TISAX Roadmap für KMU der Automobilbranche

Die Automobilindustrie fordert von ihren Zulieferern höchste Standards in der Informationssicherheit – mittlerweile ist eine TISAX-Zertifizierung (Trusted Information Security Assessment Exchange) oft Voraussetzung für die Zusammenarbeit . TISAX wurde vom Verband der Automobilindustrie (VDA) gemeinsam mit der ENX Association entwickelt und basiert im Kern auf ISO/IEC 27001 . Das bedeutet: Unternehmen müssen ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 implementieren und zusätzlich branchenspezifische Anforderungen – etwa Prototypenschutz und physische Sicherheit – erfüllen . Der VDA-ISA-Anforderungskatalog gliedert sich entsprechend in die Bereiche Informationssicherheit, Prototypenschutz und Datenschutz . Je nach Schutzbedarf der verarbeiteten Informationen werden unterschiedliche Prüfniveaus (Assessment Level 1–3) relevant, wobei Level 3 (sehr hoher Schutzbedarf) für viele OEMs heute Mindeststandard ist .

Für kleinere und mittlere Unternehmen (KMU) oder erstmalige Zulieferer kann der Weg zur TISAX-Zertifizierung herausfordernd wirken – insbesondere bei begrenzten personellen Ressourcen, in Altbauten ohne optimalen physischen Schutz oder ohne Vorerfahrung im Aufbau eines ISMS. Die gute Nachricht: Auch kleinere Unternehmen können die TISAX-Anforderungen erfüllen, da die Vorgaben skalierbar sind und vom Prüfdienstleister immer unter Berücksichtigung der Unternehmensgröße ausgelegt werden . Wichtig ist ein strukturierter Ansatz mit klaren Phasen, in dem man systematisch Lücken schließt und alle Beteiligten früh einbindet. Typische Stolpersteine – etwa fehlende Dokumentation, technische Insellösungen ohne Prozesse, geringe Security-Awareness oder fehlende Projektressourcen – lassen sich durch sorgfältige Planung bewältigen . Dabei gilt: TISAX ist kein einmaliges Projekt, sondern erfordert ein lebendiges System, das kontinuierlich gepflegt und verbessert wird.

Im Folgenden skizzieren wir eine praxisorientierte Roadmap in sechs Phasen – von der Vorbereitung bis zur Nachsorge – um eine TISAX-Zertifizierung strukturiert umzusetzen. Die Anleitung beinhaltet konkrete Tipps, adressiert branchentypische Herausforderungen und verweist auf bewährte Standards und Partner (z. B. VDA ISA, BSI-Grundschutz, ENX, Audit-Anbieter wie TÜV, DEKRA, KPMG).

Tipp

Ein strategischer, strukturierter Ansatz – ideal begleitet durch externe ISMS-Expertise – erhöht die Erfolgswahrscheinlichkeit deutlich und stärkt die interne Sicherheitskultur . Lassen Sie sich bei Bedarf frühzeitig von erfahrenen Beratern oder Netzwerken (z. B. Allianz für Cyber-Sicherheit, Bitkom-Leitfäden) unterstützen, anstatt alleine im Dunkeln zu tappen.

Phase 1: Vorbereitung & Gap-Analyse#

Der Startschuss jeder Zertifizierung ist eine gründliche Bestandsaufnahme: Wo steht das Unternehmen heute in puncto Sicherheit? Welche Anforderungen kommen konkret auf uns zu? In dieser Phase schaffen Sie die Grundlagen für ein erfolgreiches Projekt.

Scope & Anforderungen klären: Zunächst muss klar sein, welchen Geltungsbereich das ISMS haben soll. Legen Sie fest, welche Standorte, Geschäftsbereiche und Informationstypen in Scope sind. Berücksichtigen Sie dabei Kundenanforderungen: Fordert ein OEM z. B. den Umgang mit Informationen mit sehr hohem Schutzbedarf oder den Prototypenschutz, müssen Sie sich auf Assessment Level 3 vorbereiten – mit entsprechend strengen Kontrollen und einem vor-Ort-Audit . Ist nur “hoher Schutzbedarf” ohne Prototypen gefordert, könnte Level 2 genügen (Audit durch Dienstleister, evtl. remote). Treffen Sie diese Weichenstellung früh, da sie den Projektumfang bestimmt.

