Anmelden
Automotive · TISAX · VDA ISA 6

Konstruktionsdaten.OEM-Korrespondenz.TISAX-konforme E-Mail.

SecureFiles, MailGuard und SecureMail für OEM, Tier-1- und Tier-2-Zulieferer. Konstruktionsdaten verschlüsselt versenden, OEM-Phishing abfangen, TISAX-Maßnahmen prüfbar dokumentiert. EU-Hosting, Outlook-Add-in, Stand 2026.

Demo anfragenSecureFiles im Detail
Auf einen BlickStand 2026

TISAX-Maßnahmen technisch belegen, ohne TISAX-Aufpreis.

  • Werkzeugdaten per FTP, WeTransfer oder OEM-PortalSecureFiles mit Projekt-Lebenszyklus und Audit-Log
  • Gefälschte OEM-Domain ändert BankverbindungMailGuard erkennt Spoofing über DMARC, SPF und Look-alike-Heuristik
  • TISAX-Assessor fordert Nachweis ohne MappingVDA-ISA-Kontrollen auf Mail- und Datenebene technisch belegt
SecureFiles für CAD-, CAE- und Werkzeugdaten an OEM-Einkauf und Qualitätsabteilung, MailGuard gegen gefälschte OEM-Domains und CEO-Fraud bei Lieferantenwechseln, SecureMail für vertrauliche Vergabe- und Nominierungsschreiben. TISAX- und VDA-ISA-Maßnahmen werden prüfbar dokumentiert, EU-Hosting auf ISO-27001-Infrastruktur, modular pro Werk und Modul lizenziert. Pilot in einer Woche, Konzern-Rollout über das Microsoft-Admin-Center, kein Eingriff in PLM, MES oder OT.
Geeignet für Sie wenn:OEM, Tier-1 oder Tier-2 mit TISAX-AuditCAD/CAE/PLM und Prototypen-Daten in MailsMehrere Werke, ein zentraler M365-Tenant
100 %
EU-Hosting nach Art. 44 DSGVO
VDA ISA 6
Mapping auf Mail- und Datenebene
Outlook
Classic, New, Web
30 Min.
Pilot-Setup je Werk

Compliance-Anker für OEM und Zulieferer

TISAX (Trusted Information Security Assessment Exchange, ENX Association) auf Basis VDA ISA 6VDA-ISA-Katalog der ENX, insbesondere Informationssicherheit, Prototypenschutz und Datenanbindung an GeschäftspartnerIATF 16949:2016, Abschnitt 7.1.5 und 8.4 zu Mess- und LieferantenmanagementDSGVO Art. 5, 25, 28, 30 und 32 zu Verarbeitung, Auftragsverarbeitung, Verzeichnis und technisch-organisatorischen Maßnahmen

Conbool unterstützt TISAX- und VDA-ISA-Maßnahmen auf der Mail- und Datenebene. Die Reifegradbewertung selbst trifft das beauftragte Audit-Haus auf Basis des Gesamt-Setups beim Lieferanten.

Vier Bausteine für OEM und Zulieferer.

SecureFiles für Konstruktions- und Werkzeugdaten, MailGuard gegen OEM-Phishing und Lieferanten-CEO-Fraud, SecureMail für Vergabe und Audits, Disclaimer für Pflichtangaben pro Werk und Marke.

SecureFiles

SecureFiles für CAD- und Werkzeugdaten

CATIA-, NX- und Creo-Pakete, STEP-, JT- und IGES-Modelle, Pflichten- und Lastenhefte sowie Tool-Daten als direkte verschlüsselte Linie zum OEM-Einkauf, zur Qualitätsabteilung und zum Tier-2. Projektbezogene Aufbewahrung gekoppelt an die Vergabe- und Serien-Laufzeit, granulares Audit-Log pro Zugriff, keine harte Größenbegrenzung pro Datei. Empfänger-Authentifizierung wahlweise per Passwort, OTP oder PKI.

