TISAX®-Anforderungen meistern: Der praxisnahe Leitfaden für Ihr Audit

Stehen Sie vor der Herausforderung einer TISAX®-Zertifizierung und fühlen sich von der Komplexität der Anforderungen, Begriffe und Prozesse überfordert? Sie sind nicht allein. In meiner täglichen Arbeit als Berater für Informationssicherheit sehe ich, wie viele Unternehmen aus der Automobilbranche Respekt vor diesem entscheidenden Meilenstein haben.

Doch ich kann Sie beruhigen: Mit der richtigen Strategie und einem klaren Verständnis der Abläufe wird TISAX® von einer gefürchteten Hürde zu einem echten Wettbewerbsvorteil. In diesem Leitfaden teile ich mit Ihnen meinen praxiserprobten Ansatz. Ich führe Sie Schritt für Schritt durch die wichtigsten Anforderungen, erkläre die entscheidenden Begriffe und zeige Ihnen, worauf es im Audit wirklich ankommt, damit Sie sich souverän und effizient vorbereiten können.

Dieser Artikel führt Sie praxisnah durch das Audit. Für eine umfassende Übersicht lesen Sie auch unseren allgemeinen TISAX®-Leitfaden.

Was ist TISAX® und warum ist es entscheidend?

In meiner Beratungspraxis werde ich oft gefragt, ob TISAX® eine gesetzliche Pflicht ist. Die klare Antwort lautet: Nein, aber in der Automobilindustrie ist eine erfolgreiche Zertifizierung heute praktisch die Eintrittskarte für jede Geschäftsbeziehung. TISAX® steht für Trusted Information Security Assessment Exchange und ist der von der ENX Association verwaltete Standard, der sicherstellt, dass alle Partner in der Lieferkette ein vergleichbares Niveau an Informationssicherheit gewährleisten.

Im Kern geht es darum, die Vertraulichkeit, Verfügbarkeit und Integrität Ihrer Informationen nachzuweisen. Die Begriffe Audit, Assessment oder Prüfung werden dabei synonym verwendet. Um die TISAX®-Anforderungen zu verstehen, müssen wir drei zentrale Begriffe klären, auf die es in der Praxis ankommt:

• Der Scope (Geltungsbereich): Dies ist aus meiner Erfahrung die kritischste Weichenstellung für das gesamte Audit. Der Scope legt fest, welche organisatorischen und technischen Einheiten geprüft werden. Ein häufiger Fehler, den ich in Projekten sehe, ist ein ungenau definierter Geltungsbereich. Ein Kunde von mir fasste ihn beispielsweise zu weit und schloss ganze Holding-Strukturen ein, obwohl nur eine Tochtergesellschaft zertifiziert werden musste. Das führte zu unnötigen Abweichungen und erheblichem Mehraufwand. Eine präzise Definition im ENX-Portal ist daher Ihr erster Schritt zum Erfolg.

• Prüfziele & Labels: Je nach Sensibilität der Daten, die Sie verarbeiten, legen Sie Prüfziele fest – etwa Informationssicherheit, Datenschutz oder Prototypenschutz. Wenn Ihr Unternehmen das Assessment erfolgreich besteht, erhalten Sie ein entsprechendes Label, das Sie über das ENX-Portal mit Ihren Geschäftspartnern teilen können.

• Der Reifegrad: Für eine erfolgreiche Zertifizierung verlangen Ihre Auftraggeber in der Regel, dass Ihre Prozesse mindestens auf „Reifegrad 3 (etabliert)“ laufen. Das bedeutet, sie sind nicht nur dokumentiert, sondern werden im Alltag gelebt und ihre Wirksamkeit wird regelmäßig überprüft.

Für weiterführende offizielle Informationen empfehle ich Ihnen das ENX-Portal sowie die Wikipedia-Übersicht.

Die TISAX® Anforderungen im Detail: Worauf müssen Sie sich vorbereiten?

Oft stelle ich fest, dass viele Unternehmen Respekt vor dem Umfang der TISAX®-Anforderungen haben. Dabei ist die Grundlage häufig schon bekannt: Der Anforderungskatalog, offiziell als VDA ISA (Information Security Assessment) bezeichnet, lehnt sich stark an die international anerkannte Norm ISO 27001 an. Das bedeutet, wenn Sie bereits über ein Informationssicherheits-Managementsystem (ISMS) verfügen, ist ein Großteil der Vorarbeit geleistet.

