TISAX Leitfaden: Vollständige Anleitung für Automobil-Lieferanten 2026
1. Mai 2026
22 Min. Lesezeit
TISAX
TISAX (Trusted Information Security Assessment Exchange) ist die branchenspezifische Sicherheitsbewertung der deutschen Automobilindustrie — verwaltet durch die ENX Association im Auftrag des Verbands der Automobilindustrie (VDA). Sie ersetzt die bisherigen Einzelaudits der Hersteller (BMW, Mercedes-Benz, Volkswagen, Audi, Porsche etc.) durch ein einheitliches Bewertungssystem. Bewertungsgrundlage ist der VDA-ISA-Anforderungskatalog (aktuell Version 6.0) mit über 90 Kontrollzielen, abgestuft in drei Assessment-Levels. Audits werden ausschließlich durch TISAX-akkreditierte Audit-Provider (TÜV, DEKRA, DQS, BSI u. a.) durchgeführt; Ergebnisse werden über das ENX-Portal mit OEMs geteilt. Über 9.500 aktive TISAX-Labels existieren in 2025 — Tendenz stark steigend, da OEMs zunehmend AL 3 für sensible Datenarten verlangen.
Kerntatsachen
Geltungsbereich: alle Lieferanten, die für deutsche Automobilhersteller mit vertraulichen Daten arbeiten — von Engineering-Dienstleistern bis Marketing-Agenturen.
Drei Assessment-Levels: AL 1 (Selbstauskunft, kein Audit), AL 2 (Audit-Plausibilisierung, Marktstandard), AL 3 (Vor-Ort-Audit, sensible Daten).
VDA ISA 6.0 Anforderungskatalog mit über 90 Kontrollzielen in 13 Bereichen.
Module: Informationssicherheit (Pflicht) + optional Prototypenschutz, Datenschutz, Connect to Customer.
Label-Gültigkeit 3 Jahre mit jährlicher Selbstauskunft + Re-Audit.
Reifegradskala 0–5 — Mindest-Reifegrad 3 für Label-Vergabe.
Synergien mit ISO 27001: ca. 75 % kongruent — Vorzertifizierung verkürzt TISAX-Vorbereitung um 40–60 %.
Audit-Kosten: AL 2 8.000–15.000 EUR; AL 3 18.000–35.000 EUR + Reisekosten.
TISAX ist seit 2017 das standardisierte Sicherheitsbewertungs-System der deutschen Automobilindustrie. Ziel: einheitliche Sicherheitsbewertung statt Einzelaudits durch jeden Hersteller.
Über 9.500 aktive TISAX-Labels sind 2025 im ENX-Portal registriert — etwa 65 % auf AL 2, etwa 25 % auf AL 3, der Rest auf AL 1. Das jährliche Wachstum liegt bei rund 18 %, getrieben durch zunehmend strikte OEM-Anforderungen und das Wachstum der Automobilindustrie 4.0.
Wer braucht TISAX?
TISAX ist faktisch Pflicht für jeden Lieferanten der deutschen Automobilindustrie, der mit vertraulichen Daten arbeitet.
Typische Lieferanten-Kategorien
Lieferantentyp
Typischer Mindest-Level
Engineering-Dienstleister mit Konstruktionsdaten
AL 3
IT-Service-Provider für OEM-Systeme
AL 2 oder AL 3
Marketing-Agenturen mit Embargo-Material
AL 2
Übersetzungsdienstleister für vertrauliche Dokumente
AL 2
Tier-2-/Tier-3-Lieferanten
AL 2
Prototypen-Werkstätten
AL 3 + Prototypenschutz
Cloud-Anbieter für Automotive
AL 2 oder AL 3
Datenanalysten / KI-Dienstleister
AL 2 oder AL 3
Kontraktuelle Verankerung
Die TISAX-Pflicht ergibt sich aus dem Liefervertrag mit dem OEM. Standardklausel:
„Der Lieferant ist verpflichtet, vor Aufnahme der Geschäftsbeziehung ein gültiges TISAX-Label auf Assessment-Level [AL X] vorzuweisen und dieses während der gesamten Vertragslaufzeit aufrecht zu erhalten."
