TISAX® Fragenkatalog (VDA ISA): Was Ihr Unternehmen zur Vorbereitung wissen muss

In der Automobilindustrie gilt die Zertifizierung nach TISAX® als zentraler Nachweis dafür, dass Unternehmen die strengen Anforderungen an Informationssicherheit, Datenschutz und Prototypenschutz erfüllen. Diese Anforderungen werden durch den VDA ISA Fragenkatalog (Information Security Assessment) definiert. Doch was genau beinhaltet dieser Katalog, und wie können Unternehmen sich optimal auf eine erfolgreiche Zertifizierung nach TISAX® vorbereiten?

Wer schon mit der ISO 27001 vertraut ist, wird sich schnell zurechtfinden.

In unserem Blogartikel zur ISO 27001 erfahren Sie alle Details rund um den Standard, seine Kernbestandteile und die Schritte zur erfolgreichen Zertifizierung.

Was ist der VDA ISA Fragenkatalog?

Der Fragenkatalog „Information Security Assessment“ (ISA) wurde vom Verband der Automobilindustrie (VDA) entwickelt und bildet die Bewertungsgrundlage für alle Assessments nach TISAX®. Er basiert auf der ISO/IEC 27001 und ergänzt sie um branchenspezifische Anforderungen.

Der VDA ISA ist in mehrere Module gegliedert – je nach Art des Schutzbedarfs:

• Informationssicherheit (Grundmodul für alle Teilnehmer)

• Prototypenschutz (z. B. bei Entwicklung oder Test von Fahrzeugteilen)

• Datenschutz (z. B. bei Verarbeitung von personenbezogenen Daten im Auftrag)

Unternehmen definieren ihren sogenannten Prüfscope, aus dem sich ergibt, welche Module im Audit berücksichtigt werden müssen.

Warum ist TISAX® für Unternehmen so wichtig?

In einer Branche, die so stark vernetzt und innovationsgetrieben ist wie die Automobilindustrie, ist der Schutz sensibler Informationen und Technologien unerlässlich. Ein Datenleck oder die unerlaubte Weitergabe eines Prototyps könnte katastrophale Folgen haben – sowohl in finanzieller Hinsicht als auch in Bezug auf den Ruf eines Unternehmens. Eine Zertifizierung nach TISAX® zeigt potenziellen Geschäftspartnern und Kunden, dass Ihr Unternehmen höchste Sicherheitsstandards einhält und bereit ist, in einer sensiblen Branche zu agieren.

Pflichten und Verantwortlichkeiten von Unternehmen

Sensible Daten effektiv schützen: Unternehmen müssen sicherstellen, dass Informationen wie technische Zeichnungen, Kunden- und Mitarbeiterdaten sowie Geschäftsdaten jederzeit vor unbefugtem Zugriff geschützt sind.

Sicherheitsrisiken minimieren: Unternehmen sind verpflichtet, Sicherheitsrisiken zu identifizieren und zu managen – sowohl intern als auch in ihren Supply-Chains.

Prozesse dokumentieren: Die Sicherheitsmaßnahmen müssen umfassend dokumentiert werden, um sicherzustellen, dass die Anforderungen des VDA ISA nachvollziehbar und überprüfbar umgesetzt wurden.

Aufbau des VDA ISA Katalogs: Module und Inhalte

Der VDA ISA Katalog ist modular aufgebaut und deckt drei wesentliche Sicherheitsbereiche ab: Informationssicherheit, Datenschutz und Prototypenschutz. Jedes dieser Module enthält spezifische Anforderungen, die den jeweiligen Fokus des Sicherheitsmanagements im Unternehmen abbilden. Einen Einblick in die Struktur des TISAX® Fragenkatalogs erhalten Sie hier als PDF zum Download.

Datenschutz im TISAX® Fragenkatalog

Der Datenschutz ist nicht erst seit der Einführung der DSGVO (Datenschutz-Grundverordnung) ein zentrales Thema für Unternehmen. Für alle Unternehmen, die mit personenbezogenen Daten arbeiten – sei es von Kunden, Mitarbeitern oder Geschäftspartnern – ist die Einhaltung strenger Datenschutzvorgaben unerlässlich. Der VDA ISA Fragenkatalog legt detaillierte Anforderungen an den Datenschutz fest.

Datenminimierung: Unternehmen dürfen nur die Daten erheben und verarbeiten, die unbedingt notwendig sind.

Transparenz und Informationspflichten: Unternehmen müssen Personen darüber informieren, welche Daten gesammelt werden, wie diese verarbeitet und geschützt werden.

