Whitepaper NIS2-Check EN

Compliance

TISAX-Firewall-Anforderungen für Automobilzulieferer

NF Nick Falshaw· 4. Feb. 2026· 10 Min. Lesezeit
TISAX Firewall-AnforderungenTISAX-ComplianceVDA ISA Firewall
Ein TISAX-Schild für Automobilsicherheit über Firewall-Regeln

Weltweit benötigen über 30.000 Automobilzulieferer eine TISAX-Zertifizierung, um mit OEMs wie Volkswagen, BMW und Daimler Geschäfte machen zu können. Dennoch scheitern viele beim ersten Auditversuch – und eine unvollständige Firewall-Dokumentation gehört zu den häufigsten Gründen dafür. Wenn Sie als Automobilzulieferer ein TISAX-Assessment vorbereiten, werden Ihre Firewall-Konfiguration und Ihre Change-Management-Dokumentation im Detail geprüft.

Dieser Leitfaden erläutert die konkreten TISAX-Firewall-Anforderungen, die Sie erfüllen müssen, erklärt, warum die meisten Zulieferer scheitern, und liefert eine praxisnahe Checkliste für eine Dokumentation, die beim ersten Anlauf besteht.

Was ist TISAX und warum ist es für Firewalls relevant?

TISAX (Trusted Information Security Assessment Exchange) ist der Informationssicherheitsstandard der Automobilindustrie, verwaltet von der ENX Association. Er basiert auf dem VDA Information Security Assessment (VDA ISA), das wiederum aus der ISO 27001 abgeleitet ist, jedoch um automobilspezifische Anforderungen rund um Prototypenschutz, Datenvertraulichkeit und Lieferkettensicherheit ergänzt wurde.

Für Firewalls ist TISAX deshalb relevant, weil der VDA-ISA-Katalog konkrete Kontrollziele zu Netzwerksegmentierung, Zugriffskontrolle, Change Management und Incident Response enthält – die allesamt unmittelbar über Firewall-Regeln umgesetzt werden. Ihre Firewall ist der Durchsetzungspunkt für viele der Kontrollen, die TISAX-Auditoren bewerten.

Anders als die ISO 27001, ein internationaler Standard mit breitem Anwendungsbereich, ist TISAX branchenspezifisch, und die Anerkennung wird über das ENX-Portal geteilt. Sobald Sie die TISAX-Zertifizierung erreicht haben, können OEMs und Tier-1-Zulieferer Ihren Status verifizieren, ohne eigene Audits durchführen zu müssen – das spart in der gesamten Lieferkette erheblich Zeit und Kosten.

Die 5 zentralen TISAX-Firewall-Anforderungen

Der VDA-ISA-Katalog deckt Informationssicherheit zwar breit ab, doch diese fünf Kontrollbereiche haben den unmittelbarsten Einfluss auf Ihre Firewall-Infrastruktur und -Dokumentation:

1. Lückenlose Änderungshistorie

Jede Änderung einer Firewall-Regel muss mit einem vollständigen Audit-Trail dokumentiert werden: wer die Änderung beantragt hat, wer sie genehmigt hat, wann sie umgesetzt wurde und welche fachliche Begründung dahintersteht. TISAX-Auditoren verlangen Einsicht in Ihr Änderungsprotokoll und prüfen, ob es alle im Bewertungszeitraum vorgenommenen Änderungen abdeckt. Informelle Änderungen – direkt über die CLI ohne definierten Prozess – sind Auditfeststellungen.

Was Auditoren prüfen: Change-Request-Unterlagen, Genehmigungsnachweise, Umsetzungszeitstempel, Dokumentation der fachlichen Begründung, Regelzustand vor und nach der Änderung.

2. Regelmäßige Regel-Reviews

Firewall-Regeln müssen regelmäßig überprüft werden, um zu bestätigen, dass sie weiterhin benötigt und korrekt konfiguriert sind. TISAX erwartet dokumentierte Nachweise periodischer Reviews – nicht bloß die Aussage, dass Reviews stattfinden, sondern tatsächliche Aufzeichnungen darüber, welche Regeln von wem überprüft wurden und mit welchem Ergebnis (beibehalten, geändert oder entfernt).

Was Auditoren prüfen: Review-Zeitpläne, Nachweise abgeschlossener Reviews, Identität der Prüfer, Feststellungen und ergriffene Maßnahmen, Nachweise, dass nicht genutzte Regeln entfernt werden.

