Leistungen · TISAX & ISO 27001

TISAX & ISO 27001 — Informationssicherheit zertifizierbar machen

Strukturiert zur Zertifizierung — mit dem ISO 27001 Lead Auditor und TISAX-Experten (TÜV) an Ihrer Seite.

Was sind TISAX und ISO 27001?

ISO 27001 ist der weltweit anerkannte Standard für Informationssicherheits-Managementsysteme (ISMS). Er legt fest, wie ein Unternehmen Informationssicherheitsrisiken systematisch identifiziert, bewertet und behandelt — durch 93 Controls (Maßnahmen) in der aktuellen Version 2022. Eine ISO 27001-Zertifizierung wird von Enterprise-Kunden, Banken und im öffentlichen Bereich zunehmend als Voraussetzung für Lieferantenbeziehungen gefordert.

TISAX (Trusted Information Security Assessment Exchange) ist der Branchenstandard der Automobilindustrie, der auf dem VDA-ISA-Fragebogen (VDA-ISA 6.0) basiert. TISAX-Labels werden von OEMs wie BMW, Volkswagen, Mercedes-Benz und ihren Tier-1-Lieferanten gefordert und über die ENX-Plattform ausgetauscht. Es gibt drei Assessment Levels mit steigender Prüftiefe — je nach Art der verarbeiteten Informationen.

Beide Standards haben viel gemeinsam: Sie basieren auf einem ISMS, fordern systematisches Risikomanagement und den PDCA-Zyklus der kontinuierlichen Verbesserung. Der wichtigste Unterschied: ISO 27001 führt zu einem Zertifikat, TISAX zu einem Label auf der ENX-Plattform. TISAX wird nicht öffentlich, sondern gezielt mit definierten Partnern geteilt.

Wer braucht TISAX oder ISO 27001?

  • Automotive-Zulieferer jeder Größe, die von OEMs oder Tier-1-Lieferanten ein TISAX-Label als Voraussetzung für Auftragserteilung oder Datenzugang gefordert bekommen. Die Anforderung kommt oft mit kurzer Vorlaufzeit.
  • B2B-Unternehmen mit Enterprise-Kunden, die ISO 27001 in Ausschreibungen, Lieferantenfragebögen oder Vertragsverhandlungen voraussetzen. Besonders im Finanz-, Versicherungs- und öffentlichen Bereich.
  • NIS2-pflichtige Unternehmen, für die ein ISMS nach ISO 27001 die effizienteste Methode ist, die NIS2-Anforderungen an das Risikomanagement strukturiert zu erfüllen.
  • Unternehmen, die ISMS aufbauen wollen, bevor die externe Prüfung kommt — proaktiv statt reaktiv.

Wichtige Faustregel: Wer bereits ein ISMS nach ISO 27001 betreibt, hat rund 60–70 % der TISAX-Anforderungen bereits abgedeckt. Der Schritt zur TISAX-Zertifizierung ist dann deutlich kleiner als gedacht.

Wie ich Sie unterstütze

Ich begleite den gesamten Prozess — von der ersten Bestandsaufnahme bis zur erfolgreichen Zertifizierung. Als ISO 27001 Lead Auditor (TÜV) und TISAX-Experte (TÜV) kenne ich beide Standards aus der Perspektive des Auditors. Das ist ein erheblicher Vorteil: Ich weiß genau, worauf Auditoren achten, was eine „ausreichende" Dokumentation ausmacht und welche Formulierungen Punkte kosten.

  • Gap-Analyse: Systematischer Vergleich Ihres aktuellen Sicherheitsstatus mit den Anforderungen des Zielstandards — inkl. schriftlichem Bericht und Priorisierung.
  • Dokumentationspaket: Erstellung aller erforderlichen Richtlinien, Verfahrensanweisungen und Nachweise — von der Informationssicherheitsrichtlinie bis zum Statement of Applicability.
  • Risikomanagement: Aufbau des Risikoprozesses, Risikoregister und Risikobehandlungsplan nach ISO 27001-Anforderungen.
  • Interne Audits: Durchführung des internen Audits als Vorbereitung auf die externe Prüfung — mit klarem Auditbericht und Maßnahmenplan.
  • Audit-Begleitung: Vorbereitung Ihres Teams auf das externe Audit, Koordination mit dem Zertifizierungsgremium, Begleitung während des Audits.
  • Nachbereitung: Aufarbeitung von Findings und Nonconformities nach dem Audit, Sicherstellung der Umsetzung bis zur Rezertifizierung.

Für TISAX: Zusätzlich unterstütze ich bei der ENX-Registrierung, der Auswahl des passenden Assessment Levels und der Kommunikation mit dem Auditdienstleister.

