TISAX Anforderungen IT-Sicherheit
Wer als Zulieferer, Entwicklungsdienstleister oder IT-Partner mit Unternehmen aus der Automobilbranche arbeitet, merkt schnell: Beim Thema Informationssicherheit reicht ein gutes Bauchgefühl nicht aus. Die TISAX Anforderungen IT-Sicherheit sind für viele Unternehmen längst zur praktischen Voraussetzung geworden – um Aufträge zu halten, neue Geschäftsbeziehungen aufzubauen und sensible Informationen sauber abzusichern.
Für Geschäftsführer, IT-Leitungen und Operations-Verantwortliche ist das kein Nebenthema. TISAX betrifft nicht nur einzelne Richtlinien auf dem Papier, sondern greift tief in den Alltag ein – von Benutzerrechten über Patchmanagement bis zu mobilen Geräten, Homeoffice-Zugängen und der Frage, wie auf Sicherheitsvorfälle reagiert wird.
TISAX (Trusted Information Security Assessment Exchange) ist ein Prüf- und Austauschmechanismus für Informationssicherheit, der sich in der Automobilindustrie etabliert hat. Grundlage ist der VDA ISA Fragenkatalog, der sich stark an bewährten ISMS-Standards orientiert.
Was hinter den TISAX Anforderungen steckt
TISAX ist kein einzelnes Sicherheitsprodukt und auch kein Zertifikat im klassischen Sinn. Bewertet wird, ob Sicherheitsmaßnahmen systematisch eingeführt, dokumentiert, gelebt und kontrolliert werden. Genau an diesem Punkt entsteht in vielen mittelständischen Unternehmen die eigentliche Herausforderung.
Technisch sind oft schon viele Bausteine vorhanden: Backups, Microsoft-365-Schutzmechanismen, Endpoint-Security, Netzsegmentierung oder mobile Geräteverwaltung. Was häufig fehlt, ist die saubere Einbettung in klare Prozesse, Zuständigkeiten und Nachweise. TISAX prüft also nicht nur Technik, sondern auch Organisation und Verlässlichkeit.
Typisch abgedeckte Themenfelder
Der Umfang hängt vom angestrebten Schutzbedarf und Scope ab. Diese Bereiche sind jedoch fast immer relevant:
Technik allein reicht nicht
Ein häufiger Irrtum ist die Annahme, TISAX sei vor allem ein Infrastrukturthema. Tatsächlich spielt Technik eine zentrale Rolle, aber sie ist nur ein Teil der Bewertung. Ohne Richtlinien, Verantwortlichkeiten, Freigabeprozesse, Schulungen und regelmäßige Kontrollen bleibt selbst eine gut ausgestattete Umgebung lückenhaft.
Wenn neue Benutzerkonten schnell eingerichtet werden, aber Berechtigungen ehemaliger Mitarbeitender zu lange aktiv bleiben, entsteht ein klassisches Sicherheitsrisiko. Im Audit wird nicht nur gefragt, ob ein Prozess existiert, sondern ob er nachvollziehbar eingehalten wird.
Der Scope entscheidet über Aufwand und Tiefe
Nicht jedes Unternehmen muss denselben Prüfungsumfang abbilden. Der Scope definiert, welche Standorte, Prozesse, Systeme und Informationen tatsächlich betrachtet werden – und er hat direkten Einfluss auf Zeit- und Ressourcenaufwand:
| Aspekt | Zu eng definiert | Zu weit definiert | Empfehlung |
|---|---|---|---|
| Standorte | Lücken bei Kunden/Auditoren | Unnötiger Aufwand | Nur betroffene Bereiche |
| Systeme | Kritische Assets fehlen | Zu viele Nachweise nötig | Geschäftskritische Systeme priorisieren |
| Prozesse | Rückfragen von Prüfern | Projektlaufzeit steigt stark | Informationsverarbeitende Prozesse |
| Prüflevel | AL1 – Normal | AL3 – Hochschutz | AL2 – Hoch (häufigste Anforderung) |
Wo Unternehmen in der Praxis häufig scheitern
Die meisten Probleme entstehen nicht, weil Unternehmen Sicherheit ignorieren – sie entstehen, weil Sicherheit historisch gewachsen ist. Typische Schwachstellen:
- Lokale Administratorrechte ohne klares Konzept
- Unklare oder fehlende Berechtigungsübersichten
- Keine vollständige Asset-Inventarisierung
- Ausbleibende Updates bei Spezialsystemen oder OT-Umgebungen
- Nicht sauber geregelter externer Zugriff (VPN, RDP, TeamViewer)
- Mobile Endgeräte ohne technische Einbindung ins Sicherheitskonzept
- Maßnahmen werden umgesetzt, aber nicht dokumentiert oder nachgewiesen
In vielen Unternehmen werden sinnvolle Maßnahmen bereits umgesetzt, aber nicht ausreichend dokumentiert. Für die Prüfung zählt nicht nur das tatsächliche Sicherheitsniveau, sondern die belegbare Umsetzung. Mündlich bekannte Prozesse oder nicht aufbewahrte Reports erzeugen unnötige Angriffsfläche.
TISAX-Vorbereitung strukturiert angehen?
Wir analysieren Ihre aktuelle IT-Sicherheitslage gegenüber den VDA-ISA-Anforderungen und entwickeln einen realistischen Fahrplan für Ihr Unternehmen.
Jetzt unverbindlich anfragen →So gelingt die Vorbereitung sinnvoll
Der beste Einstieg ist eine ehrliche Bestandsaufnahme: Welche Systeme sind im Scope? Welche Informationen müssen besonders geschützt werden? Was ist bereits dokumentiert, geprüft und verbindlich verankert?
Bestandsaufnahme & Scope-Definition
Welche Systeme, Standorte und Prozesse sind betroffen? Schutzbedarf und angestrebtes Assessment-Level (AL1–AL3) festlegen.
Gap-Analyse gegenüber VDA ISA
Lücken zwischen Ist-Zustand und Anforderungen identifizieren. Maßnahmen mit hohem Risiko und hoher Audit-Relevanz priorisieren.
Technik & Organisation zusammenführen
MFA, Patch-Management, Backup, Protokollierung und Incident-Handling mit klaren Richtlinien und Zuständigkeiten verbinden.
Interne Probeprüfung
Prozesse tatsächlich testen, bevor das externe Audit stattfindet. Nachweise aufbereiten, Dokumentation vervollständigen.
Audit & Dauerbetrieb
Assessment durch akkreditierte Prüfstelle. Anschließend: Maßnahmen dauerhaft betreiben, regelmäßig überprüfen und anpassen.
TISAX im Mittelstand umsetzen
Für KMU ist TISAX oft eine besondere Herausforderung, weil die Ressourcen begrenzt sind. Es gibt selten ein großes internes Security-Team, und viele IT-Abteilungen tragen gleichzeitig Verantwortung für Betrieb, Support und Projekte.
Nicht jede Anforderung muss mit maximalem technischem Aufwand beantwortet werden. Professionell betreutes Patchmanagement, zentral verwaltete Endgeräte, definierte Admin-Konzepte, gesicherte Backups und dokumentierte Sicherheitsprozesse schaffen häufig mehr Substanz als isolierte Einzeltools. Entscheidend ist die Dauerhaftigkeit – TISAX ist kein Projekt, das nach dem Audit verschwindet.
Bei FUERTE Systems erleben wir in solchen Projekten regelmäßig, dass Unternehmen nicht an fehlendem Willen scheitern, sondern an der Frage, wie sich Sicherheitsanforderungen sauber in den laufenden Betrieb integrieren lassen. Genau dort setzen wir an.