TISAX steht für „Trusted Information Security Assessment Exchange". Es ist das Verfahren der Automobilindustrie zur Bewertung und zum Austausch von Informationssicherheits-Nachweisen, inhaltlich basierend auf dem VDA-ISA-Katalog und betrieben von der ENX Association.

Ist ein Penetrationstest für TISAX Pflicht?

TISAX selbst ist ein Assessment-Verfahren und schreibt keinen einzelnen Pentest namentlich vor. Penetrationstests sind aber ein anerkanntes und praxisübliches Mittel, um die technische Wirksamkeit Ihrer Sicherheitsmaßnahmen für das Assessment nachzuweisen – besonders bei höherem Schutzbedarf (AL3).

Was sind die Assessment-Level AL1, AL2 und AL3?

Die Assessment-Level bestimmen die Prüftiefe nach Schutzbedarf: AL1 ist eine reine Selbstauskunft, AL2 umfasst eine Prüfung durch einen Dienstleister (meist per Plausibilitätsprüfung/Remote), AL3 beinhaltet eine tiefergehende Vor-Ort-Prüfung – typisch für hohen Schutzbedarf und Prototypendaten.

Wie lange ist ein TISAX-Label gültig?

Ein TISAX-Label ist in der Regel drei Jahre gültig. Danach ist ein erneutes Assessment erforderlich, um den Nachweis aktuell zu halten.

Sind Sie ein TISAX-Prüfdienstleister?

Nein. Das offizielle TISAX-Assessment darf nur von akkreditierten Prüfdienstleistern durchgeführt werden. Wir bereiten Sie darauf vor: Gap-Analyse, Penetrationstests zur Wirksamkeitsprüfung, Härtung und Audit-Vorbereitung.

TISAX · VDA-ISA · ENX Association

TISAX Informationssicherheit für die Automobilindustrie

TISAX (Trusted Information Security Assessment Exchange) ist das Prüf- und Austauschverfahren für Informationssicherheit in der Automobilindustrie. Wir bereiten Sie mit Gap-Analyse und technischen Penetrationstests gezielt auf Ihr TISAX-Assessment vor.

Kostenlose TISAX-Erstberatung Penetrationstest

Was ist TISAX?

TISAX steht für „Trusted Information Security Assessment Exchange" und ist das branchenweite Verfahren, mit dem Unternehmen der Automobilindustrie ihren Informationssicherheits-Reifegrad bewerten und die Ergebnisse untereinander austauschen. Inhaltliche Grundlage ist der Prüfkatalog VDA ISA (Information Security Assessment), der sich an der ISO/IEC 27001 orientiert.

Betrieben wird TISAX von der ENX Association im Auftrag des Verbands der Automobilindustrie (VDA). Das eigentliche Assessment führen akkreditierte Prüfdienstleister durch; die Ergebnisse (TISAX-Label) werden über die ENX-Plattform geteilt und sind in der Regel drei Jahre gültig. So muss ein Zulieferer seine Sicherheit nicht gegenüber jedem OEM einzeln nachweisen.

Grundlage

VDA ISA (ISO 27001)

Betreiber

ENX Association

Label-Gültigkeit

3 Jahre

Welche Anforderungen stellt TISAX?

TISAX prüft Ihre Informationssicherheit anhand des VDA-ISA-Katalogs. Der geforderte Prüftiefe-Grad richtet sich nach dem Assessment-Level (AL1–AL3): Je höher der Schutzbedarf der verarbeiteten Daten, desto tiefer die Prüfung – inklusive Vor-Ort-Audits.

Selbstbewertung (Self-Assessment) entlang des VDA-ISA-Katalogs

Festlegung des passenden Assessment-Levels (AL2/AL3) je nach Schutzbedarf

Technische und organisatorische Maßnahmen nachweisbar umsetzen

Prüfung durch einen akkreditierten TISAX-Prüfdienstleister, Label-Veröffentlichung über ENX

Der Weg zum TISAX-Label

Scope & Ziel festlegen

Standorte, Daten und Assessment-Level definieren

Self-Assessment

Reifegrad entlang VDA ISA bewerten

Gap-Behebung

Lücken schließen – inkl. technischer Verifikation per Pentest

Akkreditiertes Audit

Prüfung durch zugelassenen TISAX-Dienstleister

Label über ENX

Ergebnis teilen – gültig für 3 Jahre

Konsequenzen bei Nichteinhaltung

Was passiert ohne TISAX-Label?