SecureFiles im Detail
MailGuard

MailGuard gegen OEM-Phishing und BEC

Gefälschte OEM-Domains, die Bank- oder Lieferdaten ändern wollen, Look-alike-Domains der ersten Lieferanten-Tiers, Anhang-Sandboxing für Werks-, Vertriebs- und Einkaufs-Posteingänge sowie URL-Reputation auf Zustellungs-Ebene. Mehrstufige DMARC-, SPF- und DKIM-Prüfung, BEC-Heuristik auf Display-Name, Reply-To und Konversationsverlauf, Schutz vor Spear-Phishing auf Vergabe-Manager.

MailGuard im Detail
SecureMail

SecureMail für Vergabe und Audit

S/MIME- und OpenPGP-verschlüsselte Korrespondenz an OEM-Einkauf, Vergabe-Komitees, Wirtschaftsprüfer, externe Anwälte und das ENX-Audit-Haus. Web-Reader für Empfänger ohne eigene PKI, damit auch Werkzeugbauer, externe Konstrukteure und kleinere Tier-3-Lieferanten verschlüsselt antworten können, ohne Zertifikat ausrollen zu müssen. Schlüssel-Management server-seitig.

SecureMail im Detail
Disclaimer

Disclaimer pro Werk und Marke

Server-seitige Pflichtangaben gemäß § 35a GmbHG, AD-/HR-gesteuert pro Standort, Tochter und Marke. Auch bei Holdings mit mehreren Marken (etwa Karosserie und Antriebsstrang unter einem Dach) und gemeinsamem M365-Tenant pflegt jede Einheit ihre eigene Signatur, eigene Werksanschrift und eigene Geschäftsführer-Liste, ohne Outlook-Templates am Endgerät.

Disclaimer im Detail
Typische Workflows aus Werk und Zentrale

Vier Szenarien aus dem Automotive-Alltag.

Vom Werkzeugbau bis zum TISAX-Re-Assessment, mit den Akteuren, die jeder Zulieferer kennt.

1

Konstruktionsdaten verschlüsselt an den OEM-Einkauf senden

Der Werkzeugkonstrukteur lädt das STEP-Paket und das CATIA-Modell für ein neues B-Säulen-Modul in SecureFiles hoch, der OEM-Einkäufer empfängt einen authentifizierten Link mit Ablaufdatum am Nominierungstermin. Der Zugriff ist im Audit-Log mit Zeitstempel, Empfänger und IP dokumentiert und steht für die nächste TISAX-Stichprobe bereit. Konstruktionsdaten verschlüsselt versenden, ohne FTP-Server pflegen zu müssen.

2

Gefälschte OEM-Mail mit neuer Bankverbindung

Eine Look-alike-Domain eines OEM (etwa mit vertauschten Buchstaben oder anderer Top-Level-Domain) täuscht eine geänderte IBAN für die nächste Werkzeug-Zahlung vor. MailGuard erkennt den DMARC-Fail, die Display-Name-Manipulation und das ungewöhnliche Reply-To, blockiert die Mail in Quarantäne und meldet den BEC-Versuch an die IT-Sicherheit und an den Einkaufsleiter zur Freigabe.

3

TISAX-Re-Assessment im VDA-ISA-Katalog

Der Informationssicherheits-Beauftragte (ISB) bereitet das Re-Assessment beim akkreditierten Audit-Haus vor und braucht Belege zu den Kontrollen 1.5, 1.6, 5.2.x und Teilen von 8.x. Conbool liefert das Verarbeitungsverzeichnis nach Art. 30 DSGVO, das vollständige Audit-Log und ein Mail-Flow-Diagramm als technischen Nachweis für den ENX-Assessor und für die interne Revision.

4

Prototypenschutz beim Tier-2-Lieferanten

Der Tier-1 muss seinen Tier-2 für ein Prototypen-Modul anbinden, die Konstruktionsdaten und Foto-Renderings dürfen den TISAX-Geltungsbereich gemäß VDA-ISA-Prototypenschutz-Kapitel nicht verlassen. SecureFiles richtet eine Projekt-Linie mit zeitlich begrenztem Zugang, Wasserzeichen-fähigen Vorschauen und vollständigem Lösch-Nachweis am Projektende ein.

Architektur

Office-IT für Werke, Zentrale und Tochtergesellschaften.

