- TISAX (Trusted Information Security Assessment Exchange) ist der verbindliche Informationssicherheitsstandard der Automobilindustrie, verwaltet von der ENX Association.
- Grundlage ist der VDA ISA-Fragenkatalog (aktuell Version 6.0.3), der auf ISO 27001 basiert, aber branchenspezifische Anforderungen zu Prototypenschutz und Datenschutz ergänzt.
- Die meisten OEMs fordern Assessment-Level 3 (AL3), das eine Vor-Ort-Prüfung durch einen akkreditierten Prüfdienstleister erfordert.
- Der Weg zum TISAX-Label dauert typischerweise 6 bis 12 Monate und kostet ein mittelständisches Unternehmen zwischen 30.000 und 80.000 Euro inklusive Beratung.
- Wer bereits ein ISMS nach ISO 27001 betreibt, hat rund 70 % der TISAX-Anforderungen abgedeckt und muss primär Prototypenschutz und Datenschutz-Modul ergänzen.
Was ist TISAX und warum braucht die Automobilindustrie einen eigenen Standard?
Die Automobilindustrie gehört zu den am stärksten vernetzten Branchen der Welt. Ein einzelnes Fahrzeugmodell entsteht in Zusammenarbeit mit Hunderten von Zulieferern, die Konstruktionsdaten, Prototypenfotos, Testberichte und Produktionspläne austauschen. Wenn ein Zulieferer Opfer eines Cyberangriffs wird und dabei Konstruktionsdaten eines noch nicht vorgestellten Modells abfließen, kann der Schaden für den OEM in die Milliarden gehen.
Genau dieses Problem hat den Verband der Automobilindustrie (VDA) dazu bewogen, einen branchenspezifischen Informationssicherheitsstandard zu entwickeln. TISAX steht für Trusted Information Security Assessment Exchange und wurde 2017 unter der Verwaltung der ENX Association eingeführt. Die Idee dahinter ist einfach, aber wirkungsvoll: Statt dass jeder OEM seine Zulieferer selbst prüft und jeder Zulieferer von jedem seiner Kunden einzeln auditiert wird, gibt es einen gemeinsamen Standard mit gegenseitiger Anerkennung.
Ein TISAX-Assessment, das dein Unternehmen erfolgreich bestanden hat, wird von allen OEMs und Tier-1-Zulieferern anerkannt, die am TISAX-System teilnehmen. Du musst also nicht für VW ein separates Audit machen und für BMW ein weiteres, sondern ein Label gilt für alle.
Wer braucht TISAX?
Grundsätzlich braucht TISAX jedes Unternehmen, das vertrauliche Informationen von Automobilherstellern oder deren direkten Zulieferern verarbeitet. Das betrifft:
- Tier-1-, Tier-2- und Tier-3-Zulieferer, die Konstruktionsdaten, Prototypenspezifikationen oder Produktionsinformationen erhalten
- Engineering-Dienstleister, die an der Fahrzeugentwicklung beteiligt sind
- IT-Dienstleister, die Systeme für OEMs oder Zulieferer betreiben oder entwickeln
- Logistikunternehmen, die Prototypen oder vertrauliche Bauteile transportieren
- Werkzeugbauer, die Formen und Werkzeuge für neue Modelle fertigen
In der Praxis erfährst du von der TISAX-Anforderung meist durch deinen Kunden. Ein OEM oder Tier-1-Zulieferer teilt dir mit, dass du innerhalb einer bestimmten Frist ein TISAX-Label vorweisen musst, um weiterhin als Lieferant in Frage zu kommen. Ohne Label kein Auftrag, so einfach ist das in den meisten Fällen.
Der VDA ISA-Fragenkatalog: Herzstück von TISAX
Das inhaltliche Fundament von TISAX ist der VDA ISA-Fragenkatalog (Information Security Assessment). Die aktuelle Version ist 6.0.3, und sie bildet die Grundlage für das Self-Assessment und die externe Prüfung. Der Katalog basiert auf ISO 27001 und ISO 27002, geht aber in bestimmten Bereichen deutlich weiter.
