TISAX Firewall-Anforderungen: Was Automobilzulieferer dokumentieren müssen
Wenn Sie als Automobilzulieferer die TISAX-Zertifizierung anstreben, wird Ihre Firewall-Dokumentation unter die Lupe genommen. TISAX Firewall-Anforderungen definieren genau, was Auditoren erwarten—und die meisten Zulieferer sind nicht vorbereitet.
Der VDA (Verband der Automobilindustrie) hat TISAX geschaffen, um sensible Fahrzeugdaten in der gesamten Lieferkette zu schützen. Jede Firewall-Regel, jede Änderung, jede Ausnahme muss dokumentiert und begründet werden. Das ist keine Bürokratie—so schützen OEMs wie BMW, Mercedes und Volkswagen ihr geistiges Eigentum.
Dieser Leitfaden erläutert die spezifischen TISAX Firewall-Anforderungen, die Sie erfüllen müssen, häufige Audit-Fehler und wie Sie eine Dokumentation erstellen, die beim ersten Versuch besteht.
Was ist TISAX und warum ist es für Firewalls wichtig?
TISAX (Trusted Information Security Assessment Exchange) ist der Informationssicherheitsstandard der Automobilindustrie. Er wird von der ENX Association verwaltet und basiert auf dem VDA Information Security Assessment (ISA) Katalog. Über 30.000 Zulieferer weltweit benötigen TISAX, um mit deutschen OEMs zusammenzuarbeiten.
Firewalls stehen im Zentrum der TISAX-Compliance. Sie kontrollieren den Zugang zu Fahrzeugentwicklungsdaten, Prototyp-Spezifikationen und Zulieferer-Netzwerken. Die TISAX Firewall-Anforderungen stellen sicher, dass jeder Zugangspfad dokumentiert, autorisiert und auditierbar ist.
Anders als ISO 27001 ist TISAX speziell für die Automobilbranche konzipiert. Auditoren verstehen Fertigungsumgebungen, OEM-Konnektivitätsanforderungen und die Komplexität der Lieferkette. Sie wissen auch genau, wo Zulieferer bei der Firewall-Dokumentation Abkürzungen nehmen.
Die 5 Kern-TISAX Firewall-Anforderungen
Der VDA ISA-Katalog spezifiziert klare Kontrollen für Netzwerksicherheit. Hier sind die fünf TISAX Firewall-Anforderungen, die Auditoren zuerst prüfen:
1. Vollständige Änderungshistorie
Jede Firewall-Regeländerung muss mit Zeitstempel, Anforderer, Genehmiger und Geschäftsbegründung protokolliert werden. Die BSI-Richtlinien fordern dies für alle sicherheitskritischen Systeme. Auditoren werden Änderungsprotokolle für zufällige Zeiträume anfordern—Lücken bedeuten Feststellungen.
Ihre Dokumentation der TISAX Firewall-Anforderungen muss zeigen, wer jede Regel angefordert hat, warum sie benötigt wurde und wer sie genehmigt hat. “IT hat angefordert” oder “Standardänderung” genügt den Auditoren nicht. Sie wollen spezifischen Geschäftskontext.
2. Regelüberprüfung und Rezertifizierung
TISAX erfordert eine regelmäßige Überprüfung aller Firewall-Regeln. Führen Sie mindestens jährliche Überprüfungen durch. Bei hochsensiblen Daten (Assessment Level 3) können vierteljährliche Überprüfungen erwartet werden.
Jede Überprüfung muss dokumentieren: Regelnotwendigkeit, aktueller Eigentümer, Ablaufdatum falls zutreffend, und Abzeichnung. Regeln ohne aktive Eigentümer oder Geschäftsbegründung sollten entfernt werden. Auditoren suchen gezielt nach “verwaisten Regeln”, die niemand besitzt.
3. Nachweise zur Netzwerksegmentierung
Der VDA ISA verlangt Netzwerksegmentierung zwischen Entwicklungs-, Produktions- und Büroumgebungen. Ihre Firewall-Regeln müssen diese Segmentierung demonstrieren. Die Erfüllung der TISAX Firewall-Anforderungen bedeutet, klare Grenzen zwischen Netzwerkzonen aufzuzeigen.