Der Katalog ist modular aufgebaut. Konzentrieren wir uns auf die drei zentralen Bausteine:

Kernanforderungen der Informationssicherheit

Hier geht es um das Herzstück: die Einführung, den Betrieb und die kontinuierliche Verbesserung eines Informationssicherheits-Managementsystems (ISMS). Das klingt zunächst nach reiner Dokumentation, doch aus meiner Erfahrung kann ich Ihnen versichern: TISAX® verlangt den Nachweis gelebter Prozesse. Ein reines ISMS-Handbuch reicht nicht aus. Sie müssen im Audit belegen, dass etwa Ihr Zugriffsmanagement nicht nur auf dem Papier existiert, sondern im Alltag fest verankert ist und dessen Wirksamkeit regelmäßig überprüft wird.

Modul Datenschutz

Dieses Modul ist für alle Unternehmen relevant, die personenbezogene Daten im Auftrag ihrer Kunden verarbeiten. Die Anforderungen sind hier klar von der DSGVO vorgegeben. Im Assessment müssen Sie nachweisen, dass Sie die Vorgaben konsequent einhalten. Dazu gehören:

• Dokumentierte technisch-organisatorische Maßnahmen (TOMs)
• Ein lückenloses Verzeichnis von Verarbeitungstätigkeiten
• Nachweise für eingeholte Einwilligungen

Modul Prototypenschutz

Dies ist ein hochspezifisches Modul, das immer dann greift, wenn Sie mit geheimen Bauteilen, Entwürfen oder Prototypen arbeiten. Die Anforderungen gehen weit über die digitale Sicherheit hinaus und umfassen oft auch anspruchsvolle physische Schutzmaßnahmen. Dazu zählen gesicherte Bereiche, strikte Zutrittskontrollen oder besondere Geheimhaltungsvereinbarungen. Hier sehe ich in der Praxis oft den größten Bedarf an maßgeschneiderten und kreativen Lösungen.

Moderne Anforderungen: Cloud und Digitalisierung

Aus meiner Erfahrung als Berater sehe ich immer wieder, dass die Digitalisierung für viele Unternehmen zur zentralen Herausforderung bei den TISAX®-Anforderungen wird. Themen wie Cloud-Sicherheit sind längst kein Nischenthema mehr, sondern ein fundamentaler Bestandteil der Prüfung. Spätestens seit dem VDA-ISA-Katalog von 2020 müssen Sie als Unternehmen schlüssig nachweisen, wie Sie Daten in der Cloud gemäß den strikten Vorgaben absichern. Große Anbieter wie Microsoft stellen hierzu bereits hilfreiche Compliance-Übersichten zur Verfügung, doch die eigentliche Arbeit liegt bei Ihnen: in der lückenlosen Dokumentation und im Nachweis gelebter Prozesse.

Praxisbeispiel: Wie Sie bei einem AL3-Audit den Reifegrad nachweisen

Eine der größten Hürden, die ich in Audits beobachte, ist der Nachweis, dass ein Prozess nicht nur auf dem Papier existiert, sondern wirklich etabliert ist (Reifegrad 3). Für ein erfolgreiches Assessment Level 3 (AL3) haben wir bei einem Kunden die Wirksamkeit von Prozessen wie dem Patch-Management nicht nur behauptet, sondern durch einen lückenlosen, digitalen Nachweis belegt:

• Historische Tickets aus dem IT-System (z. B. Jira)
• Monatliche Reports an die Geschäftsführung
• Protokolle aus den dazugehörigen Review-Meetings

Genau das meine ich mit gelebter Digitalisierung im TISAX®-Audit: den lückenlosen Nachweis, dass Ihre Sicherheitsmaßnahmen kontinuierlich funktionieren und überwacht werden. Solche evidenzbasierten Belege sind entscheidend, wie auch externe Fallstudien bestätigen (F5 Case Study).

Die 3 Assessment-Levels (AL) verständlich erklärt

Eine der ersten und wichtigsten Entscheidungen, die Sie treffen müssen, ist die Wahl des richtigen Assessment Levels. Aus meiner Erfahrung weiß ich, dass hier oft Unklarheit herrscht. Dabei bestimmt das Level nicht nur die Tiefe der Prüfung, sondern auch den Aufwand und die letztendliche Aussagekraft Ihres Labels.

