Die TISAX Assessment Anforderungen gewährleisten ein einheitliches Sicherheitsniveau in der Automobilbranche und basieren auf dem VDA ISA Fragenkatalog mit Reifegradbewertung. Unternehmen profitieren von klar definierten Prozessen zum Schutz sensibler Daten und Prototypen. Durch die Umsetzung der TISAX Assessment Anforderungen sichern sie langfristig das Vertrauen ihrer Kunden und Geschäftspartner.
Die Automobilindustrie hat in den letzten 20 Jahren den Fokus auf digitale Technologien gesetzt. Beispielsweise finden wir heute in jedem Auto eine Rückfahrkamera, Bluetooth, CarePlay, Reifendruckmessung, Geschwindigkeitsbegrenzer und vieles mehr. Dadurch werden die Systeme immer anfälliger auch für Bedrohungen, wie wir sie aus der Informationssicherheit ISO 27001 und den TISAX® Assessment Anforderungen kennen.
Die zunehmende Vernetzung in Fahrzeugen erfordert besonders hohe Audit-Anforderungen, um elektronische und softwarebasierte Systeme vor Cyberangriffen zu schützen. Hierbei bildet die Reifegradbewertung der Automobilhersteller (OEM) die Grundlage, um ein einheitliches Sicherheitsniveau in der gesamten Lieferkette zu gewährleisten
ENX, TISAX® und ihre jeweiligen Logos sind eingetragene Marken der ENX Association. SMCT Management steht in keiner geschäftlichen Beziehung zu ENX Association. Unser Angebot bezieht sich lediglich auf Beratung und Unterstützung zur Vorbereitung auf das TISAX® Assessment. Die ENX Association ist nicht verantwortlich für die Inhalte auf unserer Webseite.
Gerade deswegen haben die Automobilhersteller (OEM) mit dem ENX-Verband (Verband europäischer Fahrzeughersteller) bereits in 2016 einen neuen Standard namens TISAX entwickelt. TISAX setzt auf den durch den Verband der deutschen Automobilindustrie VDA entwickelten Anforderungen „VDA ISA Fragenkatalog 6.X“ auf. ISA bedeutet „Information Security Assessment“. Der Anforderungskatalog des VDA ISA setzt auf die im Anhang A der ISO 27001 Maßnahmen (Kontrollen) auf oder sind derer sehr ähnlich.
Neben den grundlegenden TISAX Assessment Anforderungen aus dem VDA ISA-Framework werden in TISAX auch branchenspezifische Faktoren berücksichtigt, wie der Schutz von Prototypen und die Umsetzung datenschutzrechtlicher Vorgaben (EU-DSGVO). Ziel ist es, ein durchgängig hohes Sicherheitsniveau in sämtlichen Bereichen – von der Produktentwicklung bis zum Kundensupport – zu etablieren.
Neben den bereits in der ISO 27001 im Anhang A aufgeführten Sicherheitskontrollen hat der Fragenkatalog VDA ISA noch weitere Sicherheitskontrollen bzgl. EU-DSGVO (Datenschutz) und Prototypenschutz implementiert.
Die Reifegrade
Für die Umsetzung der Reifegrade der TISAX Assessment Anforderungen setzt der TISAX® Standard der ENX Association auf eine Reifegradbewertung, um deren Wirksamkeit aufzuzeigen. Ausserdem wird für jede Anforderung aus dem Fragenkatalog eine Zielreifegradbewertung gefordert. Gerade Unternehmen, die Step by Step die Anforderungen umsetzen wird dadurch die Möglichkeit gegeben, zuerst einen Mindestreifegrad zu implementieren. Durch die Reifegradbewertung erhalten sie im Laufe der Zeit eine kontinuierliche Verbesserung ihres ISMS. Den Reifegrad, den Sie erreichen müssen bestimmt der Kunde.
Die Audit-Anforderungen im Rahmen der TISAX-Reifegradbewertung erlauben eine detaillierte Einstufung, wie effektiv einzelne Maßnahmen umgesetzt sind. Auf diese Weise können Unternehmen in verschiedenen Stufen nachweisen, dass sie die Bewertungsanforderungen erfüllen – von einer grundlegenden Absicherung bis hin zu fortgeschrittenen Sicherheitsstrukturen.
Reifegrade ISO 27001 und TISAX Anforderungen
Welche Bedeutung haben die TISAX® Assessment Level
Für eine erfolgreiche Einstufung in den jeweiligen TISAX® Assessment Level sollten Unternehmen im Vorfeld genau abklären, welche Sicherheits- und Audit-Anforderungen ihr Kunde an sie stellt. Beispielsweise kann bei besonders sensiblen Projekten direkt ein höheres Level (z. B. Level 3) gefordert werden. In jedem Fall unterstützt eine sorgfältige Vorbereitung auf alle Bewertungsanforderungen einen reibungslosen Ablauf während des Audits.