Auditoren erwarten Netzwerkdiagramme, die zu den Firewall-Regelsets passen. Jede Inter-Zonen-Verbindung benötigt eine dokumentierte Begründung. OEM-Konnektivitätszonen erfordern besondere Aufmerksamkeit—diese sind Hauptziele für Supply-Chain-Angriffe.
4. Dokumentation der Zugriffskontrollen
Wer darf Firewall-Regeln ändern? TISAX erfordert dokumentierte Zugriffskontrollen und Funktionstrennung. Die Person, die eine Änderung anfordert, sollte nicht dieselbe sein, die sie genehmigt oder implementiert.
Ihre Dokumentation muss rollenbasierten Zugriff auf Firewall-Managementsysteme zeigen. Privilegierter Zugriff sollte zeitlich begrenzt und protokolliert sein. Multi-Faktor-Authentifizierung wird zunehmend für die Firewall-Administration erwartet.
5. Integration der Incident Response
Firewall-Logs müssen in Ihre Prozesse zur Erkennung und Reaktion auf Vorfälle einfließen. TISAX Firewall-Anforderungen umfassen den Nachweis, wie Sie anomalen Datenverkehr erkennen und darauf reagieren. Log-Aufbewahrung, Alarmschwellen und Reaktionsverfahren müssen alle dokumentiert werden.
Die ENISA (Agentur der Europäischen Union für Cybersicherheit) bietet Leitlinien zum Log-Management, die mit den TISAX-Erwartungen übereinstimmen. Auditoren prüfen, dass Firewall-Ereignisse in Ihr SIEM oder Ihre Sicherheitsüberwachungsplattform integriert sind.
Warum 67% der Zulieferer ihr erstes TISAX-Audit nicht bestehen
Die meisten Audit-Fehler lassen sich auf die Dokumentation zurückführen, nicht auf technische Kontrollen. Zulieferer haben Firewalls. Sie haben Regeln. Was ihnen fehlt, ist der Audit-Trail, der die Governance über diese Regeln belegt.
Häufige Fehlermuster umfassen:
Excel-basierte Änderungsverfolgung: Tabellen gehen verloren, werden überschrieben oder haben keine Integritätskontrollen. Auditoren können nicht verifizieren, dass Einträge nicht nachträglich geändert wurden. TISAX Firewall-Anforderungen verlangen manipulationssichere Aufzeichnungen.
Lücken im Ticketsystem: Die Verwendung von ServiceNow oder Jira für Änderungen ist besser als Excel, aber Tickets fehlen oft erforderliche Felder. Anfordername, Geschäftsbegründung und formale Genehmigungsketten fehlen häufig.
Fehlende Regelüberprüfungen: Viele Zulieferer haben nie eine vollständige Regelbasenüberprüfung durchgeführt. Wenn Auditoren nach Nachweisen der jährlichen Rezertifizierung fragen, gibt es nichts vorzuweisen. Dies ist ein automatisches Finding.
Keine Verbindung zu Netzwerkdiagrammen: Regeln existieren, aber niemand kann erklären, wie sie zur Netzwerkarchitektur passen. Auditoren erwarten, dass Regelsets eine Geschichte über Ihre Segmentierungsstrategie erzählen.
Wie Sie Ihre Firewall-Dokumentation für TISAX vorbereiten
Beginnen Sie mit der Vorbereitung mindestens 6 Monate vor Ihrem Audit. Hier ist ein praktischer Fahrplan zur Erfüllung der TISAX Firewall-Anforderungen:
Schritt 1: Inventarisierung aller Firewalls
Dokumentieren Sie jede Firewall im Scope: Perimeter, interne Segmentierung, Cloud-Sicherheitsgruppen und Host-basierte. Einschließlich Hersteller, Version und Verwaltungsmethode. Auditoren werden diese Inventarliste zuerst anfordern.
Schritt 2: Export und Analyse aktueller Regeln
Ziehen Sie vollständige Regelexporte von jeder Firewall. Identifizieren Sie Regeln ohne klare Eigentümerschaft oder Geschäftszweck. Markieren Sie “any/any”-Regeln, deaktivierte Regeln, die in der Konfiguration verbleiben, und Regeln älter als 12 Monate ohne Überprüfung.