Management-Buy-in & Ressourcen: Gewinnen Sie die Geschäftsleitung als Sponsor – TISAX erfordert bereichsübergreifende Maßnahmen und stetige Ressourcen. Bestellen Sie einen Projektleiter oder Informationssicherheitsbeauftragten, der das Vorhaben koordiniert. Definieren Sie klare Verantwortlichkeiten (wer kümmert sich um IT-Themen, wer um Gebäude/Facility-Security, wer um Schulungen etc.) . Planen Sie außerdem das grobe Budget und den Zeitrahmen: Wie viel Zeit steht bis zum gewünschten Zertifikat? Welche Investitionen (z. B. für Türen, Software, Beratung) sind einzuplanen? 

Gap-Analyse durchführen: Vergleichen Sie den Ist-Zustand Ihrer Sicherheitsmaßnahmen mit den Soll-Anforderungen aus dem TISAX/VDA-ISA-Katalog. Hierzu eignet sich eine Gap-Analyse entlang des Fragenkatalogs. Gehen Sie Frage für Frage durch und dokumentieren Sie, welche Anforderungen Sie schon erfüllen und wo Lücken bestehen . Typische Fragen in diesem Stadium: Gibt es bereits IT-Sicherheitsrichtlinien oder Dokumentationen? Sind technische Basisschutzmaßnahmen (Firewall, Antivirenscanner, Backup) vorhanden und dokumentiert? Gibt es Zugangsregelungen für Gebäude? etc. Als Hilfsmittel können Sie den offiziellen VDA ISA Fragebogen (erhältlich über das ENX-Portal) nutzen oder Tools einsetzen, die diese Selbstbewertung erleichtern. Oft bietet es sich an, auch gleich eine ISO 27001-Gap-Analyse mit zu integrieren, da TISAX auf ISO aufbaut .

Ergebnisse priorisieren: Aus der Gap-Analyse resultiert eine Liste von fehlenden Maßnahmen. Bewerten Sie, welche Lücken kritisch sind (z. B. keine Zutrittskontrolle zum Serverraum, keine Sicherheitsrichtlinie vorhanden) und welche geringere Priorität haben. Diese Priorisierung fließt in den Maßnahmenplan (Phase 3) ein.

Tipp

Dokumentieren Sie alle Erkenntnisse der Bestandsaufnahme sorgfältig. Eine strukturierte Dokumentation ist essenziell – fehlende Nachweise gehören zu den häufigsten Ursachen für Probleme im Audit . Wenn intern wenig Erfahrung vorhanden ist, ziehen Sie in Erwägung, einen TISAX-Readiness-Check durch einen externen Experten durchführen zu lassen. Diese Gap-Analyse durch Profis kann blinde Flecken aufdecken und spart Zeit auf dem Weg zur Zertifizierung.

Phase 2: ISMS-Aufbau (Scope festlegen, Policies, physische Sicherheit)#

Auf Basis der Voranalyse beginnt nun der Aufbau des Informationssicherheits-Managementsystems (ISMS). Hier legen Sie organisatorisch und regelwerkseitig den Grundstein dafür, dass alle Sicherheitsmaßnahmen systematisch geplant, umgesetzt und überwacht werden .

ISMS-Rahmen schaffen: Formulieren Sie eine oberste Sicherheitsleitlinie (Information Security Policy), in der Management und Ziele des ISMS festgehalten sind. Richten Sie ein ISMS-Gremium oder zumindest regelmäßige Abstimmungsrunden ein, an denen alle relevanten Bereiche teilnehmen (IT, HR, Facility, Management). Damit wird sichergestellt, dass Sicherheit kein reines IT-Thema bleibt, sondern im ganzen Unternehmen verankert wird .