Aufbau des Fragenkatalogs
Der VDA ISA ist in drei Module gegliedert:
Modul 1: Informationssicherheit Das Kernmodul, das für alle TISAX-Teilnehmer verpflichtend ist. Es umfasst alle Anforderungen an das Informationssicherheitsmanagementsystem und orientiert sich eng an ISO 27001/27002. Die Themengebiete:
- Informationssicherheits-Richtlinien und Organisation
- Personalwesen und Awareness
- Asset-Management und Klassifizierung
- Zugangskontrolle und Identitätsmanagement
- Kryptografie
- Physische Sicherheit
- Betriebssicherheit (Malware-Schutz, Backup, Logging, Schwachstellenmanagement)
- Netzwerksicherheit
- Lieferantenbeziehungen
- Incident Management
- Business Continuity
- Compliance
Modul 2: Prototypenschutz Dieses Modul ist nur relevant, wenn du mit physischen oder digitalen Prototypen arbeitest. Es enthält Anforderungen, die weit über klassische Informationssicherheit hinausgehen und sich auf den Schutz vor unbefugter Fotografie, die physische Absicherung von Prototypenräumen und den gesicherten Transport von Prototypenteilen beziehen. Nicht jeder Zulieferer braucht dieses Modul, aber wenn ein OEM es fordert, musst du es im Assessment abdecken.
Modul 3: Datenschutz Dieses Modul adressiert den Schutz personenbezogener Daten und geht über die DSGVO hinaus, indem es spezifische Anforderungen für die Verarbeitung personenbezogener Daten im Automotive-Kontext definiert. Es ist relevant, wenn du personenbezogene Daten im Auftrag eines OEM verarbeitest, etwa als HR-Dienstleister, als Betreiber von Connected-Car-Services oder als Entwickler von Infotainment-Systemen.
Der Reifegrad-Ansatz
Eine Besonderheit des VDA ISA gegenüber vielen anderen Standards: Die Bewertung erfolgt nicht nach dem Prinzip "bestanden oder nicht bestanden" auf Ebene einzelner Maßnahmen, sondern über Reifegrade. Jede Kontrollfrage wird auf einer Skala von 0 bis 5 bewertet:
| Reifegrad | Bezeichnung | Bedeutung |
|---|---|---|
| 0 | Unvollständig | Der Prozess ist nicht umgesetzt oder erfüllt seinen Zweck nicht |
| 1 | Durchgeführt | Es gibt einen Prozess, der grundsätzlich funktioniert, aber nicht formalisiert ist |
| 2 | Gesteuert | Der Prozess ist dokumentiert, verantwortet und wird kontrolliert |
| 3 | Etabliert | Der Prozess folgt einem standardisierten Vorgehen und ist in die Gesamtorganisation integriert |
| 4 | Vorhersagbar | Der Prozess wird gemessen und quantitativ gesteuert |
| 5 | Optimierend | Kontinuierliche Verbesserung auf Basis quantitativer Daten |
Für ein erfolgreiches TISAX-Assessment musst du in allen Kontrollfragen mindestens Reifegrad 3 erreichen. Das klingt erstmal nach einer hohen Hürde, aber Reifegrad 3 bedeutet im Kern: Der Prozess ist dokumentiert, wird gelebt, ist organisatorisch verankert und wird regelmäßig überprüft. Das ist genau das, was ein gut funktionierendes ISMS leisten sollte.
Einzelne Kontrollfragen dürfen einen Reifegrad von 2 aufweisen, solange ein Maßnahmenplan zur Erreichung von Reifegrad 3 vorliegt und der Prüfdienstleister diesen als plausibel und umsetzbar bewertet. Ein Reifegrad von 0 oder 1 führt in der Regel zum Nichtbestehen des Assessments.
Die Assessment-Level: AL1, AL2 und AL3
TISAX kennt drei Assessment-Level, die sich in der Prüftiefe und der Art der Prüfung unterscheiden:
AL1: Selbsteinschätzung
Assessment-Level 1 ist ein reines Self-Assessment ohne externe Prüfung. Du füllst den VDA ISA-Fragenkatalog selbst aus und teilst das Ergebnis über die ENX-Plattform mit deinen Geschäftspartnern. Ein AL1-Assessment wird in der Praxis selten akzeptiert, weil es keine externe Validierung bietet. Die meisten OEMs verlangen mindestens AL2.
