TISAX erfolgreich umsetzen: Was Unternehmen dafür brauchen – und warum IAM entscheidend ist

TISAX steht für Trusted Information Security Assessment Exchange und ist seit 2017 der Informationssicherheitsstandard der Automobilindustrie. Er wurde vom Verband der Automobilindustrie (VDA) in Zusammenarbeit mit der ENX Association entwickelt, um einheitliche Anforderungen an den Schutz vertraulicher Informationen zwischen Herstellern, Zulieferern und Dienstleistern sicherzustellen. 

Im Kern basiert TISAX auf dem VDA ISA Fragenkatalog, der wiederum in wesentlichen Teilen an die ISO/IEC 27001 angelehnt ist, jedoch um spezifische Aspekte für die Automobilbranche erweitert wurde. Unternehmen, die im Automotive-Sektor tätig sind, benötigen ein gültiges TISAX-Label, um mit großen OEMs und Tier-1-Lieferanten überhaupt zusammenarbeiten zu dürfen. 

Anders als viele andere Standards ist TISAX kein theoretisches Framework, sondern ein praktisch ausgerichtetes Prüfverfahren. Nach einer erfolgreichen Auditierung durch einen akkreditierten Prüfdienstleister werden die Ergebnisse im ENX-Portal veröffentlicht und können mit Geschäftspartnern geteilt werden. Das schafft Transparenz und Vertrauen in der gesamten Lieferkette. 

TISAX zielt vollständig auf die Automobilindustrie, denn diese gilt als hochgradig vernetzt und abhängig von komplexen Lieferketten. Ein modernes Fahrzeug besteht aus mehreren Tausend Komponenten, die von unterschiedlichsten Zulieferern stammen. Gleichzeitig werden immer mehr Daten generiert, verarbeitet und geteilt – von Entwicklungsunterlagen über Fertigungspläne bis hin zu sensiblen Kundendaten. 

Diese Komplexität macht die Branche besonders anfällig für Datenabflüsse, Wirtschaftsspionage oder Cyberangriffe. Hersteller wie BMW, Daimler oder Volkswagen erwarten daher von ihren Partnern ein gleichwertiges Sicherheitsniveau. TISAX ist die Antwort auf diese Erwartung: ein standardisiertes Prüfverfahren, das gleiche Anforderungen für alle Beteiligten definiert. 

Ein wesentlicher Treiber für TISAX ist zudem die Digitalisierung der Wertschöpfungsketten. Mit Industrie 4.0, Cloud-Plattformen und verteilten Entwicklungsprojekten steigt die Notwendigkeit, dass Identitäten und Zugriffe über Unternehmensgrenzen hinweg kontrolliert werden. Genau hier kommt das Identity and Access Management (IAM) ins Spiel. 

Die ENX Association unterscheidet im offiziellen TISAX-Teilnehmerhandbuch drei Assessment Levels (AL1 bis AL3), die sich nach dem Schutzbedarf der Informationen und den Anforderungen der Geschäftspartner richten. Welches Level erforderlich ist, hängt davon ab, welche Daten verarbeitet werden und welche Erwartungen Kunden oder OEMs an die Informationssicherheit stellen.

• Assessment Level 1 (AL1): Selbstauskunft ohne Prüfung durch einen externen Auditor, geeignet für Informationen mit geringem Schutzbedarf.
• Assessment Level 2 (AL2): Plausibilitätsprüfung durch einen akkreditierten Prüfdienstleister, häufig für vertrauliche Informationen in der Lieferkette gefordert.
• Assessment Level 3 (AL3): Umfassende Vor-Ort-Prüfung für besonders schützenswerte Informationen, beispielsweise Entwicklungsdaten oder Prototypen.

Für viele Zulieferer und Dienstleister in der Automobilindustrie sind heute AL2 oder AL3 relevant. Mit steigenden Anforderungen gewinnen dokumentierte Prozesse, klare Verantwortlichkeiten zunehmend an Bedeutung.

TISAX und ISO 27001 verfolgen das gleiche Ziel: den systematischen Schutz von Informationen durch ein wirksames Informationssicherheits-Managementsystem (ISMS). Beide Standards behandeln Themen wie Risikomanagement, Zugriffskontrolle, Governance und organisatorische Sicherheitsmaßnahmen.

• ISO 27001: International anerkannter Standard für Informationssicherheit, branchenübergreifend einsetzbar.
• TISAX: Bewertungs- und Austauschmechanismus der Automobilindustrie auf Basis des VDA ISA-Katalogs mit branchenspezifischen Anforderungen.
• Prüfung und Nachweis: Während ISO 27001 zu einer Zertifizierung führt, erhalten Unternehmen bei TISAX ein Label, das innerhalb des TISAX-Netzwerks geteilt werden kann.

Für Unternehmen der Automobilindustrie schließen sich beide Ansätze nicht aus, sondern ergänzen sich häufig. Eine bestehende ISO-27001-Basis erleichtert den Weg zu TISAX, ersetzt die branchenspezifischen Anforderungen jedoch nicht vollständig.

IAM ist für TISAX nicht nur eine unterstützende Maßnahme, sondern eine zentrale Voraussetzung. Während viele Standards „Access Control“ eher abstrakt fordern, geht TISAX im Fragenkatalog sehr konkret auf Prozesse ein, die typischerweise nur mit einer IAM-Lösung effizient umgesetzt werden können. 

So wird im VDA ISA-Fragenkatalog beispielsweise verlangt, dass klare und nachvollziehbare Prozesse für Benutzerregistrierung, Rechtevergabe, Rezertifizierung und Löschung von Zugängen gefordert werden. Ebenso müssen Unternehmen nachweisen, dass Privileged Accounts (z. B. Administratoren) besonders geschützt und überwacht werden. 

