🚨 NIS2 ist nun in Kraft getreten. Sicherheitsbewusstsein ist in der EU nun gesetzlich vorgeschrieben.

Einhaltung prüfen
Starten Sie Ihre kostenlose Testphase
Zurück zum Ressourcenzentrum

TISAX-Zertifizierung: Was sie ist, welche Anforderungen gelten und wie sie sich von ISO 27001 unterscheidet

Wenn Sie die Automobilindustrie beliefern, wird früher oder später ein Kunde nach TISAX fragen. Hersteller wie Volkswagen, BMW und Mercedes-Benz geben sensible Informationen – von Prototypendaten bis hin zu Kundendaten – nur an Zulieferer und Dienstleister weiter, die ihre Informationssicherheit nachgewiesen haben. TISAX, kurz für „Trusted Information Security Assessment Exchange“, ist der Standard, den sie für diesen Nachweis verwenden.

In diesem Artikel erläutern wir, was ein TISAX-Zertifikat eigentlich bescheinigt, anhand welcher Anforderungen in zehn Themenbereichen Sie bewertet werden, warum der Standard weit über direkte Lieferanten hinausgeht und wie sich TISAX im Vergleich zu ISO 27001 darstellt.

Was ist die TISAX-Zertifizierung?

Genau genommen handelt es sich bei TISAX nicht um eine Zertifizierung. Sie erhalten kein Zertifikat, sondern ein TISAX-Label mit einer Gültigkeitsdauer von drei Jahren, das Sie Ihren Kunden über das Portal der ENX Association zur Verfügung stellen – der Organisation, die TISAX im Auftrag des deutschen Automobilverbands VDA verwaltet. Das Label bescheinigt, dass ein akkreditierter Audit-Anbieter überprüft hat, dass Ihre Informationssicherheit den Anforderungen des VDA-ISA-Katalogs entspricht, und zwar auf der von Ihrem Kunden geforderten Bewertungsstufe.

Diese Bewertungsstufe hängt davon ab, wie sensibel die Informationen sind, mit denen Sie umgehen. Bei AL1 überprüft der Auditor lediglich, ob eine ausgefüllte Selbsteinschätzung vorliegt, weshalb diese Stufe von kaum einem Hersteller akzeptiert wird. Bei AL2 kommt eine Plausibilitätsprüfung Ihrer Selbsteinschätzung durch Stichproben hinzukommen, die in der Regel aus der Ferne durchgeführt werden. AL3, das für Prototypen und andere streng vertrauliche Informationen erforderlich ist, bedeutet ein vollständiges Audit vor Ort mit Befragungen und Beobachtungen.

Im Vorfeld der Bewertung, noch bevor Sie einen Audit-Anbieter beauftragen, führen Sie eine Selbstbewertung anhand des VDA-ISA-Katalogs durch. Dies ist auch der richtige Zeitpunkt, um mit einem Tool wie Guardey Schulungen zur Sensibilisierung für Sicherheitsfragen einzuführen. Der Katalog verlangt nach nachweislich geschultem Personal, und da der Auditor den Reifegrad und nicht nur eine Momentaufnahme bewertet, ist ein Schulungsprogramm, das bereits seit Monaten läuft, weitaus wertvoller als eines, das erst letzte Woche begonnen hat.

Sind Sie auf dem Weg zum TISAX-Zertifikat?

Mit den spielerisch gestalteten Schulungen zur Sicherheitssensibilisierung von Guardey erhalten Sie vom ersten Tag an genau die Schulungsnachweise, die Prüfer verlangen. (In wenigen Minuten eingerichtet, keine Zahlungsdaten erforderlich.)

