TISAX · Automotive Security · VDA ISA

TISAX-Pentest:
Sicherheitsnachweis für die Automobilindustrie

Als Lieferant oder Dienstleister im Automotive-Umfeld müsst ihr die Informationssicherheit eures Unternehmens gegenüber OEMs nachweisen. Unser TISAX-Pentest liefert den technischen Nachweis nach VDA ISA - strukturiert, auditierbar und in 5 Werktagen berichtsfertig.

Jetzt TISAX-Pentest anfragen Assessment-Level verstehen
VDA ISA-Mapping im Bericht AL 1 bis AL 3 abgedeckt Bericht in 5 Werktagen
Was TISAX von euch fordert
Nachweis nach VDA ISA
Der VDA ISA-Fragenkatalog ist die Prüfgrundlage für alle TISAX-Labels. Unser Bericht mappt jeden Befund direkt auf die relevanten Kontrollen.
Technischer Penetrationstest
Ab Assessment-Level 2 werden technische Tests als Nachweismittel gefordert. Wir liefern den praxistauglichen Pentest-Bericht dazu.
Prototypen- & Datenschutz
Spezielle TISAX-Labels für Prototypenschutz und DSGVO-Compliance erfordern eigene Prüfszenarien - physisch und technisch.
OEM-Lieferantenpflicht
BMW, VW, Mercedes-Benz, Porsche, Audi, Bosch und Continental verlangen TISAX von allen Tier-1- und Tier-2-Lieferanten.
Unser TISAX-Pentest-Bericht ist als technisches Nachweisdokument für euren akkreditierten ENX-Auditor konzipiert und direkt verwendbar.
TISAX erklärt

Was ist TISAX und wen betrifft es?

TISAX (Trusted Information Security Assessment Exchange) ist der verbindliche Informationssicherheitsstandard der deutschen Automobilindustrie, entwickelt vom Verband der Automobilindustrie (VDA). Er basiert auf ISO/IEC 27001 und dem VDA ISA-Fragenkatalog und regelt, wie Lieferanten den Schutz sensibler Informationen nachweisen müssen. Ergebnisse werden ausschließlich über die ENX-Plattform geteilt - nicht öffentlich zugänglich.

TISAX-Labels sind drei Jahre gültig - danach ist eine vollständige Rezertifizierung erforderlich.

Ergebnisse werden ausschließlich über die geschlossene ENX-Plattform geteilt - kein öffentliches Zertifikat.

Verpflichtend für Lieferanten von BMW, VW, Mercedes-Benz, Porsche, Audi, Bosch, Continental und weiteren OEMs.

TISAX vs. ISO 27001

Was unterscheidet TISAX von ISO 27001?

Merkmal TISAX® ISO 27001
Branchenfokus Automotive Branchenübergreifend
Grundlage VDA ISA + ISO 27001 ISO 27001
Nachweis Label via ENX-Plattform Öffentliches Zertifikat
Pentest verpflichtend Ab AL 2 Optional
Gültigkeit 3 Jahre 3 Jahre (jährl. Überwachung)
Assessment-Level

Welches Assessment-Level gilt für euer Unternehmen?

TISAX unterscheidet drei Schutzbedarfsstufen. Euer OEM gibt vor, welches Level ihr erfüllen müsst. Wir führen Pentests für alle drei Assessment-Level durch.

Assessment Level 1

Normaler Schutzbedarf

Für Unternehmen, die vertrauliche Informationen ohne besonders sensible Inhalte verarbeiten. Eine qualifizierte Selbstauskunft reicht in der Regel aus - ein Pentest ist als freiwilliger Nachweis dennoch empfehlenswert.

Self-Assessment / Eigenauskunft
Kein Vor-Ort-Audit erforderlich
Pentest als freiwilliger Nachweis empfohlen
Assessment Level 2

Hoher Schutzbedarf

Für Unternehmen mit hochsensiblen Informationen wie Entwicklungsdaten oder Fahrzeugkonzepten. Ein externer Auditor und ein technischer Penetrationstest sind verpflichtend.

Vor-Ort-Audit durch akkreditierten Auditor
Technischer Pentest als Pflichtnachweis
Häufigste Stufe bei Tier-1-Lieferanten
Assessment Level 3

Sehr hoher Schutzbedarf

Für Unternehmen mit Prototypen und streng vertraulichen Daten. Höchste Anforderungen an physische und technische Sicherheit. Mehrfache Audits durch akkreditierte Stellen sind verpflichtend.