Risikomanagement etablieren: Starten Sie mit einer formalen Risikoanalyse. Identifizieren und bewerten Sie systematisch die Risiken für Ihre Informationen und Systeme . Nutzen Sie anerkannte Methoden (z. B. nach ISO 27005 oder BSI-Standard 200-3), um den Schutzbedarf Ihrer Werte zu bestimmen. Wichtig: Beziehen Sie alle relevanten Szenarien ein – von Cyberangriffen bis zum Diebstahl eines Prototypen aus dem Büro. Die identifizierten Risiken steuern dann die Auswahl geeigneter Sicherheitsmaßnahmen.

Schutzklassen definieren: Etablieren Sie ein Schema zur Klassifizierung von Informationen. In der Automobilbranche sind typischerweise z. B. Stufen wie “intern”, “vertraulich”, “hoch vertraulich” gebräuchlich. Der VDA-Katalog unterscheidet insbesondere normalen, hohen und sehr hohen Schutzbedarf – letztere erfordern zusätzliche Maßnahmen . Legen Sie fest, wie Dokumente, Daten und ggf. Prototypen entsprechend gekennzeichnet und behandelt werden. Schultern Sie mit den Fachabteilungen, welche Informationen in welche Klasse fallen. Diese Schutzklassen bestimmen dann etwa, ob bestimmte Daten nur in besonders gesicherten Bereichen verarbeitet werden dürfen.

Organisatorische Regeln & Policies: Entwickeln oder aktualisieren Sie konkrete Sicherheitsrichtlinien und Prozesse für alle relevanten Bereiche . Dazu zählen z. B.: Richtlinien zur Zugriffskontrolle (wer darf was, Freigabeprozesse), Regelungen zur Nutzung von IT-Systemen (Passwort-Policies, Internetnutzung), ein Clear-Desk/Clear-Screen-Policy (keine sensiblen Infos offen liegenlassen), Notfallmanagement-Prozesse (z. B. Umgang mit Sicherheitsvorfällen), Lieferantenmanagement (Sicherheitsanforderungen an Dienstleister) und vieles mehr. Orientieren Sie sich hierbei eng an den Anforderungen des VDA ISA sowie ISO 27001 Anhang A. Hilfreich sind auch Best-Practice-Kataloge wie der BSI IT-Grundschutz, der für zahlreiche Bereiche praxisnahe Maßnahmenempfehlungen liefert . Wichtig ist, dass die Policies schriftlich dokumentiert und von der Geschäftsführung abgesegnet sind. Sie bilden die Spielregeln, nach denen Ihr Sicherheitsmanagement abläuft.

Physische Sicherheit umsetzen: Ein Schwerpunkt in der Automobilbranche ist der Schutz der Betriebsstätten und Prototypen vor unbefugtem physischen Zugriff oder Einblick. Führen Sie ein Sicherheitszonenkonzept ein: Definieren Sie Bereiche mit höherem Schutzbedarf (z. B. Labore, Entwicklungsräume, Serverraum) und statten Sie sie mit passenden Kontrollen aus . Zutrittskontrollen sind Pflicht – zumindest mechanisch (Schlüssel, Schließanlage) und bei hohem Schutzbedarf besser elektronisch (Karten, PIN, biometrisch) mit Protokollierung. Kritische Räume sollten nur autorisiertes Personal betreten können. Überwachungssysteme (Alarmanlage, Videoüberwachung im Rahmen der DSGVO) erhöhen die Sicherheit nachts und an wenig frequentierten Zugängen.