Ohne ein strukturiertes IAM-System entsteht eine enorme organisatorische Belastung, da sämtliche Rechte manuell verwaltet, dokumentiert und für Auditoren nachvollziehbar gemacht werden müssten. Mit IAM hingegen lassen sich diese Anforderungen automatisieren und revisionssicher umsetzen – ein entscheidender Vorteil für die TISAX-Zertifizierung. 

Der VDA ISA befasst sich mit der Zugriffskontrolle und beschreibt sehr konkrete Maßnahmen: 

• Benutzerregistrierung und -abbestellung: Es muss ein definierter Prozess für Onboarding und Offboarding existieren. 

• Benutzerzugriffsbereitstellung: Rechte dürfen nur nach dem Need-to-know-Prinzip vergeben werden. 

• Verwaltung privilegierter Zugriffsrechte: Admin-Konten müssen besonders abgesichert werden. 

• Überprüfung und Anpassung von Benutzerrechten: Regelmäßige Rezertifizierung ist Pflicht. 

IAM-Lösungen adressieren diese Anforderungen direkt, indem sie automatisiertes Provisioning, Rollenmodelle, Rezertifizierungen und ein zentrales Reporting bereitstellen. Für Auditoren ist damit sofort sichtbar, dass die Zugriffskontrolle systematisch umgesetzt wird. 

Auch das Thema Authentifizierung wird in TISAX explizit adressiert. Unternehmen müssen nachweisen, dass starke Authentifizierungsmechanismen eingesetzt werden. Dazu zählen: 

• sichere Passwortregeln, 

• Verfahren zur Verwaltung von Authentifizierungsinformationen, 

• und vor allem der Einsatz von Multi-Faktor-Authentifizierung (MFA) für kritische Systeme. 

Ein modernes IAM-System integriert unterschiedliche Authentifizierungsmethoden – von klassischen Passwörtern über Tokens bis hin zu biometrischen Verfahren. Besonders in Cloud-Umgebungen ist MFA inzwischen ein Standard, ohne den eine erfolgreiche TISAX-Prüfung kaum möglich ist. 

Neben technischen Kontrollen verlangt TISAX auch, dass Benutzer ihre Eigenverantwortung kennen. Das bedeutet: 

• Mitarbeiter müssen über den richtigen Umgang mit Anmeldedaten geschult sein. 

• Es darf keine Weitergabe von Passwörtern geben. 

• Verstöße müssen sanktioniert werden. 

IAM unterstützt diesen Bereich, indem es den sicheren Umgang mit Identitäten technisch erzwingt – etwa durch Self-Service-Password-Reset, durch die Verhinderung gemeinsamer Accounts und durch Transparenz über Zugriffsrechte. In Verbindung mit Security-Awareness-Trainings entsteht ein umfassender Schutz. 

Ein praxisorientierter Fahrplan zur Umsetzung könnte so aussehen: 

1. Ist-Analyse: Erfassung aller relevanten Systeme, Benutzergruppen und bestehenden Zugriffsprozesse.

2. Definition eines Rollenmodells: Aufbau einer klaren Struktur für Zugriffsrechte. 

3. Auswahl der IAM-Lösung: Entscheidung zwischen On-Premises, Cloud oder Hybrid-Lösung. 

4. Implementierung von Provisioning und Deprovisioning: Automatisierung von Eintritt, Rollenwechsel und Austritt.

5. Einführung von Rezertifizierungsprozessen: Regelmäßige Überprüfung durch Fachverantwortliche. 

6. Integration von MFA: Schutz kritischer Systeme durch starke Authentifizierung. 

7. Vorbereitung auf das TISAX-Audit: Erstellung von Nachweisen, Reports und Policies. 

Ein praktisches Beispiel: IPG hat die TIMETOACT GROUP auf dem Weg zur TISAX-Zertifizierung begleitet. Ausgangslage war eine gewachsene IT-Landschaft mit heterogenen Zugriffssystemen und manuellen Prozessen für Benutzerverwaltung. 

Durch die Einführung einer zentralen IAM-Lösung auf der Basis von IDABUS konnten folgende Erfolge erzielt werden: 

• Automatisiertes On- und Offboarding: neue Mitarbeitende erhalten sofort die notwendigen Benutzeraccounts, ausscheidende Mitarbeitende werden systematisch und zeitgenau gesperrt. 

• Rollenmodelle: Ein übergreifendes Rollenmodell hilft der TIMETOACT, die Zugriffe nach dem Need-To-Know Prinzip schnell und zielgerichtet zu vergeben, revisionssicher protokolliert. 

• Transparenz für Auditoren: Reports und Rezertifizierungen können zentral in IDABUS eingesehen und ausgelöst werden 

Das Ergebnis: TIMETOACT erreichte das TISAX-Label im vorgesehenen Zeitrahmen, reduzierte den Auditaufwand und konnte gleichzeitig die Informationssicherheit nachhaltig verbessern. Ohne IAM wäre dies kaum denkbar für ein Unternehmen dieser Grösse. 

• Frühzeitig starten: IAM-Projekte brauchen Zeit, gerade bei großen Organisationen. 

• Management einbinden: TISAX ist kein reines IT-Thema, sondern betrifft die gesamte Organisation. 

• Pilotbereiche nutzen: Beginnen Sie mit einem klar abgegrenzten Bereich und skalieren Sie dann schrittweise. 

• Regelmäßige Rezertifizierung etablieren: Vermeidet über Jahre hinweg „Berechtigungswildwuchs“. 

• Auditoren im Blick behalten: Die IAM-Reports sollten so gestaltet sein, dass sie direkt für den Audit nutzbar sind. 

Dieser Bericht beruht auf Expertenwissen, für die Ausformulierung wurde Hilfe von KI in Anspruch genommen.