Immer wieder werden wir von Unternehmen gefragt, wie sie sinnvoll an die Umsetzung von TISAX herangehen sollen. Häufig entsteht die Anforderung durch Kunden oder OEMs aus der Automobilbranche, wodurch kurzfristig Informationssicherheit und Nachweisführung in den Fokus rücken. In der Regel setzen wir die Anforderungen von TISAX dabei über die Einführung und Strukturierung eines ISMS nach ISO 27001 um.
Da sich beide Standards in vielen Bereichen überschneiden, entsteht schnell die nächste Frage: Ist eine ISO 27001 eigentlich aufwendiger als TISAX – oder unterscheiden sich die Anforderungen vor allem in der Prüftiefe, Dokumentation und operativen Umsetzung? Genau diese Unterschiede schauen wir uns hier etwas genauer an.
Einordnung der Begriffe
- ISO/IEC 27001:2022 ist ein internationaler Standard für Informationssicherheits-Managementsysteme (ISMS).
- TISAX basiert im Kern auf dem VDA ISA 6 Katalog und orientiert sich stark an ISO 27001, ergänzt jedoch zusätzliche Anforderungen wie Datenschutz und Prototypenschutz, speziell für die Automobilindustrie.
- Assessment Level (AL) bei TISAX beschreiben die jeweilige Prüftiefe sowie die damit verbundene Vertrauensstufe des Assessments.
Anwendungsbereichund & Assessment Level
Der Anwendungsbereich (Scope) sowie der Assessment Level werden bei TISAX stark durch den Auftraggeber beeinflusst oder vorgegeben. Nach der Anmeldung im ENX-Portal ist der VDA ISA Katalog kostenlos herunterladbar. Der Katalog enthält sämtliche Anforderungen zu den unterschiedlichen Bereichen, insbesondere IT-Sicherheit, Datenschutz und Prototypenschutz.
Was konkret umgesetzt werden muss, bestimmt vor allem der Scope und die gewählten Assessment Objectives sowie der Assessment Level.
Die wichtigsten Assessment Objectives (Stand VDA ISA 6):
| Assessment Objective | Übersetzung | Bedeutung/Relevants |
|---|---|---|
| Information Security | Informationssicherheit | Immer der Standard – Kern von TISAX (Vertraulichkeit und Verfügbarkeit von Informationen) |
| Prototype Protection | Prototypenschutz | Bei Umgang mit Prototypen, Testfahrzeugen, Bauteilen, Fotos, Videos oder Entwicklungsdaten |
| Data Protection | Datenschutz | Nur bei Auftragsverarbeitung personenbezogener Daten (Art. 28 DSGVO) |
| Special Data | Besondere Daten | Erweiterter Datenschutz bei besonders schützenswerten personenbezogenen Daten |
TISAX Assessment Levels (AL1 bis AL3) im Überblick
| Assessment Level | Bezeichnung | Prüftiefe | Prüfart | Anwendungsfall | Nachweisaufwand |
|---|---|---|---|---|---|
| AL1 | Self-Assessment | Sehr niedrig | Nur Selbstbewertung | Niedriges Risiko, interne Zwecke | Gering |
| AL2 | Standard Assessment | Mittel | Online-Assessment + Dokumentenprüfung (meist remote) | Mittleres Risiko, Standard-Lieferanten | Mittel |
| AL3 | High Assurance Assessment | Hoch | Vor-Ort-Audit | Hohes Risiko, kritische Lieferanten, Prototypenschutz | Sehr Hoch |
Vergleichstabelle
| Themenbereich | ISO 27001:2022 | TISAX AL3 – ISA 6 |
Hinweise |
|---|---|---|---|
| ISMS-Einführung | Vollständiges ISMS erforderlich | Vollständiges ISMS erforderlich | Grundsätzlich vergleichbar |
| Kontext der Organisation | Verpflichtend | Verpflichtend | TISAX betrachtet Lieferantenbeziehungen detaillierter |
| Scope-Definition | Frei definierbar | Durch Kundenanforderungen | TISAX häufig restriktiver |
| Risikomanagement | Verpflichtend | Verpflichtend | TISAX erwartet häufig detaillierte operative Risiken bei Automotive-Bezug |
| Asset Management | Verpflichtend | Verpflichtend | TISAX fordert oft granularere Nachweise und Inventarisierung |
| Informationsklassifizierung | Verpflichtend | Verpflichtend | TISAX arbeitet stärker mit Schutzbedarfen wie „hoher Schutzbedarf“ |
| Supplier Management | Verpflichtend | Verpflichtend | TISAX fordert häufig strengere Lieferantensteuerung |
| Security Policies | Verpflichtend | Verpflichtend | Vergleichbar |
| Rollen & Verantwortlichkeiten | Verpflichtend | Verpflichtend | TISAX prüft operative Wirksamkeit meist tiefer |
| Management Review | Verpflichtend | Verpflichtend | Vergleichbar |
| Interne Audits | Verpflichtend | Verpflichtend | TISAX erwartet häufig höhere Reife und Nachvollziehbarkeit |
| Continuous Improvement | Verpflichtend | Verpflichtend | Vergleichbar |
| Dokumentationspflicht | Verpflichtend | Verpflichtend | TISAX AL3 verlangt meist mehr Nachweise |
| Nachweisführung | Verpflichtend | Verpflichtend | AL3 fordert belastbare Evidenzen und Stichproben |
| Vor-Ort-Prüfung | Nicht zwingend | Üblich bei AL3 | TISAX AL3 aufwendiger |
| Technische Sicherheitsmaßnahmen | Verpflichtend | Verpflichtend | TISAX prüft Umsetzung oft detaillierter |
