TISAX für Klein- und Mittelständische Automobilzulieferer: Praktische Umsetzung und Ressourcenplanung

Sie haben Post von einem Ihrem wichtigsten Kunden bekommen. Zwischen den üblichen Bestellungen und Lieferplänen findet sich eine neue Forderung: „Bitte weisen Sie Ihre TISAX-Konformität bis zum Ende des Quartals nach.“ Für viele Geschäftsführer und IT-Verantwortliche in kleinen und mittelständischen Automobilzulieferern fühlt sich dieser Satz wie eine unerwartete und unüberwindbare Hürde an. Die Gedanken rasen: Was ist TISAX überhaupt? Was kostet uns das? Und wie sollen wir das neben dem Tagesgeschäft stemmen?

Die gute Nachricht zuerst: Sie sind nicht allein. Und die noch bessere: TISAX ist für KMU keine unüberwindbare Last, sondern eine planbare Aufgabe und sogar eine strategische Chance. Es ist Ihr Ticket, um in der ersten Liga der Zulieferer mitzuspielen und sich von der Konkurrenz abzuheben. Dieser Leitfaden ist Ihr persönlicher Navigator – geschrieben für die Werkbank, nicht für den Vorstand eines Konzerns. Wir übersetzen die abstrakten Anforderungen in Ihren Alltag und zeigen Ihnen, wie Sie TISAX pragmatisch und ressourcenschonend umsetzen.

TISAX in 5 Minuten verstehen – Was KMU wirklich wissen müssen

Bevor wir in die Planung einsteigen, räumen wir kurz mit dem Jargon auf. TISAX steht für Trusted Information Security Assessment Exchange. Im Kern ist es ein Prüf- und Austauschmechanismus für Informationssicherheit in der Automobilindustrie, der vom Verband der Automobilindustrie (VDA) ins Leben gerufen wurde.

Die Kernidee ist simpel und genial: Statt dass jeder Automobilhersteller (OEM) seine hunderten von Zulieferern einzeln prüft, gibt es einen einheitlichen Standard. Sie durchlaufen ein Assessment, und das Ergebnis (Ihr „TISAX-Label“) können Sie dann mit all Ihren Kunden teilen. Das spart allen Beteiligten enorm viel Zeit und Aufwand. Für Sie bedeutet das: Ein Audit für alle.

‍

Building: Die TISAX-Anforderungen – Übersetzt für den Mittelstand

Der Anforderungskatalog (VDA ISA) kann auf den ersten Blick einschüchternd wirken. Doch das Wichtigste, was Sie als KMU verstehen müssen, ist das Prinzip der Skalierbarkeit. TISAX verlangt nicht, dass ein 50-Mitarbeiter-Betrieb die gleichen Sicherheitsvorkehrungen trifft wie ein globaler Konzern. Es geht darum, angemessene Maßnahmen für Ihre spezifische Situation zu finden.

Ein Beispiel:

• Anforderung "Prototypenschutz": Ein Zulieferer, der ausschließlich Serienteile nach fester Vorgabe fertigt, hat hier kaum Berührungspunkte. Die Anforderung kann mit einer einfachen Regelung erfüllt werden, dass keine Prototypen angenommen werden. Ein Ingenieurbüro hingegen, das an streng geheimen neuen Scheinwerfer-Designs arbeitet, muss hier ganz andere, weitreichende Maßnahmen zum Schutz der physischen und digitalen Prototypen ergreifen.

Das Herzstück zur Erfüllung der TISAX Anforderungen ist ein funktionierendes Informationssicherheits-Managementsystem (ISMS). Sehen Sie es als das Betriebssystem für Ihre Unternehmenssicherheit. Es regelt, wer worauf Zugriff hat, wie mit sensiblen Daten umgegangen wird und was im Notfall passiert. Der Aufbau eines ISMS muss nicht kompliziert sein; er kann schlank und an Ihre Unternehmensgröße angepasst werden.

Die 3 häufigsten Trugschlüsse, die KMU Zeit und Geld kosten

Auf dem Weg zu TISAX lauern einige typische Denkfehler. Wenn Sie diese von Anfang an vermeiden, sparen Sie wertvolle Ressourcen.

1. Trugschluss: „TISAX ist nur ein IT-Thema.“

•  Die Realität: Falsch. Die IT ist ein wichtiger Teil, aber TISAX betrifft das ganze Unternehmen. Es geht um den sicheren Umgang mit Bauplänen in der Produktionshalle, um die Zugangskontrolle zum Lager, um die Vertraulichkeitsvereinbarungen mit Mitarbeitern und um die sichere Entsorgung von Dokumenten. Die Verantwortung liegt bei der Geschäftsführung.