3. Netzwerksegmentierung

TISAX verlangt eine Netzwerksegmentierung zum Schutz sensibler Daten – insbesondere von Prototypeninformationen, die für Automobil-OEMs ein zentrales Anliegen sind. Ihre Firewall-Regeln müssen klare Grenzen zwischen Netzwerkzonen durchsetzen: Produktionsnetze, Entwicklungsumgebungen, Gastzugänge und sämtliche Zonen, die vertrauliche Prototypendaten verarbeiten. Netzwerkdiagramme müssen die Segmentierung präzise abbilden.

Was Auditoren prüfen: Netzwerkarchitekturdiagramme, Firewall-Zonenkonfigurationen, Regeln für den Zonen-übergreifenden Verkehr, Isolationsmaßnahmen für Prototypendaten, Trennung des Gastnetzes.

4. Zugriffskontrolle

Firewall-Regeln müssen das Least-Privilege-Prinzip durchsetzen – nur ausdrücklich erforderlicher Verkehr darf zugelassen werden, alles Übrige wird standardmäßig blockiert. TISAX-Auditoren achten auf zu freizügige Regeln (insbesondere any/any-Regeln), Regeln, die unnötige Dienste erlauben, sowie Regeln, die Quell- oder Zieladressen nicht angemessen einschränken.

Was Auditoren prüfen: Default-Deny-Richtlinien, Regelspezifität (kein any/any-allow), Diensteinschränkungen, Granularität der Quell- und Zieladressen, Zugriffskontrollen für den administrativen Zugang zur Firewall selbst.

5. Incident Response

Ihre Firewall-Infrastruktur muss die Erkennung von und Reaktion auf Sicherheitsvorfälle unterstützen. Das bedeutet: Das Logging ist für kritische Regeln aktiviert, Logs werden an ein zentrales System (SIEM oder Log-Management) weitergeleitet, die Aufbewahrungsfristen erfüllen die TISAX-Anforderungen, und es existiert ein dokumentierter Prozess, wie Firewall-Logs bei der Untersuchung von Vorfällen genutzt werden.

Was Auditoren prüfen: Logging-Konfiguration, Log-Aufbewahrungsfristen, SIEM-Integration, Incident-Response-Verfahren mit Bezug auf Firewall-Daten, Nachweise früherer Vorfalluntersuchungen unter Verwendung von Firewall-Logs.

Warum so viele Zulieferer beim ersten Assessment scheitern

Die hohe Durchfallquote liegt nicht daran, dass die TISAX-Anforderungen unangemessen wären – sie liegt daran, dass die meisten Zulieferer den Dokumentationsaufwand unterschätzen. Die technischen Kontrollen (Firewalls, Segmentierung, Logging) sind in der Regel vorhanden. Was fehlt, ist der Nachweis, dass diese Kontrollen ordnungsgemäß verwaltet werden.

Häufige Fehlermuster

  • Kein Change-Management-Prozess. Firewall-Änderungen werden informell vorgenommen – der Techniker meldet sich an, nimmt die Änderung vor und macht weiter. Kein Antrag, keine Genehmigung, kein Audit-Trail. Das ist die mit Abstand häufigste Feststellung.
  • Fehlende fachliche Begründungen. Regeln existieren, aber niemand kann erklären, warum. Wenn der Auditor fragt: „Warum erlaubt diese Regel TCP/8080 vom Gastnetz zum Produktionsserver?“ und es darauf keine dokumentierte Antwort gibt, ist das eine Feststellung.
  • Kein Nachweis von Regel-Reviews. Das Team gibt an, die Regeln vierteljährlich zu überprüfen, aber es gibt keine Dokumentation, die das belegt. Keine Review-Daten, keine Namen der Prüfer, keine Feststellungen, keine Korrekturmaßnahmen.
  • Unvollständige Netzwerkdiagramme. Das Netzwerkdiagramm zeigt die beabsichtigte Architektur, stimmt aber nicht mit der tatsächlichen Firewall-Konfiguration überein. Neue Segmente, VPN-Tunnel oder Cloud-Anbindungen wurden hinzugefügt, ohne die Dokumentation zu aktualisieren.
  • Logging-Lücken. Das Logging ist für einige Regeln aktiviert, aber nicht für alle kritischen. Oder Logs werden lokal auf der Firewall mit unzureichender Aufbewahrung gespeichert. Oder es gibt keinen Prozess, um Logs während der Incident Response auszuwerten.

