Zwischen TISAX und VS-NfD: Was Automobilzulieferer beim Einstieg in die Rüstungsindustrie unterschätzen

Zeitenwende in der Zulieferkette

Die deutsche Automobilindustrie steckt im strukturellen Umbruch: sinkende Absatzzahlen, der zähe Wandel zur Elektromobilität, wachsender Wettbewerbsdruck aus Asien. Gleichzeitig öffnet sich seit der „Zeitenwende" 2022 ein neuer Markt mit erheblichem Volumen, die deutsche Sicherheits- und Verteidigungsindustrie. Mit dem Sondervermögen Bundeswehr und geplanten Rüstungsausgaben von rund 105 Milliarden Euro im Jahr 2027 entstehen Auftragsvolumina, die wirtschaftlich kaum zu ignorieren sind.

Die strategische Antwort vieler Zulieferer fällt zunehmend eindeutig aus: Tier-1- und Tier-2-Unternehmen gründen eigene Defense-Töchter, schließen Kooperationen mit Drohnenherstellern, beliefern Panzer- und Sondernutzfahrzeug-Programme oder bringen Kompetenzen aus Leichtbau, Antriebstechnik und Sensorik in wehrtechnische Projekte ein. Aus Strategiepapieren werden Geschäftsmodelle und aus der bisherigen Nische ein systematisch ausgebauter zweiter Absatzmarkt.

Was in der öffentlichen Debatte bisher kaum beleuchtet wird: Wer als Automobilzulieferer in das Rüstungsgeschäft einsteigt, wechselt nicht nur den Endkunden, sondern auch das Compliance-Regelwerk. Neben dem vertrauten TISAX tritt mit der Verschlusssachenanweisung (VSA) ein zweites, fundamental anderes Anforderungsgerüst hinzu.

TISAX – die vertraute Welt

TISAX (Trusted Information Security Assessment Exchange) ist seit 2017 faktischer Pflichtstandard in der Automobilbranche. Der vom VDA entwickelte und von der ENX Association verwaltete Prüfmechanismus bewertet Informationssicherheit entlang der Lieferkette auf Basis von ISO/IEC 27001. Ohne gültiges TISAX-Label ist der Marktzugang zu OEMs und Tier-1-Zulieferern faktisch verschlossen.

Die TISAX-Logik ist privatwirtschaftlich: Sie schützt Geschäftsgeheimnisse, Prototypen und personenbezogene Daten zwischen kommerziellen Vertragspartnern. Auditiert wird durch akkreditierte Prüfdienstleister, das Label ist drei Jahre gültig und wird über das ENX-Portal mit Geschäftspartnern geteilt.

VS-NfD – staatlicher Geheimschutz mit eigener Logik

VS-NfD steht für „Verschlusssache - Nur für den Dienstgebrauch" und bildet die unterste der vier Geheimhaltungsstufen des Bundes. So harmlos die Bezeichnung wirkt: VS-NfD ist staatlicher Geheimschutz mit klarer Rechtsgrundlage im Sicherheitsüberprüfungsgesetz (SÜG), der Verschlusssachenanweisung (VSA) und dem Geheimschutzhandbuch (GHB). Sobald ein Zulieferer Konstruktionsunterlagen, Spezifikationen oder Kommunikation aus einem Bundeswehr-Projekt mit Klassifizierung VS-NfD oder höher erhält, greifen diese Regeln unmittelbar. VS-NfD ist gerade in der Industrie die mit Abstand am häufigsten zur Anwendung kommende Geheimhaltungsstufe.

Konkret bedeutet das: Der Auftragnehmer muss eine Sicherheitsbevollmächtigte oder einen Sicherheitsbevollmächtigten benennen, ein VS-Register führen, Mitarbeitende formell auf das VS-NfD-Merkblatt verpflichten und angemessen schulen und sicherstellen, dass Verschlusssachen nur Personen zugänglich werden, die sie zwingend benötigen ("Kenntnis nur, wenn nötig.". Auf der IT-Seite ist die Hürde besonders hoch: Für die Verarbeitung, Übertragung und Speicherung von VS-NfD-Material dürfen grundsätzlich nur vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zugelassene Produkte eingesetzt werden. Dies bedeutet den Aufbau einer zweiten, getrennten, IT-Umgebung. Werden Unterauftragnehmer eingebunden, muss der Hauptauftragnehmer diese seinerseits vertraglich auf das VS-NfD-Merkblatt verpflichten und übernimmt insoweit selbst die Rolle des VS-NfD-Auftraggebers.

Wo TISAX endet und VS-NfD beginnt

Auf den ersten Blick wirken beide Standards verwandt, sie schützen sensible Informationen und fordern ein gelebtes Informationssicherheits-Management. Bei genauerer Betrachtung trennen sie aber Welten:

Inhaltlich gibt es Überschneidungen: Zugangskontrollen, Verschlüsselung, Awareness, sichere Datenträgerentsorgung, Lieferantensteuerung, diese Themen sind in beiden Welten relevant. Ein gut geführtes ISMS nach TISAX und ISO 27001 ist daher eine wertvolle Basis. Aber: Es ist eben nur die Basis. Die spezifischen VS-NfD-Anforderungen lassen sich nicht durch ein TISAX-Label „mitabdecken". Insbesondere die Pflicht zu BSI-zugelassenen IT-Sicherheitsprodukten ist ein Bruch mit der bisherigen Praxis vieler Zulieferer, die auf Cloud-First-Architekturen und marktübliche Kollaborationswerkzeuge setzen.

Was Zulieferer jetzt prüfen sollten

In der Beratungspraxis zeigen sich wiederkehrende blinde Flecken, an denen TISAX-konforme Unternehmen beim Sprung in VS-Projekte ins Stolpern geraten:

• Cloud- und Kollaborationsplattformen: Marktübliche Standardlösungen erfüllen in ihrer Regelvariante keine VS-NfD-Anforderungen. Eine separierte VS-IT-Umgebung wird häufig unterschätzt, technisch wie finanziell.
• Datenflüsse zu Unterauftragnehmern: Lieferantenverträge aus dem Automotive-Umfeld decken VSA-Verpflichtungen nicht ab und müssen erweitert werden.
• Rollen und Verantwortlichkeiten: Die oder der Sicherheitsbevollmächtigte ist keine Formalie. Die Funktion erfordert echte Befugnisse, Zeit und qualifizierte Schulung.
• Räumliche und prozessuale Trennung: VS-Material darf nicht beliebig im Großraumbüro liegen oder über offene Druckerwarteschlangen laufen.

Wer früh prüft, wo das eigene ISMS bereits trägt und wo gezielt nachgesteuert werden muss, vermeidet teure Nachbesserungen mitten in der Auftragsabwicklung und reduziert das Risiko, einen attraktiven Bundeswehr-Auftrag aus Compliance-Gründen wieder zu verlieren.

Fazit

Die Diversifizierung in die Rüstungsindustrie ist für viele Automobilzulieferer eine wirtschaftlich rationale Antwort auf einen strukturell schwierigen Heimatmarkt. Sie ist aber kein reines Vertriebsthema. Wer sich um Bundeswehr-Aufträge bewerben will, muss neben TISAX eine zweite, staatlich geprägte Compliance-Welt aufbauen, mit eigener Rechtslogik, eigenen Technologien und eigener Organisation. Vieles aus der TISAX-Reise lässt sich nutzen, reicht jedoch nicht aus. Wer den Schritt strategisch plant, sichert sich nicht nur Aufträge, sondern einen belastbaren Marktzugang in einem Segment, das auf Jahre hinaus wachsen wird.