Conbool sitzt vor Microsoft 365 als zusätzliche Schicht für Mail- und Datentransfer. CAD-, PLM- und ERP-Systeme wie CATIA, Teamcenter, Windchill oder SAP S/4HANA bleiben unverändert. OT- und Werks-Steuerungsnetze bleiben strikt getrennt, kein Eingriff in MES oder SPS.

MX-Switch vor M365

Eingehender SMTP läuft über Conbool, Exchange Online bleibt das Backend, kein Schema-Eingriff in Active Directory oder Entra ID, keine Co-Existenz-Probleme mit bestehenden Connectorn.

OT-Netze unberührt

Conbool greift weder in MES, SCADA, Linien-SPS noch in Werks-Steuerung ein, läuft ausschließlich im Office-IT-Layer und respektiert die Purdue-Modell-Trennung zwischen IT und OT.

Outlook-Add-in für alle Profile

Outlook Classic, Outlook New und Outlook Web ohne End-User-Setup, ausrollbar über das M365-Admin-Center per Centralized Deployment, auch auf Linien-PCs mit Shared-Mailbox-Profil.

Coexistence mit PLM und ERP

Verträgt sich mit Teamcenter, Windchill, 3DEXPERIENCE, SAP S/4HANA, SAP ERP ECC und gängigen EDI- und ODETTE-Anbindungen über Outlook und SMTP-Schnittstellen, ohne PLM-Workflow-Eingriff.

Compliance-Mapping

TISAX und VDA-ISA technisch belegt.

TISAX prüft die Informationssicherheit nach dem VDA-ISA-Katalog der ENX Association. Conbool deckt Maßnahmen aus den Bereichen IS-Richtlinien, Asset Management, IS-Vorfälle und Lieferantenkommunikation auf der Mail- und Datenebene ab.

Vertraulichkeit nach VDA ISA 1.x

Ende-zu-Ende-Verschlüsselung in SecureMail (S/MIME und OpenPGP) und Empfänger-Authentifizierung in SecureFiles als Beleg für die Kontrollen 1.5 und 1.6 zur klassifizierten Informationsverarbeitung im VDA-ISA-Katalog.

Integrität und Identität

DMARC-Reject-Policy, SPF-strict und DKIM-Signatur outbound, Manipulationsschutz im Audit-Log und revisionssichere Mail-Header für die VDA-ISA-Kontrollen zu Datenintegrität und Authentizität.

Prototypenschutz auf Mail-Ebene

Die VDA-ISA-Prototypenschutz-Kontrollen aus Kapitel 8 werden auf der Mail- und Datentransport-Ebene mit Mandatsfeldern, Aufbewahrungs-Policies, Geltungsbereichs-Trennung und Wasserzeichen-Vorschauen unterstützt.

Reifegrad-Nachweis nach DSGVO Art. 30

Vollständiges Verarbeitungsverzeichnis nach Art. 30 DSGVO, technisch-organisatorische Maßnahmen nach Art. 32 DSGVO und Audit-Log als Beleg für den ENX-Assessor und für IATF-16949-Audits im Bereich Lieferantenmanagement.

Migration

Pilot in einem Werk, dann Konzern-Rollout.

Pilot in einem Werk oder einer Tochtergesellschaft, dann gestufter Rollout über das Microsoft-Admin-Center auf alle Marken und Standorte. Bestehende Filehoster, FTP-Server und OEM-Portale laufen kontrolliert aus.

Pilot in einem Werk

Ein Werk oder eine Tochter startet als Pilot, die anderen Standorte bleiben unverändert auf dem alten Setup. Typischer Pilotumfang: ein Konstruktions-Team und der zugehörige Einkauf, etwa 40 bis 80 Postfächer.

Konzern-Rollout per Admin-Center

Outlook-Add-in für alle Office-Mitarbeitenden zentral über das M365-Admin-Center ausgerollt, ohne Eingriff in End-User-Profile, ohne lokale Installer und ohne Helpdesk-Tickets pro Benutzer.

OEM-Onboarding pro Projekt

SecureFiles-Linien zu OEM-Empfängern werden projekt- und vergabeweise eingerichtet, mit Ablaufdatum am Projektende, automatischer Verlängerung bei Serienanlauf und sauberem Übergang in die Ersatzteil-Phase.