So bereiten Sie sich vor: 5 Schritte

Hier ist ein praxisnaher Ansatz für den Aufbau einer TISAX-konformen Firewall-Dokumentation – egal, ob Sie bei null beginnen oder sich auf eine Re-Bewertung vorbereiten:

Schritt 1: Einen Change-Management-Prozess einführen

Falls Sie noch keinen formalen Firewall-Change-Management-Prozess haben, führen Sie sofort einen ein. Jede Regeländerung – egal wie geringfügig – muss einen definierten Workflow durchlaufen: Antrag, Prüfung, Genehmigung, Umsetzung, Dokumentation. Das ist das Fundament, auf dem alles Weitere aufbaut.

Schritt 2: Ihr aktuelles Regelwerk auditieren

Führen Sie ein umfassendes Firewall-Regel-Audit durch, um Shadow-Regeln, Konflikte, Redundanzen und Regeln ohne Dokumentation zu identifizieren. Bereinigen Sie, was Sie können, und dokumentieren Sie, was Sie nicht sofort ändern können (mit einem Maßnahmenplan und Zeitrahmen).

Schritt 3: Fachliche Begründungen dokumentieren

Gehen Sie jede Regel in Ihrem Regelwerk durch und hinterlegen Sie eine fachliche Begründung. Bei bestehenden Regeln, deren ursprünglicher Antragsteller unbekannt ist, arbeiten Sie mit den Applikationsverantwortlichen und IT-Teams zusammen, um den Zweck zu rekonstruieren. Kann niemand erklären, warum eine Regel existiert, deaktivieren Sie sie (mit Monitoring) und dokumentieren Sie die Entscheidung.

Schritt 4: Netzwerkdiagramme aktualisieren

Stellen Sie sicher, dass Ihre Netzwerkdiagramme die tatsächliche Firewall-Konfiguration und Netzwerktopologie präzise abbilden. Jede Zone, jeder Zonen-übergreifende Regelsatz, jeder VPN-Tunnel und jede Cloud-Anbindung sollte dokumentiert sein. Beschriften Sie Zonen eindeutig, insbesondere alle Bereiche, die Prototypendaten oder vertrauliche OEM-Daten verarbeiten.

Schritt 5: Review-Rhythmus etablieren

Richten Sie einen regelmäßigen Review-Zeitplan ein – vierteljährlich ist Best Practice – und dokumentieren Sie jedes Review. Halten Sie fest, welche Regeln von wem überprüft wurden, welche Feststellungen es gab und welche Maßnahmen ergriffen wurden. Beginnen Sie damit deutlich vor Ihrem TISAX-Assessment, damit Sie mindestens 2–3 abgeschlossene Review-Zyklen als Nachweis vorweisen können.

Manuelle vs. automatisierte TISAX-Vorbereitung

Sie können sich manuell auf ein TISAX-Firewall-Assessment vorbereiten, doch der Aufwand skaliert schlecht. Hier ein realistischer Vergleich:

Manuelle Vorbereitung

  • ✗ Änderungsverfolgung in Tabellen oder E-Mails
  • ✗ Regelanalyse per Sichtprüfung (Tage/Wochen)
  • ✗ Fachliche Begründungen in separaten Dokumenten
  • ✗ Review-Nachweise über verschiedene Dateien verstreut
  • ✗ Audit-Vorbereitung dauert 2–4 Wochen
  • ✗ Regeln werden leicht übersehen oder Dokumentation geht verloren

Automatisierte Vorbereitung

  • ✓ Änderungsverfolgung mit vollständigem Audit-Trail
  • ✓ Regelanalyse in Minuten (Shadow, Konflikt, Redundanz)
  • ✓ Fachliche Begründungen an jeder Regel hinterlegt
  • ✓ Review-Nachweise automatisch generiert
  • ✓ Auditfertige Berichte auf Knopfdruck exportierbar
  • ✓ Kontinuierliche Compliance statt einer Momentaufnahme

Assessment-Stufen und Firewall-Erwartungen

TISAX-Assessments werden auf drei Stufen durchgeführt, jeweils mit zunehmender Strenge. Die Firewall-Erwartungen skalieren entsprechend:

Stufe 1 (normaler Schutzbedarf): Selbstbewertung auf Basis des VDA-ISA-Katalogs. Eine Firewall-Dokumentation muss vorhanden sein, das Assessment ist jedoch weniger streng. Geeignet für Zulieferer, die nicht-sensible Daten verarbeiten.