AL2: Plausibilitätsprüfung
Bei Assessment-Level 2 prüft ein akkreditierter Prüfdienstleister dein Self-Assessment auf Plausibilität. Das geschieht per Telefoninterview und Dokumentenprüfung, ohne Vor-Ort-Besuch. AL2 ist deutlich weniger aufwendig als AL3, wird aber nur von wenigen OEMs als ausreichend akzeptiert. Es eignet sich primär für Unternehmen, die keine hochvertraulichen Daten verarbeiten.
AL3: Umfassende Prüfung vor Ort
Assessment-Level 3 ist der Standard, den die meisten OEMs fordern. Ein akkreditierter Prüfdienstleister führt eine vollständige Vor-Ort-Prüfung durch, bei der Dokumentation, Prozesse und technische Umsetzung im Detail geprüft werden. Interviews mit Mitarbeitern, Begehungen der Räumlichkeiten und stichprobenartige Überprüfungen der technischen Maßnahmen gehören zum Prüfumfang.
In der Praxis solltest du davon ausgehen, dass du AL3 brauchst. Es sei denn, dein Kunde hat dir explizit mitgeteilt, dass AL2 ausreicht. Bei Unsicherheit frag nach, bevor du den günstigeren Weg gehst und dann feststellst, dass das Label nicht akzeptiert wird.
Der Prüfablauf Schritt für Schritt
Der Weg zum TISAX-Label folgt einem klar definierten Prozess, der sich in fünf Phasen gliedert:
Phase 1: Registrierung bei ENX
Alles beginnt mit der Registrierung auf dem ENX-Portal (portal.enx.com). Du legst ein Unternehmenskonto an, wählst die zu prüfenden Standorte aus und definierst den Assessment-Scope. Der Scope ergibt sich aus den Prüfzielen, die dein Kunde dir vorgibt, typischerweise "Informationssicherheit" und gegebenenfalls "Prototypenschutz" oder "Datenschutz".
Nach der Registrierung zahlst du die ENX-Teilnehmergebühr. Diese beträgt aktuell rund 4.450 Euro pro Assessment-Scope und ist unabhängig von den Kosten für den Prüfdienstleister.
Phase 2: Self-Assessment
Bevor ein externer Prüfer kommt, musst du den VDA ISA-Fragenkatalog als Self-Assessment durcharbeiten. Das bedeutet: Für jede Kontrollfrage dokumentierst du, welchen Reifegrad dein Unternehmen aktuell erreicht, welche Nachweise es dafür gibt und welche Maßnahmen gegebenenfalls noch umgesetzt werden müssen.
Das Self-Assessment dient zwei Zwecken: Es bereitet dich auf die externe Prüfung vor, und es ist die Grundlage, auf der der Prüfdienstleister seine Prüfung plant. Je sorgfältiger du das Self-Assessment durchführst, desto effizienter verläuft das eigentliche Audit.
Phase 3: Auswahl des Prüfdienstleisters
Du wählst einen von der ENX akkreditierten Prüfdienstleister aus. Auf dem ENX-Portal findest du eine Liste aller zugelassenen Anbieter. Wichtige Auswahlkriterien sind Branchenkenntnis, regionale Verfügbarkeit, Terminflexibilität und natürlich der Preis.
Die Kosten für den Prüfdienstleister hängen von der Unternehmensgröße, der Anzahl der Standorte und dem Scope ab. Für ein mittelständisches Unternehmen mit einem Standort und Standard-Scope (Informationssicherheit, kein Prototypenschutz) solltest du mit 8.000 bis 15.000 Euro für das Erstaudit rechnen.
Phase 4: Das Assessment (Audit)
Der Prüfdienstleister führt das Assessment durch. Bei AL3 bedeutet das eine Vor-Ort-Prüfung, die je nach Unternehmensgröße und Scope ein bis drei Tage dauert. Der typische Ablauf:
Tag 1: Eröffnung und Managementsystem Der Auditor prüft die Dokumentation des ISMS: Sicherheitsrichtlinien, Risikobewertung, Maßnahmenpläne, Protokolle des Management-Reviews und Nachweise über Schulungen. Er führt Interviews mit dem ISB, der Geschäftsführung und dem IT-Leiter.
