ISO/IEC 27001:2022 vs. TISAX® VDA ISA 6.0 – Ein Vergleich beider Standards

Einleitung

ISO/IEC 27001:2022 und TISAX® (VDA ISA 6.0) sind zwei wichtige Rahmenwerke für Informationssicherheit – das eine international und branchenneutral, das andere speziell für die Automobilindustrie entwickelt. Beide helfen Unternehmen, ein robustes Informationssicherheits-Managementsystem (ISMS) aufzubauen, doch sie tun dies mit unterschiedlicher Ausrichtung. In diesem Artikel vergleichen wir die Gemeinsamkeiten und Unterschiede zwischen ISO/IEC 27001:2022 und TISAX® VDA ISA 6.0. Fachleute der Informationssicherheit erhalten hier einen präzisen Überblick darüber, wie beide Standards grundlegende Sicherheitsmaßnahmen abdecken, wo ihre Schwerpunkte liegen und welche neuen Anforderungen die aktuelle Revision jeweils mit sich bringt. 

Gemeinsame Grundlagen: ISMS, Risikomanagement und PDCA

ISO/IEC 27001:2022 und TISAX® VDA ISA 6.0 basieren beide auf den bewährten Prinzipien eines ISMS. Zentrales Element ist ein risikobasierter Ansatz: Beide Frameworks fordern, dass Unternehmen Sicherheitsrisiken systematisch identifizieren, bewerten und mit geeigneten Maßnahmen behandeln. Ebenso setzen beide auf das Prinzip der kontinuierlichen Verbesserung nach dem PDCA-Zyklus (Plan – Do – Check – Act). Das heißt, Organisationen sollen ihre Informationssicherheitsmaßnahmen laufend planen, umsetzen, überwachen und optimieren. Diese Methodik sorgt dafür, dass Informationssicherheit nicht als einmaliges Projekt, sondern als fortlaufender Prozess verstanden wird.

Darüber hinaus decken beide Standards grundlegende Sicherheitsmaßnahmen ab. Dazu zählen z.B. Richtlinien für Zugangskontrolle, physische Sicherheitsmaßnahmen, Schulungen zur Sensibilisierung der Mitarbeiter, Vorfallsmanagement, Cryptographie-Einsatz und viele weitere organisatorische und technische Kontrollen. In ihren Kernanforderungen stellen ISO 27001 und TISAX® also sicher, dass ein Unternehmen ein umfassendes Set an Basisschutzmaßnahmen etabliert hat, um Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu gewährleisten.

Unterschiedlicher Fokus: Branchenneutralität vs. Automobilspezifika

Trotz der gemeinsamen Basis unterscheiden sich die beiden Rahmenwerke deutlich in ihrem Geltungsbereich und Schwerpunkt. Die ISO/IEC 27001:2022 ist ein weltweit anerkannter Standard, der branchenneutral formuliert ist. Er eignet sich für Organisationen aller Größen und Branchen. Durch die Revision 2022 wurde ISO 27001 noch breiter und moderner aufgestellt – es wurden neue Controls eingeführt, um aktuellen Technologien und Bedrohungen gerecht zu werden (etwa Cloud-Nutzung, Threat Intelligence, etc., siehe unten). ISO 27001 liefert damit ein allgemeines Best-Practice-Fundament für Informationssicherheit, das flexibel auf unterschiedliche Kontexte angewendet werden kann. 

Die VDA ISA 6.0 (TISAX®) hingegen wurde speziell für die Anforderungen der Automobilbranche entwickelt. Sie geht in bestimmten Bereichen deutlich tiefer ins Detail, um den besonderen Schutzbedarfen in der vernetzten Automobil-Lieferkette gerecht zu werden. So enthält TISAX® spezifische Anforderungen, die in ISO 27001 nicht explizit adressiert werden, zum Beispiel: Prototypenschutz (Schutz geheimer Entwicklungsprojekte und Vorserienmodelle vor unbefugtem Zugriff oder Leaks), Schutzbedarfsfeststellung im Automotive Kontext (feingranulare Einstufung, welche Informationen in welchem Grad kritisch sind – etwa Unterscheidung zwischen Entwicklungsdaten, Produktionsdaten, Kundendaten etc.), sowie erweiterte Vorgaben für Business Continuity Management (BCM), das hier speziell die IT-Servicekontinuität in Produktionsumgebungen einschließt. TISAX® fordert außerdem ein ausgereiftes Krisenmanagement – Unternehmen müssen nachweisen, dass sie für sicherheitsrelevante Zwischenfälle und Krisen (z.B. Cyberangriffe, Lieferkettenausfälle) konkrete Notfallpläne und Playbooks (vordefinierte Handlungsanweisungen) bereitliegen haben. Ein weiterer branchenspezifischer Aspekt ist die Provider-Segmentierung: Automobilhersteller erwarten von ihren Lieferanten strikte Trennung von Dienstleister- und Partnernetzwerken, damit z.B. Entwicklungsdaten verschiedener Kunden sauber isoliert sind und externe IT-Serviceprovider nur kontrollierten Zugriff auf relevante Teilbereiche erhalten. Diese zusätzlichen Schwerpunkte machen klar, dass TISAX® darauf abzielt, die tiefergehenden Risiken der Automobilindustrie – von der Vorentwicklung bis zur vernetzten Produktion – gezielt abzudecken. 

