FwChange LogoFwChange
Compliance

TISAX Firewall-Anforderungen: Was Automobilzulieferer dokumentieren müssen

Fw
The FwChange Team
||9 min Lesezeit

Mehr als 30.000 Automobilzulieferer weltweit brauchen eine TISAX Zertifizierung, um mit OEMs wie Volkswagen, BMW oder Mercedes-Benz zusammenzuarbeiten. Trotzdem scheitern 67 % beim ersten Audit — und lückenhafte Firewall-Dokumentation ist einer der häufigsten Gründe. Wenn Sie als Zulieferer gerade eine TISAX-Bewertung vorbereiten, wird Ihre Firewall-Konfiguration und das Change Management im Detail geprüft.

Dieser Leitfaden erklärt die konkreten TISAX Firewall Anforderungen, zeigt warum die meisten Zulieferer beim ersten Anlauf durchfallen, und gibt Ihnen eine praktische Checkliste für Dokumentation, die beim ersten Audit besteht.

Was ist TISAX und warum betrifft es Ihre Firewall?

TISAX (Trusted Information Security Assessment Exchange) ist der IT-Sicherheitsstandard der Automobilindustrie, verwaltet von der ENX Association. Er basiert auf dem VDA Information Security Assessment (VDA ISA) Katalog, der wiederum auf ISO 27001 aufbaut — allerdings mit branchenspezifischen Anforderungen rund um Prototypenschutz, Vertraulichkeit und Lieferkettensicherheit.

Für Firewalls ist TISAX relevant, weil der VDA ISA Katalog konkrete Kontrollziele für Netzwerksegmentierung, Zugriffskontrolle, Change Management und Incident Response enthält — alles Bereiche, die direkt über Firewall-Policies umgesetzt werden. Ihre Firewall ist der zentrale Durchsetzungspunkt für viele Kontrollen, die TISAX-Auditoren prüfen.

Anders als ISO 27001, das breit anwendbar ist, gilt TISAX speziell für die Automobilbranche. Die Anerkennung läuft über das ENX-Portal: Sobald Sie die TISAX Zertifizierung haben, können OEMs und Tier-1-Zulieferer Ihren Status einsehen, ohne eigene Audits durchzuführen — das spart erheblich Zeit und Kosten in der gesamten Lieferkette.

Die 5 zentralen TISAX Firewall Anforderungen

Der VDA ISA Katalog deckt IT-Sicherheit umfassend ab. Diese fünf Bereiche haben den größten Einfluss auf Ihre Firewall-Infrastruktur und -Dokumentation:

1. Lückenlose Änderungshistorie

Jede Firewall-Regeländerung muss mit einem vollständigen Audit-Trail dokumentiert werden: Wer hat die Änderung beantragt, wer hat sie freigegeben, wann wurde sie umgesetzt, und was war die geschäftliche Begründung? TISAX-Auditoren verlangen Einsicht in Ihr Änderungsprotokoll und prüfen, ob es alle Änderungen im Bewertungszeitraum abdeckt. Informelle Änderungen — direkt auf der CLI ohne definierten Prozess — sind ein Audit-Finding.

Was Auditoren prüfen: Änderungsanträge, Freigabenachweise, Umsetzungszeitstempel, geschäftliche Begründung, Vorher-/Nachher-Status der Regeln.

2. Regelmäßige Regel-Reviews

Firewall-Regeln müssen regelmäßig geprüft werden, ob sie noch benötigt werden und korrekt konfiguriert sind. TISAX erwartet dokumentierte Nachweise periodischer Reviews — nicht bloß die Aussage, dass Reviews stattfinden, sondern konkrete Protokolle: Welche Regeln wurden geprüft, von wem, und mit welchem Ergebnis (beibehalten, angepasst oder entfernt).

Was Auditoren prüfen: Review-Zeitpläne, Abschlussberichte, Prüferidentitäten, Ergebnisse und ergriffene Maßnahmen, Nachweis dass ungenutzte Regeln entfernt wurden.

3. Netzwerksegmentierung

TISAX verlangt Netzwerksegmentierung zum Schutz sensibler Daten — insbesondere Prototyp-Informationen, die für OEMs ein zentrales Thema sind. Ihre Firewall-Policies müssen klare Grenzen zwischen Netzwerkzonen durchsetzen: Produktionsnetzwerke, Entwicklungsumgebungen, Gästezugang und alle Zonen mit vertraulichen Prototypdaten. Netzwerkdiagramme müssen die tatsächliche Segmentierung korrekt abbilden.

