TISAX-Audit Vorbereitung: Vollständiger Leitfaden für Automobilzulieferer 2026
1. Mai 2026
22 Min. Lesezeit
TISAX
Das TISAX-Audit (Trusted Information Security Assessment Exchange) ist die verbindliche Sicherheitsbewertung für Lieferanten der deutschen Automobilindustrie — verwaltet durch die ENX Association im Auftrag des Verbands der Automobilindustrie (VDA). Bewertungsgrundlage ist der VDA-ISA-Anforderungskatalog (aktuell Version 6.0) mit über 90 Anforderungen, abgestuft in drei Assessment-Levels (AL 1, AL 2, AL 3). Audits werden ausschließlich durch TISAX-akkreditierte Auditprovider (TÜV, DEKRA, DQS, BSI u. a.) durchgeführt; das Ergebnis wird über das ENX-Portal mit OEMs geteilt. Eine professionelle Vorbereitung dauert typischerweise 8–12 Wochen und ist die Voraussetzung für eine Label-Vergabe ohne kritische Major-Findings.
Kerntatsachen
TISAX ist Pflicht für jeden Lieferanten, der vertrauliche Informationen der Automobilindustrie verarbeitet — von Konstruktionsdaten bis zu Prototypeninformationen.
Drei Assessment-Levels: AL 1 (Selbstbewertung, kein Audit), AL 2 (Audit-Plausibilisierung), AL 3 (vollständiges Vor-Ort-Audit).
Anforderungskatalog VDA ISA 6.0 umfasst über 90 Kontrollziele in den Bereichen Informationssicherheit, Prototypenschutz und Datenschutz.
Label-Gültigkeit beträgt 3 Jahre mit jährlicher Selbstauskunft und vollumfänglichem Re-Audit.
Reifegradskala 0–5 — für Label-Vergabe ist in der Regel Mindest-Reifegrad 3 in allen Anforderungen zwingend.
Audit-Kosten für AL-2-Audit: 8.000–15.000 EUR; AL-3-Audit: 18.000–35.000 EUR + Reisekosten der Auditoren.
TISAX vs. ISO 27001: etwa 75 % der Anforderungen sind kongruent — eine bestehende ISO-27001-Zertifizierung verkürzt die TISAX-Vorbereitung um 40–60 %.
Das TISAX-Audit ist eine standardisierte Sicherheitsbewertung, die seit 2017 den Ad-hoc-Audits der einzelnen Automobilhersteller den Vorrang abgenommen hat. Vor TISAX musste ein Zulieferer für VW, BMW, Daimler, Audi und Porsche separate Sicherheitsaudits durchlaufen — zeitraubend und teuer. TISAX vereinheitlicht das in einem Audit für alle Hersteller.
Die zentralen Akteure
Akteur
Rolle
VDA (Verband der Automobilindustrie)
erstellt den ISA-Anforderungskatalog
ENX Association
betreibt das TISAX-Portal, akkreditiert Audit-Provider, vergibt Labels
Audit-Provider (z. B. TÜV, DEKRA, DQS)
führen die Audits durch
Teilnehmer (Zulieferer)
werden auditiert; teilen Ergebnis im Portal
OEMs (BMW, VW, Mercedes, Audi, Porsche, Stellantis u. a.)
konsumieren die Audit-Ergebnisse
Was unterscheidet TISAX vom ISO-27001-Audit?
Kriterium
TISAX
ISO 27001
Geltungsbereich
Automobil-Industrie spezifisch
branchenneutral
Anforderungskatalog
VDA ISA 6.0 (über 90 Anforderungen)
ISO 27001 + Annex A (93 Controls)
Audit-Methodik
Reifegradbewertung 0–5
Ja/Nein-Konformität + Findings
Label-Sharing
über ENX-Portal mit OEMs
Zertifikat als PDF
Datenschutz integriert
Ja, modulares Add-on
nur in Annex A 5.34
Prototypenschutz
Ja, eigenes Modul
nicht enthalten
Gültigkeit
3 Jahre
3 Jahre
Kennzahl
Über 9.500 aktive TISAX-Labels sind 2025 im ENX-Portal registriert (Stand März 2025). Die Mehrheit auf AL 2, etwa 25 % auf AL 3 — Tendenz steigend, da OEMs zunehmend AL 3 für Konstruktions- und Prototypendaten verlangen.
Wer braucht ein TISAX-Label?
TISAX ist faktisch Pflicht für jeden Lieferanten, der mit deutschen Automobilherstellern Geschäft macht und dabei vertrauliche Informationen verarbeitet. Die Audit-Anforderung wird vom OEM kontraktuell festgelegt — meist mit konkretem Mindest-Assessment-Level.