Bei Nicht-Erfüllung: Lieferant verliert die Auftragsfähigkeit.
Drei Assessment-Levels
TISAX kennt drei Assessment-Levels mit deutlich unterschiedlicher Audit-Tiefe.
Übersicht
Level
Name
Verfahren
Audit-Tiefe
AL 1
Selbstauskunft
reine Self-Assessment
keine externe Prüfung
AL 2
Plausibilisierung
Self-Assessment + Auditor-Plausibilisierung
mittel
AL 3
Vor-Ort-Audit
vollständiges Audit vor Ort
hoch
AL 1 — Selbstauskunft
Aspekt
Detail
Methodik
reine Selbstauskunft im ENX-Portal
Auditor-Beteiligung
keine
Geeignet für
extrem niedriges Schutzbedürfnis (selten gefordert)
Verfügbarkeit Audit-Termin in gewünschter Zeitspanne
Honorartransparenz fixer Tagessatz
Trennung Beratung / Audit
Audit-Provider dürfen nicht gleichzeitig beraten und auditieren. Bei externer Beratung muss diese organisatorisch unabhängig sein.
TISAX vs. ISO 27001
Die wichtigste strategische Synergie für deutsche Automotive-Lieferanten.
Mapping-Tiefe
Aspekt
Kongruenz
Organisatorische Anforderungen
~ 95 %
Technische Anforderungen
~ 90 %
Physische Anforderungen
~ 80 %
Lieferantenmanagement
~ 85 %
Prototypenschutz
0 % — TISAX-spezifisch
Strategische Reihenfolge
Empfohlene Implementierungs-Reihenfolge:
ISO 27001 zuerst — internationaler Goldstandard, breit anerkannt
TISAX als Add-on — schnell zu erreichen mit ISO-27001-Basis (6-8 Wochen statt 12-16)
Was zusätzlich für TISAX erforderlich ist
Prototypenschutz-Modul (falls aktiviert) — physische und IT-Schutzmaßnahmen
OEM-spezifische Anforderungen — Datenklassifizierung muss zur OEM-Klassifizierung passen
ENX-Portal-Anbindung — Self-Assessment-Verwaltung
Reifegrad-Dokumentation mit höherem Detailgrad
Typische Findings
Aus über 80 begleiteten TISAX-Audits — die zehn häufigsten Findings.
Top-10 Findings
Finding
Häufigkeit
Asset-Inventar unvollständig (Cloud, Schatten-IT)
75 %
MFA nicht für alle privilegierten Zugriffe
65 %
Backup ohne dokumentierte Restore-Tests
60 %
Awareness-Schulung ohne Wirksamkeitsnachweis
55 %
Lieferantenrichtlinie ohne Sub-Processor-Inventar
50 %
Patch-Management ohne SLA-Verfolgung
45 %
Incident-Response-Plan nicht getestet
45 %
OEM-Daten-Klassifizierung nicht spezifisch
40 %
Logging unvollständig
35 %
Prototypenschutz-Lücken (bei Modul aktiviert)
30 %
Kosten
Realistische Gesamtkosten der TISAX-Erstzertifizierung.
Erstzertifizierung
Szenario
AL
Vorzertifizierung
Gesamt
Tier-3, 30 MA
AL 2
keine
35.000–55.000 EUR
Tier-2, 100 MA
AL 2
ISO 27001
25.000–45.000 EUR
Engineering, 200 MA
AL 3 + Prototypenschutz
keine
80.000–150.000 EUR
Engineering, 200 MA
AL 3 + Prototypenschutz
ISO 27001
50.000–90.000 EUR
Tier-1, 800 MA
AL 3 + alle Module
ISO 27001
150.000–300.000 EUR
Folgekosten
Aktivität
Frequenz
Typische Kosten KMU
Jährliche Selbstauskunft
jährlich
1.000–3.000 EUR
Re-Audit nach 3 Jahren
alle 3 Jahre
wie Erstzertifizierung mit Reduktion ca. 30 %
Interne Audits
jährlich
3.000–8.000 EUR
TISAX-Pflege (Personal)
laufend
0,1–0,3 FTE
FAQ
Was ist der Unterschied zwischen TISAX-Label und TISAX-Zertifikat?