Stufe 2 (hoher Schutzbedarf): Plausibilitätsprüfung durch einen akkreditierten Auditdienstleister. Der Auditor prüft Ihre Dokumentation und kann zusätzliche Nachweise anfordern. Ihr Firewall-Change-Management-Prozess und Ihre Regeldokumentation werden untersucht. Die häufigste Stufe für Zulieferer, die vertrauliche OEM-Daten verarbeiten.

Stufe 3 (sehr hoher Schutzbedarf): Vollständiges Vor-Ort-Audit durch einen akkreditierten Dienstleister. Der Auditor gleicht Ihre Dokumentation mit der tatsächlichen Firewall-Konfiguration ab. Möglicherweise meldet er sich an der Firewall an, um Ihre dokumentierten Regeln mit dem tatsächlich Laufenden zu vergleichen. Jede Abweichung zwischen Dokumentation und Realität ist eine Feststellung. Erforderlich für Zulieferer, die Prototypendaten oder eingestufte Informationen verarbeiten.

Vorbereitung auf die Fragen des Auditors

Bei einem TISAX-Assessment der Stufe 2 oder 3 stellt der Auditor konkrete Fragen zu Ihrem Firewall-Management. Seien Sie auf diese vorbereitet:

„Zeigen Sie mir Ihren Firewall-Change-Management-Prozess. Wie gelangt eine Regeländerung vom Antrag bis zur Umsetzung?“

Sie benötigen einen dokumentierten Workflow mit klaren Schritten, Rollen und Genehmigungskriterien.

„Wählen Sie eine beliebige Regel auf dieser Firewall. Warum existiert sie? Wer hat sie genehmigt?“

Jede Regel muss über eine nachvollziehbare fachliche Begründung und einen Genehmigungsnachweis verfügen.

„Wann haben Sie zuletzt Ihre Firewall-Regeln überprüft? Zeigen Sie mir den Nachweis.“

Sie benötigen datierte Review-Aufzeichnungen mit den Namen der Prüfer, den Feststellungen und den Korrekturmaßnahmen.

„Wie ist das Netzwerksegment mit den Prototypendaten isoliert? Zeigen Sie mir die Firewall-Regeln, die diese Segmentierung durchsetzen.“

Netzwerkdiagramme müssen mit der tatsächlichen Firewall-Zonenkonfiguration und den Regeln übereinstimmen.

„Wenn jetzt ein Sicherheitsvorfall einträte, wie würden Sie Ihre Firewall-Logs zur Untersuchung nutzen?“

Sie benötigen einen dokumentierten Incident-Response-Prozess, der auf Firewall-Logdaten Bezug nimmt.

Ihre TISAX-Firewall-Checkliste

Nutzen Sie diese Checkliste, um Ihre TISAX-Vorbereitung zu verfolgen. Jeder Punkt sollte vor Ihrem Assessment abgeschlossen und dokumentiert sein:

Change Management

  • ☐ Formaler Change-Management-Prozess dokumentiert und genehmigt
  • ☐ Alle Firewall-Änderungen durchlaufen den definierten Prozess
  • ☐ Change-Requests enthalten eine fachliche Begründung
  • ☐ Genehmigungsnachweise sind vollständig und abrufbar
  • ☐ Notfall-Änderungsprozess mit nachträglichem Review definiert

Regeldokumentation

  • ☐ Jede Regel hat eine dokumentierte fachliche Begründung
  • ☐ Jede Regel hat einen benannten Verantwortlichen oder Antragsteller
  • ☐ Nicht genutzte oder unerklärte Regeln wurden entfernt oder dokumentiert
  • ☐ Es existieren keine zu freizügigen Regeln (any/any-allow) ohne dokumentierte Ausnahme

Netzwerksegmentierung

  • ☐ Netzwerkdiagramme sind aktuell und korrekt
  • ☐ Zonen mit Prototypen-/vertraulichen Daten sind eindeutig gekennzeichnet
  • ☐ Firewall-Zonenkonfiguration stimmt mit der Dokumentation überein
  • ☐ Regeln für den Zonen-übergreifenden Verkehr setzen das Least-Privilege-Prinzip durch
  • ☐ Gast- und Besuchernetze sind isoliert