Rechte der Betroffenen: Personen, deren Daten erhoben werden, müssen jederzeit das Recht haben, Auskunft über ihre Daten zu verlangen, deren Korrektur oder Löschung zu fordern.

Sicherheitsmaßnahmen: Die Nutzung technischer und organisatorischer Maßnahmen (z.B. Verschlüsselung, Zugriffsbeschränkungen) zum Schutz von Daten ist verpflichtend.

Informationssicherheit im TISAX® Fragenkatalog

Die Informationssicherheit ist der Kern des TISAX®  Fragenkatalogs. Unternehmen müssen ein robustes Informationssicherheitsmanagementsystem (ISMS) etablieren, das in der Lage ist, Bedrohungen zu erkennen, zu bewerten und angemessene Maßnahmen zu ergreifen.

Zugriffsmanagement: Der Zugang zu Informationen muss strikt kontrolliert und auf autorisierte Personen beschränkt sein.
Risikoanalyse und -bewertung: Unternehmen müssen kontinuierlich die Risiken bewerten, denen ihre Informationen ausgesetzt sind, und entsprechende Schutzmaßnahmen einführen.
Mitarbeiterschulungen: Es reicht nicht aus, technische Maßnahmen zu implementieren. Unternehmen müssen ihre Mitarbeiter regelmäßig schulen, um Sicherheitslücken zu minimieren.

Prototypenschutz nach TISAX®

In der Automobilindustrie spielt der Schutz von Prototypen eine herausragende Rolle. Diese innovativen und oft hochsensiblen Entwicklungen müssen besonders geschützt werden, da ihr Verlust oder Diebstahl erhebliche wirtschaftliche und strategische Nachteile bedeuten könnte. Zu den wichtigen Anforderungen im Prototypenschutz gehören:

Geheimhaltungsvereinbarungen (NDAs): Alle Mitarbeiter und externe Partner, die Zugang zu Prototypen haben, müssen strikte Verschwiegenheitsvereinbarungen unterzeichnen.
Physische Sicherheitsmaßnahmen: Prototypen müssen in sicheren Einrichtungen aufbewahrt werden, die nur für autorisierte Personen zugänglich sind.
Risikobewertung: Unternehmen müssen eine umfassende Analyse der Risiken durchführen, denen ihre Prototypen ausgesetzt sind, und entsprechende Maßnahmen implementieren, um diese Risiken zu minimieren.

Die neuen TISAX® Labels: Was hat sich geändert?

Seit 2024 erfolgt die Ergebnisdarstellung in Form standardisierter Labels, z. B.:

• „TISAX® AL2 Information Security“

• „TISAX® AL3 Prototyp Protection“

• „TISAX® GDPR Data Protection“

Jedes Label enthält eine Anforderungstiefe (Assessment Level, AL) sowie den geprüften Themenbereich. Diese neue Systematik vereinfacht die Vergleichbarkeit und signalisiert auf einen Blick, welchen Sicherheitsstandard ein Unternehmen nachweislich erfüllt.

👉 Tipp: Unternehmen sollten frühzeitig definieren, welche Labels für ihre Geschäftsbeziehungen relevant sind – z. B. auf Basis von OEM-Anforderungen oder Kundenverträgen.  

Was bedeuten die Reifegrade nach TISAX® (Assessment Level)?

Im TISAX®-Kontext unterscheidet man drei Stufen der Prüfungstiefe:

‍AL2 ist der Regelfall in der Branche. AL3 ist erforderlich, wenn besonders sensible Daten (z. B. Prototypen, personenbezogene Daten) verarbeitet werden oder der Schutzbedarf entsprechend hoch ist.

Praxisrelevanz: Für wen ist TISAX® erforderlich?

TISAX® ist verpflichtend für:

• Zulieferer, Engineering- und Entwicklungsdienstleister

• IT- & Cloud-Anbieter, die für OEMs oder Tier 1 arbeiten

• Standorte mit Zugriff auf vertrauliche Entwicklungsdaten, Prototypen oder Testumgebungen

Aber auch für Marketingagenturen, Hosting-Partner oder Dienstleister mit Zugriff auf personenbezogene Daten kann ein TISAX®-Label zur Teilnahme an Ausschreibungen oder Vertragsverhandlungen erforderlich sein.