Was Auditoren prüfen: Netzwerkarchitektur-Diagramme, Firewall-Zonenkonfiguration, Inter-Zone-Verkehrsregeln, Prototypdaten-Isolierung, Trennung des Gästenetzwerks.

4. Zugriffskontrolle

Firewall-Regeln müssen das Prinzip der minimalen Rechtevergabe umsetzen — nur explizit benötigter Verkehr wird zugelassen, alles andere standardmäßig blockiert. TISAX-Auditoren suchen gezielt nach zu weit gefassten Regeln (besonders Any-Any-Regeln), Regeln die unnötige Dienste erlauben, und Regeln ohne präzise Quell- oder Zieladressen.

Was Auditoren prüfen: Default-Deny-Policies, Regelpräzision (keine Any-Any-Allow), Dienst-Einschränkungen, Quell-/Zieladress-Granularität, Admin-Zugriffskontrolle auf die Firewall selbst.

5. Incident Response

Ihre Firewall-Infrastruktur muss Erkennung und Reaktion auf Sicherheitsvorfälle unterstützen. Das bedeutet: Logging ist auf kritischen Regeln aktiviert, Logs werden an ein zentrales System (SIEM oder Log-Management) weitergeleitet, Aufbewahrungsfristen erfüllen die TISAX-Anforderungen, und es existiert ein dokumentierter Prozess, wie Firewall-Logs bei der Vorfalluntersuchung genutzt werden.

Was Auditoren prüfen: Logging-Konfiguration, Aufbewahrungsfristen, SIEM-Integration, Incident-Response-Verfahren mit Bezug auf Firewall-Daten, Nachweis früherer Vorfalluntersuchungen anhand von Firewall-Logs.

Warum 67 % der Zulieferer beim ersten Audit durchfallen

Die hohe Durchfallquote liegt nicht daran, dass TISAX-Anforderungen überzogen wären — sondern daran, dass die meisten Zulieferer den Dokumentationsaufwand unterschätzen. Die technischen Kontrollen (Firewalls, Segmentierung, Logging) sind meistens vorhanden. Was fehlt, sind die Nachweise, dass diese Kontrollen auch ordentlich verwaltet werden.

Typische Gründe für das Scheitern

  • Kein Change-Management-Prozess. Firewall-Änderungen passieren informell — ein Techniker loggt sich ein, macht die Änderung, fertig. Kein Antrag, keine Freigabe, kein Audit-Trail. Das ist das mit Abstand häufigste Finding.
  • Fehlende geschäftliche Begründungen. Regeln existieren, aber niemand kann erklären warum. Wenn der Auditor fragt “Warum erlaubt diese Regel TCP/8080 vom Gästnetz zum Produktionsserver?” und es keine dokumentierte Antwort gibt, ist das ein Finding.
  • Keine Nachweise für Regel-Reviews. Das Team sagt, es prüft die Regeln quartalsweise — aber es gibt keine Dokumentation, die das belegt. Keine Review-Daten, keine Prüfernamen, keine Ergebnisse, keine Maßnahmen.
  • Unvollständige Netzwerkdiagramme. Das Netzwerkdiagramm zeigt die geplante Architektur, stimmt aber nicht mit der tatsächlichen Firewall-Konfiguration überein. Neue Segmente, VPN-Tunnel oder Cloud-Anbindungen wurden hinzugefügt, ohne die Dokumentation zu aktualisieren.
  • Logging-Lücken. Logging ist auf manchen Regeln aktiviert, aber nicht auf allen kritischen. Oder Logs werden lokal auf der Firewall gespeichert mit unzureichender Aufbewahrungsfrist. Oder es gibt keinen Prozess, wie Logs bei der Vorfallbehandlung ausgewertet werden.

So bereiten Sie sich vor: 5 Schritte

Hier ist ein praktischer Ansatz, um TISAX-konforme Firewall-Dokumentation aufzubauen — egal ob Sie bei Null starten oder eine Neubewertung vorbereiten:

Schritt 1: Change-Management-Prozess einführen

Wenn Sie noch keinen formalen Firewall Change-Management-Prozess haben, führen Sie jetzt einen ein. Jede Regeländerung — egal wie klein — muss einen definierten Workflow durchlaufen: Antrag, Prüfung, Freigabe, Umsetzung, Dokumentation. Das ist das Fundament, auf dem alles andere aufbaut.