Review und Monitoring

  • ☐ Regelmäßiger Review-Zeitplan etabliert (vierteljährlich empfohlen)
  • ☐ Mindestens 2–3 abgeschlossene Review-Zyklen dokumentiert
  • ☐ Logging für alle kritischen Firewall-Regeln aktiviert
  • ☐ Logs an ein zentrales SIEM oder Log-Management weitergeleitet
  • ☐ Log-Aufbewahrung erfüllt die TISAX-Anforderungen

Incident Response

  • ☐ Incident-Response-Verfahren nimmt auf Firewall-Logdaten Bezug
  • ☐ Das Team weiß, wie es Firewall-Logs während einer Untersuchung abfragt
  • ☐ Eskalationsverfahren sind dokumentiert und getestet

Häufig gestellte Fragen

Wie lange dauert eine TISAX-Zertifizierung?

Von der ersten Vorbereitung bis zur Zertifizierung benötigen die meisten Organisationen 3–6 Monate. Der Zeitrahmen hängt von Ihrem Ausgangspunkt ab – wenn Sie bereits über eine ISO 27001 verfügen, ist ein Großteil der Grundlagen bereits gelegt. Die firewall-spezifische Vorbereitung (Change Management, Regeldokumentation, Review-Nachweise) erfordert in der Regel 4–8 Wochen konzentrierter Arbeit.

Ist TISAX dasselbe wie ISO 27001?

Nein. TISAX basiert auf dem VDA-ISA-Katalog, der aus der ISO 27001 abgeleitet ist, jedoch automobilspezifische Anforderungen rund um Prototypenschutz, Datenklassifizierung für OEM-Daten und Lieferketten-Sicherheitskontrollen enthält. Eine ISO 27001 verschafft Ihnen ein solides Fundament, aber die TISAX-Zertifizierung erfordert zusätzliche automobilspezifische Dokumentation und Kontrollen.

Benötige ich TISAX für jede OEM-Beziehung?

Zunehmend ja. Die meisten großen OEMs (Volkswagen, BMW, Daimler, Audi, Porsche) verlangen inzwischen eine TISAX-Zertifizierung von ihren Zulieferern. Die Zertifizierung wird über das ENX-Portal geteilt, sodass ein TISAX-Assessment alle OEM-Beziehungen auf der zertifizierten Stufe abdeckt. Ohne TISAX können Sie von Ausschreibungen und Zuliefererpools ausgeschlossen werden.

Was passiert, wenn ich das TISAX-Assessment nicht bestehe?

Sie erhalten einen Feststellungsbericht, der aufschlüsselt, was behoben werden muss. Sie haben einen definierten Zeitraum (je nach Schweregrad typischerweise 3–9 Monate), um die Feststellungen zu beheben und ein Folge-Assessment zu beantragen. Während dieses Zeitraums wird Ihr Zertifizierungsstatus im ENX-Portal als „in Bearbeitung“ angezeigt – sichtbar für die OEMs.

Nächste Schritte

Wenn Sie sich auf ein TISAX-Assessment vorbereiten, beginnen Sie mit Ihrer Firewall-Dokumentation – sie gehört zu den Bereichen, die am ehesten Feststellungen erzeugen, wenn sie nicht sauber vorbereitet ist. Der kostenlose FwChange-Regelwerk-Scanner liefert Ihnen eine sofortige Bewertung des aktuellen Zustands Ihrer Regeln: Shadow-Regeln, Konflikte, Redundanzen und Dokumentationslücken. Er dauert 30 Sekunden und zeigt Ihnen exakt, wo Ihr Regelwerk Aufmerksamkeit benötigt, bevor der Auditor kommt.

Für automatisiertes Change Management, kontinuierliche Regelanalyse und auditfertige Dokumentation, die die TISAX-Anforderungen erfüllt, entdecken Sie die vollständige FwChange-Plattform.

NF

Nick Falshaw

Principal Security Architect & AI Systems Engineer

17+ Jahre Firewall- und Netzwerksicherheit in europäischen Großunternehmen und KRITIS-regulierten Umgebungen. Autor von FwChange und des 280-Migrationen-Datensatzes.

Ähnliche Beiträge

Compliance

Der Cyber Resilience Act: Was Security-Teams dokumentieren müssen

27. Mai 2026
Compliance

PCI-DSS-4.0-Compliance-Automatisierung: kontinuierliche Validierung

27. Mai 2026
Compliance

SOC 2 Type II für europäische Unternehmen: 5 Kriterien + DSGVO

27. Mai 2026
Neuerer BeitragMulti-Vendor-Firewall-Umgebungen verwalten