Tag 2: Technische Prüfung und Prozesse Der Auditor prüft die technische Umsetzung: Netzwerksicherheit, Zugriffskontrollen, Patch-Management, Backup-Konzept, Verschlüsselung. Er macht Begehungen der Serverräume und Büroflächen und prüft die physische Sicherheit. Interviews mit Fachabteilungen zu operativen Prozessen wie Incident Management, Change Management und Lieferantenmanagement folgen.
Tag 3 (bei größerem Scope): Prototypenschutz und Abschluss Falls Prototypenschutz im Scope ist, werden Prototypenräume besichtigt, Zugangskontrollen geprüft und Fotografieregelungen überprüft. Am Ende steht das Abschlussgespräch, in dem der Auditor seine vorläufigen Ergebnisse präsentiert.
Phase 5: Ergebnis und Label
Nach dem Audit erstellt der Prüfdienstleister einen Bericht und gibt das Ergebnis auf der ENX-Plattform ein. Es gibt drei mögliche Ergebnisse:
Konform: Alle Kontrollfragen erreichen mindestens Reifegrad 3. Du erhältst das TISAX-Label, das drei Jahre gültig ist.
Temporär konform (mit Auflagen): Einzelne Kontrollfragen erreichen nur Reifegrad 2, aber es liegt ein plausibler Maßnahmenplan vor. Du erhältst ein temporäres Label und musst innerhalb von neun Monaten ein Nachaudit bestehen, um das vollständige Label zu erhalten.
Nicht konform: Wesentliche Anforderungen werden nicht erfüllt. Du erhältst kein Label und musst den Prozess nach Behebung der Mängel wiederholen, inklusive eines neuen Assessments.
Zeitplan: Vom Entschluss zum Label
Wie lange der Weg zum TISAX-Label dauert, hängt stark von der Ausgangslage deines Unternehmens ab. Hier sind drei typische Szenarien:
Szenario 1: Kein bestehendes ISMS (9 bis 12 Monate)
Wenn dein Unternehmen bisher kein formalisiertes ISMS betreibt, musst du bei null anfangen: Richtlinien schreiben, Risikobewertung durchführen, technische Maßnahmen umsetzen, Schulungen durchführen und Prozesse etablieren. Das dauert erfahrungsgemäß neun bis zwölf Monate, wenn es mit angemessenen Ressourcen vorangetrieben wird.
| Phase | Dauer | Aktivitäten |
|---|---|---|
| Vorbereitung | Monate 1-2 | Gap-Analyse, Projektplanung, ISB benennen, Geschäftsführung einbinden |
| ISMS-Aufbau | Monate 3-6 | Richtlinien erstellen, Risikobewertung, Asset-Inventar, Klassifizierung |
| Umsetzung | Monate 5-9 | Technische Maßnahmen, Schulungen, Prozesse operationalisieren |
| Reifezeit | Monate 8-10 | Prozesse leben, Nachweise sammeln, internes Audit |
| Assessment | Monate 10-12 | ENX-Registrierung, Self-Assessment, externes Audit |
Die "Reifezeit" in der Tabelle ist ein Punkt, den viele unterschätzen. Der Prüfer will sehen, dass Prozesse nicht nur auf dem Papier existieren, sondern gelebt werden. Wenn du eine Richtlinie erst letzte Woche verabschiedet hast und keine Nachweise über die Umsetzung vorliegen, wird der Auditor das beanstanden. Plan mindestens zwei bis drei Monate ein, in denen das ISMS im operativen Betrieb Nachweise erzeugt.
Szenario 2: Bestehendes ISO-27001-ISMS (4 bis 6 Monate)
Wenn du bereits nach ISO 27001 zertifiziert bist, hast du einen erheblichen Vorsprung. Rund 70 Prozent der VDA ISA-Anforderungen sind durch ein funktionierendes ISO-27001-ISMS abgedeckt. Die verbleibenden 30 Prozent betreffen primär:
- Automotive-spezifische Klassifizierung von Informationen (vertraulich, streng vertraulich nach VDA-Schema)
- Prototypenschutz (falls gefordert)
- Das Datenschutz-Modul (falls gefordert)
- Einige Detailanforderungen, die ISO 27001 allgemeiner formuliert als der VDA ISA
In diesem Szenario reichen vier bis sechs Monate für die Gap-Analyse, die Ergänzung der fehlenden Elemente und das Assessment.