| Netzwerksegmentierung | Empfohlen je nach Risikobewertung | Empfohlen/erwartet | TISAX häufig strenger |
| Logging & Monitoring | Verpflichtend | Umfangreicher erwartet | Monitoring-Nachweise oft relevant |
| Schwachstellenmanagement | Verpflichtend | Verpflichtend mit höherem Reifegrad | TISAX verlangt oft kürzere Reaktionszeiten |
| Patchmanagement | Verpflichtend | Strenger überwacht | Nachweise über Fristen und Prozesse |
| Endpoint Security | Verpflichtend | Höhere Prüftiefe | AL3 erwartet zentrale Verwaltung |
| Multi-Faktor-Authentifizierung | Risikobasiert | Praktisch Standard für kritische Zugriffe | TISAX häufig strenger |
| Backup & Recovery | Verpflichtend | Verpflichtend | Wiederherstellungstests gefordert |
| Business Continuity | Verpflichtend | Verpflichtend | Nachweise zur Wirksamkeit |
| Incident Management | Verpflichtend | Verpflichtend | Wirksame Meldewege gefordert |
| Awareness-Schulungen | Verpflichtend | Verpflichtend | Zielgruppenspezifische Trainings |
| KPI / Messbarkeit | Verpflichtend | Verpflichtend | Vergleichbar |
| Cloud Security | Risikobasiert | Detaillierte Bewertung üblich | TISAX fordert strengere Lieferantenkontrolle |
| Mobile Device Management | Risikobasiert | Praktisch erwartet | Bei TISAX häufig zwingend |
| Remote Access Security | Verpflichtend | Stärker geprüft | VPN, MFA, Logging oft Pflicht |
| Physische Sicherheit | Verpflichtend | Verpflichtend hohe Prüftiefe | Besonders bei Entwicklungsbereichen |
| Besucherregelungen | Verpflichtend | Verpflichtend | TISAX häufig streng kontrolliert |
| Clean Desk / Clear Screen | Verpflichtend | Verpflichtend | Besonders bei Schutzbedarf hoch |
| Entwicklungsumgebungen | Risikobasiert | Streng getrennt erforderlich | TISAX stärker |
| Produktionsnahe Systeme | Risikobasiert | Höhere Anforderungen | Automotive-spezifisch relevanter |
| Datenschutz | Teilweise relevant | Verpflichtend wenn im Scope | TISAX stärker im Focus |
| Prototypenschutz | Nicht benötigt | Verpflichtend wenn im Scope | TISAX-Zusatzanforderung |
| Prototypenschutz | Nicht benötigt | Verpflichtend falls relevant | TISAX-Zusatzanforderung |
| Foto-/Videoverbote | Nicht benötigt | Häufig verpflichtend | TISAX-Zusatzanforderung |
| Geheimhaltungszonen | Nicht benötigt | Häufig verpflichtend | TISAX-Zusatzanforderung |
| Fahrzeug-/Bauteilschutz | Nicht benötigt | Verpflichtend falls relevant | TISAX-Zusatzanforderung |
| Sicherheitszonen | Allgemein möglich | Häufig verpflichtend | TISAX stark gewichtet |
Zusammenfassung
1. TISAX AL3 baut funktional stark auf ISO 27001 auf.
2. Der größte Unterschied liegt weniger in den Grundprinzipien als in:
- Prüftiefe
- Nachweisführung
- Automotive-spezifischen Anforderungen
- physischen Sicherheitsmaßnahmen
- Reifegradorientierung
3. ISO 27001 ist meist flexibler und stärker risikobasiert.
4. TISAX AL3 ist operativ teilweise strenger und auditintensiver.
5. Zusätzliche TISAX-Themen ohne direkte ISO-Entsprechung sind insbesondere:
- Prototypenschutz
- Security Areas
- ENX-/Label-Prozesse
- Automotive-Lieferkettenanforderungen
- Reifegrade
Unser Angebot für Sie:
- Gap-Analyse und Bewertung Ihrer bestehenden TISAX-Maßnahmen
- Erstellung oder Anpassung Ihres Risikomanagement- und Sicherheitskonzepts
- Unterstützung bei Incident-Reporting, Lieferanten-/Prototypenschutz und Datenschutz
- Vorbereitung auf TISAX-Audits und Nachweise (inkl. ISO 27001)
- Schulungen für Geschäftsführung und technische Teams
Kontaktieren Sie uns noch heute!
Für ein unverbindliches Erstgespräch – wir beraten Sie
zu TISAX, IT-Sicherheit und Datenschutz.
Matthias A. Walter, http://www.tec4net.com
EDV-Sachverständiger | Auditor für Datenschutz und IT-Sicherheit
Quellen und Links:
Sichere TISAX-Implementierung mit tec4net
https://www.tec4net.com/web/tisax-informationssicherheit-in-der-automobilindustrie/
Offizielle TISAX-Seite der ENX Association
https://enx.com/en-US/tisax/
ISO/IEC 27001:2022 – Grundlagen und Normenübersicht
https://www.iso.org/standard/27001
Fragen und Antworten zu TISAX
https://www.tec4net.com/web/category/wissen-tisax/
Risikomanagement und Business Continuity nach ISO 22301
https://www.iso.org/standard/50038.html
Datenschutz-Grundverordnung (DSGVO) – offizielle Informationen
https://eur-lex.europa.eu/eli/reg/2016/679/oj
BSI – IT-Grundschutz und Informationssicherheit
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/it-grundschutz_node.html
tec4net – Datenschutz und IT-Sicherheit praktikabel umsetzen
Wir beraten und auditieren DSGVO und BDSG sowie die Normen ISO/IEC 27001, TISAX, NIS-2 und PCI-DSS.
www.tec4net.com – www.it-news-blog.com – www.it-sachverstand.info – www.datenschutz-muenchen.com – www.it-sicherheit-muenchen.com