ISA-Katalog verlangt, dass diese Pflichten bekannt, dokumentiert und im Managementsystem berücksichtigt werden. IQI erstellt und pflegt Rechtskataster in diesem Scope.

Norminator — KI-Berater für TISAX

VDA ISA · AL 1–3 · Prototypenschutz

Norminator deckt alle 7 VDA ISA-Kapitel des Hauptmoduls, das Prototypenschutz-Modul und den ENX-Portal-Prozess ab. Gap-Analyse gegen den VDA ISA-Katalog, Dokumentationsvorlagen, priorisierter Maßnahmenplan, Vorbereitung auf Auditor-Fragen.

Norminator — KI-basierter Berater

IQI hat mit Norminator einen KI-basierten Berater entwickelt, der TISAX und den VDA ISA-Katalog in voller Breite abdeckt — alle 7 Kapitel des Hauptmoduls, das Prototypenschutz-Modul und den ENX-Portal-Prozess. Norminator erklärt Assessment-Level, beantwortet Fragen zu konkreten VDA ISA-Anforderungen und unterstützt bei der Einordnung von Prototypenschutz-Anforderungen. Gap-Analyse gegen den VDA ISA-Katalog, Dokumentationsvorlagen für Richtlinien und Schulungsnachweise, priorisierter Maßnahmenplan und Vorbereitung auf Auditor-Fragen. Sanctioned Interpretations, OEM-spezifische CSR-Updates, VDA ISA-Kapitelreferenzen — im TISAX-Umfeld ändern sich die Spielregeln schneller als Beratungstermine verfügbar sind. Norminator gibt Ihrem Team sofort Zugriff auf aktuelle Interpretationen und Dokumentationsvorlagen. Preise und Konditionen unter norminator.de/preise.

Norminator entdecken →

Häufige Fragen

Grundlagen

Was ist TISAX und wer braucht es?

TISAX (Trusted Information Security Assessment Exchange) ist ein Assessment-Verfahren des VDA (Verband der Automobilindustrie) zur Überprüfung der Informationssicherheit in der Automobilbranche. Es basiert auf dem VDA ISA-Katalog und wird von OEMs wie BMW, Volkswagen, Mercedes-Benz oder Stellantis gefordert. Benötigt wird TISAX von Unternehmen, die vertrauliche Informationen von OEMs verarbeiten — CAD-Daten, Entwicklungsunterlagen, persönliche Daten oder Prototypen. Ohne gültiges TISAX-Label ist der Zugang zu bestimmten Datenkategorien und damit zu OEM-Projekten in der Regel nicht möglich.

Was ist der Unterschied zwischen TISAX und ISO/IEC 27001?

TISAX und ISO/IEC 27001 haben denselben konzeptionellen Ursprung: Der VDA ISA-Katalog basiert inhaltlich auf ISO/IEC 27001. Der entscheidende Unterschied: ISO 27001 führt zur Zertifizierung durch eine akkreditierte Stelle — TISAX endet mit einem Label, das im ENX-Portal hinterlegt und gezielt mit OEM-Partnern geteilt wird. Der VDA ISA geht über ISO 27001 hinaus und stellt automotive-spezifische Anforderungen. Eine bestehende ISO 27001-Zertifizierung ist eine gute Basis, schließt aber die TISAX-spezifischen Lücken nicht automatisch.

Was sind die TISAX Assessment-Level AL 1, AL 2, AL 3?

AL 1 ist eine Selbstbewertung ohne externe Überprüfung — Ergebnisse können nicht mit OEM-Partnern geteilt werden. AL 2 ist eine Plausibilitätsprüfung durch einen ENX-Prüfdienstleister, remote oder am Standort — für viele Datenkategorien ausreichend. AL 3 ist das vollständige Vor-Ort-Assessment mit der höchsten Prüftiefe — wird von den meisten OEMs verlangt, sobald Prototypenschutz-Anforderungen im Scope sind.

Was ist Prototypenschutz nach TISAX?

Der Prototypenschutz ist ein eigenständiges TISAX-Modul für Unternehmen, die mit Vorserienteilen, Fahrzeugprototypen oder unveröffentlichten Designdaten von OEMs arbeiten. Es stellt zusätzliche Anforderungen an physische Sicherheit — Fotografierverbote, gesicherte Lagerflächen, kontrollierte Entsorgung von Musterbauteilen, Umgang mit CAD-Daten. Unternehmen mit diesem Modul im Scope werden in der Regel auf AL 3 bewertet.

Wie lange dauert die Vorbereitung auf ein TISAX-Assessment?