TISAX ist kein Gesetz, sondern eine vertragliche Marktanforderung: Viele OEMs und Tier-1-Zulieferer setzen ein gültiges TISAX-Label voraus, bevor sie sensible Daten oder Entwicklungsaufträge vergeben.

Kein Marktzugang

Auftragsvoraussetzung fehlt

Ohne gültiges TISAX-Label werden Sie bei vielen Automobilherstellern und großen Zulieferern gar nicht erst als Lieferant zugelassen.

Verlorene Aufträge

Projekte gehen an Wettbewerber

Gerade bei prototypen- oder datenintensiven Projekten ist das Label faktisch Pflicht – fehlt es, gewinnt der Wettbewerb mit Nachweis.

Sicherheitsrisiko

Unentdeckte Schwachstellen

Ohne technische Verifikation Ihrer Schutzmaßnahmen bleiben Lücken unentdeckt – ein reales Risiko für Entwicklungsdaten und Prototypen.

Wie wir Sie auf TISAX vorbereiten

Wir sind kein TISAX-Prüfdienstleister – wir bringen Sie technisch und organisatorisch in den prüffähigen Zustand und weisen die Wirksamkeit Ihrer Maßnahmen nach.

Gap-Analyse VDA ISA

Abgleich Ihres Ist-Zustands mit dem VDA-ISA-Katalog und priorisierte Maßnahmenliste bis zur Audit-Reife.

Penetrationstests

Technische Verifikation Ihrer Schutzmaßnahmen – ein anerkanntes Mittel, um die Wirksamkeit für das Assessment zu belegen.

Härtung & Remediation

Konkrete Umsetzungsbegleitung bei der Behebung gefundener Schwachstellen und Konfigurationsmängel.

Prototypen- & Datenschutz

Unterstützung bei höheren Schutzbedarfen (z. B. Prototypenschutz), wie sie bei AL3 gefordert werden.

Wer braucht TISAX?

TISAX richtet sich an alle Unternehmen, die für die Automobilindustrie arbeiten und dabei schützenswerte Informationen verarbeiten.

Automobilzulieferer

Tier-1- bis Tier-n-Zulieferer, die Daten von OEMs verarbeiten oder Komponenten entwickeln.

Entwicklungsdienstleister

Engineering- und Software-Dienstleister mit Zugriff auf Entwicklungs- oder Prototypendaten.

IT- & Cloud-Dienstleister

Anbieter, die IT-Services oder Datenverarbeitung für die Automobilbranche erbringen.

Lieferanten mit OEM-Daten

Jedes Unternehmen, von dem ein Hersteller ein gültiges TISAX-Label verlangt.

Unser Vorgehen

Ein klar strukturierter Prozess – von der ersten Beratung bis zum prüffähigen Nachweis.

Erstgespräch & Scoping

Kostenlos: Wir klären Standorte, Datenarten und das passende Assessment-Level.

Gap-Analyse

Bewertung Ihres Reifegrads entlang des VDA-ISA-Katalogs.

Pentest & Härtung

Technische Verifikation der Maßnahmen und Behebung der Findings.

Audit-Vorbereitung

Wir machen Ihre Dokumentation und Technik prüffähig für den akkreditierten Prüfer.

Re-Test & Nachweis

Nachtest der behobenen Schwachstellen als belastbarer Wirksamkeitsnachweis.

Weitere Standards & Regularien

Wir decken die gängigen Sicherheits- und Compliance-Anforderungen ab. Sehen Sie sich verwandte Themen an.

ISO 27001

Der internationale Standard, auf dem der VDA-ISA-Katalog aufbaut.

NIS2

EU-Cybersicherheitspflichten für wesentliche und wichtige Einrichtungen.

Penetrationstest

Technische Angriffssimulation zur Verifikation Ihrer Schutzmaßnahmen.

Häufige Fragen

TISAX betrifft Sie? Sprechen wir darüber.

Kostenlose Erstberatung – wir analysieren Ihre Ausgangslage und zeigen den schnellsten Weg zur Konformität.

Kostenlose Erstberatung anfragen Zum Penetrationstest