TL;DR
- TISAX-Re-Zertifizierung verbrennt 180–320 Senior-Security-Stunden — 60–70 % davon mechanisches Evidence-Mapping zwischen VDA-ISA-Klausel und ISMS-Artefakten.
- Ein KI-Assistent reduziert den Aufwand um 50–60 % durch semantisches Mapping, Gap-Analyse und Audit-Trail-Konsolidierung — die Bewertung bleibt beim Information Security Officer.
- Pilot bei einem MSP: AL-3-Re-Zertifizierung in 6 statt 14 Wochen, rund 60 % weniger interne Senior-Stunden, 14 zusätzlich lückenlos dokumentierte Klauseln.
Was TISAX 2026 wirklich verlangt
Der VDA-ISA-Katalog 6.0 ist die Pflicht-Grundlage jedes TISAX-Audits. Er umfasst 47 Information-Security-Controls in sieben Domänen — von IS-Policies über Asset-Management bis Prototypenschutz.
TISAX ist kein eigenes Kontroll-Framework, sondern ein automotive-spezifischer Reifegrad-Test auf einem ISO-27001-nahen Set, mit drei klar definierten Assurance-Leveln.
Wer Daten von OEMs verarbeitet, kommt um die Anerkennung im ENX-Portal nicht herum. Audit-Provider sind akkreditiert (TÜV, DEKRA, DQS u.a.), die Zertifikate haben drei Jahre Laufzeit. Es gibt drei Assurance-Level:
| Level | Trigger | Typischer Aufwand intern |
|---|---|---|
| AL 1 | Selbsteinschätzung, geringe Schutzbedarfe | 40–80 Std. |
| AL 2 | Standard, hoher Schutzbedarf | 120–200 Std. + 8–12 Audit-Tage |
| AL 3 | Sehr hoher Schutzbedarf (Prototypen-Daten) | 200–400 Std. + 15–25 Audit-Tage |
AL 3 ist der harte Fall. Wer als Tier-1 oder Tier-2 mit BMW-, VW- oder Mercedes-Pre-Series-Daten arbeitet, kommt darunter nicht weg.
Wo der Aufwand sitzt — vier Engpässe
- Evidence-Mapping VDA-ISA gegen ISMS. Die Klauseln sind nicht 1:1 deckungsgleich mit ISO-27001-Annex-A; eine Klausel wie 1.2.3 „Information Security Risk Management" referenziert typischerweise 3–6 ISMS-Dokumente. Ein Senior Information Security Officer verbringt 45–80 Stunden allein damit, für jede der 47 Klauseln die richtigen Dokumente und Abschnitte zu identifizieren — bevor ein Audit-Tag beginnt.
- Gap-Analyse zwischen ISA-Versionen. Zwischen VDA-ISA 5.x und 6.0 wurden 14 Klauseln substantiell geändert, drei neu hinzugefügt (KI-Governance, Supply-Chain-Resilience, Remote-Work). Die manuelle Gap-Analyse kostet 30–50 Senior-Stunden, selbst bei sauber gepflegtem ISMS.
- Audit-Trail-Konsolidierung über drei Jahre. Auditoren wollen kontinuierliche Wirksamkeit sehen: Logs, Reviews, Test-Reports, Penetration-Tests, Awareness-Schulungen. In der Praxis liegen diese Artefakte verteilt in SharePoint, Confluence, Jira und Mailboxen — sie zusammenzuführen ist die undankbarste Aufgabe.
- Prototypenschutz (nur AL 3). Klauseln 8.1–8.5 prüfen physikalische und logische Schutzmaßnahmen für Pre-Series-Daten — Zutritts-Konzepte, Bauteil-Lager, Foto-Verbote, Test-Stände. Diese Evidenz muss erst dokumentierbar gemacht werden.
Wie der Assistent arbeitet
Der Assistent ist eine deterministische Pipeline mit drei KI-gestützten Stufen. Keine LLM-Halluzination im Compliance-Pfad — jede Aussage trägt Quellverweis und Confidence-Score.