ISO/IEC 27001:2022 – Neue Controls für moderne Technologien

Mit der Aktualisierung 2022 hat ISO/IEC 27001 einige neue Controls (Sicherheitsmaßnahmen) eingeführt, die den Standard an aktuelle Entwicklungen in Technik und Bedrohungslage anpassen. Insgesamt wurden elf neue Controls aus ISO 27002:2022 übernommen. Im Folgenden ein Überblick dieser neuen Maßnahmen und wie sie einzuordnen sind: 

• A.5.7 Bedrohungsinformationen – Einführung von Threat Intelligence: Organisationen sollen Informationen über aktuelle Bedrohungen sammeln und auswerten, um frühzeitig auf neue Risiken reagieren zu können. 

• A.5.23 Cloud-Nutzung – Spezifische Vorgaben für die sichere Nutzung von Cloud-Diensten: Regelt z.B. Auswahl vertrauenswürdiger Cloud-Anbieter, Absicherung von Cloud-Konfigurationen und Umgang mit geteilten Verantwortlichkeiten in der Cloud. 

• A.5.30 IKT-Bereitschaft für Geschäftskontinuität – Stellt sicher, dass die IT/IKT-Infrastruktur auf Notfälle vorbereitet ist: Die Verfügbarkeit von IT-Services soll durch Notfallplanung, Backup-Strategien und Redundanzen gewährleistet werden, um Geschäftsprozesse auch bei Zwischenfällen aufrechtzuerhalten. 

• A.7.4 Physische Sicherheitsüberwachung – Erweitert den physischen Schutz durch Monitoring, z.B. Videoüberwachung oder Alarmsysteme, um unautorisierte Zugriffe auf Gebäude oder Rechenzentren frühzeitig zu erkennen. 

• A.8.9 Konfigurationsmanagement – Verlangt ein kontrolliertes Management von System- und Sicherheitskonfigurationen (für Server, Clients, Netzwerkgeräte usw.), um ein konsistentes Sicherheitsniveau sicherzustellen und Fehlkonfigurationen als Angriffsvektor zu vermeiden. 

• A.8.10 Löschung von Informationen – Einführung eines Controls für die sichere Datenlöschung: Unternehmen müssen über Verfahren verfügen, um Informationen am Ende ihres Lebenszyklus zuverlässig und datenschutzgerecht zu löschen oder zu vernichten (z.B. bei Ausmusterung von Datenträgern). 

• A.8.11 Datenmaskierung – fordert den Einsatz von Techniken zur Datenmaskierung, um sensible Daten in Nicht-Produktivumgebungen oder Tests zu schützen (z.B. Anonymisieren oder Pseudonymisieren von echten Daten, damit Entwickler oder Tester nicht auf Klartext-Kundendaten zugreifen). 

• A.8.12 Verhinderung von Datenlecks – Gemeint ist Data Leakage Prevention (DLP): Maßnahmen, um unautorisierte Datenabflüsse zu erkennen und zu verhindern (etwa DLP-Software, Überwachung von Datentransfers, Policies gegen das Hochladen vertraulicher Daten in unsichere Clouds). 

• A.8.16 Überwachungstätigkeiten – Allgemeine Security Monitoring-Anforderungen: Unternehmen sollen sicherheitsrelevante Aktivitäten kontinuierlich überwachen (z.B. Log-Management, SIEM-Systeme einsetzen, Anomalien erkennen), um Vorfälle schnell aufzuspüren. 

• A.8.23 Webfilterung – Vorgabe, Webzugriffe zu kontrollieren und zu filtern, um den Zugriff auf maliziöse oder unerwünschte Websites zu blockieren (häufig via Proxy/URL-Filter oder Secure Web Gateway), was die Angriffsfläche z.B. für Malware reduziert. 

• A.8.28 Sichere Codierung – Etabliert Richtlinien für Secure Coding Practices in der Softwareentwicklung: Entwickler sollen sichere Programmierleitlinien befolgen, um Schwachstellen von vornherein zu vermeiden (z.B. Eingabevalidierung, sichere Bibliotheken, Code Reviews auf Sicherheit). 