Typische Lieferanten-Kategorien und benötigte Levels
Lieferantentyp
Typischer Mindest-Level
Beispiel
Engineering-Dienstleister mit Konstruktionsdaten
AL 3
Designstudios, Tier-1-Engineering
IT-Service-Provider für OEM-Systeme
AL 2 oder AL 3
Hosting, SaaS, Wartung
Marketing-Agenturen mit Produkt-Vorabinformationen
AL 2
Digitalagenturen mit Embargo-Material
Übersetzungsdienstleister für vertrauliche Dokumente
AL 2
technische Übersetzungen
Tier-2- und Tier-3-Lieferanten mit Stücklisten
AL 2
Komponentenlieferanten, Logistik
Prototypen-Werkstätten
AL 3 mit Prototypenschutz-Modul
Modellbauer, Test-Labore
Module und Add-ons
TISAX besteht aus dem Kernmodul Informationssicherheit und drei optionalen Add-ons:
Modul
Inhalt
Wann erforderlich
Informationssicherheit (Pflicht)
Standardanforderungen aus VDA ISA
immer
Prototypenschutz
physische und IT-technische Schutzmaßnahmen für Prototypen
wenn Prototypen verarbeitet werden
Datenschutz
DSGVO-Konformität
wenn personenbezogene Daten verarbeitet werden
Connect to Customer
Spezifikationen für Cloud-Anbindung an OEM-Systeme
bei direkter OEM-Systemintegration
Assessment-Levels
TISAX kennt drei Assessment-Levels mit deutlich unterschiedlicher Audit-Tiefe und Aufwand.
AL 1 — Selbstbewertung (kein Audit)
Aspekt
Wert
Methodik
reine Selbstauskunft im ENX-Portal
Auditor-Beteiligung
keine
Plausibilisierung
keine
Geeignet für
extrem niedriges Schutzbedürfnis (selten gefordert)
Kosten
nur ENX-Portalgebühr (~ 500 EUR)
AL 1 ist in der Praxis kaum noch relevant — die meisten OEMs verlangen mindestens AL 2.
AL 3 ist Pflicht bei sensiblen Datenarten — Konstruktionsdaten, Prototypenfotos, Embargo-Material.
Anforderungskatalog VDA ISA 6.0
Der VDA ISA-Anforderungskatalog ist das zentrale Bewertungsdokument. Version 6.0 wurde im April 2024 veröffentlicht und ist seit Oktober 2024 verbindlich.
Struktur des Kataloges
Bereich
Anzahl Anforderungen
Schwerpunkte
Informationssicherheits-Politik & Organisation
12
ISMS-Aufbau, Geschäftsleitungs-Engagement
Personal
8
Schulung, Rollen, Verantwortlichkeiten
Asset Management
6
Inventar, Klassifizierung
Zugriffskontrolle
14
Identity & Access Management
Kryptographie
4
Verschlüsselung, Schlüsselverwaltung
Physische Sicherheit
12
Zutrittskontrolle, Umgebungsschutz
Betriebssicherheit
16
Patch-Management, Schutz vor Schadsoftware
Kommunikationssicherheit
8
Netzwerksegmentierung, sichere Übertragung
System-Beschaffung & -Entwicklung
6
sicherer SDLC
Lieferantenbeziehungen
4
Sub-Processor-Management
Incident-Management
6
Reaktionsfähigkeit, Meldung an OEM
Business Continuity
4
RTO/RPO, Notfallpläne
Compliance
6
Rechtsregister, regulatorische Anforderungen
Datenschutz-Modul (optional)
8
DSGVO-Mapping
Prototypenschutz-Modul (optional)
12
physische Sicherheit, Geheimhaltung
Beispiel-Anforderung im Detail
A 5.4.4 — Sind die Anforderungen an den Schutz von Identifizierungs- und Authentifizierungsmaßnahmen festgelegt?
Bewertungskriterien:
Es existiert eine Richtlinie zur Verwendung von Identifizierungs- und Authentifizierungsmaßnahmen.
Die Richtlinie definiert Mindestanforderungen für Passwörter, MFA und privilegierte Zugriffe.
Die Maßnahmen werden regelmäßig auf Wirksamkeit überprüft.
Verstöße werden dokumentiert und bewertet.
Reifegradbewertung
Im Unterschied zu ISO 27001 (binäre Konformität) bewertet TISAX jeden Anforderungspunkt auf einer 6-stufigen Reifegradskala.