Besonderes Augenmerk verdient das Thema Einblickschutz: In Bereichen, wo vertrauliche Informationen sichtbar sind (z. B. Prototypen, Designpläne an Wänden, Bildschirme), muss verhindert werden, dass Unbefugte einfach hineinschauen können  . Fenster und Glasflächen sollten – soweit baulich machbar – mit blickdichten Folien, Jalousien oder Vorhängen ausgestattet werden . Gibt es Altbauten mit großen, nicht abschirmbaren Fenstern, sollten Sie organisatorische Maßnahmen treffen: Etwa sensible Tätigkeiten in Innenräume verlegen, Sichtschutzwände aufstellen oder sicherstellen, dass nach Geschäftsschluss keine geheimen Materialien offen im Sichtbereich liegen. Dokumentieren Sie in der Risikoanalyse Ihre Entscheidung, warum trotz baulicher Einschränkungen ein ausreichendes Schutzniveau erreicht ist (z. B. Gebäude umzäunt, Wachdienst vorhanden, geringer Publikumsverkehr etc.). So zeigen Sie dem Auditor, dass Ihnen der Schutz bewusst ist und Sie pragmatische Alternativen gewählt haben.

Mitarbeiter für Sicherheit sensibilisieren: Kein ISMS funktioniert ohne die Menschen, die es befolgen. Starten Sie früh mit Awareness-Maßnahmen: Schulungen zur Informationssicherheit, klare Kommunikation der neuen Policies und warum sie wichtig sind . Jeder Mitarbeiter – vom Entwickler bis zum Pförtner – sollte wissen, wie er mit vertraulichen Informationen umgehen muss und welche Meldewege es im Notfall gibt. Gerade für KMU ohne Vorerfahrung kann es hilfreich sein, externe Schulungsangebote (z. B. vom BSI oder Branchenverbänden) zu nutzen. Trainings und Workshops zur Passwortsicherheit, Phishing-Erkennung, Umgang mit Prototypen etc. helfen, eine Sicherheitskultur aufzubauen. Ohne Awareness laufen technische Maßnahmen ins Leere .

Tipp

Phase 3: Umsetzung & Maßnahmenplan#

Nach der Konzeptionsphase geht es an die konkrete Umsetzung der identifizierten Maßnahmen. Aus der Gap-Analyse (Phase 1) und den definierten ISMS-Anforderungen (Phase 2) leiten Sie einen Maßnahmenkatalog ab: Wer macht was bis wann, um die Lücken zu schließen?

Maßnahmenplan erstellen: Führen Sie alle erforderlichen Schritte in einem Projektplan zusammen. Priorisieren Sie nach Risiko und Aufwand. Setzen Sie realistische Fristen und benennen Sie Verantwortliche für jede Maßnahme. Ein möglicher Planpunkt könnte sein: “Fenster im Entwicklungsbüro mit Sichtschutzfolie versehen – Verantwortlich: Facility Manager – bis 30.09. erledigen”. Ein anderer: “Backup-Konzept dokumentieren und testen – Verantwortlich: IT-Leiter – bis 15.10.” Achten Sie darauf, auch ** organisatorische Maßnahmen** aufzunehmen, z. B. “Schulungsunterlagen für Mitarbeiter erstellen und verteilen”.

Lücken schließen: Nun heißt es, die geplanten Tasks abzuarbeiten. Technische Maßnahmen setzen meist die IT oder externe Dienstleister um (Firewall-Härtung, Netzsegmentierung, Verschlüsselung einführen etc.). Organisatorische Schritte können z. B. das Erstellen fehlender Richtliniendokumente sein (wenn etwa noch keine Richtlinie zur mobilen Arbeit existiert, muss diese neu geschrieben werden). Physische Verbesserungen (zusätzliche Schlösser, Serverraum klimatisieren, Alarm installieren) sollten zügig beauftragt werden, da Lieferzeiten einzuplanen sind. Behalten Sie den Überblick über den Fortschritt – etwa via regelmäßige Projektrunden oder Statusberichte an die Geschäftsführung.

Dokumentation nicht vergessen: Parallel zur Umsetzung sollte jedes implementierte Kontrollverfahren dokumentiert werden. Führen Sie Nachweise: z. B. Protokolle von IT-Systemen (Passwortrichtlinie im AD konfiguriert – Screenshot abgelegt), Foto von neu angebrachten Türschlössern, Teilnehmerlisten von Security-Schulungen usw. Diese Evidenzen werden im Audit Gold wert sein. Oft scheitern Audits nicht an fehlenden Maßnahmen, sondern daran, dass Nachweise und Dokumente nicht lückenlos vorliegen . Legen Sie einen zentralen Ordner (digital) an, in dem alle Policies, Prozessbeschreibungen, Risk Reports und Nachweisdokumente strukturiert abgelegt sind.

