TISAX Audit-Vorbereitung

Der TISAX-Audit-Ablauf Schritt für Schritt

Das TISAX-Audit folgt einem strukturierten Ablauf in drei Phasen. Jede Phase hat klare Ziele und Erwartungen. Wer den Ablauf kennt, kann sich gezielt vorbereiten und typische Fehler vermeiden.

Phase 1: Dokumentenprüfung (Pre-Audit)

Der Auditor erhält vorab deine Self-Assessment-Ergebnisse und die zugehörige Dokumentation. Er prüft: Policies, Richtlinien, Prozessbeschreibungen, Organigramme, Risikoanalysen, Schulungsnachweise und weitere Nachweisdokumente. Diese Phase findet vor dem eigentlichen Audit statt und dauert typischerweise 1-2 Tage auf Auditor-Seite. Lücken in der Dokumentation werden vorab identifiziert.

Tipp: Stelle dem Auditor die Unterlagen mindestens 2 Wochen vor dem Audit-Termin zur Verfügung. So hat er genug Zeit für die Dokumentenprüfung und kann gezielte Fragen vorbereiten.

Phase 2: Interviews und Begehung

Dies ist der Kern des Audits. Der Auditor führt Interviews mit Verantwortlichen aus verschiedenen Bereichen: CISO/ISB, IT-Leitung, HR, Facility-Management, Fachabteilungen. Er stellt Fragen zu den Prüfzielen des VDA ISA Katalogs und prüft, ob die dokumentierten Prozesse tatsächlich gelebt werden.

Bei AL3-Assessments kommt eine physische Begehung hinzu: Der Auditor besichtigt Serverräume, prüft Zutrittskontrollen, kontrolliert Sicherheitszonen, testet Besuchermanagement-Prozesse und nimmt technische Stichproben (z. B. Firewall-Regelwerke, Berechtigungen, Patch-Stände). Die Begehung dauert typisch einen halben bis ganzen Tag.

Phase 3: Ergebnisbericht

Nach Abschluss des Audits erstellt der Auditor einen Ergebnisbericht mit der Bewertung jedes Prüfziels (Reifegrad 0-5) und einer Gesamtbewertung. Mögliche Ergebnisse:

• Bestanden: Alle Muss-Anforderungen erreichen mindestens Reifegrad 3. Labels werden auf dem ENX-Portal veröffentlicht.
• Bestanden mit Minor Non-Conformities: Soll-Anforderungen haben Lücken. Labels werden trotzdem vergeben, aber die Abweichungen werden dokumentiert.
• Nicht bestanden (Major Non-Conformities): Muss-Anforderungen liegen unter Reifegrad 3. Nachbesserungsfrist von typisch 3-9 Monaten, danach Nachaudit.

Remote vs. Vor-Ort: AL2 und AL3 im Vergleich

Die 5 häufigsten Fehler bei der Audit-Vorbereitung

Fehler 1: Dokumentation erst kurz vor dem Audit erstellen

Der Auditor erkennt sofort, ob Policies und Prozessbeschreibungen "frisch" sind. Dokumente ohne Versionierungshistorie, ohne Review-Datum und ohne Nachweis der Kommunikation an Mitarbeiter signalisieren, dass die Dokumentation nur für das Audit erstellt wurde. Das reicht nicht für Reifegrad 3. Erstelle Policies mindestens 3-6 Monate vor dem Audit und lebe sie nachweisbar.

Fehler 2: Interviewpartner nicht vorbereiten

Der Auditor spricht nicht nur mit dem CISO, sondern auch mit IT-Admins, Facility-Managern, HR-Mitarbeitern und Fachabteilungen. Wenn diese nicht wissen, welche Policies existieren oder wie der Incident-Response-Prozess funktioniert, entsteht ein fataler Eindruck. Briefen jeden Interview-Kandidaten vorab: Welche Fragen können kommen? Wo finden sie die relevanten Dokumente?

Fehler 3: Nachweise nicht griffbereit haben

Wenn der Auditor nach dem letzten Backup-Restore-Test fragt und du 20 Minuten suchst, ist das kein gutes Zeichen. Alle Nachweise sollten strukturiert und sofort verfügbar sein: Schulungsnachweise, Audit-Logs, Change-Tickets, Patch-Berichte, Risikoanalysen, Review-Protokolle. Ein GRC-Tool wie Kopexa macht Nachweise auf Knopfdruck abrufbar.

Fehler 4: Physische Sicherheit unterschätzen (AL3)

Bei AL3-Audits wird die physische Begehung oft zum Stolperstein: defekte Zutrittssysteme, ungepflegte Besucherlisten, offene Serverraum-Türen, fehlende Beschilderung von Sicherheitszonen oder ungesicherte Wechseldatenträger. Führe vor dem Audit eine interne Begehung durch und prüfe alle physischen Sicherheitsmaßnahmen kritisch.

Fehler 5: Self-Assessment zu optimistisch bewerten

Viele Unternehmen bewerten sich im Self-Assessment zu positiv. Wenn du dich bei einem Prüfziel auf Reifegrad 3 einschätzt, der Auditor aber nur Reifegrad 1 sieht, entsteht eine große Diskrepanz, die Vertrauen kostet. Sei im Self-Assessment ehrlich und konservativ. Es ist besser, Lücken vorab zu identifizieren und zu schließen, als sie im Audit offengelegt zu bekommen.

Nachbesserung bei Abweichungen

Nicht jedes Audit wird beim ersten Mal bestanden. Der Auditor unterscheidet zwischen zwei Typen von Abweichungen:

Major Non-Conformity: Eine Muss-Anforderung erreicht nicht Reifegrad 3. Das Assessment gilt als nicht bestanden. Du erhältst eine Nachbesserungsfrist von typischerweise 3-9 Monaten, in der du die Abweichung beheben musst. Anschließend findet ein Nachaudit statt, das nur die betroffenen Prüfziele umfasst.

Minor Non-Conformity: Eine Soll-Anforderung erreicht nicht Reifegrad 3. Das Assessment kann trotzdem als bestanden gelten. Die Abweichung wird dokumentiert und sollte bis zur nächsten Rezertifizierung behoben werden.

Tipps für den Audit-Tag

• Raum vorbereiten: Bei Vor-Ort-Audits: ruhigen Besprechungsraum mit Beamer, WLAN und Zugang zu allen relevanten Systemen bereitstellen.
• Ansprechpartner benennen: Ein zentraler Audit-Koordinator, der den Auditor durch den Tag führt, Interviewpartner koordiniert und Nachweise bereitstellt.
• Ehrlich antworten: Auditoren erkennen Ausflüchte. Wenn etwas fehlt, sage es offen und zeige, dass du einen Plan zur Behebung hast.
• Nachweise zeigen, nicht nur beschreiben: "Wir machen regelmäßig Backups" reicht nicht. Zeige den Backup-Plan, die letzten Protokolle und den letzten Restore-Test.
• Notizen machen: Dokumentiere die Fragen und Anmerkungen des Auditors. Das hilft bei der Nachbesserung und bei der nächsten Rezertifizierung.
• Ruhe bewahren: Ein Audit ist keine Prüfung im Schulsinn. Der Auditor ist kein Gegner, sondern ein Fachkollege, der den Reifegrad bewertet. Kooperatives Verhalten wird positiv bewertet.

Die vollständige Vorbereitungs-Checkliste findest du in unserer TISAX-Checkliste. Informationen zu Kosten und Timeline gibt es auf unserer Seite zu Kosten und Ablauf.