Reifegrad
Bezeichnung
Kennzeichen
0
Unvollständig
Anforderung nicht oder nur ad-hoc umgesetzt
1
Durchgeführt
Maßnahme ist umgesetzt, aber nicht dokumentiert
2
Gemanagt
Dokumentiert, mit Verantwortlichkeiten und Ressourcen
3
Eingeführt
Im gesamten Anwendungsbereich gleichmäßig angewendet — Label-Mindeststandard
4
Vorhersehbar
Wirksamkeit gemessen und dokumentiert
5
Optimierend
Kontinuierliche Verbesserung auf Basis von Daten
Mindestreifegrad für Label-Vergabe
Modul
Mindestreifegrad
Informationssicherheit
mind. 3 in allen Anforderungen
Prototypenschutz
mind. 3 in allen Prototypen-spezifischen Anforderungen
Datenschutz
mind. 3 in allen DSGVO-Anforderungen
Findings mit Reifegrad < 3 müssen vor der Label-Vergabe vollständig behoben werden. Der Auditor stellt einen Korrekturmaßnahmenplan auf, dessen Umsetzung er überprüft.
TISAX vs. ISO 27001
Wer bereits ISO-27001-zertifiziert ist, hat einen erheblichen Vorsprung — aber TISAX ist nicht automatisch erfüllt. Drei wesentliche Unterschiede bleiben:
Prototypenschutz (falls Modul aktiviert) — physische und IT-technische Maßnahmen, die ISO 27001 nicht abdeckt.
OEM-spezifische Verarbeitungsketten — Datenklassifizierung muss zur OEM-Klassifizierung passen (z. B. „Strictly Confidential" in Mercedes Konventionen).
ENX-Portal-Anbindung — Self-Assessment muss im Portal hochgeladen, regelmäßig aktualisiert und mit OEMs geteilt werden.
Reifegrad-Dokumentation — der höhere Detailgrad der Reifegradbewertung erfordert zusätzliche Nachweise.
Für ISO-27001-zertifizierte Unternehmen reduziert sich die TISAX-Vorbereitung typischerweise auf 6–8 Wochen (statt 12–16 Wochen ohne Vorzertifizierung).
12-Wochen-Vorbereitungsplan
Der folgende Plan basiert auf über 80 begleiteten TISAX-Audits und ist für ein mittelständisches Unternehmen ohne ISO-27001-Vorzertifizierung kalkuliert.
Wochen 1–2 — Initialisierung
Geschäftsleitungs-Mandat einholen
Anwendungsbereich (Scope) festlegen
ENX-Portalregistrierung
Auswahl des Audit-Providers (Long-List, Short-List)
Achtung Doppelrolle: Audit-Provider dürfen nicht gleichzeitig beraten und auditieren. Wenn Sie für die Vorbereitung einen externen Berater hinzuziehen, muss dieser organisatorisch unabhängig vom späteren Audit-Provider sein.
Audit-Ablauf
Ein typisches AL-2- bzw. AL-3-Audit folgt einem klar strukturierten Ablauf, den die ENX-Akkreditierungsregeln vorschreiben.
Phase 1 — Self-Assessment (vor dem Audit)
Der Teilnehmer füllt im ENX-Portal die VDA-ISA-Selbstbewertung aus. Pro Anforderung:
aktueller Reifegrad
Begründung bzw. Nachweisverweise
Verantwortliche Rolle
Dieses Self-Assessment ist die Grundlage des Audits.
Phase 2 — Audit-Vorbereitung (Auditor-Seite)
Review des Self-Assessments durch den Auditor
Identifikation kritischer Anforderungen für Detailprüfung
Abstimmung des Audit-Plans mit dem Teilnehmer
Phase 3 — Audit-Durchführung
AL
Format
Inhalt
AL 2
Plausibilisierung (remote)
Dokumentenprüfung, Telekonferenz mit Schlüsselpersonen, Stichproben
Die Gesamtkosten einer TISAX-Erstzertifizierung gliedern sich in vier Hauptposten:
Kostenposten
Anteil
Typische Spanne
Externe Beratung (GAP-Analyse, Vorbereitung)
35–50 %
18.000–80.000 EUR
Interne Personalressourcen
25–40 %
10.000–60.000 EUR
Audit-Provider-Honorar
15–25 %
8.000–35.000 EUR
Tools und Implementierung
10–20 %
5.000–40.000 EUR
Realistische Gesamtkosten
Szenario
AL
Vorzertifizierung
Gesamtbudget
Tier-3-Lieferant, 30 Mitarbeiter
AL 2
keine
35.000–55.000 EUR
Tier-2-Lieferant, 100 Mitarbeiter
AL 2
ISO 27001
25.000–45.000 EUR
Engineering-Dienstleister, 200 Mitarbeiter
AL 3 + Prototypenschutz
keine
80.000–150.000 EUR
Engineering-Dienstleister, 200 Mitarbeiter
AL 3 + Prototypenschutz
ISO 27001
50.000–90.000 EUR
Tier-1, 800 Mitarbeiter
AL 3 + alle Module
ISO 27001
150.000–300.000 EUR
FAQ
Was ist der Unterschied zwischen TISAX-Label und TISAX-Zertifikat?
