TISAX ist faktisch Voraussetzung für jede Zusammenarbeit mit den großen deutschen Automobilherstellern (Volkswagen, BMW, Mercedes-Benz, Porsche, Audi) sowie mit vielen Tier-1- und Tier-2-Zulieferern. Häufig wird ein TISAX-Label vom Auftraggeber konkret in Verträgen oder Ausschreibungen gefordert. Auch für Engineering-Dienstleister, IT-Provider, Logistik-Anbieter und Werkstätten mit Zugriff auf Hersteller-Daten ist es typischerweise notwendig.

Welche Assessment-Level gibt es bei TISAX?

TISAX kennt drei Assessment-Level (AL1, AL2, AL3). AL1 ist die schlankste Variante mit reiner Selbsterklärung und wird in der Praxis kaum gefordert. AL2 ist der typische Standard für normale Lieferanten und umfasst ein Selbst-Assessment plus Plausibilitätsprüfung durch einen Prüfdienstleister inklusive Stichproben. AL3 wird für hochsensible Daten (z. B. Prototypen, sicherheitsrelevante Komponenten) verlangt und beinhaltet ein vollständiges Vor-Ort-Audit, oft ergänzt durch Penetrationstests.

Was ist der ISA-Katalog?

Der Information Security Assessment Katalog (ISA, aktuelle Version 6.0.1) ist die fachliche Grundlage von TISAX. Er wurde vom Verband der Automobilindustrie (VDA) entwickelt und orientiert sich strukturell an der ISO/IEC 27001/27002, ist aber um automobilspezifische Anforderungen ergänzt — insbesondere zu Prototypenschutz, sicherer Konnektivität in Fahrzeugen sowie zur Datenverarbeitung in Engineering-Werkzeugketten.

Wie unterscheidet sich TISAX von ISO 27001?

TISAX baut methodisch auf ISO 27001 auf, ist aber automobilspezifisch zugeschnitten und über die ENX Association in einen Austausch-Mechanismus eingebettet. Eine ISO-27001-Zertifizierung ersetzt kein TISAX-Label, kann aber als gute Vorarbeit dienen — die meisten ISO-27001-Anforderungen sind im ISA-Katalog enthalten. TISAX-Audits werden nur durch akkreditierte Prüfdienstleister durchgeführt; die Ergebnisse werden ausschließlich über das ENX-Portal verteilt und nicht öffentlich gemacht.

Wie lange ist ein TISAX-Label gültig?

Ein TISAX-Label ist drei Jahre gültig. Danach ist eine Re-Zertifizierung erforderlich. Im Falle schwerwiegender Veränderungen im Unternehmen (z. B. neue Standorte, neue Geschäftsfelder mit anderen Datenklassen, Änderung des Scopes) kann ein Re-Assessment vorzeitig nötig sein.

GlossarDefinition

Was ist TISAX?

Zuletzt aktualisiert: 20. Mai 2026

Kurz erklärt: TISAX (Trusted Information Security Assessment Exchange) ist ein Prüf- und Austauschmechanismus für Informationssicherheits-Audits in der Automobilindustrie. Lieferanten werden gegen den ISA-Katalog (Information Security Assessment) des VDA geprüft. Das Ergebnis wird über die ENX Association für berechtigte Auftraggeber freigegeben und ersetzt dadurch redundante Einzel-Audits. Drei Assessment-Level decken unterschiedlich sensible Datenklassen ab — von Selbsterklärung bis Vor-Ort-Audit mit Pentest. TISAX ist faktisch Voraussetzung für die Zusammenarbeit mit allen großen deutschen Automobilherstellern und vielen Tier-1-Zulieferern.

TISAX (Trusted Information Security Assessment Exchange) ist der Branchenstandard der deutschen Automobilindustrie für Informationssicherheit in Lieferanten-Beziehungen. Er wurde 2017 von der ENX Association im Auftrag des Verbands der Automobilindustrie (VDA) eingeführt, um redundante Einzel-Audits durch verschiedene Hersteller zu vermeiden — ein TISAX-Assessment kann von allen berechtigten Auftraggebern eingesehen werden.