Szenario 3: TISAX-Rezertifizierung (2 bis 3 Monate)
TISAX-Labels sind drei Jahre gültig. Vor Ablauf musst du ein neues Assessment durchlaufen. Wenn du dein ISMS in der Zwischenzeit gepflegt hast, ist das primär eine Überprüfung und Aktualisierung, keine Neuimplementierung. Plane zwei bis drei Monate für die Vorbereitung, das aktualisierte Self-Assessment und das Audit ein.
Kosten realistisch kalkuliert
Die Gesamtkosten einer TISAX-Zertifizierung setzen sich aus mehreren Bausteinen zusammen:
| Kostenblock | Richtwert (mittelständisches Unternehmen, 1 Standort) |
|---|---|
| ENX-Teilnehmergebühr | ca. 4.450 EUR |
| Prüfdienstleister (AL3, Erstaudit) | 8.000 - 15.000 EUR |
| Externe Beratung (optional, aber empfohlen) | 15.000 - 40.000 EUR |
| Technische Maßnahmen (Netzwerk, Verschlüsselung, Backup etc.) | 5.000 - 30.000 EUR |
| Interne Personalkosten (ISB, IT, Management) | 20.000 - 50.000 EUR |
| Schulungen | 3.000 - 8.000 EUR |
| Gesamtkosten (grober Rahmen) | 30.000 - 80.000 EUR |
Bei Unternehmen ohne bestehendes ISMS liegen die Kosten eher am oberen Ende, bei Unternehmen mit ISO-27001-Zertifizierung eher am unteren Ende. Mehrere Standorte erhöhen die Kosten linear, wobei die Dokumentation einmal erstellt wird und nur die standortspezifische Prüfung pro Standort anfällt. Zum Vergleich: ISMS Lite kostet 500 Euro im Jahr und deckt Risikomanagement, Maßnahmentracking, Richtlinien und Audit-Dokumentation in einem Tool ab, ohne Seat-Lizenzen.
Ein Hinweis zu den Beratungskosten: Du kannst die TISAX-Zertifizierung auch ohne externen Berater schaffen, wenn du intern genug Know-how hast. Allerdings ist die Fehlerquote beim Erstversuch ohne Beratung deutlich höher, und ein nicht bestandenes Assessment kostet dich nicht nur die Audit-Gebühren, sondern auch Zeit, die du in der Regel nicht hast, weil dein Kunde ein Datum gesetzt hat.
TISAX und ISO 27001: Wie beide zusammenspielen
TISAX basiert auf ISO 27001, ist aber nicht identisch. Die Frage, ob du erst ISO 27001 und dann TISAX machen sollst oder umgekehrt, kommt in der Beratung ständig auf. Die Antwort hängt von deiner Situation ab.
Gemeinsamkeiten
Sowohl ISO 27001 als auch TISAX fordern ein systematisches Informationssicherheitsmanagementsystem mit Risikobewertung, dokumentierten Richtlinien, technischen und organisatorischen Maßnahmen, Schulungen und kontinuierlicher Verbesserung. Rund 70 Prozent der Anforderungen sind deckungsgleich.
Unterschiede
| Aspekt | ISO 27001 | TISAX (VDA ISA) |
|---|---|---|
| Geltungsbereich | Frei wählbar | Muss alle Prozesse umfassen, die Automotive-Daten berühren |
| Bewertung | Konformität (ja/nein pro Control) | Reifegrade (0-5) |
| Prototypenschutz | Nicht enthalten | Eigenes Modul mit spezifischen Anforderungen |
| Datenschutz | Annex A.18 (allgemein) | Eigenes Modul mit detaillierten Anforderungen |
| Zertifizierung | Durch ISO-akkreditierte Zertifizierungsstelle | Durch ENX-akkreditierten Prüfdienstleister |
| Gültigkeit | 3 Jahre mit jährlichen Überwachungsaudits | 3 Jahre, dann vollständig neues Assessment |
| Anerkennung | Branchenübergreifend | Nur Automobilindustrie |
Die pragmatische Empfehlung
Wenn du ausschließlich für die Automobilindustrie arbeitest und nur TISAX brauchst, kannst du dir die separate ISO-27001-Zertifizierung sparen. Das ISMS, das du für TISAX aufbaust, erfüllt die ISO-27001-Anforderungen weitgehend, auch wenn du kein ISO-Zertifikat an der Wand hängen hast.