TISAX vergibt Labels, keine Zertifikate. Der Begriff „Zertifikat" wird oft umgangssprachlich verwendet, ist aber technisch falsch. Das Label ist ausschließlich über das ENX-Portal sichtbar und kann nur mit registrierten OEMs geteilt werden.
Wie lange ist ein TISAX-Label gültig?
3 Jahre ab Ausstellung. Die jährlichen Selbstauskünfte müssen im Portal aktualisiert werden, bei wesentlichen Änderungen ist ein außerplanmäßiges Audit erforderlich.
Welcher Assessment-Level ist der richtige?
Das definiert der OEM in seinem Liefervertrag. Bei Unklarheit fragen Sie die Einkaufs- oder IT-Sicherheits-Ansprechpartner Ihres Hauptkunden. Im Zweifel ist AL 2 der konservative Default.
Brauche ich ein TISAX-Label, wenn ich nur an Tier-1 liefere?
In der Regel ja — Tier-1-Hersteller geben die TISAX-Pflicht in ihrer Lieferkette weiter. Tier-2- und Tier-3-Lieferanten werden zunehmend ebenfalls TISAX-pflichtig.
Kann ich TISAX intern vorbereiten oder brauche ich einen Berater?
Intern ist möglich, wenn das Unternehmen über erfahrene IT-Sicherheits-Mitarbeiter verfügt. In der Praxis nutzen etwa 80 % der Mittelständler externe Beratung — die Investition zahlt sich durch eine deutlich höhere Erfolgsquote aus.
Was kostet ein TISAX-Audit?
AL-2-Audit: 8.000–15.000 EUR. AL-3-Audit: 18.000–35.000 EUR plus Reisekosten der Auditoren. Hinzu kommen ENX-Portalgebühren (~ 1.000 EUR/Jahr).
Wie lange dauert die Vorbereitung?
Ohne Vorzertifizierung: 8–12 Wochen für KMU, 12–16 Wochen für Mittelstand. Mit ISO-27001-Vorzertifizierung verkürzt sich das auf 6–8 Wochen.
Was passiert, wenn ich das Audit nicht bestehe?
Bei kritischen Findings wird das Label nicht ausgestellt, bis die Korrekturmaßnahmen umgesetzt sind. In der Praxis sind 1–8 Findings normal — vollständig fehlgeschlagene Audits sind selten (< 5 %), wenn die Vorbereitung professionell war.
Kann ich TISAX und ISO 27001 parallel zertifizieren?
Ja, und das ist wirtschaftlich oft sinnvoll. Etwa 75 % der Anforderungen sind kongruent — eine integrierte Implementierung spart 30–50 % der separaten Aufwände.
Wie unterscheidet sich der Prototypenschutz?
Das Prototypenschutz-Modul fordert zusätzliche physische Maßnahmen (Zugangsbeschränkung, Foto- und Videoverbot, abgeschirmte Werkstattbereiche) und organisatorische Maßnahmen (Geheimhaltungsverträge, Embargo-Management, Mitarbeiter-Sensibilisierung).
Das TISAX-Audit ist die zentrale Eintrittskarte in die deutsche Automobil-Lieferkette — und wegen der Reifegrad-Bewertungsmethodik anspruchsvoller als ein klassisches ISO-27001-Audit. Drei Erfolgsfaktoren entscheiden über die Label-Vergabe:
Erstens, eine früh gestartete GAP-Analyse. Wer erst sechs Wochen vor dem Auditdatum mit der Vorbereitung beginnt, scheitert an Reifegrad-Lücken in technischen Anforderungen, deren Behebung Wochen dauert.
Zweitens, konsequent gelebter Reifegrad 3 in allen Anforderungen — also dokumentiert, gleichmäßig im Anwendungsbereich angewendet und mit Wirksamkeitsnachweisen belegt. Das ist die Schwelle, an der die meisten unzureichend vorbereiteten Audits scheitern.
Drittens, der richtige Audit-Provider — mit OEM-Erfahrung, Branchenkenntnis und transparenter Honorarstruktur. Eine fragwürdige Auditor-Auswahl produziert mittelfristig Probleme bei der Re-Zertifizierung oder bei der Anerkennung des Labels durch andere OEMs.
Vision Compliance unterstützt Automobilzulieferer mit TISAX- und ISO-27001-Beratung von der GAP-Analyse über die Implementierung bis zur Audit-Begleitung. Wir verbinden tiefes Verständnis des VDA-ISA-Katalogs mit praktischer Branchenerfahrung — Sprechen Sie uns an für eine kostenlose Vorab-Aufwandsschätzung für Ihre konkrete Lieferantenkonstellation und das benötigte Assessment-Level.
Robert Lozo, mag. iur., is a Partner at Vision Compliance specializing in EU regulatory compliance. He advises organizations on GDPR, NIS2, AI Act, and financial regulation, delivering audit-ready documentation and compliance roadmaps across regulated industries.