Foundational Facts

Herausgeber: ENX Association im Auftrag des VDA (Verband der Automobilindustrie)
Fachliche Grundlage: ISA-Katalog (Information Security Assessment), aktuell Version 6.0.1
Verwandt mit: ISO/IEC 27001/27002 (gleicher methodischer Boden, automobilspezifische Ergänzungen)
Austauschplattform: ENX-Portal
Gültigkeit: 3 Jahre, dann Re-Assessment

Wozu TISAX da ist

Vor TISAX hat jeder Automobilhersteller seine Lieferanten einzeln auditiert. Lieferanten mit mehreren OEM-Kunden mussten dieselben Inhalte mehrfach prüfen lassen — teuer und ineffizient. TISAX löst das durch einen einheitlichen Assessment-Prozess plus einen kontrollierten Austausch der Ergebnisse:

Lieferant lässt sich einmal von einem akkreditierten Prüfdienstleister auditieren
Ergebnis wird im ENX-Portal eingestellt
Auftraggeber (z. B. VW, BMW) können auf das Ergebnis zugreifen, sofern der Lieferant sie freigibt
Auftraggeber spart eigenes Audit; Lieferant kann sich gegenüber mehreren Kunden mit demselben Label ausweisen

Die drei Assessment-Level

TISAX kennt drei Tiefenstufen, die sich nach der Sensibilität der verarbeiteten Daten richten:

AL1 — Selbstauskunft

Reine Selbsterklärung des Lieferanten
Keine Plausibilitätsprüfung
In der Praxis kaum noch gefordert

AL2 — Selbsterklärung + Plausibilitätsprüfung

Lieferant füllt den ISA-Katalog selbst aus
Prüfdienstleister verifiziert die Angaben in einer Remote-Plausibilitätsprüfung
Stichproben-Audit für besonders kritische Anforderungen
Typisches Level für normale Lieferanten

AL3 — Vollständiges Vor-Ort-Audit

Vollständiges Vor-Ort-Audit durch den Prüfdienstleister
Häufig ergänzt durch Penetrationstests
Erforderlich bei sehr hohem Schutzbedarf — z. B. Prototypen, Crashtest-Daten, sicherheitsrelevante Bauteile

Der ISA-Katalog

Der Information Security Assessment Katalog (ISA) ist die fachliche Grundlage. In Version 6.0.1 umfasst er Anforderungen in mehreren Bereichen:

Informationssicherheit allgemein — Governance, ISMS-Aufbau, Risikomanagement, Personalsicherheit
Prototypenschutz — physische und organisatorische Maßnahmen zum Schutz vor Spionage, Diebstahl, ungewollter Veröffentlichung
Datenschutz — DSGVO-Verzahnung
Vernetzte und automatisierte Fahrzeuge (Connected Driving) — TARA, sichere OTA-Updates, Backend-Sicherheit
Connectivity and Data — sichere Engineering-Werkzeugketten, Cloud-Nutzung

Strukturell ist der ISA-Katalog eng an ISO/IEC 27001/27002 angelehnt — eine bestehende ISO-Zertifizierung deckt viele Anforderungen ab. TISAX geht aber automobilspezifisch tiefer.

TISAX vs. ISO 27001

Dimension	TISAX	ISO 27001
Geltungsbereich	Automobilindustrie	branchenneutral
Zertifizierungs-Ergebnis	TISAX-Label im ENX-Portal	öffentliches ISO-Zertifikat
Austausch-Mechanismus	über ENX, nur an freigegebene Auftraggeber	Zertifikat öffentlich verfügbar
Prototypenschutz	spezifischer Schwerpunkt	nicht enthalten
Connected-Driving-Anforderungen	spezifisch enthalten	nicht enthalten
Akzeptanz bei OEMs	faktisch verpflichtend	nicht ausreichend

In der Praxis bauen viele Lieferanten ihr ISMS gleichzeitig nach ISO 27001 und TISAX auf — die Schnittmenge ist groß, der zusätzliche TISAX-Aufwand für Automobilspezifika überschaubar.