Richtwerte: AL 2 (nur IS-Scope) bei gut vorbereitetem Unternehmen 2–4 Monate. AL 3 mit Prototypenschutz 4–8 Monate. Ohne bestehende ISMS-Strukturen kann AL 3 auch 12 Monate oder länger dauern. Die Entscheidung über den Assessment-Level liegt nicht beim Unternehmen — der OEM-Partner gibt vor, welches Label er erwartet.

Was ist der Unterschied zwischen dem TISAX-Label und einem ISO-Zertifikat?

Ein ISO-Zertifikat wird von einer akkreditierten Zertifizierungsstelle ausgestellt und ist öffentlich sichtbar. Das TISAX-Label ist kein Zertifikat — es wird im ENX-Portal hinterlegt und nur für gezielt freigegebene OEM-Partner sichtbar. Es gilt drei Jahre und muss danach durch ein erneutes Assessment erneuert werden.

Brauche ich TISAX oder ISO/IEC 27001 — oder beides?

Das hängt von Ihren Kunden und Märkten ab. TISAX wird von OEMs in der Automobilindustrie gefordert — ohne gültiges Label kein Zugang zu OEM-Daten und OEM-Projekten. ISO/IEC 27001 ist der internationale Nachweis für ein funktionierendes ISMS, der in allen Branchen gilt und öffentlich sichtbar ist. Beides schließt sich nicht aus. Eine bestehende ISO 27001-Implementierung reduziert den TISAX-Vorbereitungsaufwand erheblich — ersetzt das Assessment aber nicht, da der VDA ISA über ISO 27001 hinausgeht.

Rechtskataster

Was beinhaltet ein Rechtskataster im TISAX-Kontext?

Ein Rechtskataster im TISAX-Scope erfasst alle bindenden Rechtsvorschriften im Bereich Informationssicherheit und Datenschutz. Auf EU-Ebene: DSGVO (EU 2016/679) und NIS2-Richtlinie (EU 2022/2555). Auf Bundesebene: BDSG, IT-Sicherheitsgesetz 2.0 (BSI-Gesetz) und Geschäftsgeheimnisgesetz (GeschGehG). Der VDA ISA-Katalog verlangt, dass diese Pflichten bekannt, dokumentiert und im Managementsystem berücksichtigt werden. IQI erstellt und pflegt Rechtskataster in diesem Scope.

Norminator & Positionierung

Wie unterstützt Norminator bei TISAX?

Norminator ist IQIs KI-basierter Berater und deckt TISAX und den VDA ISA-Katalog in voller Breite ab — alle 7 Kapitel des Hauptmoduls, das Prototypenschutz-Modul und den ENX-Portal-Prozess. Er erstellt Gap-Analysen gegen den VDA ISA-Katalog, Dokumentationsvorlagen für Richtlinien und Schulungsnachweise, priorisierte Maßnahmenpläne und bereitet auf Auditor-Fragen vor.

Können wir allein mit Norminator das TISAX-Label bekommen?

Kurz gesagt: Nein, nicht allein. Das Vor-Ort-Assessment muss ein akkreditierter ENX-Prüfdienstleister durchführen. Die physische Infrastruktur muss das Unternehmen selbst aufbauen. Und ein interner Informationssicherheitsbeauftragter, der im Audit die Verantwortung trägt, ist Pflicht. Was Norminator leisten kann: Gap-Analyse gegen den VDA ISA-Katalog, Dokumentationsvorlagen, einen priorisierten Maßnahmenplan und die Vorbereitung auf Auditor-Fragen. TISAX ist kein Kaufzertifikat.

Warum IQI und nicht direkt zum Audit-Provider für die Vorbereitung?

DEKRA, TÜV und andere ENX-Prüfdienstleister führen das Assessment durch — für die Vorbereitung sind Sie frei in der Wahl. IQI bietet zwei Vorteile: Erstens Werkzeuge statt nur Beratung — mit Norminator und dem Rechtskataster bleibt Ihr TISAX-Wissen im System, nicht im Kopf eines externen Beraters. Zweitens Unabhängigkeit — IQI hat kein Interesse daran, den Vorbereitungsaufwand zu maximieren, weil IQI kein Assessment verkauft. Sie wählen Ihren Audit-Provider frei.

TISAX — Die Werkzeuge für Ihren Einstieg

IQI ist unabhängig vom Audit-Provider — Sie wählen Ihren ENX-Prüfdienstleister frei. Kein Interessenkonflikt, keine Bindung. IQI bündelt zwei Jahrzehnte Automotive- und Informationssicherheits-Erfahrung in zwei Leistungen: Norminator beantwortet Ihre TISAX-Fragen sofort — rund um die Uhr. Das Rechtskataster sichert Ihre gesetzlichen Pflichten im TISAX-Scope strukturell ab.

Norminator testen Rechtskataster anfragen