Diese neuen Controls verdeutlichen, dass ISO/IEC 27001:2022 aktuelle Themen wie Cloud Security, proaktive Bedrohungsabwehr und moderne Entwicklungspraktiken adressiert. Für Unternehmen bedeutet das, dass ein ISO 27001:2022-konformes ISMS jetzt noch umfassender auf die heutige digitale Landschaft eingeht – ein Vorteil, den TISAX nicht in allen Punkten abdeckt, da es eben stark auf den Automobilkontext fokussiert ist. 

VDA ISA 6.0 (TISAX®) – Erweiterte Anforderungen der Automobilbranche 

Die Version 6.0 des VDA ISA-Katalogs, auf dem TISAX® basiert, hat ebenfalls Neuerungen eingeführt, um aktuellen Herausforderungen gerecht zu werden und branchenspezifische Tiefe zu erweitern. Einige markante neue bzw. erweiterte Anforderungen in TISAX® (VDA ISA 6.0) sind: 

• Business Continuity Management & IT-Servicekontinuität – TISAX® legt jetzt noch stärkeren Wert auf BCM, besonders im Hinblick auf die Kontinuität kritischer IT-Services. Unternehmen müssen nachweisen, dass sie Vorkehrungen getroffen haben, um bei Störungen (inkl. Cyberangriffen) wichtige Geschäftsprozesse und die Produktions-IT am Laufen zu halten. 

• Incident Response und Krisenmanagement mit Playbooks – Die Anforderungen an das Incident- und Krisenmanagement wurden deutlich ausgebaut. Firmen sollen Playbooks bzw. definierte Notfallprozeduren bereitliegen haben, um bei Sicherheitsvorfällen oder Krisen (wie z.B. Ransomware-Angriffen) schnell und koordiniert reagieren zu können. Das umfasst klare Rollen, Eskalationswege und regelmäßige Übungen dieser Szenarien. 

• Provider-Segmentierung – In der Lieferantenkette der Automobilindustrie spielt das Trennen und Absichern von Zugängen für verschiedene Partner eine große Rolle. TISAX® 6.0 fordert explizit, dass externe Dienstleister und Anbindungen von Partnern segmentiert und isoliert vom restlichen Netzwerk betrieben werden. So wird das Risiko minimiert, dass ein kompromittierter Partnerzugang sich auf die gesamte IT-Umgebung auswirkt. 

• Stärkung von Cyber-Resilienz (z.B. gegen Ransomware/APT) – Mehrere neue Kontrollfragen in ISA 6.0 zielen darauf ab, die Widerstandsfähigkeit gegenüber hochentwickelten Bedrohungen zu erhöhen. Dazu gehören striktere Vorgaben für Offline-Backups, Notfallwiederanlaufpläne und Schutzkonzepte gegen fortgeschrittene persistente Bedrohungen (APT). Diese Vorgaben ergänzen das bestehende Maßnahmenpaket, um speziell Angriffe mit hohem Schadenspotenzial abwehren zu können. 

• Shopfloor Security & OT-Integration – Neu ist auch die klare Einbeziehung von Produktions-IT und OT (Operational Technology). Der ISA 6.0 referenziert z.B. die Norm IEC 62443-2, um sicherzustellen, dass Informationssicherheit nicht an der Bürotür endet, sondern bis in die Fertigungsanlagen und vernetzten Maschinen hinein berücksichtigt wird. 

Durch diese Ergänzungen stellt TISAX® sicher, dass die Auditierung nach VDA ISA 6.0 noch besser auf die aktuellen Bedürfnisse in der Automobilbranche zugeschnitten ist. Themen wie Prototypenschutz und Datenschutz (für personenbezogene Daten gibt es im TISAX®-Katalog ein eigenes Modul) waren bereits in früheren Versionen einzigartig für TISAX; mit Version 6.0 kommen nun auch operative Resilienz und Lieferketten-Sicherheit noch stärker zum Tragen. Damit verlangt TISAX® in gewissen Bereichen mehr Tiefe und Nachweisführung als ISO 27001 – insbesondere dort, wo es um branchenspezifische Risiken geht.

Bewertungsmodell und Zertifizierungsverfahren 

Ein wichtiger Unterschied zwischen ISO 27001 und TISAX® liegt im Bewertungs- und Zertifizierungsansatz. ISO/IEC 27001 schreibt eine formale Zertifizierung durch eine unabhängige akkreditierte Zertifizierungsstelle vor. Beim ISO-Audit wird primär geprüft, ob alle geforderten Kontrollen wirksam umgesetzt sind – im Wesentlichen ein binärer Nachweis („erfüllt“ oder „Nichtkonformität“ bei Abweichungen). Ist das Audit erfolgreich, erhält das Unternehmen ein ISO 27001-Zertifikat. Dieses Zertifikat ist international anerkannt und typischerweise drei Jahre gültig, wobei in jährlichen Überwachungsaudits die fortlaufende Konformität überprüft wird. 