Schritt 3: Implementierung eines Change-Management-Prozesses
Etablieren Sie einen formalen Prozess, der alle TISAX Firewall-Anforderungen erfasst: Anforderung, Genehmigung, Implementierung und Verifizierung. Dokumentieren Sie den Prozess und schulen Sie das Personal. Jede Änderung ab diesem Zeitpunkt muss dem Prozess folgen.
Schritt 4: Durchführung der Regelüberprüfung
Überprüfen Sie jede Regel mit den Geschäftsinhabern. Dokumentieren Sie Notwendigkeit, weisen Sie Eigentümerschaft zu, setzen Sie gegebenenfalls Ablaufdaten. Entfernen Sie unnötige Regeln. Dies ist oft der zeitaufwändigste Schritt, bietet aber sofortigen Sicherheitsnutzen.
Schritt 5: Zuordnung zur Netzwerkarchitektur
Erstellen oder aktualisieren Sie Netzwerkdiagramme, die Segmentierungszonen zeigen. Verknüpfen Sie Regelsets mit diesen Zonen. Auditoren sollten jede Regel auf eine architektonische Entscheidung zurückführen können.
Manuelle vs. automatisierte Firewall-Dokumentation
Zulieferer stehen vor einer Wahl: Weiter mit manueller Dokumentation oder automatisiertes Firewall-Change-Management implementieren. Der Unterschied bei den Audit-Ergebnissen ist signifikant.
Manuelle Ansätze (Excel, Tickets, Netzlaufwerke) erfordern ständige Disziplin. Ein übersehener Eintrag, eine undokumentierte Notfalländerung, und Ihr Audit-Trail hat Lücken. Personalfluktuation bedeutet, dass institutionelles Wissen verschwindet.
Automatisierte Tools erfassen Änderungen direkt von Firewalls. Jede Modifikation wird automatisch mit vollständigem Kontext protokolliert. Historische Daten werden bewahrt und sind durchsuchbar. TISAX Firewall-Anforderungen werden leichter nachweisbar, weil Nachweise kontinuierlich generiert werden.
Laut Gartner-Forschung reduzieren Organisationen mit automatisiertem Policy-Management die Audit-Vorbereitungszeit um 60-80%. Speziell für TISAX eliminiert automatisierte Dokumentation die häufigsten Fehlerpunkte.
Assessment-Level und Firewall-Erwartungen
TISAX hat drei Assessment-Level. Ihr erforderliches Level hängt von der Sensibilität der OEM-Daten ab, die Sie verarbeiten:
Assessment Level 1 (Normal): Grundlegende TISAX Firewall-Anforderungen gelten. Änderungsdokumentation und jährliche Überprüfungen werden erwartet. Selbstbewertung kann ausreichend sein.
Assessment Level 2 (Hoch): Strengere Kontrollen. Vierteljährliche Regelüberprüfungen empfohlen. Vor-Ort-Audit durch akkreditierten Anbieter erforderlich. Die meisten OEM-Entwicklungsdaten fallen hierunter.
Assessment Level 3 (Sehr hoch): Maximale Kontrollen. Prototypdaten, unveröffentlichte Fahrzeugspezifikationen. Erweiterte Protokollierung, häufigere Überprüfungen, detaillierte Zugriffskontrollen obligatorisch.
Kennen Sie Ihr Assessment-Level vor der Vorbereitung. Überengineering für Level 1 verschwendet Ressourcen. Unzureichende Vorbereitung für Level 3 garantiert Misserfolg.
Vorbereitung auf die Fragen des Auditors
TISAX-Auditoren folgen dem VDA ISA-Katalog systematisch. Für Netzwerksicherheit erwarten Sie diese Fragen:
“Zeigen Sie mir die Änderungshistorie Ihrer Perimeter-Firewall der letzten 6 Monate.” Sie benötigen zeitgestempelte Aufzeichnungen mit Geschäftsbegründung für jede Änderung.