So funktioniert die Zertifizierung nach TISAX® anhand des Fragenkatalogs

Der Weg zur Zertifizierung nach TISAX® beginnt mit einer umfassenden Selbsteinschätzung. Dabei wird geprüft, inwieweit das Unternehmen bereits den Anforderungen des VDA ISA Katalogs entspricht und wo noch Handlungsbedarf besteht. Die Zertifizierung erfolgt in mehreren Schritten, die genau definiert sind.

Schritt-für-Schritt-Anleitung zur Zertifizierung nach TISAX®

Selbsteinschätzung: Unternehmen führen zunächst eine interne Bewertung ihrer bestehenden Sicherheitsmaßnahmen durch. Der VDA ISA Katalog dient dabei als Leitfaden, um die wichtigsten Sicherheitsbereiche abzudecken.

Gap-Analyse und Maßnahmenkatalog: Nach der Selbsteinschätzung wird eine Gap-Analyse durchgeführt, um die Schwachstellen zu identifizieren. Daraus ergibt sich ein Maßnahmenkatalog, der alle notwendigen Schritte zur Schließung der Lücken umfasst.

Externe Prüfung: Sobald die internen Maßnahmen implementiert sind, wird eine externe Prüfung durch eine akkreditierte Prüfstelle durchgeführt. Diese bewertet die Sicherheitsvorkehrungen des Unternehmens und stellt fest, ob alle Anforderungen erfüllt sind.

Zertifizierung: Nach erfolgreicher Prüfung wird das Unternehmen nach TISAX® zertifiziert. Die Gültigkeit der Zertifizierung beträgt in der Regel drei Jahre, jedoch sind regelmäßige Überprüfungen erforderlich, um sicherzustellen, dass die Sicherheitsstandards weiterhin eingehalten werden.

Bewertungsschema mit Reifegraden und Prüfungszielen

Der TISAX® Prozess basiert auf einem Bewertungsschema, das Unternehmen nach ihrem Reifegrad einstuft. Dieses Schema gibt an, wie fortgeschritten ein Unternehmen in der Umsetzung der Sicherheitsanforderungen ist.

Reifegrad 1: Grundlegende Maßnahmen wurden ergriffen. Der Fokus liegt auf der Umsetzung grundlegender Sicherheitsvorkehrungen.

Reifegrad 2: Es wurden weiterführende Maßnahmen implementiert, und die Sicherheitsprozesse sind bereits besser etabliert.

Reifegrad 3: Sicherheitsmaßnahmen sind standardisiert und werden systematisch angewendet.

Reifegrad 4: Sicherheitsmaßnahmen sind vollständig integriert und optimiert. Prozesse werden regelmäßig überprüft und verbessert.

Reifegrad 5: Unternehmen verfolgen einen innovationsgetriebenen Ansatz und verbessern kontinuierlich ihre Sicherheitsmaßnahmen.

Die Prüfungsziele (Assessment Levels) variieren je nach Art des Unternehmens und den spezifischen Anforderungen. Unternehmen sollten sicherstellen, dass sie den geforderten Reifegrad und die zugehörigen Prüfungsziele erreichen, um die Zertifizierung nach TISAX® zu erhalten.

Tipps zur Vorbereitung auf die Zertifizierung nach TISAX®

Die Vorbereitung auf die Zertifizierung nach TISAX® erfordert eine umfassende Analyse und gezielte Maßnahmen. Hier sind einige Tipps, wie Sie diesen Prozess erfolgreich meistern können.

Schaffen Sie ein Sicherheitsbewusstsein im gesamten Unternehmen: Informationssicherheit ist keine Aufgabe, die ausschließlich in der IT-Abteilung verankert ist. Es ist entscheidend, dass alle Mitarbeiter – von der Geschäftsführung bis zu den operativen Ebenen – ein Bewusstsein für Informationssicherheit entwickeln. Regelmäßige Schulungen und Workshops helfen, das Thema im Unternehmen zu verankern.

Nutzen Sie technische und organisatorische Maßnahmen: Ob Verschlüsselungstechnologien, Firewalls, oder mehrstufige Zugriffskontrollen – der Einsatz von modernen technischen Lösungen ist unerlässlich. Doch auch organisatorische Maßnahmen, wie klar definierte Zugriffsrechte und Sicherheitsprotokolle, sind wichtig.

Dokumentieren Sie alle Prozesse: Eine ordnungsgemäße Dokumentation der Sicherheitsprozesse ist nicht nur für die Zertifizierung notwendig, sondern auch ein wertvolles Werkzeug, um Sicherheitslücken zu identifizieren und kontinuierlich zu verbessern.