Mit knappen Ressourcen haushalten: Gerade KMU stehen häufig vor der Herausforderung, dass Mitarbeiter „nebenbei“ das ISMS aufbauen müssen. Priorisieren Sie daher strikt: Welche Maßnahmen haben den größten Einfluss auf die Sicherheit und das Audit-Ergebnis? Konzentrieren Sie sich zuerst darauf. Weniger kritische Punkte können ggf. mit Begründung zurückgestellt werden – aber Vorsicht: „Muss“-Anforderungen des TISAX-Katalogs dürfen nicht offen bleiben. Falls Sie personell nicht alles parallel schaffen, erwägen Sie externe Hilfe bei der Umsetzung bestimmter Pakete (z. B. externer IT-Security-Spezialist für Penetrationstest oder ein Dienstleister für die Alarmanlageninstallation).

Umgang mit Ausnahmefällen: Sollte es Punkte geben, die Sie trotz aller Mühen nicht 100% erfüllen können (etwa aus baulichen Gründen), dann dokumentieren Sie eine Schutzbedarfsabwägung. Beschreiben Sie, warum das Risiko aus Ihrer Sicht beherrschbar ist und welche kompensierenden Maßnahmen Sie ergriffen haben. Beispiel: “Kein biometrisches Zugangssystem vorhanden – Risiko akzeptiert, da Eingangsbereich ständig besetzt und Videoüberwachung vorhanden, Besucherregistrierung manuell.”* Ein guter Prüfer wird nachvollziehen, dass kleine Unternehmen pragmatische Lösungen brauchen, solange der Schutz insgesamt angemessen ist .

💡 Tipp: Behalten Sie den Prüfstand im Blick: Versetzen Sie sich bereits in dieser Phase in die Rolle des Auditors. Für jede Forderung des TISAX-Katalogs sollten Sie sich fragen: Womit kann ich dem Prüfer nachweisen, dass wir das erfüllen? Führen Sie eine interne Checkliste mit Soll/Ist-Nachweisen. So stellen Sie sicher, dass am Ende nichts unter den Tisch fällt.

Phase 4: Interne Audits – Generalprobe vor dem Ernstfall#

Bevor Sie den offiziellen Prüfungsprozess starten, ist ein internes Audit unerlässlich. Diese interne Prüfung dient als Generalprobe, um Schwachstellen aufzudecken, solange noch Zeit zur Nachbesserung bleibt.

Audit-Team aufstellen: Bestimmen Sie interne Auditoren – idealerweise Personen, die nicht unmittelbar ihre eigenen Arbeiten prüfen. In einem kleinen Betrieb kann das eine fachfremde Führungskraft sein oder Sie beauftragen einen externen Auditor auf Beratungsbasis, der Ihr ISMS einmal kritisch durchleuchtet. Wichtig ist Unabhängigkeit und Objektivität .

Prüfung durchführen: Orientieren Sie sich am VDA-ISA-Fragenkatalog und gehen Sie diesen systematisch durch. Überprüfen Sie, ob alle Anforderungen umgesetzt und wirksam sind. Beispiele: Existiert für jede Sicherheitsrichtlinie auch ein konkreter Prozess und ist dieser bekannt? Funktionieren die Zutrittskontrollen in der Praxis (Test: kommt ein Unbefugter ins Gebäude)? Werden Backups tatsächlich gemäß Policy erstellt und geprüft? Simulieren Sie ruhig kleine Tests, etwa ein Phishing-Test bei Mitarbeitern oder ein Probealarm, um Reaktionen zu überprüfen.

Schwachstellen identifizieren: Halten Sie alle Abweichungen und Beobachtungen fest. Typische Funde interner Audits sind z. B.: Mitarbeiter kennen eine Regel nicht, Dokument X ist veraltet, ein geplanter technischer Patch steht noch aus, oder physische Mängel (z. B. Feuerlöscher fehlen). Priorisieren Sie diese Findings nach Kritikalität.