Schritt 2: Bestehende Regelbasis auditieren

Führen Sie ein umfassendes Firewall-Regel-Audit durch, um Shadow-Regeln, Konflikte, Redundanzen und undokumentierte Regeln zu finden. Räumen Sie auf, was möglich ist, und dokumentieren Sie, was nicht sofort geändert werden kann (mit Zeitplan für die Behebung).

Schritt 3: Geschäftliche Begründungen dokumentieren

Gehen Sie jede Regel in Ihrer Regelbasis durch und versehen Sie sie mit einer geschäftlichen Begründung. Bei bestehenden Regeln, deren ursprünglicher Antragsteller unbekannt ist, arbeiten Sie mit Anwendungsverantwortlichen und IT-Teams zusammen, um den Zweck zu rekonstruieren. Wenn niemand erklären kann, warum eine Regel existiert, deaktivieren Sie sie (mit Monitoring) und dokumentieren Sie die Entscheidung.

Schritt 4: Netzwerkdiagramme aktualisieren

Stellen Sie sicher, dass Ihre Netzwerkdiagramme die tatsächliche Firewall-Konfiguration und Netzwerktopologie korrekt abbilden. Jede Zone, jeder Inter-Zone-Regelsatz, jeder VPN-Tunnel und jede Cloud-Anbindung muss dokumentiert sein. Kennzeichnen Sie Zonen klar — besonders Bereiche, die Prototyp- oder vertrauliche OEM-Daten verarbeiten.

Schritt 5: Review-Rhythmus etablieren

Richten Sie einen regelmäßigen Review-Zeitplan ein — quartalsweise ist Best Practice — und dokumentieren Sie jeden Review. Halten Sie fest, welche Regeln geprüft wurden, von wem, was die Ergebnisse waren und welche Maßnahmen ergriffen wurden. Starten Sie damit rechtzeitig vor Ihrem TISAX Audit, damit Sie mindestens 2–3 abgeschlossene Review-Zyklen als Nachweis vorlegen können.

Manuelle vs. automatisierte TISAX-Vorbereitung

Sie können sich manuell auf ein TISAX Firewall Audit vorbereiten, aber der Aufwand skaliert schlecht. Hier ein realistischer Vergleich:

Manuelle Vorbereitung

  • ✗ Änderungsverfolgung in Spreadsheets oder E-Mails
  • ✗ Regelanalyse per Sichtprüfung (Tage/Wochen)
  • ✗ Begründungen in separaten Dokumenten
  • ✗ Review-Nachweise verstreut über verschiedene Dateien
  • ✗ Audit-Vorbereitung dauert 2–4 Wochen
  • ✗ Leicht möglich, Regeln zu übersehen oder Dokumentation zu verlieren

Automatisierte Vorbereitung

  • ✓ Änderungsverfolgung mit vollständigem Audit-Trail
  • ✓ Regelanalyse in Minuten (Shadow, Konflikte, Redundanzen)
  • ✓ Begründungen direkt an jeder Regel hinterlegt
  • ✓ Review-Nachweise automatisch generiert
  • ✓ Audit-fähige Reports jederzeit exportierbar
  • ✓ Kontinuierliche Compliance statt Punkt-in-Zeit

Bewertungsstufen und Firewall-Erwartungen

TISAX-Bewertungen werden auf drei Stufen durchgeführt, jeweils mit steigender Prüftiefe. Die Erwartungen an die Firewall steigen entsprechend:

Stufe 1 (Normaler Schutzbedarf): Selbstbewertung auf Basis des VDA ISA Katalogs. Die Firewall-Dokumentation muss vorhanden sein, die Prüfung ist aber weniger streng. Geeignet für Zulieferer, die keine sensiblen Daten verarbeiten.

Stufe 2 (Hoher Schutzbedarf): Plausibilitätsprüfung durch einen zugelassenen Auditanbieter. Der Auditor prüft Ihre Dokumentation und kann zusätzliche Nachweise anfordern. Ihr Firewall-Change-Management und die Regeldokumentation werden unter die Lupe genommen. Die häufigste Stufe für Zulieferer, die vertrauliche OEM-Daten verarbeiten.