Wenn du allerdings auch Kunden außerhalb der Automobilindustrie bedienst, die ISO 27001 fordern, oder wenn du perspektivisch unter NIS2 fallen wirst, macht eine parallele ISO-27001-Zertifizierung Sinn. Der Mehraufwand für beide Zertifizierungen ist überschaubar, wenn du das ISMS von Anfang an so aufbaust, dass es beiden Anforderungskatalogen genügt.
TISAX und NIS2: Gibt es Überschneidungen?
Seit NIS2 in Deutschland gilt, stellt sich für viele Automotive-Zulieferer die Frage, ob TISAX und NIS2 sich überschneiden. Die Antwort: ja, erheblich, aber sie ersetzen sich nicht gegenseitig.
NIS2 betrifft Unternehmen im Sektor "Verarbeitendes Gewerbe", wozu Fahrzeugbau und Zulieferer gehören, ab 50 Mitarbeitern oder 10 Millionen Euro Umsatz. Viele Automotive-Zulieferer, die TISAX brauchen, fallen also auch unter NIS2.
Die NIS2-Anforderungen an Risikomanagement, Incident Response, Business Continuity und Supply-Chain-Sicherheit werden durch ein TISAX-konformes ISMS zu einem großen Teil abgedeckt. Was NIS2 zusätzlich fordert, sind die spezifischen Meldepflichten (24h/72h/1 Monat), die Registrierung beim BSI und die persönliche Haftung der Geschäftsführung. Diese Aspekte musst du separat adressieren, auch wenn du TISAX-zertifiziert bist.
Typische Stolperfallen auf dem Weg zum TISAX-Label
Aus der Praxis lassen sich zehn häufige Fehler identifizieren, die den Weg zum TISAX-Label erschweren oder das Assessment zum Scheitern bringen:
1. Zu spät anfangen. Der häufigste Fehler überhaupt. Der Kunde setzt eine Frist von sechs Monaten, das Unternehmen beginnt nach drei Monaten mit der Vorbereitung und stellt fest, dass die Zeit nicht reicht. Faustregel: Nimm die Frist deines Kunden und plane mindestens die doppelte Zeit ein. Lieber zu früh fertig als zu spät.
2. TISAX als IT-Projekt behandeln. TISAX ist ein Managementsystem, kein IT-Projekt. Wenn nur die IT-Abteilung involviert ist, fehlen organisatorische Maßnahmen, Schulungsnachweise, Management-Commitment und die Einbindung der Fachabteilungen. Die Geschäftsführung muss aktiv beteiligt sein.
3. Copy-Paste-Richtlinien verwenden. Generische Vorlagen aus dem Internet oder von Beratern sind ein Startpunkt, aber kein Ergebnis. Der Auditor erkennt sofort, wenn eine Richtlinie nicht zum Unternehmen passt. Richtlinien müssen die tatsächlichen Prozesse und Strukturen deines Unternehmens widerspiegeln.
4. Keine Nachweise sammeln. Reifegrad 3 bedeutet, dass der Prozess gelebt wird. In ISMS Lite werden alle Nachweise revisionssicher gespeichert und lassen sich dem Auditor direkt aus dem System heraus präsentieren. Ohne Nachweise gibt es keinen Reifegrad 3. Protokolle von Management-Reviews, Teilnehmerlisten von Schulungen, Logs von Sicherheitsvorfällen, Ergebnisse von Penetrationstests, Berichte interner Audits: All das sind Nachweise, die du systematisch sammeln musst.
5. Lieferantenmanagement vergessen. TISAX fordert, dass du die Informationssicherheit deiner Lieferanten und Dienstleister bewertest. Wenn du keine dokumentierte Lieferantenbewertung hast und keine vertraglichen Sicherheitsanforderungen mit deinen IT-Dienstleistern vereinbart sind, ist das eine typische Schwachstelle im Assessment.
6. Klassifizierung nicht umsetzen. Die Klassifizierung von Informationen (öffentlich, intern, vertraulich, streng vertraulich) muss nicht nur definiert, sondern auch umgesetzt sein. Das bedeutet: Dokumente sind tatsächlich gekennzeichnet, E-Mails mit vertraulichen Inhalten werden verschlüsselt, und Mitarbeiter wissen, wie sie mit klassifizierten Informationen umgehen müssen.
