Automotive VDA-ISA

Einführung und Beratung zum VDA-ISA Information Security Assessment (TISAX ®) 

Eine große Zahl von Automobilherstellern und Zulieferern der deutschen Automobilindustrie verlangen von ihren Geschäftspartnern eine Zertifizierung zur Informationssicherheit nach TISAX®.

Dazu wurde durch den VDA (Verband der Automobilindustrie) ein eigener Standard auf der Grundlage des Fragenkatalogs ISA und in Anlehnung der Norm ISO 27001 geschaffen. Dieser neue Standard wird von allen beteiligten Partnern der Automotive-Branche anerkannt und dient als Grundlage einer Zertifizierung der Informationssicherheit für die Zulieferer im Automobilbereich.
Gerade durch die zunehmende Zusammenarbeit und digitale Vernetzung zwischen den einzelnen Unternehmen steigt auch das Risiko eines Sicherheitsvorfalls. Mit TISAX® soll diesem Risiko begegnet werden und Sicherheit bei der Informationsverarbeitung aller Beteiligten erhöht werden.

Aus den Anforderungen nach TISAX® ergibt sich die Erfordernis ein Informations-Sicherheits-Management-System (ISMS) einzuführen. Solch ein Vorhaben stellt viele Unternehmen vor eine große Herausforderung. Sicher wurden bereits in der Vergangenheit einzelne Maßnahmen zur IT-Sicherheit getroffen. Bei einem ISMS geht es aber um ein schlüssiges und durchgängiges Sicherheits-Konzept, bei dem viele andere Punkte mit berücksichtigt werden müssen.

Weiterhin kommt hinzu, dass zur Erlangung eines Zertifikates, die Umsetzungen der Maßnahmen eine vorher definierte Qualität, den Reifegrad, erreichen müssen.


Die Zertifizierung basiert auf dem Katalog von Prüfpunkten (Controls), der von dem Verband der Automobilindustrie (VDA) erstellt wurde. Dabei wurden nur ausgewählte Controls verwendet, die sich an die Anforderungen der Automobil-Welt richten. Bei der Zertifizierung werden, je nach Ausprägung und Sicherheitsanforderungen, die verschiedenen Module geprüft. Dabei wird der Prüfkatalog laufend durch die gesammelten Erfahrungen der Zulieferer, Partner und Auditoren verbessert.

Das Ziel dieser Maßnahmen ist der Aufbau eines funktionierenden Information-Security-Management-Systems (ISMS). Der Aufbau des ISMS und die Zertifizierung ist kein einmaliges abgeschlossenes Projekt. Zum einen gilt es, das ISMS kontinuierlich zu verbessern (PDCA-Zyklus) und zum Anderen wird die Zertifizierung erst nach drei Jahren wiederholt werden müssen.


Gerade bei kleineren KMUs sind für diese Aufgaben nicht immer das nötige Wissen und die benötigten Kapazitäten vorhanden. Auch wenn diese Anforderungen auf den ersten Blick sehr hoch erscheinen, so sind sie doch erfüllbar.


Hier stehe ich Ihnen als Berater mit Erfahrung im Datenschutz und der Informationssicherheit zur Seite.

Was und Wie wird geprüft?

  • Prüfziel wird in der Regel durch den Partner vorgegeben
  • Bestimmen des Prüf-Scope (Standorte)
  • Grundsätzlich werden alle Controls aus dem identifziertem Bereich geprüft
  • Vergleich des Soll-Zustandes aus dem VDA-ISA mit dem Ist-Zustand der vorhandenen Strukturen
  • Bewertung der Informationssicherheit durch Prüfungen der Dokumente / Interviews / Vor-Ort-Prüfung


 TISAX®  ist eine eingetragenes Marke der  ENX Association