Mehrere Vor-Ort-Audits erforderlich
Erweiterte physische Sicherheitsprüfung
Vollumfänglicher Infrastruktur-Pentest
Prüfbereiche

Diese VDA ISA-Kontrollen prüfen wir technisch

Der VDA ISA-Fragenkatalog deckt alle sicherheitsrelevanten Bereiche ab. Unser Pentest liefert die technischen Nachweise für die folgenden Kontrollen - direkt verwendbar für euren ENX-Auditor.

VDA ISA 1.x

Informationssicherheits-Management

Nachweis eines funktionierenden ISMS: Richtlinien, Rollen, Verantwortlichkeiten und Awareness-Maßnahmen nach VDA ISA Kapitel 1.

Policy & Governance Review
VDA ISA 3.x

Physische Sicherheit

Zutrittskontrolle, Gebäudesicherheit, sicheres Entsorgen von Datenträgern und Schutz von Serverräumen nach VDA ISA Kapitel 3.

Physical Pentest & Tailgating
VDA ISA 4.x

IT & Cyber Security

Netzwerksegmentierung, Schwachstellenmanagement, Patch-Management, Zugriffssteuerung und Logging nach VDA ISA Kapitel 4.

Infrastruktur-Pentest
VDA ISA 5.x

Prototypenschutz

Besonderer Schutz von Prototypenfahrzeugen und -teilen: Abdeckungen, Camouflage, sichere Lagerung, Transport und Zutrittskontrolle zu Prototypenbereichen.

Prototype Protection Assessment
VDA ISA 6.x

Datenschutz (DSGVO)

Verarbeitung personenbezogener Daten im Automotive-Kontext: Einwilligungen, Löschkonzepte und technische Schutzmaßnahmen nach VDA ISA Kapitel 6.

DSGVO-Techniklayer Review
VDA ISA 7.x

Drittparteien & Lieferkette

Sicherheitsanforderungen an Dienstleister und Sub-Lieferanten: Verträge, Audits, Remote-Zugänge und Sicherheitsklauseln nach VDA ISA Kapitel 7.

Supply Chain Risk Assessment

Ohne TISAX-Label riskierst du:

Verlust von OEM-Aufträgen: Ohne gültiges TISAX-Label werdet ihr als Lieferant in der Regel nicht zugelassen oder aus Ausschreibungen ausgeschlossen.
Vertragsbruch: Bestehende Lieferverträge können bei fehlendem oder abgelaufenem TISAX-Nachweis gekündigt oder nicht verlängert werden.
Reputationsschäden: Sicherheitsvorfälle ohne nachgewiesene Schutzmaßnahmen gefährden langfristige Partnerschaften mit OEMs.
DSGVO-Haftung: Fehlende Datenschutznachweise im Automotive-Umfeld können Bußgeldverfahren nach DSGVO Artikel 83 nach sich ziehen.
Wer ist betroffen?

TISAX gilt für diese Unternehmen in der Automotive-Lieferkette

TISAX ist verpflichtend für alle Unternehmen, die vertrauliche Informationen von OEMs oder Tier-1-Lieferanten verarbeiten - unabhängig von Unternehmensgröße oder Mitarbeiterzahl.

🚗OEM & Fahrzeughersteller
🔩Tier-1 Zulieferer
⚙️Tier-2 Zulieferer
💻Software & IT-Dienstleister
🏭Ingenieur- & Entwicklungsbüros
📐Design- & Prototyping-Firmen
🚛Logistik & Transport (Prototypen)
🔬Forschung & Entwicklung
📡Telematik & Connected Car
Unser Vorgehen

So läuft euer TISAX-Pentest ab

Wir begleiten euch von der Scope-Definition bis zum auditfähigen Bericht - strukturiert, termingerecht und vollständig auf den VDA ISA-Fragenkatalog abgestimmt.

SCHRITT 01

Scope-Definition & Kickoff

Gemeinsame Festlegung der TISAX-Prüfziele, des Assessment-Levels, der betroffenen Systeme und des Zeitplans. Klare Ausschlusszonen werden verbindlich dokumentiert.

SCHRITT 02

Informationssammlung & Reconnaissance

OSINT, Netzwerkanalyse, Gebäudebegehung und Systemerhebung gemäß VDA ISA-Prüfkatalog.

SCHRITT 03

Technischer Penetrationstest

Infrastruktur-Pentest, Active Directory-Analyse, physische Sicherheitsüberprüfung und Social Engineering nach den Anforderungen des VDA ISA-Katalogs.