7. Physische Sicherheit unterschätzen. Zugangskontrollen zu Büros und Serverräumen, Clean-Desk-Policy, Besuchermanagement und Entsorgung vertraulicher Dokumente werden häufig vernachlässigt. Der Auditor wird sich die Räumlichkeiten anschauen und prüfen, ob die dokumentierten Maßnahmen auch in der Praxis erkennbar sind.
8. Kein internes Audit durchführen. Vor dem externen Assessment solltest du unbedingt ein internes Audit durchführen. Dabei deckst du Schwachstellen auf, die du noch beheben kannst. Ein internes Audit ist zudem eine TISAX-Anforderung an sich, weil es zum Verbesserungsprozess gehört.
9. Prototypenschutz unterschätzen. Wenn Prototypenschutz in deinem Scope ist, geht es nicht nur um IT-Sicherheit. Es geht um Kameraverbote in bestimmten Bereichen, um blickdichte Abdeckungen für Prototypen, um Zugangskontrollen zu Prototypenräumen und um gesicherten Transport. Diese physischen Maßnahmen erfordern oft bauliche Veränderungen, die Zeit brauchen.
10. Das Self-Assessment als Formalität betrachten. Das Self-Assessment ist dein Instrument, um Lücken zu identifizieren und zu schließen, bevor der externe Auditor kommt. Wenn du es nur oberflächlich ausfüllst und Problembereiche beschönigst, triffst du im Audit auf unangenehme Überraschungen.
Die Rolle des Informationssicherheitsbeauftragten
TISAX fordert, dass ein Informationssicherheitsbeauftragter (ISB) benannt ist, der das ISMS verantwortet und als Ansprechpartner für den Prüfdienstleister dient. Für mittelständische Zulieferer stellt sich die Frage, ob diese Rolle intern besetzt werden muss oder extern vergeben werden kann.
Grundsätzlich akzeptiert TISAX auch einen externen ISB, aber der Auditor wird prüfen, ob diese Person ausreichend in die Organisation eingebunden ist. Ein externer ISB, der einmal im Quartal vorbeischaut und ansonsten per E-Mail erreichbar ist, reicht nicht aus. Der ISB muss die operativen Prozesse kennen, regelmäßig vor Ort sein und die Autorität haben, Sicherheitsmaßnahmen durchzusetzen.
Für Unternehmen mit weniger als 100 Mitarbeitern ist ein externer ISB in Kombination mit einem internen Ansprechpartner oft die pragmatischste Lösung. Ab 100 Mitarbeitern wird eine zumindest teilweise interne Besetzung empfohlen.
Nach dem Label: TISAX ist kein Einmalprojekt
Das TISAX-Label ist drei Jahre gültig. In dieser Zeit musst du dein ISMS aktiv pflegen, denn beim nächsten Assessment wird der Prüfer sehen wollen, dass das System nicht nach der Zertifizierung eingeschlafen ist.
Konkret bedeutet das: regelmäßige Management-Reviews (mindestens jährlich), interne Audits, fortlaufende Risikobewertung, Aktualisierung der Richtlinien bei Änderungen, Schulungen für neue Mitarbeiter und kontinuierliche Verbesserung auf Basis von Audit-Feststellungen und Sicherheitsvorfällen.
Wenn du diese Aktivitäten konsequent durchführst, ist die Rezertifizierung nach drei Jahren keine große Hürde, sondern eine Routineübung. Wenn du das ISMS nach der Erstzertifizierung vernachlässigst, stehst du bei der Rezertifizierung praktisch wieder am Anfang.
Weiterführende Artikel
- ISMS aufbauen: Der komplette Leitfaden für Unternehmen mit 50 bis 500 Mitarbeitern
- NIS2 vs. ISO 27001: Unterschiede, Gemeinsamkeiten und wie beides zusammenpasst
- Statement of Applicability erstellen: Schritt-für-Schritt-Anleitung
- Internes ISMS-Audit: So prüfst du dein eigenes Managementsystem
- Risikobewertung im ISMS: Methodik, Vorgehensweise und Praxistipps