• Assessment Level 1 (AL1 – Standard): Sehen Sie dies als reine interne Standortbestimmung. Sie beantworten den VDA-ISA-Fragenkatalog für sich selbst, doch es gibt weder eine externe Prüfung noch ein offizielles Label. Für die Zusammenarbeit mit Geschäftspartnern hat dieses Level daher keine Relevanz.

• Assessment Level 2 (AL2 – Hoch): Hier wird es für die meisten Zulieferer entscheidend. Ein akkreditierter Prüfdienstleister führt eine Plausibilitätsprüfung Ihrer Nachweise durch, in der Regel remote per Videokonferenz. Hier müssen Sie Ihre Prozesse und deren Wirksamkeit belegen können. Nach erfolgreichem Assessment erhalten Sie ein gültiges Label.

• Assessment Level 3 (AL3 – Sehr Hoch): Dies ist die höchste Stufe, die vor allem dann gefordert wird, wenn Sie mit Prototypen oder streng geheimen Daten arbeiten. Hier kommt der Auditor zu Ihnen ins Haus für eine tiefgehende Vor-Ort-Prüfung. In meiner Praxis erlebe ich, dass hier Interviews mit Mitarbeitern, Begehungen und die lückenlose Überprüfung gelebter Prozesse im Fokus stehen.

Welches Level für welches Prüfziel typischerweise gefordert wird, zeigt diese Übersicht:

Der TISAX®-Zertifizierung Ablauf: In 5 Schritten zum Label

Der Zertifizierungsprozess kann auf den ersten Blick komplex wirken. Aus meiner Erfahrung lässt er sich jedoch in fünf überschaubare Phasen gliedern. Lassen Sie uns diesen Ablauf Schritt für Schritt durchgehen:

1. Registrierung & Scope-Definition: Alles beginnt mit der Anmeldung im ENX-Portal. Aus meiner Praxis kann ich nur betonen: Der hier festgelegte Geltungsbereich (Scope) ist entscheidend! Ein unpräzise definierter Scope ist eine der häufigsten Ursachen für spätere Hauptabweichungen im Audit.
2. Auswahl des Prüfdienstleisters: Anschließend wählen Sie einen von der ENX Association akkreditierten Prüfdienstleister (z. B. SGS, DQS), der das Assessment durchführen wird.
3. Durchführung des Assessments: Je nach gefordertem Level findet die eigentliche Prüfung remote oder bei Ihnen vor Ort statt. Der Prüfer bewertet, ob Ihre Prozesse und Nachweise die Anforderungen erfüllen.
4. Bearbeitung des Maßnahmenplans: Werden Abweichungen festgestellt, erhalten Sie einen Prüfbericht mit einem Maßnahmenplan. Sehen Sie dies als Chance: Sie wissen nun exakt, wo Handlungsbedarf besteht, und können Ihre Prozesse nachhaltig verbessern.
5. Erhalt und Austausch des Labels: Nach erfolgreicher Prüfung wird Ihr TISAX®-Label im ENX-Portal registriert und Sie können es mit Ihren Geschäftspartnern teilen.

Ein entscheidender Faktor für einen reibungslosen Ablauf ist die kontinuierliche Sammlung von Nachweisen. Nützliche Insiderhinweise dazu finden Sie beispielsweise bei Prüfdienstleistern wie SGS.

Praxis-Tipp: Laden Sie unsere TISAX®-Audit-Checkliste herunter

Aus meiner langjährigen Beratungserfahrung weiß ich: Die größte Herausforderung bei der Vorbereitung ist oft nicht fehlendes Wissen, sondern eine fehlende Systematik. Um die typische Stolperfalle – die Vernachlässigung der Prozesse nach der Erstzertifizierung – zu vermeiden, habe ich eine praktische Checkliste entwickelt.

Mit unserer TISAX®-Audit-Checkliste können Sie:

• Ihren aktuellen Reifegrad systematisch überprüfen.
• Alle erforderlichen Nachweise gezielt sammeln und organisieren.
• Potenzielle Schwachstellen frühzeitig identifizieren – lange bevor es der Prüfer tut.
• Die Vorbereitung auf Ihr Assessment effizienter gestalten.