Bedeutung für KMU

Steirische und österreichische Industrie-Zulieferer in der Automobil-Lieferkette stehen oft vor genau dieser Anforderung: ein OEM-Auftraggeber verlangt ein TISAX-Label. Für KMU bedeutet das in der Regel:

Aufbau oder Anpassung eines ISMS entlang des ISA-Katalogs
Klärung des Scopes (welche Standorte, welche Daten, welcher Geschäftsbereich)
Auswahl eines akkreditierten Prüfdienstleisters (Liste auf der ENX-Website)
Projektzeitplan typischerweise 6–12 Monate für AL2, 9–18 Monate für AL3

Bei vorhandener ISO-27001-Zertifizierung verkürzt sich der Aufwand spürbar — viele Belege sind direkt wiederverwendbar.

Weiterführende Links

Häufige Fragen

Wer braucht TISAX?: TISAX ist faktisch Voraussetzung für jede Zusammenarbeit mit den großen deutschen Automobilherstellern (Volkswagen, BMW, Mercedes-Benz, Porsche, Audi) sowie mit vielen Tier-1- und Tier-2-Zulieferern. Häufig wird ein TISAX-Label vom Auftraggeber konkret in Verträgen oder Ausschreibungen gefordert. Auch für Engineering-Dienstleister, IT-Provider, Logistik-Anbieter und Werkstätten mit Zugriff auf Hersteller-Daten ist es typischerweise notwendig.
Welche Assessment-Level gibt es bei TISAX?: TISAX kennt drei Assessment-Level (AL1, AL2, AL3). AL1 ist die schlankste Variante mit reiner Selbsterklärung und wird in der Praxis kaum gefordert. AL2 ist der typische Standard für normale Lieferanten und umfasst ein Selbst-Assessment plus Plausibilitätsprüfung durch einen Prüfdienstleister inklusive Stichproben. AL3 wird für hochsensible Daten (z. B. Prototypen, sicherheitsrelevante Komponenten) verlangt und beinhaltet ein vollständiges Vor-Ort-Audit, oft ergänzt durch Penetrationstests.
Was ist der ISA-Katalog?: Der Information Security Assessment Katalog (ISA, aktuelle Version 6.0.1) ist die fachliche Grundlage von TISAX. Er wurde vom Verband der Automobilindustrie (VDA) entwickelt und orientiert sich strukturell an der ISO/IEC 27001/27002, ist aber um automobilspezifische Anforderungen ergänzt — insbesondere zu Prototypenschutz, sicherer Konnektivität in Fahrzeugen sowie zur Datenverarbeitung in Engineering-Werkzeugketten.
Wie unterscheidet sich TISAX von ISO 27001?: TISAX baut methodisch auf ISO 27001 auf, ist aber automobilspezifisch zugeschnitten und über die ENX Association in einen Austausch-Mechanismus eingebettet. Eine ISO-27001-Zertifizierung ersetzt kein TISAX-Label, kann aber als gute Vorarbeit dienen — die meisten ISO-27001-Anforderungen sind im ISA-Katalog enthalten. TISAX-Audits werden nur durch akkreditierte Prüfdienstleister durchgeführt; die Ergebnisse werden ausschließlich über das ENX-Portal verteilt und nicht öffentlich gemacht.
Wie lange ist ein TISAX-Label gültig?: Ein TISAX-Label ist drei Jahre gültig. Danach ist eine Re-Zertifizierung erforderlich. Im Falle schwerwiegender Veränderungen im Unternehmen (z. B. neue Standorte, neue Geschäftsfelder mit anderen Datenklassen, Änderung des Scopes) kann ein Re-Assessment vorzeitig nötig sein.