Stufe 3 (Sehr hoher Schutzbedarf): Vollständiges Vor-Ort-Audit durch einen zugelassenen Anbieter. Der Auditor vergleicht Ihre Dokumentation mit der tatsächlichen Firewall-Konfiguration. Er kann sich an der Firewall anmelden und die dokumentierten Regeln mit dem abgleichen, was tatsächlich läuft. Jede Abweichung zwischen Dokumentation und Realität ist ein Finding. Erforderlich für Zulieferer, die Prototypdaten oder eingestufte Informationen verarbeiten.

Vorbereitung auf die Fragen des Auditors

Bei einem TISAX Audit der Stufe 2 oder 3 stellt der Auditor konkrete Fragen zu Ihrem Firewall-Management. Seien Sie auf Folgendes vorbereitet:

“Zeigen Sie mir Ihren Firewall-Change-Management-Prozess. Wie läuft eine Regeländerung vom Antrag bis zur Umsetzung?”

Sie brauchen einen dokumentierten Workflow mit klaren Schritten, Rollen und Freigabekriterien.

“Wählen Sie eine beliebige Regel auf dieser Firewall. Warum existiert sie? Wer hat sie freigegeben?”

Jede Regel muss eine nachvollziehbare geschäftliche Begründung und einen Freigabenachweis haben.

“Wann haben Sie zuletzt Ihre Firewall-Regeln überprüft? Zeigen Sie mir den Nachweis.”

Sie brauchen datierte Review-Protokolle mit Prüfernamen, Ergebnissen und Abhilfemaßnahmen.

“Wie ist das Netzwerksegment mit Prototypdaten isoliert? Zeigen Sie mir die Firewall-Regeln, die diese Segmentierung durchsetzen.”

Netzwerkdiagramme müssen mit der tatsächlichen Firewall-Zonenkonfiguration und den Regeln übereinstimmen.

“Wenn jetzt ein Sicherheitsvorfall eintreten würde, wie würden Sie Ihre Firewall-Logs zur Untersuchung nutzen?”

Sie brauchen einen dokumentierten Incident-Response-Prozess, der auf Firewall-Logdaten Bezug nimmt.

Ihre TISAX Firewall Checkliste

Nutzen Sie diese Checkliste für Ihre TISAX-Vorbereitung. Jeder Punkt sollte vor dem Assessment abgeschlossen und dokumentiert sein:

Change Management

  • ☐ Formaler Change-Management-Prozess dokumentiert und freigegeben
  • ☐ Alle Firewall-Änderungen durchlaufen den definierten Prozess
  • ☐ Änderungsanträge enthalten geschäftliche Begründung
  • ☐ Freigabenachweise sind vollständig und abrufbar
  • ☐ Notfall-Änderungsprozess definiert mit nachträglicher Prüfung

Regeldokumentation

  • ☐ Jede Regel hat eine dokumentierte geschäftliche Begründung
  • ☐ Jede Regel hat einen benannten Verantwortlichen oder Antragsteller
  • ☐ Ungenutzte oder nicht erklärbare Regeln wurden entfernt oder dokumentiert
  • ☐ Keine übermäßig weit gefassten Regeln (Any-Any-Allow) ohne dokumentierte Ausnahme

Netzwerksegmentierung

  • ☐ Netzwerkdiagramme sind aktuell und korrekt
  • ☐ Zonen mit Prototyp-/vertraulichen Daten sind klar gekennzeichnet
  • ☐ Firewall-Zonenkonfiguration stimmt mit Dokumentation überein
  • ☐ Inter-Zone-Verkehrsregeln setzen Least Privilege um
  • ☐ Gäste- und Besuchernetzwerke sind isoliert

Review und Monitoring

  • ☐ Regelmäßiger Review-Zeitplan festgelegt (quartalsweise empfohlen)
  • ☐ Mindestens 2–3 abgeschlossene Review-Zyklen dokumentiert
  • ☐ Logging auf allen kritischen Firewall-Regeln aktiviert
  • ☐ Logs an zentrales SIEM oder Log-Management weitergeleitet
  • ☐ Log-Aufbewahrungsfrist erfüllt TISAX-Anforderungen

Incident Response

  • ☐ Incident-Response-Verfahren nimmt Bezug auf Firewall-Logdaten
  • ☐ Team weiß, wie Firewall-Logs bei einer Untersuchung abgefragt werden
  • ☐ Eskalationsverfahren sind dokumentiert und getestet

Häufig gestellte Fragen

Wie lange dauert die TISAX Zertifizierung?