Selbsteinschätzung
Für die TISAX Selbsteinschätzung kann der ISO 27001 (Anhang A) implementiert werden. Durch die Selbsteinschätzung wird überprüft, ob der erwartete Reifegrad den TISAX Anforderungen entspricht. Die Selbsteinschätzung erfolgt über den Anforderungskatalog VDA ISA 6.X (Stand April 2024). Herausgeber des Anforderungskatalogs ist der Verband der deutschen Automobilindustrie.
VDA ISA Fragenkatalog
Der VDA ISA Fragenkatalog ist derzeit in der Version 6.02 (Stand Januar 2025) beim VDA erhältlich. Dort können Sie den Fragenkatalog kostenlos herunterladen. Die konsequente Einhaltung der TISAX Assessment Anforderungen ist essenziell, um moderne Fahrzeuge und die dahinterstehenden Systeme wirkungsvoll abzusichern. Eine zentrale Rolle spielt dabei die Bewertungsanforderungen (Reifegradbewertung), die Unternehmen erlaubt, den Umsetzungsstand ihrer Sicherheitsmaßnahmen systematisch zu erfassen und kontinuierlich zu verbessern.
Bei der Selbsteinschätzung empfiehlt es sich, die Reifegradbewertung je Kategorie klar zu definieren:
Je nachdem, welche Bereiche für Ihr Unternehmen relevant sind, können Sie die Ergebnisse dieser Selbsteinschätzung in einen Maßnahmenplan überführen und so Schritt für Schritt die notwendigen Assessment Anforderungen erfüllen.
PDCA Zyklus
Eine PDCA Zyklus kann nicht nur für die Kontrollen (Maßnahmen) eingeführt werden, sondern auch für alle Prozesse im ISMS. Bewerten Sie ihre Prozesse anhand der Reifegradbewertung und zeigen Sie dadurch die kontinuierliche Verbesserung ihrer Prozesse und des gesamten ISMS auf. ISO 27001 und VDA ISA Katalog sind sehr ähnlich aufgebaut.
Um dennoch einen verbesserten kontinuierlichen Verbesserungsprozess zu gewährleisten, empfehlen viele Unternehmen, freiwillig Elemente des PDCA-Zyklus in ihre TISAX- und Audit-Anforderungen zu integrieren. Dadurch wird sichergestellt, dass die Organisation auch langfristig auf Veränderungen in der Bedrohungslandschaft reagieren kann.
Kosten Assessment
Wenn Sie bereits ein zertifiziertes ISMS nach ISO/IEC 27001 eingeführt haben, dann sind die Anforderungen zur Informationssicherheit in Punkto DSGVO und Prototypenschutz als weiterer Baustein zu implementieren. Die Anforderungen des Prototypenschutz müssen nur dann implementiert werden, wenn Ihnen Prototypen durch ihre Kunden bereitgestellt werden. Die Anforderungen an den Prototypenschutz sind nicht ohne höheren Aufwand zu implementieren.
Kosten für eine TISAX Unterstützung
Viele Unternehmen nehmen die Unterstützung von externen Beratern gerne in Anspruch. Die zu erwartenden Kosten für eine Unterstützung zur Implementierung des TISAX® Standards sind je nach Unternehmensgrösse unterschiedlich. In der Regel muss man mit Kosten von 10.000 – 25.000 EUR für kleine- und mittelständische Unternehmen rechnen. Hinzu kommen noch Kosten für Investitionen in neue Server, Räumlichkeiten, Video bzw. Alarmanlagen und sonstige Investitionen in die Infrastruktur, z.B. Sichtschutz bei Fenstern und Türen.
Ob internes Know-how ausreicht oder ein externer Berater notwendig ist, hängt maßgeblich davon ab, wie detailliert Ihre Organisation bereits auf die Reifegradbewertung vorbereitet ist. Ein Audit-Projekt kann dadurch beschleunigt werden, dass bereits etablierte Prozesse aus dem ISO 27001-Kontext übernommen werden und nur noch um die TISAX Assessment Anforderungen von TISAX erweitert werden.
Forderungen der Automobilindustrie nach TISAX®
Alle bekannten Fahrzeughersteller in Deutschland fordern inzwischen von ihren Lieferanten, die Software oder Produkte mit integrierter Software liefern, den TISAX Standard. Daimler mit der MBST 2020 oder Volkswagen in der Geheimhaltungsvereinbarung Teil 2. Alle Lieferanten, die eine Geheimhaltungsvereinbarung mit Volkswagen unterschreiben, verpflichten sich, die TISAX des VDA ISA einzuführen.
