> ./exec Infosec.sh — ARTICLE

TISAX vs. ISO 27001: Welche Norm gilt für den Automotive-Mittelstand?

Marcus — Solution Architect MarcusChine · Solution Architect 25-06-2026 6 min Lesezeit INFOSEC

Die kurze Antwort: Als Automotive-Zulieferer haben Sie keine Wahl. TISAX ist keine Option, die man gegen ISO 27001 abwägt. Es ist eine Marktzulassungsbedingung.

Wer als Tier-1- oder Tier-2-Zulieferer vertrauliche Fahrzeugdaten, Prototypen oder schutzbedürftige OEM-Informationen verarbeitet, braucht eine TISAX-Bestätigung. BMW, Mercedes-Benz, Volkswagen und ihre direkten Tier-1-Partner fragen nicht danach, ob Sie ISO 27001 zertifiziert sind. Sie fragen nach Ihrem TISAX-Label. Wer keines hat, scheidet aus dem Auswahlprozess aus.

Das klingt hart. Es ist aber die Realität im europäischen Automotive-Ökosystem seit dem Start des TISAX-Programms durch die ENX Association im Jahr 2017.[1]

Dennoch landet diese Frage regelmäßig in meinen Projekten mit Mittelstandskunden. Meistens, weil ein Berater mit ISO-27001-Hintergrund die TISAX-Anforderungen als "im Wesentlichen dasselbe" verkauft hat. Das ist falsch. Und teuer.

Was TISAX tatsächlich ist

TISAX steht für Trusted Information Security Assessment Exchange. Das Programm wurde vom Verband der Automobilindustrie (VDA) entwickelt und wird durch die ENX Association betrieben. Die technische Grundlage ist der VDA ISA-Katalog (Information Security Assessment), der auf den Prinzipien der ISO/IEC 27001 aufbaut, aber erhebliche automotive-spezifische Anforderungen hinzufügt.

TISAX kennt drei Assessment-Level:

Assessment Level 1 ist eine Plausibilitätsprüfung. Der Teilnehmer bewertet sich selbst anhand des VDA ISA-Fragekatalogs. Keine externe Verifikation. Für OEM-Anforderungen nicht verwertbar.

Assessment Level 2 ist das Standardlabel für die meisten Zulieferer. Ein akkreditierter Prüfdienstleister verifiziert die Selbstbewertung und führt Interviews durch. OEMs akzeptieren dieses Label für den Umgang mit vertraulichen Informationen und Entwicklungsdaten.

Assessment Level 3 greift bei besonders schutzbedürftigen Daten: geheimhaltungspflichtige Prototypen, experimentelle Fahrzeugarchitekturen, Daten mit nationalem Sicherheitsbezug. Kaum ein Mittelständler, der in der aktiven Fahrzeugentwicklung eingebunden ist, kommt um Level 3 herum.[2]

Das Ergebnis des Assessments wird nicht öffentlich veröffentlicht. Es wird über die ENX-Plattform selektiv zwischen Lieferant und OEM geteilt. TISAX ist kein öffentliches Zertifikat, sondern ein bilateraler Vertrauensnachweis innerhalb der Automotive-Lieferkette.

Was ISO 27001 tatsächlich ist

ISO/IEC 27001 ist der internationale Standard für Informationssicherheits-Managementsysteme. Er definiert Anforderungen an Aufbau, Betrieb, Überwachung und kontinuierliche Verbesserung eines ISMS. Die Norm ist bewusst branchenagnostisch: Sie gilt gleichermaßen für Banken, Kliniken, SaaS-Anbieter und Automobilzulieferer.

Die ISO-27001-Zertifizierung erfolgt durch eine akkreditierte Stelle, ist öffentlich sichtbar und international anerkannt. Sie signalisiert Reife im Sicherheitsmanagement. Sie sagt nichts aus über die Konformität mit automotive-spezifischen Schutzanforderungen.

ISO 27001 ist das Fundament. TISAX ist das Gebäude, das auf diesem Fundament für einen spezifischen Industriezweck errichtet wird. Wer beim OEM nur das Fundament vorzeigt, hat kein Gebäude.