Von der ersten Vorbereitung bis zur Zertifizierung rechnen die meisten Unternehmen mit 3–6 Monaten. Der Zeitrahmen hängt vom Ausgangspunkt ab — wenn Sie bereits ISO 27001 haben, ist viel Vorarbeit erledigt. Die firewall-spezifische Vorbereitung (Change Management, Regeldokumentation, Review-Nachweise) dauert typischerweise 4–8 Wochen konzentrierte Arbeit.

Ist TISAX dasselbe wie ISO 27001?

Nein. TISAX basiert auf dem VDA ISA Katalog, der auf ISO 27001 aufbaut, aber branchenspezifische Anforderungen rund um Prototypenschutz, Datenklassifizierung für OEM-Daten und Lieferkettensicherheit enthält. ISO 27001 ist eine gute Grundlage, aber die TISAX Zertifizierung erfordert zusätzliche automobilspezifische Dokumentation und Kontrollen.

Brauche ich TISAX für jede OEM-Beziehung?

Zunehmend ja. Die meisten großen OEMs (Volkswagen, BMW, Mercedes-Benz, Audi, Porsche) verlangen mittlerweile eine TISAX Zertifizierung von ihren Zulieferern. Die Zertifizierung wird über das ENX-Portal geteilt, sodass eine TISAX-Bewertung alle OEM-Beziehungen auf der zertifizierten Stufe abdeckt. Ohne TISAX werden Sie möglicherweise von Ausschreibungen und Lieferantenpanels ausgeschlossen.

Was passiert, wenn ich das TISAX Audit nicht bestehe?

Sie erhalten einen Bericht mit den Findings und Mängeln. Sie haben eine definierte Frist (typischerweise 3–9 Monate je nach Schwere), um die Findings zu beheben und ein Folge-Assessment zu beantragen. In dieser Zeit zeigt Ihr Zertifizierungsstatus im ENX-Portal “in Bearbeitung” — was OEMs einsehen können.

Welche Firewall-Hersteller unterstützt FwChange für die TISAX-Vorbereitung?

FwChange arbeitet herstellerunabhängig mit Palo Alto Networks, Fortinet, Cisco, Check Point, Juniper und anderen gängigen Firewall-Plattformen. Sie laden Ihre Regelbasis hoch und erhalten eine sofortige Analyse — unabhängig vom Hersteller. Für Umgebungen mit mehreren Firewall-Herstellern bietet FwChange eine einheitliche Übersicht.

Nächste Schritte

Wenn Sie sich auf ein TISAX Audit vorbereiten, fangen Sie mit Ihrer Firewall-Dokumentation an — sie ist einer der Bereiche, die am ehesten zu Findings führen, wenn sie nicht richtig vorbereitet ist. Der kostenlose FwChange Rulebase-Scanner gibt Ihnen eine sofortige Einschätzung Ihres aktuellen Regelzustands: Shadow-Regeln, Konflikte, Redundanzen und Dokumentationslücken. Es dauert 30 Sekunden und zeigt Ihnen genau, wo Handlungsbedarf besteht, bevor der Auditor kommt.

Für automatisiertes Change Management, kontinuierliche Regelanalyse und audit-fähige Dokumentation, die TISAX-Anforderungen erfüllt, sehen Sie sich die FwChange-Plattform an oder schauen Sie sich die Preise an.

Verwandte Compliance-Leitfäden

See How Your Firewall Rules Score

Upload your config and get a free compliance report with shadow rule detection, conflict analysis, and optimization recommendations.

Try Free ScannerSee All Features

Stay Updated

Get firewall management tips, compliance guides, and product updates.

No spam. Unsubscribe anytime.

Fw

The FwChange Team

Enterprise firewall change management. Built by security professionals with 17+ years of hands-on experience.

Related Articles

Guides

The Complete Guide to Firewall Change Management in 2026

10 min read

Compliance

PCI-DSS 4.0 Firewall Requirements: What Security Teams Need to Know

8 min read

Best Practices

How to Optimize Your Firewall Rulebase: Shadow Rules, Redundancies, and Best Practices

8 min read

Ready to Automate Firewall Changes?

See how FwChange streamlines multi-vendor firewall management with compliance automation and AI-powered rule analysis.

Try Free Scanner