Auslauf der Altlösung

FTP-Server, WeTransfer-Konten, private OneDrive-Links und unstrukturierte OEM-Portal-Uploads laufen parallel aus, der Wechsel ist im Audit-Log nachvollziehbar und für die nächste TISAX-Stichprobe dokumentiert.

Häufige Fragen aus der Automobilindustrie

Ist Conbool TISAX-zertifiziert oder TISAX-konform?
Conbool ist kein TISAX-Label-Inhaber für Ihre Lieferanten-Beziehung, sondern eine technische Maßnahme, die der Zulieferer in sein eigenes TISAX-Setup einbringt. Die vier Module decken Kontrollen aus dem VDA-ISA-Katalog (insbesondere 1.5, 1.6, 5.2.x und Teile von 8.x zum Prototypenschutz) auf der Mail- und Datenebene ab. Das beauftragte ENX-Audit-Haus bewertet den TISAX-Reifegrad auf Basis Ihres Gesamt-Setups, einschließlich Organisations- und Prozess-Kontrollen, die Conbool nicht abdeckt.
Wie werden CAD-, CAE- und Werkzeugdaten konkret übertragen?
Konstruktionsdaten (CATIA, NX, Creo, STEP, JT, IGES, STL) werden über SecureFiles als verschlüsseltes Paket mit Empfänger-Authentifizierung versendet, wahlweise per Passwort, Einmal-Code oder Zertifikat. Es gibt keine harte Größenbegrenzung pro Datei wie bei E-Mail-Anhängen, übliche FE-Modelle und Werkzeug-Komplettpakete laufen ohne Aufteilung. Jeder Zugriff ist mit Zeitstempel, Empfänger und IP im Audit-Log dokumentiert, was für VDA-ISA-Prototypenschutz, IATF-16949-Lieferantenmanagement und Art. 30 DSGVO relevant ist.
Wie schützt MailGuard vor OEM-Phishing und CEO-Fraud?
MailGuard prüft eingehende Mails auf DMARC, SPF und DKIM, erkennt Look-alike-Domains der OEM (etwa vertauschte Buchstaben, andere Top-Level-Domains oder Unicode-Tricks), Display-Name-Manipulationen und auffällige Reply-To-Header. BEC-Heuristik markiert Bankverbindungs- und Lieferanten-Wechsel-Mails zur manuellen Freigabe durch den Einkauf, Anhang-Sandboxing prüft Office-Dokumente und PDF-Anhänge auf Makros und Exploits. URL-Reputation auf Zustellungs-Ebene schützt vor verzögert aktivierten Phishing-Links.
Wie passt das zu IATF 16949 im Lieferantenmanagement?
IATF 16949 fordert in Abschnitt 8.4 und 8.5 die Steuerung extern bereitgestellter Prozesse und Produkte einschließlich der Informationsflüsse, sowie in Abschnitt 7.1.5 dokumentierte Informationen zu Mess- und Prüfeinrichtungen. Conbool unterstützt das technisch durch Verschlüsselung der Lieferanten- und OEM-Kommunikation, ein vollständiges Verarbeitungsverzeichnis nach Art. 30 DSGVO und ein manipulationssicheres Audit-Log. Die IATF-Auditierung selbst erfolgt durch das beauftragte IATF-anerkannte Zertifizierungsstellen.
Können wir Mehrwerks-Strukturen, Töchter und Marken sauber abbilden?
Ja. Conbool unterstützt Multi-Tenant-Setups, eine zentrale Marken-Holding mit getrennten Disclaimer-Bausteinen je Werk sowie eine konzernweite MailGuard-Policy. Die Disclaimer-Engine zieht Werks-Anschriften, Geschäftsführer-Listen, Handelsregister-Nummern und Pflichtangaben nach § 35a GmbHG bzw. § 80 AktG aus AD- oder HR-Attributen. Auch komplexe Holdings mit Karosserie-, Antriebsstrang- und Elektronik-Töchtern auf einem gemeinsamen M365-Tenant können sauber getrennt signieren.
Wie verhält sich Conbool zu bestehenden OEM-Portalen wie SupplyOn, Covisint-Nachfolgern oder OEM-eigenen Lieferantenportalen?
Conbool ersetzt OEM-Portale nicht, sondern deckt die Kommunikation außerhalb dieser Portale ab: Mails an den OEM-Einkäufer, Klärungen zu Werkzeugkorrekturen, Sondervereinbarungen, Vergabeschreiben, Anfragen aus der Qualitätsabteilung, Eskalationen aus dem Lieferanten-Audit. Für Tier-2- und Tier-3-Kommunikation, in der oft kein OEM-Portal vorgegeben ist, sondern der Tier-1 die Verantwortung trägt, ist Conbool die direkte verschlüsselte Linie.
Wie lange werden Daten aufbewahrt und wie sieht der Lösch-Nachweis aus?
SecureFiles hat eine projekt- und policy-basierte Aufbewahrung, die typischerweise an die OEM-Projekt-Laufzeit, die Serien- und Ersatzteil-Laufzeit oder die handels- und steuerrechtlichen Aufbewahrungsfristen nach § 257 HGB und § 147 AO (in der Regel 10 Jahre für relevante Geschäftsunterlagen) gekoppelt ist. Nach Ablauf wird der Datensatz mit Lösch-Beleg entfernt, der Beleg bleibt im Audit-Log dauerhaft dokumentiert und ist im nächsten TISAX- oder IATF-Audit nachvollziehbar.