Der entscheidende Unterschied: Domänenspezifische Anforderungen

Vaughn Vernon beschreibt in seiner Arbeit zu Domain-Driven Design, wie jede fachliche Domäne eine eigene Sprache und eigene Regeln entwickelt, die generische Ansätze strukturell nicht vollständig abbilden können.[3] Das gilt für Software-Architektur. Es gilt in gleicher Weise für Compliance-Frameworks.

Die Automobildomäne hat Anforderungen, die in ISO 27001 schlicht nicht vorkommen: Prototypenschutz auf Transportwegen, Kameraverbote in bestimmten Entwicklungsbereichen, Netzwerksegmentierung für Fahrzeugentwicklungsdaten, spezifische Anforderungen an Outsourcing-Ketten zu Software-Entwicklungspartnern. Der VDA ISA-Katalog enthält diese Kontrollen explizit. Der Annex A der ISO 27001 kennt sie nicht.

Wer einem OEM eine ISO-27001-Zertifizierung als TISAX-Nachweis präsentiert, demonstriert, dass er den Unterschied nicht versteht. Das ist kein Verhandlungsargument, das ist ein Ausschlusskriterium.

Die Prüftiefe unterscheidet sich ebenfalls grundlegend. Ein ISO-27001-Audit prüft das Managementsystem. Ein TISAX-Assessment Level 2 prüft die konkrete Umsetzung anhand von 60 bis über 80 Muss-Kontrollen, verifiziert durch Interviews und Beweisdokumente. Das ist kein "im Wesentlichen dasselbe".

Die Empfehlung: TISAX zuerst, ISO 27001 als sinnvolle Ergänzung

Ich mache keine Grauzone. Für Mittelstandsunternehmen im Automotive-Umfeld gilt folgende Priorisierung:

Wenn Sie OEM-Aufträge haben oder anstreben: TISAX Assessment Level 2 ist nicht optional. Klären Sie mit Ihrem OEM-Ansprechpartner, welchen Scope das Assessment abdecken muss. Beauftragen Sie einen akkreditierten TISAX-Prüfdienstleister und starten Sie mit einer Lückenanalyse gegen den aktuellen VDA ISA-Katalog.

Wenn Sie parallel nicht-automotive Kunden bedienen: ISO 27001 kann als ergänzendes Zertifikat sinnvoll sein. Es adressiert Kunden außerhalb des Automotive-Ökosystems, die TISAX nicht kennen und nicht fordern. Da beide Standards erhebliche Schnittmengen in den Kontrollen haben, ist der Mehraufwand für ISO 27001 nach einem soliden TISAX-Assessment überschaubar.

Wenn Sie nur ISO 27001 haben und auf TISAX-Anfragen warten: Das wird nicht funktionieren. Der Zeitaufwand bis zur TISAX-Bestätigung liegt typischerweise zwischen 9 und 18 Monaten, abhängig vom Reifegrad Ihrer bestehenden Sicherheitsmaßnahmen und der Komplexität des bewerteten Scope. Beginnen Sie jetzt.

Die Reihenfolge ist klar: Zuerst TISAX, weil der Markt es fordert. Dann optional ISO 27001, weil es zusätzliche Märkte öffnet und die interne Governance international sichtbar macht.

TISAX Beratung: Was im Mittelstand tatsächlich funktioniert

Hier ist, was ich in der Praxis sehe, und was ich jedem CISO im Automotive-Mittelstand empfehle:

Prüfen Sie den VDA-ISA-Hintergrund Ihres Beraters. Die entscheidende Frage ist nicht, ob jemand ISO-27001-Lead-Auditor ist. Die Frage ist, wie viele TISAX-Assessments er begleitet hat und bei welchen Assessment-Leveln. Wer nur ISO 27001 kennt, baut Ihnen ein ISMS, das beim TISAX-Assessment an automotive-spezifischen Kontrollen scheitert.