Melden Sie sich jetzt für unseren Newsletter an, um die TISAX®-Audit-Checkliste zu erhalten, sobald sie verfügbar ist.

Häufig gestellte Fragen (FAQ) zu TISAX®

In meiner Beratung begegnen mir immer wieder dieselben zentralen Fragen. Gerne teile ich hier meine Antworten und Erfahrungen aus zahlreichen Zertifizierungsprojekten mit Ihnen.

Was kostet eine TISAX®-Zertifizierung? Die Kosten bewegen sich erfahrungsgemäß in einer Spanne von 10.000 € bis über 200.000 €. Dieser Rahmen hängt maßgeblich von der Unternehmensgröße, dem Scope und dem angestrebten Assessment-Level ab.

Wie lange dauert der TISAX®-Prozess? Das eigentliche Assessment dauert meist nur wenige Tage. Die entscheidende Phase ist die Vorbereitung, die Wochen bis mehrere Monate dauern kann. Aus meiner Erfahrung zeigt sich immer wieder: Der zeitintensivste Fehler ist mangelnde Kontinuität nach der Erstzertifizierung.

Was passiert, wenn man das Audit nicht besteht? Ein nicht bestandenes Audit ist kein Scheitern, sondern ein Zwischenschritt. Bei Abweichungen erhalten Sie einen Maßnahmenplan. Diesen sehe ich als Chance: Sie wissen nun exakt, wo Handlungsbedarf besteht, und können im Nach-Audit das Label erfolgreich erlangen.

Ist ein ISMS nach ISO 27001 Pflicht? Nein, formal ist es keine Pflicht. Allerdings ist ein bereits bestehendes und vor allem gelebtes ISMS die bestmögliche Grundlage. Es vereinfacht die TISAX®-Zertifizierung enorm, da viele Anforderungen deckungsgleich sind.

Fazit: Nutzen Sie TISAX® als strategischen Vorteil

Nach zahlreichen TISAX®-Projekten, die ich begleiten durfte, kann ich Ihnen eines versichern: Die Zertifizierung ist weit mehr als das Abhaken einer formalen Anforderung. Sie ist Ihre Chance, die Informationssicherheit auf ein nachhaltiges Managementniveau zu heben und sich als vertrauenswürdiger Lieferant zu positionieren.

Der teuerste Fehler, den ich in der Praxis sehe, ist die Annahme, der Prozess sei mit dem Label abgeschlossen. Betrachten Sie das Audit daher nicht als einmalige Prüfung, sondern als Startpunkt für einen gelebten Sicherheitsprozess. Eine strukturierte und auf Nachhaltigkeit ausgelegte Vorbereitung spart Ihnen Zeit, Kosten und minimiert Risiken. So nutzen Sie die TISAX®-Anforderungen als echten Wettbewerbsvorteil.

Sind Sie bereit, Ihr TISAX®-Audit nicht nur zu bestehen, sondern strategisch zu nutzen? Kontaktieren Sie uns für ein unverbindliches Erstgespräch, und lassen Sie uns gemeinsam Ihren Weg zum Erfolg planen.

Autor*in

Eckhard Köllner

Geschäftsführer @ BOS GmbH & Co. KG

„Seit 1996 berate ich verschiedenste Kunden – von KMU bis zu Großkonzernen. Meine Beratungsschwerpunkte liegen im Bereich der Informationssicherheit und der Managementsysteme. Neben den Projekteinsätzen in unterschiedlichen Branchen bin ich als Dozent für verschiedene Bildungsträger tätig. Meine Devise ist einfache, praktikable und wirtschaftliche Lösungen für unsere Kund*innen zu finden.“

Weitere Artikel

• Eckhard Köllner

  https://www.bos-kg.de/author/koellner/

  Externes Audit meistern: Ihr praxisorientierter Leitfaden
• Eckhard Köllner

  https://www.bos-kg.de/author/koellner/

  QMB: Der Leitfaden zu Aufgaben, Rolle & Bedeutung (ISO 9001)
• Eckhard Köllner

  https://www.bos-kg.de/author/koellner/

  Audit-Vorbereitung für Mitarbeiter: So meistern Sie die Prüfung souverän
• Eckhard Köllner

  https://www.bos-kg.de/author/koellner/

  TISAX®-Zertifizierung: Dauer & Gültigkeit – Ihr kompletter Zeitplan