Verwandte Lösungen

WeTransfer-Alternative

DSGVO-konformer Dateiversand aus der EU, ohne CLOUD-Act-Risiko.

Cryptshare-Alternative

Modulare deutsche Alternative mit echtem Zero-Knowledge.

FTP-Alternative

Sicherer Dateitransfer statt FTP — Outlook-Add-in, Audit-Log, NIS-2.

DSGVO-konformer Dateiversand

Verschlüsselter Dateiversand nach Art. 32 DSGVO und NIS-2.

Sicherer Posteingang

Dateien sicher empfangen — persönlicher Upload-Link für Externe.

Große Dateien per Outlook

Outlook-Anhang zu groß? Direkt aus Outlook verschlüsselt versenden.

Verwandte Branchen

Conbool ist in benachbarten Branchen mit ähnlichem Compliance-Profil im Einsatz.

Maschinenbau & Industrie

TISAX und Konstruktionsdaten beim Mittelstands-Zulieferer mit OEM-Audit.

Versicherungen

KFZ-Schadenmeldung, Produkthaftung und Rückrufmanagement gegenüber Versicherern.

Pharma & MedTech

Hersteller-Compliance mit GxP, ISO-Audits und qualifizierten Lieferanten-Audits.

TISAX-konforme E-Mail und CAD-Datenversand für OEM und Zulieferer.

Demo in 30 Minuten, Pilot in einem Werk, Konzern-Rollout über das Microsoft-Admin-Center. Modular pro Werk und Modul.

Demo anfragenSecureFiles im Detail

Quellen, Stand und Rechtsgrundlagen

Aussagen zu TISAX und zum VDA-ISA-Katalog basieren auf den jeweils geltenden Veröffentlichungen des Verbands der Automobilindustrie (VDA) und der ENX Association, insbesondere VDA ISA 6. Aussagen zu IATF 16949 basieren auf der Ausgabe 2016 der Norm einschließlich der Sanctioned Interpretations. Aussagen zur DSGVO basieren auf der Verordnung (EU) 2016/679, insbesondere Art. 5, 25, 28, 30, 32 und 44. Aussagen zu Handels- und Steueraufbewahrung basieren auf § 257 HGB und § 147 AO. Aussagen zu Pflichtangaben basieren auf § 35a GmbHG. Stand 2026.

TISAX und ENX sind Marken der ENX Association. VDA ist eine Bezeichnung des Verbands der Automobilindustrie e. V. IATF 16949 ist eine Norm der International Automotive Task Force. CATIA und 3DEXPERIENCE sind Marken der Dassault Systèmes. NX und Teamcenter sind Marken der Siemens Digital Industries Software. Creo und Windchill sind Marken der PTC Inc. SAP und S/4HANA sind Marken der SAP SE. Microsoft, Microsoft 365 und Outlook sind Marken der Microsoft Corporation. SupplyOn ist eine Marke der SupplyOn AG. Conbool ist eine Marke der Conbool GmbH.