Korrekturmaßnahmen einleiten: Für jede Feststellung sollten vor dem externen Audit Gegenmaßnahmen umgesetzt werden . Das interne Audit gibt Ihnen praktisch eine To-do-Liste auf den letzten Metern. Kleinere Lücken (z. B. fehlendes Schild “Zutritt verboten” an der Labortür) lassen sich schnell schließen. Größere Probleme (z. B. unvollständige Dokumentation der Netzwerktopologie) müssen eventuell mit Nachtschichten oder externer Hilfe korrigiert werden. Notfalls kann man auch entscheiden, das offizielle Audit zu verschieben, bis kritische Mängel behoben sind – das ist allemal besser, als durchzufallen.

Audit-Dokumentation: Fassen Sie das interne Audit in einem Bericht zusammen. Dieser interne Auditbericht dient ebenfalls dem Nachweis, dass Sie die ISO 27001/TISAX-Vorgabe eines internen Audits erfüllt haben. Er muss nicht an den externen Prüfer abgegeben werden, dokumentiert aber Ihre kontinuierliche Verbesserung.

Tipp

Nutzen Sie Checklisten. Viele Beratungsunternehmen oder Publikationen (z. B. von Bitkom oder DataGuard) bieten Audit-Checklisten für TISAX an. Solche Listen helfen, keine Prüfkriterien zu übersehen. Auch der TISAX-Teilnehmerhandbuch (ENX Participant Handbook) bietet einen guten Überblick, was im Assessment auf Sie zukommt. Eine strukturierte interne Prüfung erhöht die Wahrscheinlichkeit, dass das externe Audit auf Anhieb erfolgreich verläuft.

Phase 5: Externes Assessment durch akkreditierte Prüfer#

Nun steht die eigentliche TISAX-Prüfung bevor. Sie wird von einem akkreditierten Prüfdienstleister durchgeführt, den Sie frei wählen können. Die ENX Association lässt mehrere Anbieter zu – darunter z. B. TÜV, DEKRA, DQS, KPMG, Bureau Veritas und weitere. Wichtig ist, dass der Dienstleister TISAX-Assessments anbieten darf (akkreditiert von ENX) – das ist bei den genannten der Fall.

Auditanbieter auswählen und beauftragen: Recherchieren Sie einen passenden Audit-Provider. Kriterien können sein: Erfahrung in Ihrer Branche, Verfügbarkeit im gewünschten Zeitraum, Preisgestaltung, Sprache des Auditors etc. Nehmen Sie frühzeitig Kontakt auf, da die Terminbücher guter Auditoren mitunter voll sind. Planen Sie ggf. einige Monate Vorlauf ein. Nach der Registrierung auf dem TISAX-Portal können Sie den gewünschten Audit-Anbieter offiziell beauftragen .

Auditplanung (Kick-off): Der Prüfdienstleister wird mit Ihnen einen Auditplan abstimmen. Dabei wird geklärt, wann und wo geprüft wird, welche Standorte einbezogen sind und welche Dokumente der Auditor vorab sehen möchte. Bei Assessment Level 2 kann der Audit teilweise remote (Dokumentenreview) erfolgen . Bei Level 3 ist mit umfangreicheren Vor-Ort-Besuchen zu rechnen – der Auditor wird Ihre Räumlichkeiten in Augenschein nehmen, um sich von der physischen Sicherheit und Umsetzung zu überzeugen.