Testen Sie Guardey 14 Tage lang kostenlos

TISAX-Anforderungen: Der VDA-ISA-Katalog in 10 Themenbereichen

Die TISAX-Anforderungen stammen aus dem VDA-ISA-Katalog (Version 6), einem Fragebogen mit über 300 Fragen, die sich auf drei Module verteilen: Informationssicherheit, Prototypenschutz und Datenschutz. Für jede Kontrollmaßnahme bewertet der Auditor Ihren Reifegrad auf einer Skala von 0 bis 5, wobei das Ziel der Reifegrad 3 ist: Der Prozess existiert nicht nur, sondern ist dokumentiert und wird nachweislich eingehalten. Zusammengefasst in 10 Themenbereiche umfasst die Bewertung Folgendes:

  1. Richtlinien und Organisation. Eine Richtlinie zur Informationssicherheit, festgelegte Zuständigkeiten und Risikomanagement bilden die Grundlage Ihres ISMS.
  2. Mitarbeiter und Sensibilisierung. Sicherheitsüberprüfte Mitarbeiter, Vertraulichkeitsvereinbarungen und nachweisbare Schulungen zur Sicherheitssensibilisierung für alle, mit Aufzeichnungen darüber, wer wann geschult wurde.
  3. Physische Sicherheit. Zoneneinteilung, Zugangskontrolle zu Gebäuden und sicherer Umgang mit Besuchern.
  4. Identitäts- und Zugriffsmanagement. Prinzip der geringsten Berechtigungen, starke Authentifizierung und rechtzeitiger Entzug von Zugriffsrechten.
  5. IT und Cybersicherheit. Systemhärtung, Malware-Schutz, Patch-Management, Netzwerksicherheit und Protokollierung.
  6. Vorfallmanagement und Geschäftskontinuität. Erkennen, Melden und Bearbeiten von Vorfällen sowie Datensicherung und Verfügbarkeit.
  7. Beziehungen zu Lieferanten. Weitergabe von Sicherheitsanforderungen an Ihre eigenen Subunternehmer und Dienstleister.
  8. Compliance. Die Einhaltung gesetzlicher und vertraglicher Anforderungen sowie deren regelmäßige Überprüfung durch Sie selbst.
  9. Prototypenschutz. Ein eigenständiges Modul für alle, die mit Prototypen, Testfahrzeugen oder Tarnung arbeiten.
  10. Datenschutz. Ein separates DSGVO-Modul für alle, die im Auftrag des Herstellers personenbezogene Daten verarbeiten.

Thema 7 erläutert, warum sich TISAX immer weiter in der Lieferkette ausbreitet. Hersteller verlangen das Zertifikat von ihren direkten Lieferanten, die ihrerseits die Anforderungen an ihre eigenen Subunternehmer weitergeben müssen. Und der Geltungsbereich geht über Bauteile hinaus: Ingenieurbüros, Logistikdienstleister, IT-Unternehmen und sogar Marketingagenturen fallen darunter, sobald sie mit geschützten Informationen eines Kunden aus der Automobilbranche umgehen. Das Zertifikat wird über die ENX-Plattform bereitgestellt, sodass Sie nur einmal bewertet werden und nicht von jedem Kunden einzeln.

ISO 27001 vs. TISAX: Die Unterschiede

TISAX basiert auf den Normen ISO 27001 und ISO 27002, sodass es erhebliche Überschneidungen gibt. Wer bereits ein ISMS nach ISO 27001 eingerichtet hat, hat damit den größten Teil der Vorarbeit für TISAX bereits geleistet. Dennoch gibt es vier Unterschiede, die in der Praxis von Bedeutung sind:

  • Geltungsbereich. Die Norm ISO 27001 ist allgemein gehalten und gilt für alle Branchen. TISAX ist speziell auf die Automobilindustrie zugeschnitten und enthält zusätzliche Anforderungen, die in der ISO-Norm nicht abgedeckt sind, wie beispielsweise den Schutz von Prototypen.
  • Ergebnis: Bei ISO 27001 wird ein öffentliches Zertifikat ausgestellt. Bei TISAX erhalten Sie ein Label, das nur für die Partner sichtbar ist, mit denen Sie es über das ENX-Portal teilen.
  • Bewertungsmethode. Ein ISO-Auditor prüft, ob Ihr Managementsystem funktioniert. Ein TISAX-Auditor bewertet den Reifegrad für jede einzelne Kontrollmaßnahme, wodurch das Ergebnis detaillierter wird und sich schwerer mit Ausreden umgehen lässt.
  • Anerkennung. Die Norm ISO 27001 eröffnet Möglichkeiten in jeder Branche; in der Automobilindustrie reicht sie jedoch in der Regel nicht aus. Die Hersteller verlangen ausdrücklich das TISAX-Zertifikat, und ein ISO-Zertifikat kann dieses nicht ersetzen.