TISAX® hingegen vergibt kein klassisches Zertifikat, sondern ein Label, das über das ENX-Portal den teilnehmenden Unternehmen zugänglich gemacht wird. Die Prüfung erfolgt durch vom ENX-Verband anerkannte Auditanbieter nach dem VDA ISA-Katalog. Anders als bei ISO wird in TISAX® ein Reifegradmodell verwendet: Die Auditoren bewerten, wie gut eine Maßnahme implementiert ist, nicht nur ob sie vorhanden ist. Es gibt verschiedene Reifegrade (z.B. von 0 = nicht umgesetzt bis 5 = optimiert), wobei für ein erfolgreiches TISAX®-Ergebnis meist ein gewisses Level (oft Reifegrad 3 = definiert/etabliert) in allen relevanten Kontrollen erreicht werden muss. Dieses Vorgehen fördert eine tiefere Auseinandersetzung mit dem Reifegrad der Sicherheitsprozesse im Unternehmen. 

Das Ergebnis eines TISAX®-Assessments wird als Label mit definierter Gültigkeit (in der Regel ebenfalls drei Jahre) im ENX-Portal hinterlegt. Es gibt keine öffentlich aushängbaren Zertifikate; stattdessen können autorisierte Partner (z.B. OEMs) das TISAX®-Ergebnis online einsehen. Das Verfahren ist darauf ausgelegt, den vertrauenswürdigen Austausch von Prüfergebnissen innerhalb der Branche zu ermöglichen – so muss ein Zulieferer nicht für jeden einzelnen OEM separate Audits durchführen, sondern das eine TISAX®-Assessment wird von allen anerkannt. Eine weitere Besonderheit: TISAX® kennt unterschiedliche Assessment-Level je nach Schutzbedarf (z.B. TISAX®-Level 1, 2, 3), welche Umfang und Tiefe der Prüfung bestimmen. Höhere Level (insbesondere Level 3 für sehr hohen Schutzbedarf) bedeuten wesentlich strengere Prüfungen – hier werden z.B. intensivere Vor-Ort-Audits verlangt – teils über das hinausgehend, was ein übliches ISO 27001-Audit abdeckt. 

Das Zertifizierungsverfahren an sich unterscheidet sich also: ISO 27001-Zertifikate werden von Zertifizierungsstellen verliehen und sind weithin sichtbar als Gütesiegel; TISAX® setzt auf einen gemeinschaftlichen Ansatz, bei dem das Label in einer zentralen Plattform verwaltet wird. Beide Nachweise sind in ihrer jeweiligen Sphäre wichtig – so verlangt die internationale Geschäftswelt häufig ein ISO 27001-Zertifikat als Beleg einer allgemeinen Sicherheitsreife, während die großen Automobilhersteller zwingend ein gültiges TISAX®-Ergebnis von ihren Lieferanten fordern. In vielen Fällen ist es für einen Automobilzulieferer sinnvoll (oder vom Kunden vorgeschrieben), beide vorzuweisen.

Fazit 

ISO/IEC 27001:2022 und TISAX® VDA ISA 6.0 sind jeweils starke Rahmenwerke, die Unternehmen dabei helfen, Informationssicherheit systematisch umzusetzen. ISO 27001 überzeugt durch seine breite Anwendbarkeit und die Aktualisierungen an moderne Technologien, wodurch es als universeller Standard für verschiedenste Branchen dient. TISAX® wiederum glänzt durch seine Tiefe in den branchenspezifischen Anforderungen der Automobilindustrie – es adressiert Detailaspekte, die für die Sicherheit in komplexen Lieferketten und Entwicklungsnetzwerken entscheidend sind. 

Für Unternehmen in der Automobilbranche ergibt sich daraus ein klarer Auftrag: Eine ISO 27001-Zertifizierung legt ein solides Fundament und signalisiert allgemeine Sicherheitskompetenz, doch ausreichend ist sie nicht. Die spezifischen Anforderungen der Automobilwelt – von Prototypenschutz über IT-Servicekontinuität bis hin zu strengem Partnermanagement – werden erst durch eine TISAX®-Assessment umfassend abgedeckt. Wer in dieser Branche tätig ist, sollte daher über eine ISO-Zertifizierung hinaus unbedingt auch die TISAX®-Anforderungen erfüllen. Idealerweise nutzen Organisationen Synergien beider Systeme: Ein gut implementiertes ISMS nach ISO 27001 erleichtert den Weg zu TISAX®, und umgekehrt sorgt TISAX® dafür, dass kein für die Automobilindustrie relevantes Sicherheitsdetail übersehen wird. Kurz gesagt: Beide Systeme haben ihre Stärken – gemeinsam eingesetzt bieten sie den höchsten Mehrwert, um Informationssicherheit sowohl auf allgemeiner Ebene als auch im spezifischen Branchenkontext lückenlos zu verankern.