TISAX-Zertifizierung – Der Praxis-Leitfaden für KMU

Inhalt in Kürze

• TISAX ist der Informationssicherheits-Standard der Automobilindustrie – ohne Label kein Auftrag von OEMs und Tier-1-Zulieferern.
• Der VDA ISA-Katalog (Version 6.0) definiert über 140 Prüffragen in neun Kapiteln. Für jedes Kriterium müssen Sie mindestens Reifegrad 3 erreichen.
• Kosten für KMU: 15.000 bis 50.000 Euro, verteilt auf Registrierung, ISMS-Aufbau und externes Audit. Dauer: 6 bis 12 Monate.
• Drei Prüfziele stehen zur Wahl: Informationssicherheit, Prototypenschutz und Datenschutz – je nach Anforderung Ihres Auftraggebers.

Freitagnachmittag, die E-Mail vom Einkauf des OEM: „Bitte reichen Sie Ihr TISAX-Label bis zum nächsten Quartal ein." Wer das als Geschäftsführer eines Zulieferers mit 30 oder 80 Mitarbeitern liest, hat Fragen. Viele Fragen. Dieser Artikel liefert Antworten.

Die TISAX-Zertifizierung ist für KMU in der Automobilbranche kein Kür-Programm mehr. Sie ist Pflicht, wenn Sie Aufträge halten oder gewinnen wollen. Gleichzeitig ist der Prozess beherrschbar – wenn Sie wissen, worauf es ankommt.

Was ist TISAX und warum brauchen KMU die Zertifizierung?

TISAX steht für Trusted Information Security Assessment Exchange. Der Standard wurde von der ENX Association im Auftrag des Verbands der Automobilindustrie (VDA) entwickelt. Er regelt, wie Unternehmen in der automobilen Lieferkette mit vertraulichen Informationen umgehen müssen.

Die Grundlage ist der VDA ISA-Katalog (Information Security Assessment) – aktuell in Version 6.0. Er enthält über 140 Prüffragen in neun Kapiteln: von IT-Sicherheit und physischer Sicherheit bis hin zu Compliance und Datenschutz.

Der entscheidende Punkt: OEMs wie BMW, Mercedes-Benz oder Volkswagen verlangen von ihren Zulieferern ein gültiges TISAX-Label. Ohne Label kein Auftrag. Und das betrifft nicht nur Tier-1-Zulieferer, sondern zunehmend auch kleinere Unternehmen in der Lieferkette.

TISAX vs. ISO 27001

TISAX baut auf ISO 27001 auf, geht aber weiter. Der VDA ISA-Katalog enthält automobilspezifische Anforderungen – etwa zum Prototypenschutz oder zur Anbindung von Partnern. Wer bereits ein ISO 27001-zertifiziertes ISMS betreibt, hat einen Vorsprung. Doppelt prüfen lassen müssen Sie sich trotzdem: TISAX erkennt ISO 27001 nicht automatisch an.

Die 3 TISAX-Prüfziele im Überblick

Welches Label Sie brauchen, hängt davon ab, was Ihr Auftraggeber verlangt. TISAX kennt drei Prüfziele:

Seit VDA ISA 6.0 gibt es zudem eine Unterscheidung zwischen Vertraulichkeit (Confidentiality) und Verfügbarkeit (Availability) – jeweils in den Stufen „High" und „Very High". Das ergibt bis zu vier verschiedene Label-Typen allein für den Bereich Informationssicherheit.

TISAX-Zertifizierung Schritt für Schritt

Der Weg zum TISAX-Label folgt einem klaren Ablauf. Zwischen Registrierung und Audit-Abschluss dürfen maximal 9 Monate liegen – planen Sie also vorher.