- Korpus-Ingestion. Alle Quellen werden inkrementell indexiert: SharePoint, Confluence, File-Shares, ITSM-Tickets, Penetration-Test-Reports. Die Pipeline erkennt Versionen und Reviews automatisch.
- Semantisches Klausel-Mapping. Für jede der 47 Klauseln matched der Assistent Top-5 Evidence-Kandidaten mit Confidence-Score. Der Information Security Officer akzeptiert, korrigiert oder ergänzt; Bestätigtes geht in die Evidence-Matrix.
- Gap-Analyse und Auditor-Pack. Wo keine ausreichende Evidenz gefunden wird, generiert der Assistent konkrete Lückenbeschreibungen und Mitigations-Empfehlungen. Das Auditor-Pack liegt im ENX-konformen Format vor.
Zahlen aus einem MSP-Pilot
Pilot Q1/2026 bei einem süddeutschen MSP mit 18 Automotive-Tier-1-Kunden. Re-Zertifizierung AL 3 nach AL-2-Erst-Zertifizierung 2023.
| Kennzahl | Vor Pilot (manuell) | Mit Assistent | Delta |
|---|---|---|---|
| Vorbereitungszeit Audit-Pack | 14 Wochen | 6 Wochen | −57 % |
| Senior-ISO-Stunden | 280 Std. | 115 Std. | −59 % |
| Klauseln mit lückenloser Evidence-Kette | 31 / 47 | 45 / 47 | +14 Klauseln |
| Audit-Findings (Major) | 3 (erwartet) | 0 | – |
Die wichtigste Zahl ist nicht die Zeitersparnis, sondern die 14 zusätzlich dokumentierten Klauseln — der Unterschied zwischen AL 2 und AL 3.
In AL-3-Pilots zeigt sich ein wiederkehrendes Urteil: Die Re-Zertifizierung wäre auch ohne KI zu schaffen — aber nicht in einem Quartal, nicht ohne externe Berater und mit mehr offenen Punkten im Tracker.
Was bleibt menschlich
- Risikobewertung und Akzeptanz-Entscheidung. Ob ein Restrisiko akzeptabel ist, entscheidet der Information Security Officer — die KI liefert Optionen, kein Urteil.
- Auditor-Kommunikation. Wer dem Auditor erklärt, warum eine Klausel anders interpretiert wird als im ISA-Kommentar, braucht Senior-Standing und Branchenkenntnis.
- Mitarbeiter-Awareness. Awareness-Klauseln werden durch gelebte Praxis erfüllt, nicht durch Dokumente. Hier hilft der Assistent nur bei der Dokumentation.
- Physische Sicherheit (AL 3). Prototypenschutz und Zutritts-Konzepte erfordern eine Vor-Ort-Auditierung. Der Assistent strukturiert die Evidenz, ersetzt aber keine Begehung.
Einordnung für den GF-Tisch
TISAX-Re-Zertifizierung ist kein Strategie-Projekt — sie ist Lizenz zum Operieren im Automotive-Sektor. Wer verzögert oder im AL-3-Audit durchfällt, verliert OEM-Aufträge. Der Hebel des Assistenten ist doppelt: er senkt die Vorbereitungskosten messbar und erhöht die Chance auf eine saubere Zertifizierung im höheren Assurance-Level. Wer 2026/27 eine Re-Zertifizierung vor sich hat, holt mit einem 6-Wochen-Build die Hälfte der internen Senior-Stunden zurück und schließt den Zyklus mit entspannterer Maßnahmenliste ab.
Stand Mai 2026. TISAX, ENX und VDA-ISA sind Marken der ENX Association bzw. des VDA.
Nächster Schritt
Passt das auf Ihren Fall?
30-Min-Erstgespräch, kostenfrei und unverbindlich. Wir gehen Ihren konkreten Fall durch — und sagen ehrlich, wenn nichts passt.