Beginnen Sie mit einem strukturierten Gap-Assessment gegen den aktuellen VDA ISA. Der Katalog wird regelmäßig aktualisiert, derzeit gilt Version 6.0.[2] Ein erfahrener Berater führt dieses Gap-Assessment in zwei bis vier Tagen durch und liefert eine priorisierte Mängelliste mit Risikoklassifizierung.

Definieren Sie den Assessment-Scope präzise. Ein zu weit gefasster Scope kostet Zeit, Geld und erhöht das Audit-Risiko. Ein zu eng gefasster Scope führt dazu, dass OEMs Standorte oder Systeme nachfordern, die Sie ausgelassen haben. Die Scope-Definition ist eine der kritischsten Entscheidungen der gesamten TISAX-Vorbereitung.

Planen Sie für Assessment Level 2 mindestens 12 Monate ein. Wer den Aufwand unterschätzt, produziert Compliance-Schulden, die keine operative Sicherheitsreife dahinter haben. Martin Fowler hat den Begriff des "technical debt" geprägt, um die langfristigen Kosten von Abkürzungen in Software-Systemen zu beschreiben.[4] Die Analogie gilt für Compliance-Schulden in gleicher Weise: Wer Kontrollen auf dem Papier implementiert, ohne reale Umsetzungstiefe dahinter, erzeugt Risiken, die beim nächsten Assessment-Zyklus oder im Ernstfall sichtbar werden.

Wählen Sie Berater und Prüfdienstleister unabhängig voneinander. ENX veröffentlicht die Liste der akkreditierten Prüfdienstleister. Wer Sie vorbereitet und wer das Assessment durchführt, sollten nicht aus demselben Haus kommen. Interessenkonflikt.

Nutzen Sie TISAX als ISMS-Aufbau, nicht als Checklistenprojekt. Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt für den Aufbau von Informationssicherheitsmanagementsystemen im Mittelstand einen risikobasierten Ansatz mit systematischer Schutzbedarfsfeststellung als Ausgangspunkt.[5] TISAX erzwingt genau das: Informationsklassifizierung, risikobasierte Kontrollauswahl, nachvollziehbare Dokumentation. Wer TISAX sauber aufbaut, hat nach zwei Zyklen ein belastbares ISMS, das ISO-27001-Anforderungen weitgehend mitabdeckt.

Fazit

TISAX oder ISO 27001 ist keine strategische Abwägung für den Automotive-Mittelstand. Es ist eine Marktrealität. TISAX ist Pflicht, wenn Sie OEM-Daten verarbeiten. ISO 27001 ist eine sinnvolle Ergänzung, wenn Sie Märkte außerhalb der Automotive-Lieferkette adressieren wollen.

Wer das verwechselt, zahlt zweimal: einmal für eine ISO-27001-Zertifizierung, die kein OEM fordert, und einmal für das TISAX-Assessment, das am Ende ohnehin kommt.

Investieren Sie in eine fundierte TISAX Beratung, die den VDA ISA kennt, den Scope sauber abgrenzt und operative Sicherheitsreife aufbaut. Der Rest ist Verwaltungsaufwand.

Quellen

[1] ENX Association. TISAX Participant Handbook, Version 3.0. ENX Association, 2024. https://portal.enx.com/tisaxPH.pdf

[2] Verband der Automobilindustrie (VDA). Information Security Assessment (ISA), Version 6.0. VDA, 2024. https://www.vda.de/de/themen/digitalisierung/informationssicherheit

[3] Vernon, Vaughn. Implementing Domain-Driven Design. Addison-Wesley Professional, 2013.

[4] Fowler, Martin. "Technical Debt". martinfowler.com, 2019. https://martinfowler.com/bliki/TechnicalDebt.html

[5] Bundesamt für Sicherheit in der Informationstechnik (BSI). IT-Grundschutz-Kompendium, Edition 2024. BSI, 2024. https://www.bsi.bund.de/grundschutz

Marcus — Solution Architect

MarcusChine

Solution Architect

Gesamtarchitektur, ADRs, technische Kohärenz, Knowledge Graphs.

Brauchen Sie Hilfe bei Infosec?

Kostenlose Erstberatung, Festpreis nach Audit.

INIT_CONSULTATION() →