TISAX Reifegrad-Modell: Levels 0-5

Das TISAX Reifegrad-Modell erklärt

Das Reifegrad-Modell (Maturity Model) ist das zentrale Bewertungsinstrument im TISAX-Assessment. Für jedes Prüfziel im VDA ISA Katalog wird ein Reifegrad von 0 bis 5 ermittelt. Dieser Reifegrad spiegelt wider, wie systematisch und nachhaltig ein Sicherheitsprozess implementiert ist — nicht ob er existiert, sondern wie gut er gelebt wird.

Das Zielniveau für ein erfolgreiches TISAX-Assessment ist Reifegrad 3 ("Etabliert") bei allen relevanten Muss-Anforderungen. Das bedeutet: Der Prozess ist nicht nur vorhanden und dokumentiert, sondern standardisiert, gemessen und in die Unternehmensorganisation integriert.

Die 6 Reifegrad-Stufen

Level 0: Unvollständig

Der Prozess ist nicht vorhanden oder nicht implementiert. Es gibt keine erkennbaren Ansätze, die Anforderung zu erfüllen. Beispiel: Kein Incident-Management-Prozess definiert, keine Passwort-Policy vorhanden, keine Backup-Strategie dokumentiert. Level 0 bei einer Muss-Anforderung ist ein sofortiges KO-Kriterium im Assessment.

Level 1: Durchgeführt

Der Prozess existiert, wird aber ad-hoc und nicht dokumentiert durchgeführt. Sicherheitsmaßnahmen werden umgesetzt, aber nicht systematisch. Verantwortlichkeiten sind unklar, Ergebnisse nicht nachvollziehbar. Beispiel: Backups werden gemacht, aber ohne dokumentierten Plan, ohne regelmäßige Restore-Tests und ohne definierten Verantwortlichen.

Level 2: Gesteuert

Der Prozess ist dokumentiert und wird regelmäßig durchgeführt. Es gibt eine schriftliche Richtlinie, definierte Verantwortlichkeiten und nachweisbare Umsetzung. Der Prozess ist jedoch noch nicht standardisiert und wird möglicherweise in verschiedenen Abteilungen unterschiedlich gelebt. Beispiel: Backup-Policy existiert, Backups werden regelmäßig durchgeführt, aber Restore-Tests fehlen oder sind nicht dokumentiert.

Level 3: Etabliert — das TISAX-Zielniveau

Der Prozess ist standardisiert, gemessen und kontinuierlich verbessert. Er gilt unternehmensweit einheitlich, wird regelmäßig überprüft und die Ergebnisse fließen in Verbesserungsmaßnahmen ein. Es gibt definierte KPIs, regelmäßige Reviews und eine nachweisbare Verbesserungshistorie. Beispiel: Backup-Policy unternehmensweit einheitlich, regelmäßige Restore-Tests dokumentiert, Ergebnisse werden ausgewertet und Maßnahmen bei Abweichungen abgeleitet.

Level 3 ist das Ziel. Der Auditor erwartet bei diesem Reifegrad: dokumentierte Prozesse, definierte Verantwortlichkeiten, nachweisbare Umsetzung, regelmäßige Reviews, messbare KPIs und eine Verbesserungshistorie. "Wir machen das so" reicht nicht — es muss nachweisbar sein.

Level 4: Vorhersagbar

Der Prozess wird quantitativ gesteuert. Detaillierte Metriken erlauben Vorhersagen über die Prozessleistung. Abweichungen werden statistisch analysiert. Beispiel: Backup-Erfolgsrate wird monatlich gemessen, Trends analysiert, prädiktive Maßnahmen bei negativer Entwicklung eingeleitet. Level 4 wird im TISAX-Assessment selten gefordert, zeigt aber höchste Professionalität.

Level 5: Optimierend

Der Prozess wird kontinuierlich optimiert. Innovation und Best-Practice-Vergleiche fließen systematisch ein. Der Prozess wird proaktiv weiterentwickelt, nicht nur reaktiv verbessert. Level 5 ist in der Praxis selten und wird von keinem TISAX-Assessment gefordert — es ist das theoretische Optimum.

Was der Auditor auf jedem Level erwartet

Der typische Gap: Von Level 2 auf Level 3

Die meisten Unternehmen befinden sich bei der ersten Gap-Analyse auf Level 1 bis 2. Prozesse existieren, sind teilweise dokumentiert, werden aber nicht systematisch gesteuert. Der Sprung von Level 2 auf Level 3 ist die zentrale Herausforderung in der TISAX-Vorbereitung.

Was auf Level 2 typischerweise fehlt:

• Regelmäßige Reviews: Policies existieren, werden aber nicht jährlich überprüft und aktualisiert
• KPIs und Metriken: Prozesse laufen, aber es wird nicht gemessen, ob sie die gewünschten Ergebnisse liefern
• Verbesserungshistorie: Es gibt keine dokumentierte Spur von "erkannt → analysiert → verbessert"
• Unternehmensweit einheitlich: IT setzt die Policy um, aber die Fachabteilung macht es anders
• Nachweisbare Umsetzung: "Wir machen das so" statt "Hier ist der Nachweis, dass wir es getan haben"

Praxisbeispiel: Patch-Management

Level 1: Patches werden installiert, wenn der Admin Zeit hat. Kein Plan, keine Priorisierung, kein Tracking.

Level 2: Es gibt eine Patch-Policy mit definierten Zeitfenstern (z. B. kritische Patches innerhalb von 72 Stunden). Ein Admin ist verantwortlich. Patches werden regelmäßig installiert, aber es gibt kein Reporting und keine Ausnahmeregelung.

Level 3: Patch-Policy unternehmensweit gültig. Monatliches Patch-Reporting an die Geschäftsleitung. Ausnahmen werden dokumentiert und genehmigt. Patch-Compliance-Rate wird gemessen (KPI: 95 % innerhalb der definierten Zeitfenster). Abweichungen werden analysiert und Verbesserungsmaßnahmen abgeleitet. Jährliches Review der Patch-Policy.

So erreichst du Reifegrad 3

Der Weg von Level 2 zu Level 3 folgt einem klaren Muster für jedes Prüfziel:

• Standardisieren: Eine einheitliche, unternehmensweit gültige Richtlinie erstellen
• Messen: KPIs definieren und regelmäßig erheben
• Reviewen: Mindestens jährlich die Wirksamkeit der Maßnahme überprüfen
• Verbessern: Aus Reviews und Messungen Verbesserungsmaßnahmen ableiten und umsetzen
• Nachweisen: Alles dokumentieren — der Auditor muss es schwarz auf weiß sehen

Kopexa unterstützt diesen Prozess durch Reifegrad-Tracking pro Prüfziel. Du siehst jederzeit, welche Prüfziele bereits Level 3 erreichen und wo noch Handlungsbedarf besteht. Kombiniert mit dem vorgeladenen Maßnahmenkatalog und den Vorlagen erhältst du einen klaren Fahrplan für die Audit-Vorbereitung.