Führen Sie regelmäßige Audits durch: Externe und interne Audits helfen, Sicherheitslücken frühzeitig zu erkennen und gezielt gegenzusteuern. Stellen Sie sicher, dass Ihre Prozesse regelmäßig überprüft werden.

Erwägen Sie professionelle Beratung: Datenschutz- und Informationssicherheitsexperten können Sie bei der Analyse und Optimierung Ihrer Prozesse unterstützen und helfen, mögliche Lücken zu schließen.

Checkliste zur Zertifizierung nach TISAX®:

Verständnis des TISAX® Fragenkatalogs: Kennen Sie die drei Hauptmodule (Informationssicherheit, Datenschutz, Prototypenschutz)?

Reifegradstufen und Prüfziele: Wissen Sie, welche Reifegradstufe Ihr Unternehmen anstreben sollte und welche Assessment Levels für Sie relevant sind?

Selbsteinschätzung durchführen: Haben Sie eine umfassende interne Analyse Ihrer Sicherheitsmaßnahmen vorgenommen?

Externe Unterstützung in Anspruch nehmen: Haben Sie einen Datenschutz- oder Informationssicherheitsexperten hinzugezogen, um Lücken zu identifizieren?

Nachhaltige Implementierung der Maßnahmen: Sind alle Prozesse dokumentiert und kontinuierliche Verbesserungsmaßnahmen integriert?

{{infobox}}

So meistern Sie Ihre Zertifizierung nach TISAX® erfolgreich

Die Zertifizierung nach TISAX® ist ein entscheidender Schritt, um Ihre Informationssicherheit und den Schutz sensibler Daten und Prototypen nach höchsten Standards sicherzustellen. Eine gründliche Vorbereitung, das Verständnis der Anforderungen des VDA ISA Katalogs und der Einsatz externer Unterstützung sind essenziell, um diesen Prozess erfolgreich zu durchlaufen.

Indem Sie die Empfehlungen aus diesem Artikel umsetzen und gezielt auf die spezifischen Anforderungen des TISAX® Fragenkatalogs hinarbeiten, sind Sie auf dem besten Weg, Ihre Zertifizierung nach TISAX® zu erlangen – und damit Ihre Position als sicherer und vertrauenswürdiger Partner in der Automobilindustrie zu festigen.

Wir unterstützen Sie gern bei den Vorbereitungen auf den Zertifizierungsprozess für ISO 27001 oder auf die Prüfung nach TISAX®.

Ablauf einer TISAX®-Prüfung – kompakt erklärt

Ein TISAX®-Zertifizierungsprojekt durchläuft mehrere Phasen:

1. Definition des Prüfscopes
   – Welche Standorte, Prozesse und Schutzbedarfe sind betroffen?

2. Selbstbewertung auf Basis des VDA ISA
   – Internes Ausfüllen des Fragenkatalogs zur Vorbereitung

3. Audit durch akkreditierten Prüfdienstleister
   – Dokumentenprüfung, Interviews, ggf. Vor-Ort-Besuch

4. Ergebniseintrag im TISAX®-Portal
   – Veröffentlichung (frei wählbar) für definierte Geschäftspartner

Proliance unterstützt Sie bereits ab Schritt 1 – mit Scope-Workshops, Gap Analysen nach TISAX® und begleitender Projektsteuerung bis zur Auditfreigabe.

Warum TISAX® nicht ohne ISMS funktioniert

Auch wenn der VDA ISA Fragenkatalog keine vollständige ISO 27001 fordert – ein gelebtes Informationssicherheits-Managementsystem (ISMS) ist de facto Voraussetzung. Denn ohne klare Rollen, Prozesse, Risikoanalysen und Nachweise lassen sich die meisten ISA-Anforderungen nicht erfüllen.

💡 Proliance hilft Ihnen, Ihr ISMS nach TISAX® aufzubauen – pragmatisch, skalierbar und auditkonform.

Fazit: Struktur schlägt Unsicherheit

Der TISAX® Fragenkatalog (VDA ISA) ist kein Geheimnis – aber ohne Fachwissen, klare Struktur und branchenspezifische Begleitung bleibt er für viele Unternehmen eine Blackbox. Wer seine Organisation erfolgreich durch das Audit nach TISAX® führen will, braucht Vorbereitung, Know-how und einen erfahrenen Partner.

📞 Jetzt Vorbereitung starten
Sichern Sie sich Ihre individuelle Gap Analyse nach TISAX® – und erfahren Sie, welche Anforderungen Ihr Unternehmen wirklich betreffen.
👉 Zur Beratung nach TISAX® bei Proliance