TISAX-Assessment: Umfassender Leitfaden für die Automobilindustrie

Wer die Automobilindustrie beliefert, wird früher oder später nach einem TISAX-Label gefragt. TISAX — Trusted Information Security Assessment Exchange — ist der branchenweite Mechanismus zur Bewertung und zum Austausch der Informationssicherheitsreife. Auf ISO 27001 und dem VDA-ISA-Katalog aufgebaut, kann ein Zulieferer seine Sicherheitslage einmal nachweisen und das Ergebnis mit mehreren OEMs und Tier-1-Kunden teilen, statt für jeden ein separates Audit zu durchlaufen. Dieser Leitfaden erklärt, was ein mittelständischer Zulieferer zur Vorbereitung wissen muss.

Wichtig zuerst: TISAX ist keine Zertifizierung, die man kauft — es ist ein Assessment, das man erlangt und dann austauscht. Das Ergebnis ist ein drei Jahre gültiges Label, das Sie über die ENX-Plattform gezielt mit bestimmten Partnern teilen. Gut angegangen stärkt es Ihre Sicherheit; als Abhaken behandelt wird es zur teuren Hektik.

Stufen und Ziele verstehen

TISAX-Assessments werden über zwei Dimensionen abgegrenzt: das Assessment-Level (AL) und die Prüfziele. Das Level spiegelt den Schutzbedarf der Informationen wider und bestimmt die Prüftiefe — von der Selbstbewertung mit Plausibilitätsprüfung bis zum Vor-Ort-Assessment mit Nachweisprüfung und Interviews.

• Assessment-Level 1: Selbstbewertung, allein selten ausreichend für Kundenanforderungen.
• Assessment-Level 2: Der Prüfer sichtet Nachweise, meist per Remote-Interview — üblich bei normalem Schutzbedarf.
• Assessment-Level 3: Vollständiges Vor-Ort-Assessment mit tiefer Nachweisprüfung — bei hohem Schutzbedarf oder Prototypendaten.
• Ziele: Informationssicherheit, hohe Verfügbarkeit, Prototypenschutz und Datenschutz — wählen Sie genau, was Ihre Kunden verlangen.

Auf ISO 27001 aufbauen

Wer bereits ein ISO-27001-ISMS betreibt, hat den Großteil der Vorarbeit geleistet — Managementsystem, Risikoprozess und Control-Framework übertragen sich. Der VDA-ISA-Katalog deckt sich weitgehend mit ISO 27001, ergänzt aber automobilspezifische Tiefe, besonders bei Prototypenschutz, physischer Sicherheit und Anbindung Dritter. Zulieferer ohne ISMS sollten zuerst dieses Fundament bauen, statt TISAX als Abkürzung zu sehen.

Strukturierte Selbstbewertung durchführen

Das VDA-ISA-Sheet ist das Rückgrat Ihrer Vorbereitung. Arbeiten Sie jedes Control durch, bewerten Sie Ihre Reife ehrlich und halten Sie fest, wo der Nachweis liegt. Widerstehen Sie der Versuchung, Werte zu beschönigen — der Prüfer verifiziert sie, und eine ehrliche, aktiv geschlossene Lücke wirkt besser als ein übertriebenes Control, das bei der Prüfung zusammenbricht.

• Vervollständigen Sie die VDA-ISA-Selbstbewertung über alle anwendbaren Bereiche.
• Dokumentieren Sie Nachweise laufend, nicht erst in der Woche vor dem Assessment.
• Achten Sie besonders auf Prototypenschutz, wenn Ihr Scope Vorserienteile oder Designs umfasst.
• Prüfen Sie die physische Sicherheit — Zugangszonen, Besuchermanagement, Clean-Desk — die direkt inspiziert wird.

Zulieferer scheitern bei TISAX selten an der Technik. Sie scheitern an den organisatorischen Grundlagen: undokumentierte Prozesse, schwache physische Sicherheit und in Hektik zusammengetragene Nachweise.

Die wichtigsten Lücken schließen

Mit klarer Selbstbewertung priorisieren Sie die Behebung nach Risiko und nach den geforderten Schutzzielen. Bei Prototypenschutz-Scopes brauchen physische und Zugangskontrollen oft die meiste Arbeit — abgetrennte Bereiche, kontrollierte Fotografie, strenge Besucherhandhabung. Bei normaler Informationssicherheit liegt der Fokus auf dokumentierten Prozessen, Zugriffsgovernance und Vorfallbehandlung.

Ihr Team auf das Assessment vorbereiten

Am Prüftag befragt der Assessor die Prozessverantwortlichen und sichtet Nachweise. Der häufigste vermeidbare Fehler ist ein Team, das die eigenen Prozesse nicht erklären kann. Stellen Sie sicher, dass die Verantwortlichen jedes Bereichs wissen, was sie tun, warum, und wo die Belege liegen.

• Briefen Sie jeden Prozessverantwortlichen zu seinen Controls und den dahinterstehenden Nachweisen.
• Führen Sie ein Probeinterview, um Lücken in der Erklärung des Programms aufzudecken.
• Sorgen Sie dafür, dass die Dokumentation aktuell ist und dem realen Handeln entspricht.

Nach dem Assessment: pflegen und austauschen

Sind die Labels erreicht, teilen Sie sie über die ENX-Plattform mit gewählten Partnern — Sie steuern, wer Ihr Ergebnis sieht. Das Label gilt drei Jahre, das Ziel danach ist Pflege, nicht Erleichterung. Halten Sie ISMS und VDA-ISA-Nachweise aktuell, damit das nächste Assessment ein einfaches Update statt eines Neubaus ist und Sie auf neue Kundenanfragen schnell reagieren können.

TISAX belohnt Zulieferer, die Informationssicherheit als Betriebsdisziplin behandeln. Bauen Sie auf ein echtes ISMS, bewerten Sie ehrlich, beheben Sie zuerst die organisatorischen und physischen Grundlagen, bereiten Sie Ihre Leute auf Gespräche vor und pflegen Sie Ihre Nachweise, damit jede Verlängerung schmerzlos bleibt.