Die gute Nachricht: Was den menschlichen Faktor betrifft, überschneiden sich die beiden Standards vollständig. ISO 27001 verlangt gemäß Abschnitt 7.3 und Kontrollmaßnahme 6.3 die Sensibilisierung der Mitarbeiter, TISAX hingegen durch seine Kontrollmaßnahmen in Bezug auf Mitarbeiter und Sensibilisierung. Ein gut dokumentiertes Programm zur Sensibilisierung für Sicherheitsfragen liefert daher gleichzeitig Nachweise für beide Bewertungen.

Häufig gestellte Fragen

Wie lange ist ein TISAX-Zertifikat gültig?

Drei Jahre. Danach folgt eine vollständige Neubewertung. Anders als bei der ISO 27001 finden dazwischen keine jährlichen Überwachungsaudits statt, aber es wird von Ihnen erwartet, dass Sie das bewertete Niveau aufrechterhalten, und Ihr nächstes Audit wird zeigen, ob Ihnen dies gelungen ist.

Ist TISAX verpflichtend?

Nicht gesetzlich vorgeschrieben. Es handelt sich um eine vertragliche Auflage: Hersteller und große Tier-1-Zulieferer verlangen das Label, bevor sie geschützte Informationen weitergeben. In der Praxis ist dies jedoch genauso verbindlich, denn ohne das Label gehen diese Aufträge an andere Anbieter.

Erfülle ich mit einem ISO 27001-Zertifikat automatisch die TISAX-Anforderungen?

Nein. Es gibt zwar große Überschneidungen, doch TISAX fügt kfz-spezifische Anforderungen hinzu und verwendet ein eigenes Reifegradbewertungsverfahren. Ein ISO 27001-Zertifikat beschleunigt Ihre Vorbereitung erheblich, doch Sie müssen dennoch das eigentliche TISAX-Bewertungsverfahren durchlaufen.

Ganz gleich, ob TISAX auf Ihrer Roadmap für dieses Jahr steht oder ein Kunde das Thema gerade erst in einem Gespräch angesprochen hat – der erste Schritt ist immer derselbe: Führen Sie die Selbstbewertung durch und verschaffen Sie sich einen Überblick über Ihren aktuellen Stand. Das Thema „Mitarbeiter und Sensibilisierung“ ist eines der wenigen, mit denen Sie noch am selben Tag beginnen können, und es fließt auch in andere Compliance-Rahmenwerke ein.

Bereiten Sie sich auf ein TISAX-Audit vor?

In einer 45-minütigen Demo zeigen wir Ihnen, wie Guardey Sensibilisierungsschulungen mit Phishing-Simulationen kombiniert und wie die Berichterstellung Ihrem Auditor genau die Nachweise liefert, die er benötigt.

Vereinbaren Sie eine persönliche Vorführung
Dinela Lokvancic
Dinela Lokvancic Marketing-Spezialistin Dinela hält die Online-Präsenz von Guardey auf dem neuesten Stand. Sie erstellt Inhalte, die komplexe Themen der Cybersicherheit verständlich machen, und hilft Unternehmen zu verstehen, warum Schulungen zum Sicherheitsbewusstsein für ihre Teams wichtig sind.
Sind Sie bereit, loszulegen?

Schließen Sie sich den über 500 Unternehmen an, die ihre Teams bereits mit Guardey schützen

Starten Sie Ihre kostenlose 14-tägige Testphase
14 Tage kostenlos · Keine Kreditkarte · Voller Zugriff · Einrichtung in 5 Minuten
Oder vereinbaren Sie eine individuelle Vorführung