“Wie stellen Sie sicher, dass Firewall-Regeln über die Zeit notwendig bleiben?” Beschreiben Sie Ihren Überprüfungsprozess, die Häufigkeit und legen Sie Nachweise aktueller Überprüfungen vor.
“Führen Sie mich durch die Bearbeitung einer Firewall-Änderungsanforderung.” Demonstrieren Sie den Workflow von der Anforderung bis zur Implementierung. Zeigen Sie Funktionstrennung.
“Wie passt dieses Regelset zu Ihrer Netzwerksegmentierung?” Verbinden Sie Regeln mit der Architektur. Erklären Sie, warum bestimmter Datenverkehr zwischen Zonen erlaubt ist.
Bereiten Sie Ihr Team vor, selbstbewusst zu antworten. Dokumentation sollte sofort zugänglich sein, nicht in Netzlaufwerken oder Ticketsystemen vergraben.
Nächste Schritte: Ihre TISAX-Firewall-Checkliste
Die Erfüllung der TISAX Firewall-Anforderungen ist mit guter Vorbereitung erreichbar. Nutzen Sie diese Checkliste, um Ihre Bereitschaft zu bewerten:
☐ Alle Firewalls mit Hersteller, Version, Standort inventarisiert
☐ Vollständige Änderungshistorie für die letzten 12 Monate verfügbar
☐ Formaler Change-Management-Prozess dokumentiert und befolgt
☐ Alle Regeln haben zugewiesene Eigentümer und dokumentierte Begründung
☐ Jährliche (oder vierteljährliche) Regelüberprüfungen durchgeführt und nachgewiesen
☐ Netzwerkdiagramme passen zu Firewall-Regelsets
☐ Zugriffskontrollen und Funktionstrennung dokumentiert
☐ Firewall-Logs in Sicherheitsüberwachung integriert
Wenn Lücken bestehen, beheben Sie sie vor der Audit-Terminierung. Die Kosten für Nachbesserung und erneutes Audit übersteigen bei weitem eine ordentliche Vorbereitung.
Holen Sie sich Ihr kostenloses TISAX-Firewall-Audit
FwChange hilft Automobilzulieferern, die Firewall-Dokumentation zu automatisieren und TISAX Firewall-Anforderungen zu erfüllen. Unsere Plattform erfasst jede Änderung automatisch, generiert audit-fähige Berichte und eliminiert manuelle Nachverfolgung.
Fordern Sie ein kostenloses Firewall-Audit an, um zu sehen, wie Ihre aktuelle Dokumentation den TISAX-Anforderungen entspricht. Wir identifizieren Lücken und zeigen Ihnen genau, was Auditoren hinterfragen werden.
Häufig gestellte Fragen
Welche Firewall-Dokumentation erfordert TISAX?
TISAX erfordert vollständige Änderungshistorie mit Zeitstempeln, Anforderer, Genehmiger und Geschäftsbegründung. Sie benötigen auch Nachweise für regelmäßige Regelüberprüfungen, Dokumentation der Netzwerksegmentierung, Zugriffskontrollen und Integration der Incident Response.
Kann ich Excel für TISAX-Firewall-Dokumentation verwenden?
Excel wird nicht empfohlen. Auditoren bezweifeln die Integrität von Tabellen, da Einträge ohne Audit-Trails geändert werden können. Automatisierte Change-Management-Systeme oder Ticketsysteme mit ordnungsgemäßen Kontrollen werden für die Erfüllung der TISAX Firewall-Anforderungen bevorzugt.
Wie oft müssen Firewall-Regeln für TISAX überprüft werden?
Jährliche Überprüfungen sind die Mindestanforderung. Für Assessment Level 3 (sehr hoher Schutzbedarf) werden oft vierteljährliche Überprüfungen erwartet. Jede Überprüfung muss Regelnotwendigkeit, Eigentümerschaft und formale Abzeichnung dokumentieren.
Was passiert, wenn ich das TISAX-Firewall-Audit nicht bestehe?
Sie erhalten Feststellungen, die vor der Zertifizierung behoben werden müssen. Dies verzögert Ihr TISAX-Label und kann OEM-Verträge beeinträchtigen. Nachaudits verursachen zusätzliche Kosten und Zeitverzögerungen, typischerweise 3-6 Monate.