Durchführung des Audits: Ein TISAX-Audit ähnelt in Ablauf und Strenge einer ISO 27001-Zertifizierung. Oft wird es in zwei Schritten abgehalten: einer Stage 1 (Vorprüfung), in der vor allem die Dokumentation überprüft wird, und einer Stage 2 (Hauptaudit), in der die praktische Umsetzung in allen Details begutachtet wird . Dies kann je nach Unternehmensgröße ein bis mehrere Tage dauern. Der Auditor führt Interviews mit Schlüsselpersonen (Management, ISMS-Manager, IT-Leiter, Personalverantwortlicher etc.), prüft Dokumente und Aufzeichnungen und besichtigt kritische Bereiche. Rechnen Sie damit, dass Stichproben gemacht werden – z. B. ob ein Mitarbeiter die Clean-Desk-Policy einhält oder ob Serverräume tatsächlich verschlossen sind. Wichtig: Seien Sie offen und kooperativ. Wenn der Auditor Fragen stellt oder zusätzliche Nachweise sehen will, liefern Sie diese möglichst prompt. Kleine Unschärfen lassen sich oft im Gespräch klären, solange grundsätzlich Vertrauen in Ihr ISMS entsteht.

Ergebnis und Bericht: Am Ende teilt der Prüfer in einer Abschlussbesprechung mit, ob das Assessment bestanden wurde oder ob Abweichungen gefunden wurden. Kleinere Abweichungen (Minor Nonconformities) sind nicht ungewöhnlich – etwa ein vereinzelter Schulungsnachweis fehlt oder eine Tür wurde beim Rundgang unbeabsichtigt offengelassen. Solche Punkte können meist innerhalb einer definierten Frist nachgebessert werden. Hierzu erstellen Sie einen Korrekturmaßnahmenplan, den der Auditor prüfen wird . Bei schwerwiegenden Lücken (Major Findings) kann ein Follow-up-Audit nötig werden . Sind alle Anforderungen erfüllt, stellt der Dienstleister den TISAX-Bericht fertig und Sie erhalten die TISAX-Labels, die Ihrem erreichten Prüfniveau entsprechen (z. B. Informationssicherheit hoch und ggf. Prototypenschutz) . Diese Ergebnisse werden auf der ENX-Plattform hinterlegt und können dort für Ihre Geschäftspartner freigeschaltet werden. Anders als bei ISO 27001 gibt es kein klassisches Zertifikat zum Aushängen, sondern einen Report und Eintrag im TISAX-Portal.

Tipp

Wählen Sie einen erfahrenen Audit-Provider, der sowohl mit ISO 27001 als auch TISAX vertraut ist. Die Chemie sollte stimmen, denn ein partnerschaftliches Audit-Verhältnis erleichtert den Prozess. Fragen Sie ruhig nach Referenzen in der Automobilbranche. Nicht jede Prüforganisation ist für TISAX akkreditiert – achten Sie daher auf die offizielle Listung bei ENX. Die Wahl der richtigen Zertifizierungsstelle ist entscheidend für einen effizienten Auditablauf.

Phase 6: Nachsorge & kontinuierliche Verbesserung#

Geschafft – Sie haben die TISAX-Zertifizierung (bzw. das TISAX-Assessment) bestanden. Doch nach dem Audit ist vor dem Audit: TISAX und ISO 27001 fordern, dass Informationssicherheit kontinuierlich gelebt und verbessert wird . In dieser Phase geht es darum, das ISMS im Alltag zu verankern und für die Zukunft up-to-date zu halten.

Korrekturmaßnahmen umsetzen: Falls der Auditor in Phase 5 Abweichungen festgestellt hat, steht zunächst die Nacharbeit an. Schließen Sie alle offenen Punkte innerhalb der vorgegebenen Frist und senden Sie die Nachweise an den Prüfdienstleister. Nur so erhalten bzw. behalten Sie das TISAX-Label. Diese Lessons Learned aus dem Audit sind wertvoll – sie zeigen, wo Ihr System noch optimiert werden kann.

ISMS im Alltag betreiben: Integrieren Sie die Sicherheitsprozesse in die tägliche Routine. Führen Sie regelmäßige Sicherheitsaudits durch – mindestens jährlich interne Audits, um die Wirksamkeit der Maßnahmen zu überprüfen . Auch Management-Reviews (jährliche Berichte ans Top-Management über den Status der Informationssicherheit) sind sinnvoll und nach ISO 27001 gefordert. Passen Sie Ihr Risikomanagement kontinuierlich an: Neue Bedrohungen (z. B. neue Malware-Trends, Home-Office-Szenarien) oder Änderungen im Unternehmen (neue IT-Systeme, Organigrammwechsel) müssen in die Risikoanalyse einfließen und ggf. zu neuen Maßnahmen führen .