So läuft es ab

1
Phase 1: Gap-Analyse (4–6 Wochen)

Bestandsaufnahme Ihrer Sicherheitsmaßnahmen und Vergleich mit den Anforderungen von ISO 27001 oder TISAX. Ergebnis: detaillierter Gap-Bericht mit priorisierten Handlungsfeldern.

2
Phase 2: ISMS-Aufbau (3–6 Monate)

Schließen der identifizierten Lücken: Dokumentation, Prozesse, technische Maßnahmen, Schulungen. Iterativ und transparent — Sie sehen zu jeder Zeit den Fortschritt.

3
Phase 3: Audit-Vorbereitung (4–6 Wochen)

Internes Audit, Abschluss aller Dokumentationspflichten, Vorbereitung Ihres Teams auf Auditorenfragen, Klärung offener Punkte.

4
Phase 4: Audit-Begleitung & Zertifizierung

Begleitung während des externen Audits, Kommunikation mit dem Zertifizierungsgremium, Nachbereitung von Findings. Ziel: Zertifikat oder TISAX-Label beim ersten Versuch.

Gesamtdauer: Mit vorhandenem Sicherheitsniveau 6–9 Monate. Ohne Vorarbeit 9–15 Monate. Eine realistische Einschätzung erhalten Sie nach der Gap-Analyse.

Was Sie davon haben

Zertifikat / TISAX-Label

Das konkrete Ergebnis: ein anerkanntes Zertifikat oder TISAX-Label, das Sie gegenüber Kunden und Partnern nachweisen können.

Neue Geschäftsmöglichkeiten

Zertifizierungen öffnen Türen — Ausschreibungen, Enterprise-Kunden und Lieferantenstatus, die vorher nicht erreichbar waren.

Klare Sicherheitsorganisation

Ein ISMS bringt Struktur in Ihre Informationssicherheit — Verantwortlichkeiten, Prozesse und Maßnahmen sind klar geregelt.

Vertrauensbeweis für Kunden

ISO 27001 und TISAX signalisieren Ihren Kunden und Partnern: Ihr Unternehmen nimmt Datensicherheit ernst und hat das nachgewiesen.

NIS2-Synergien

Ein ISO 27001-ISMS deckt weite Teile der NIS2-Anforderungen ab — Sie investieren einmal und profitieren mehrfach.

Auditorensicht inklusive

Als zertifizierter Lead Auditor weiß ich, was im Audit zählt — und bereite Sie zielgerichtet vor, statt Papier zu produzieren.

Häufige Fragen zu TISAX & ISO 27001

Was kostet eine ISO 27001-Zertifizierung?

Die Gesamtkosten setzen sich zusammen aus: Beratungskosten für den ISMS-Aufbau, Kosten des Zertifizierungsunternehmens (je nach Größe 5.000–20.000 € für Audit und Zertifikat) und internem Aufwand. Für ein KMU mit einem Standort rechnen Sie insgesamt mit 20.000–60.000 € — abhängig vom Reifegrad und Beratungsumfang. Ein erstes konkretes Angebot erhalten Sie nach der Gap-Analyse.

Was kostet ein TISAX-Assessment?

TISAX-Kosten bestehen aus: ENX-Registrierung (405 €), Audit-Gebühren des TISAX-Auditdienstleisters (3.500–7.000 € je nach Assessment Level und Standort) und Beratungskosten für die Vorbereitung. Für ein KMU mit einem Standort und Assessment Level 2 sind Gesamtkosten von 15.000–40.000 € realistisch. Wer bereits ISO 27001 hat, ist effizienter.

Kann ich ISO 27001 und TISAX gleichzeitig angehen?

Ja, und das ergibt oft Sinn: Da beide Standards auf einem ISMS aufbauen, können viele Maßnahmen, Dokumente und Prozesse gemeinsam entwickelt werden. Der zusätzliche Aufwand für das zweite Zertifikat ist dann deutlich geringer. Ich bewerte gerne in der Gap-Analyse, ob ein kombinierter Ansatz für Sie vorteilhaft ist.

Muss ich für TISAX AL2 oder AL3 gehen?

Das hängt davon ab, welche Art von Informationen Sie verarbeiten. Level 2 (AL2) ist Standard für normale Firmeninformationen. AL3 ist erforderlich bei besonders sensiblen Informationen (z. B. Prototypen, streng geheime Produktionsdaten). Der Auftraggeber gibt in der Regel das geforderte Level vor — ich helfe Ihnen bei der Einschätzung und Kommunikation mit dem OEM.

Bereit für die Zertifizierung?

Lassen Sie uns besprechen, wo Sie stehen und wie der Weg zur Zertifizierung für Ihr Unternehmen aussieht.

Termin online buchen Kontakt aufnehmen →