Zusammenfassung
ISO 27001 und die Assessment Anforderungen des TISAX® Standards sind ähnlich aufgebaut und ergänzen sich. Alles in allen erhöhen die TISAX Anforderungen die Messlatte des ISMS. Grundsätzlich können beide Systeme miteinander und verbessern die Prozesse sowie das gesamte Informationssicherheitsmanagementsystem ISMS.
Die konsequente Umsetzung beider Standards – ISO 27001 und TISAX – führt zu einer ganzheitlichen Informationssicherheit, die sowohl branchenspezifische Audit-Anforderungen als auch allgemeine Reifegradbewertung erfüllt. Damit schaffen Unternehmen eine belastbare Grundlage, um Vertrauen bei OEMs, Zulieferern und Kunden aufzubauen und langfristig zu erhalten.
FAQ – TISAX Assessment Anforderungen
Unter TISAX Assessment Anforderungen versteht man alle Kriterien und Vorgaben, die in einem Prüf- oder Zertifizierungsverfahren erfüllt werden müssen. Diese Anforderungen legen fest, welche Sicherheitsmaßnahmen, Dokumentationen und Prozesse in einem Unternehmen vorhanden sein sollten, um den gewünschten Standard (z. B. TISAX® oder ISO 27001) zu erreichen.
Die Assessment Anforderungen werden in der Regel von Branchenverbänden, Normungsorganisationen oder spezialisierten Gremien festgelegt. Beispiele sind der VDA (Verband der Automobilindustrie) beim TISAX®-Assessment oder die ISO-Organisation bei ISO 27001. Diese Gremien bündeln Fachwissen und Branchenerfahrungen, um konkrete Vorgaben zu erstellen.
Eine Reifegradbewertung zeigt den Umsetzungsstand der Assessment Anforderungen. Anhand definierter Stufen (z. B. von “Initial” bis “Optimiert”) kann ein Unternehmen erkennen, wo es steht und welche Schritte noch erforderlich sind, um den Zielzustand zu erreichen. Dadurch wird der Verbesserungsprozess strukturiert und messbar.
Üblicherweise umfassen die Assessment Anforderungen Bereiche wie Informationssicherheit, Datenschutz, Risikomanagement, Notfallkonzepte, Mitarbeiter-Schulungen und Prozessdokumentation. Bei TISAX® kommt beispielsweise noch der Prototypenschutz hinzu, während ISO 27001 alle grundlegenden Sicherheitskontrollen in Anhang A auflistet.
Obwohl sich beide Ansätze an einem ähnlichen Grundgerüst orientieren, enthält TISAX® einige branchenspezifische Assessment Anforderungen, z. B. zum Schutz von Prototypen oder Entwicklungsdaten. ISO 27001 ist hingegen ein allgemeiner Standard für Informationssicherheit, der weltweit Anwendung findet und nicht auf eine einzelne Branche beschränkt ist.
Das Erfüllen der TISAX Assessment Anforderungen bietet mehrere Vorteile: Vertrauen bei Kunden und Partnern, Wettbewerbsvorteile in der Branche, Strukturierung und Optimierung der internen Prozesse sowie Schutz sensibler Daten. Darüber hinaus kann ein zertifiziertes Managementsystem dazu beitragen, Haftungsrisiken zu reduzieren.
Gap-Analyse: Ermitteln Sie, welche Lücken zum geforderten Standard bestehen.
Maßnahmenplan: Definieren Sie konkrete Schritte, um diese Lücken zu schließen.
Implementierung: Setzen Sie die Maßnahmen strukturiert und teamübergreifend um.
Interne Audits: Prüfen Sie regelmäßig, ob die Assessment Anforderungen tatsächlich erfüllt sind.
Schulung & Sensibilisierung: Stellen Sie sicher, dass alle Mitarbeiter die neuen Regeln verstehen und anwenden.
Werden die Assessment Anforderungen bei einem offiziellen Audit nicht erfüllt, erhält das Unternehmen keine Zertifizierung oder kein Label. Zudem können OEMs, Geschäftspartner oder Kunden kooperieren verweigern, wenn wichtige Sicherheitsstandards nicht nachgewiesen werden können. Im schlimmsten Fall drohen rechtliche Konsequenzen oder Vertragsverluste.
Unterstützung durch SMCT MANAGEMENT
SMCT Management verfügt über langjährige Erfahrung in der Informationssicherheit und bietet Unternehmen eine ganzheitliche Beratung zur Erfüllung der TISAX Assessment Anforderungen. Mit SMCT Management an Ihrer Seite meistern Sie mühelos die TISAX Assessment Anforderungen und stärken nachhaltig Ihr Vertrauen bei Kunden, Partnern und OEMs. Sichern Sie sich jetzt eine kompetente Unterstützung für Ihren nächsten Schritt in der Informationssicherheit Weitere Themen rund um TISAX® finden Sie in unseren Blog!