TISAX vergibt Labels, keine Zertifikate. Labels sind ausschließlich über das ENX-Portal sichtbar und können nur mit registrierten OEMs geteilt werden.
Wie lange ist ein TISAX-Label gültig?
3 Jahre ab Ausstellung. Jährliche Selbstauskunft erforderlich, Re-Audit nach 3 Jahren.
Welcher Assessment-Level ist der richtige?
Definiert vom OEM im Liefervertrag. Bei Unklarheit: AL 2 als konservativer Default.
Brauche ich TISAX, wenn ich nur an Tier-1 liefere?
Meist ja — Tier-1-Hersteller geben die TISAX-Pflicht in ihrer Lieferkette weiter. Tier-2- und Tier-3-Lieferanten werden zunehmend ebenfalls TISAX-pflichtig.
Wie lange dauert die Vorbereitung?
Ohne Vorzertifizierung: 8-12 Wochen für KMU, 12-16 Wochen für Mittelstand. Mit ISO-27001-Vorzertifizierung: 6-8 Wochen.
Was kostet ein TISAX-Audit?
AL 2: 8.000-15.000 EUR. AL 3: 18.000-35.000 EUR + Reisekosten.
Reicht eine ISO-27001-Zertifizierung für TISAX?
Nein — etwa 75 % der Anforderungen sind kongruent, aber Prototypenschutz, OEM-Spezifika und Reifegrad-Dokumentation müssen zusätzlich umgesetzt werden.
Welche Zusatzmodule gibt es?
Prototypenschutz, Datenschutz, Connect to Customer. Werden basierend auf dem konkreten Liefer-Profil aktiviert.
Was passiert, wenn ich das Audit nicht bestehe?
Bei kritischen Findings wird das Label nicht ausgestellt, bis Korrekturmaßnahmen umgesetzt sind. Vollständig fehlgeschlagene Audits sind selten (< 5 %) bei professioneller Vorbereitung.
Kann ich TISAX und ISO 27001 parallel machen?
Ja — in der Praxis sehr sinnvoll. Integrierte Implementierung spart 30-50 % der separaten Aufwände.
TISAX ist die branchenspezifische Eintrittskarte in die deutsche Automobil-Lieferkette — und wegen der Reifegrad-Bewertungsmethodik anspruchsvoller als ein klassisches ISO-27001-Audit. Drei strategische Empfehlungen:
Erstens, ISO 27001 als Basis aufbauen — die 75-%-Kongruenz spart erheblichen Aufwand und schafft eine universelle Compliance-Grundlage.
Zweitens, früh starten. 8-12 Wochen Vorbereitung sind das Minimum — wer erst 4 Wochen vor Auditdatum beginnt, scheitert an Reifegrad-Lücken.
Drittens, richtigen Audit-Provider wählen — mit OEM-Erfahrung, Branchenkenntnis und transparenter Honorarstruktur.
Vision Compliance unterstützt Automobil-Zulieferer mit TISAX- und ISO-27001-Beratung von der GAP-Analyse über die Implementierung bis zur Audit-Begleitung — mit erprobten Vorlagen, ISO-27001-Synergien und tiefem Verständnis des VDA-ISA-Katalogs. Sprechen Sie uns an für ein kostenloses TISAX-Erstgespräch mit individueller Aufwandsschätzung.
Robert Lozo, mag. iur., is a Partner at Vision Compliance specializing in EU regulatory compliance. He advises organizations on GDPR, NIS2, AI Act, and financial regulation, delivering audit-ready documentation and compliance roadmaps across regulated industries.