SCHRITT 04

Auswertung & VDA ISA-Mapping

Alle Findings werden direkt auf die entsprechenden VDA ISA-Kontrollen gemappt - für maximale Auditfähigkeit und minimalen Aufwand beim ENX-Audit.

SCHRITT 05

Bericht & Übergabe

Detaillierter Pentest-Bericht mit CVSS-Bewertungen, VDA ISA-Mapping, priorisierten Maßnahmenempfehlungen und Executive Summary für die Geschäftsführung.

TISAX-Pentest Report · Automotive GmbH TISAX-konform ✓
Unverschlüsseltes CAD-Fileshare im internen Netz
Kritisch
Serverzugang ohne MFA und Badge-Kontrolle
Kritisch
Tailgating: Zutritt Serverraum ohne Authentifizierung
Hoch
Active Directory: Kerberoastable Service Accounts
Hoch
Fehlende Netzwerksegmentierung Entwicklung / Produktion
Mittel
Veraltete TLS-Konfiguration auf internem Webserver
Niedrig
VDA ISA-Mapping inklusive TISAX ist eine eingetragene Marke der ENX Association.
3 Jahre
Gültigkeit des TISAX-Labels
5 Tage
Bericht nach Testabschluss
AL 1-3
Alle Levels abgedeckt
100+
Abgeschlossene Pentests
Unsere Leistungen

TISAX-Pentests aus einer Hand

Wir kombinieren physische, digitale und Social-Engineering-Angriffsvektoren zu einem ganzheitlichen TISAX-Assessment - alles aus einer Hand, alles VDA ISA-gemappt.

Physical Security Pentest

Zutrittskontrolle, Tailgating, Schlossüberwindung, Kamera-Totzonen und Prototypenschutzbereiche: wir prüfen, ob eure physische Sicherheit TISAX AL 2 und AL 3 standhält.

Mehr erfahren

Infrastruktur & Active Directory

Netzwerksegmentierung, Patch-Stand, Active Directory-Sicherheit und Remote-Zugänge: technisch nachgewiesen und direkt auf VDA ISA Kapitel 4 gemappt.

Mehr erfahren

Social Engineering & Awareness

Phishing, Vishing und Pretexting gegen eure Mitarbeiter: wir prüfen die menschliche Firewall, die VDA ISA Kapitel 1 als zentrales Schutzelement fordert.

Mehr erfahren
Häufige Fragen

TISAX-Pentest - eure Fragen beantwortet

Jedes Unternehmen, das für OEMs oder Tier-1-Lieferanten arbeitet und deren vertrauliche Informationen verarbeitet. Ab Assessment-Level 2 ist ein technischer Penetrationstest als Nachweismittel verpflichtend. Bei AL 1 ist er als freiwilliger Nachweis empfehlenswert.
Die Kosten richten sich nach Scope, Unternehmensgröße und Assessment-Level. Meldet euch für ein individuelles Angebot - in der Regel erhaltet ihr dieses innerhalb von 24 Stunden nach dem kostenlosen Erstgespräch.
Typischerweise 3 bis 10 Werktage je nach Scope und Assessment-Level. Der schriftliche Bericht mit VDA ISA-Mapping folgt innerhalb von 5 Werktagen nach Testabschluss.
Nein. Der TISAX-Audit erfolgt durch einen akkreditierten ENX-Auditor. Unser Pentest-Bericht ist das technische Nachweisdokument, das der Auditor für VDA ISA-relevante Kontrollen benötigt und akzeptiert.
Ja. Das TISAX-Label Prototypenschutz hat einen eigenen Fragenkatalog. Wir führen dafür gezielte physische Assessments durch: Kamera-Totzonen, Fahrzeugabdeckungen, sichere Lagerbereiche, Zutrittskontrolle und Transportprozesse.
TISAX baut auf ISO 27001 auf und ergänzt sie um automotive-spezifische Anforderungen aus dem VDA ISA-Katalog. Bestehende ISO 27001-Nachweise werden beim TISAX-Audit berücksichtigt, ersetzen ihn aber nicht vollständig.

Bereit für euren TISAX-Pentest?

In 30 Minuten besprechen wir euren TISAX-Scope, klären das Assessment-Level und ihr erhaltet ein unverbindliches Festpreisangebot - kostenlos und ohne Verpflichtung.

Jetzt kostenloses Erstgespräch buchen hello@access-granted.de

Über Access Granted

Adresse
Albert-Einstein-Straße 1, 95028 Hof
E-Mail
hello@access-granted.de
Telefon
+49 9281 5918506

Nützliche Links

Pentest Portfolio

Think like an Attacker, Act as a Partner

© AccessGranted X GmbH