Mitarbeiter-Schulungen fortführen: Sicherheitsbewusstsein ist keine einmalige Pille. Planen Sie laufend Awareness-Maßnahmen, z. B. jährliche Auffrischungstrainings, Phishing-Simulationen, Sicherheitsnewsletter. Neue Mitarbeiter müssen direkt beim Onboarding die Security-Kultur vermittelt bekommen. Zeigen Sie, dass das Thema Chefsache bleibt und Erfolge (oder auch Vorfälle) transparent kommuniziert werden.

Re-Zertifizierung vorbereiten: Ein TISAX-Assessment ist in der Regel drei Jahre gültig, ähnlich wie ein ISO-Zertifikat. Behalten Sie den Ablauf im Auge und beginnen Sie spätestens 6–12 Monate vor Ablauf der Gültigkeit mit der Vorbereitung der Re-Zertifizierung . Da Sie ein etabliertes ISMS haben, ist der Aufwand zur Rezertifizierung in der Regel geringer – vorausgesetzt, Sie haben Ihr System gepflegt. Zwischen den Hauptaudits können auch Überwachungsaudits stattfinden (bei ISO 27001 üblich jährlich; bei TISAX freiwillig, aber manche Partner fordern evtl. Statusupdates). Stellen Sie sich darauf ein, den hohen Standard jederzeit nachweisen zu können.

Stetige Verbesserung: Nutzen Sie die Erfahrungen, um Schwachstellen proaktiv anzugehen. Führen Sie z. B. regelmäßige Management-Meetings zur Informationssicherheit ein, in denen neue Maßnahmen beschlossen werden. Bleiben Sie auch technologisch auf dem Laufenden: Die Automotive-Security-Welt entwickelt sich weiter (Stichwort NIS2-Richtlinie für Zulieferer, Cloud Security, etc.). Ein ISMS sollte mit dem Unternehmen mitwachsen.

Tipp

Machen Sie Compliance zur Gewohnheit. Wer Informationssicherheit als festen Bestandteil der Unternehmenskultur etabliert, spart langfristig Kosten und minimiert Risiken . Celebrate your certification, aber sehen Sie sie vor allem als Vertrauensbeweis für Ihre Kunden und Partner. Mit einer gelebten Sicherheitskultur werden zukünftige Audits beinahe zum Selbstläufer, und Ihr Unternehmen profitiert dauerhaft von besseren Sicherheitsstandards und Reputation.

Fazit#

Eine TISAX-Zertifizierung strukturiert umzusetzen, mag insbesondere für KMU eine Herausforderung sein – doch mit einer klaren Roadmap wird der Weg überschaubar. Vorbereitung, systematischer ISMS-Aufbau, konsequente Umsetzung, Prüfung und kontinuierliche Verbesserung bilden die Schritte zum Erfolg. Unternehmen, die diesen Pfad gehen, profitieren nicht nur von einem Label, sondern von nachhaltig höherer Informationssicherheit, gestärktem Vertrauen bei Kunden und einem Wettbewerbsvorteil in der Branche .

Wichtig ist, das Ganze als Projekt zur Organisationsentwicklung zu begreifen, nicht als lästige Pflicht. Investieren Sie in Know-how (intern und extern), orientieren Sie sich an bewährten Standards (ISO 27001, BSI-Grundschutz) und scheuen Sie nicht, Hilfe von erfahrenen Partnern anzunehmen – seien es Beratungen für den ISMS-Aufbau oder anerkannte Auditdienstleister für die Zertifizierung. Mit der richtigen Strategie wird TISAX nicht zur Hürde, sondern zum Erfolgsfaktor, der Ihr Unternehmen zukunftssicher aufstellt. Viel Erfolg auf Ihrem Weg zur TISAX-Zertifizierung!