1. Scope festlegen: Klären Sie mit Ihrem Auftraggeber, welches Prüfziel und welches Assessment Level (AL 2 oder AL 3) gefordert wird. AL 2 bedeutet Plausibilitätsprüfung, AL 3 eine vollständige Vor-Ort-Prüfung.
2. Im ENX-Portal registrieren: Erstellen Sie einen Account auf portal.enx.com und registrieren Sie Ihren Prüf-Scope. Die Registrierungsgebühr beträgt 405 Euro pro Standort für drei Jahre.
3. Selbstbewertung durchführen: Bewerten Sie Ihr Unternehmen anhand des VDA ISA-Katalogs. Für jede der über 140 Fragen bestimmen Sie Ihren aktuellen Reifegrad (0 bis 5). Ziel: Reifegrad 3 („Etabliert") in allen Bereichen.
4. Lücken schließen: Bauen Sie ein ISMS auf oder erweitern Sie Ihr bestehendes. Typische Maßnahmen: Richtlinien erstellen, Zugriffskontrollen einrichten, Mitarbeiter schulen, technische Schutzmaßnahmen umsetzen.
5. Audit durch Prüfdienstleister: Ein von der ENX zugelassener Prüfdienstleister führt das Assessment durch. Bei AL 3 kommt der Auditor zu Ihnen ins Haus.
6. Label erhalten und teilen: Nach bestandenem Audit erhalten Sie Ihr TISAX-Label – gültig für drei Jahre. Über das ENX-Portal geben Sie das Ergebnis gezielt an Ihre Auftraggeber frei.

Aus der Praxis

Viele unserer Mandanten kommen erst zu uns, wenn die Zeit knapp wird. Audits unter Zeitdruck sind stressig – aber machbar, wenn die Grundlagen stimmen.

„Fünf Tage vor der TÜV-Rezertifizierung ISO 9001 kam die E-Mail: Können Sie uns helfen? Zum Glück lag das Wochenende dazwischen. Der Auditor war am Ende begeistert."

Nils OehmichenDatenschutzberater bei frag.hugo

Was wir daraus gelernt haben: Frühzeitig anfangen schlägt Nachtschichten. Wer sechs Monate vor dem Audit startet, spart Geld und Nerven. Wer erst sechs Wochen vorher anfängt, zahlt für externe Berater den Eilzuschlag.

Kosten und Zeitrahmen

Die Gesamtkosten einer TISAX-Zertifizierung hängen von drei Faktoren ab: Ihrer Unternehmensgröße, dem geforderten Assessment Level und dem Reifegrad Ihrer bestehenden IT-Sicherheit.

Zeitrahmen nach Ausgangslage

• Mit bestehendem ISMS (z. B. ISO 27001): 3 bis 6 Monate
• Grundlegende IT-Sicherheit vorhanden: 6 bis 12 Monate
• Ohne Vorarbeit: 12 bis 18 Monate

Fazit: TISAX als Chance für Ihr Unternehmen

Die TISAX-Zertifizierung ist Aufwand. Aber sie ist auch eine Investition in Ihre Zukunft als Zulieferer. Wer das Label hat, sichert Aufträge. Wer es nicht hat, verliert sie.

Starten Sie mit der Selbstbewertung nach VDA ISA. Identifizieren Sie die größten Lücken. Und suchen Sie sich einen erfahrenen Berater, der den Prozess kennt – von der Registrierung bis zum bestandenen Audit.

Häufige Fragen (FAQ)

Was kostet eine TISAX-Zertifizierung?

Für KMU mit einem Standort liegen die Gesamtkosten zwischen 15.000 und 50.000 Euro. Der größte Posten ist der ISMS-Aufbau. Die reinen Audit-Gebühren betragen je nach Assessment Level 3.500 bis 7.000 Euro.

Wie lange dauert eine TISAX-Zertifizierung?

Rechnen Sie mit 6 bis 12 Monaten. Mit einem bestehenden ISMS geht es schneller (3 bis 6 Monate). Ohne jegliche Vorarbeit können 12 bis 18 Monate nötig sein.

Brauchen Zulieferer mit unter 50 Mitarbeitern TISAX?

Ja – wenn Ihr Auftraggeber es verlangt. TISAX kennt keine Untergrenze bei der Unternehmensgröße. Sobald Sie vertrauliche Informationen eines OEM oder Tier-1-Zulieferers verarbeiten, kann das Label gefordert werden.

Was ist der Unterschied zwischen TISAX und ISO 27001?

TISAX basiert auf dem VDA ISA-Katalog und enthält automobilspezifische Anforderungen wie Prototypenschutz. ISO 27001 ist ein allgemeiner ISMS-Standard. Ein ISO 27001-Zertifikat ersetzt TISAX nicht, kann aber die Vorbereitung erheblich beschleunigen.

Was ist TISAX-Prototypenschutz?

Ein zusätzliches Prüfziel für Unternehmen, die mit unveröffentlichten Fahrzeugmodellen, Bauteilen oder Erlkönig-Daten arbeiten. Der Prototypenschutz umfasst physische Maßnahmen (gesicherte Räume, Fotografierverbote) und digitale Kontrollen (Zugriffsrechte, Verschlüsselung).