1. Trugschluss: „Wir müssen alles zu 100 % perfekt machen.“

•  Die Realität: TISAX bewertet den "Reifegrad" Ihrer Prozesse. Es wird nicht erwartet, dass alles von Tag eins an perfekt ist. Wichtiger ist, dass Sie einen Prozess zur kontinuierlichen Verbesserung etabliert haben. Zeigen Sie, dass Sie Ihre Risiken kennen, Maßnahmen geplant haben und diese systematisch umsetzen.

1. Trugschluss: „Ohne teure Berater und komplexe Software geht es nicht.“

•  Die Realität: Externe Hilfe kann sinnvoll sein, ist aber keine Pflicht. Viele Anforderungen lassen sich mit organisatorischen Maßnahmen und Bordmitteln (wie klaren Arbeitsanweisungen und bestehender Software) erfüllen. Eine Automatisierungsplattform kann den Prozess enorm beschleunigen, aber der erste Schritt ist immer, die eigenen Prozesse zu verstehen und zu verschlanken.

‍

Mastery: Ihr TISAX-Projektplan in 7 Schritten

Ein klares Vorgehen ist der Schlüssel zum Erfolg. Dieser 7-Schritte-Plan hilft Ihnen, den Prozess strukturiert anzugehen und den Überblick zu behalten.

1. Schritt 1: Geltungsbereich (Scope) festlegen. Entscheiden Sie, welche Standorte und Bereiche Ihres Unternehmens geprüft werden sollen. Unser Tipp für KMU: Fangen Sie so klein wie möglich an, z. B. nur mit dem Standort, der für den anfordernden Kunden relevant ist.
2. Schritt 2: Self-Assessment durchführen. Gehen Sie den VDA-ISA-Fragenkatalog ehrlich durch. Wo stehen Sie heute? Diese Selbsteinschätzung ist die Grundlage für alles Weitere.
3. Schritt 3: Lücken identifizieren und schließen. Erstellen Sie einen einfachen Maßnahmenplan. Welche Lücken haben Sie gefunden und was müssen Sie tun, um sie zu schließen? Priorisieren Sie die wichtigsten Punkte.
4. Schritt 4: Prüfdienstleister auswählen. Suchen Sie sich einen von der ENX Association zugelassenen Prüfdienstleister. Holen Sie sich ruhig zwei bis drei Angebote ein.
5. Schritt 5: Das Assessment (Audit). Der Prüfer wird Ihre Angaben aus dem Self-Assessment überprüfen. Je nach gefordertem Assessment Level (AL) geschieht dies remote (AL2) oder auch vor Ort (AL3). Die Vorbereitung auf das eigentliche ISMS Audit ist entscheidend; hier müssen Sie Ihre Dokumentation und Prozesse griffbereit haben.
6. Schritt 6: Bericht erhalten und Maßnahmen umsetzen. Nach dem Audit erhalten Sie einen Bericht. Falls es Abweichungen gibt, haben Sie Zeit, diese zu beheben.
7. Schritt 7: TISAX-Label erhalten und teilen. Geschafft! Sie sind nun im TISAX-Verzeichnis gelistet und können Ihr Ergebnis mit Ihren Kunden teilen. Das Label ist in der Regel drei Jahre gültig.

‍

Ressourcenplanung: Wer macht was und wie lange?

Das ist die Millionen-Euro-Frage für jedes KMU. Hier eine realistische Schätzung für ein Unternehmen mit ca. 50 Mitarbeitern, das bei null startet:

•  Geschäftsführung (Projekt-Sponsor):
•  Vorbereitung (Monat 1): 10-15 Stunden (Kick-off, Budgetfreigabe, Festlegung der Verantwortlichkeiten)
•  Umsetzung (Monat 2-5): 2-4 Stunden pro Monat (Status-Updates, Entscheidungen treffen)
•  Auditphase (Monat 6): 5-8 Stunden (Teilnahme an Eröffnungs- und Abschlussgesprächen)
•  IT-Verantwortlicher / TISAX-Koordinator (Projektleiter):
•  Vorbereitung: 30-40 Stunden (Self-Assessment, Einarbeitung in den Katalog)
•  Umsetzung: 10-20 Stunden pro Woche (Maßnahmen umsetzen, Richtlinien schreiben, Mitarbeiter schulen)
•  Auditphase: 20-30 Stunden (Audit-Begleitung, Fragen beantworten)
•  Fachabteilungen (z.B. Personal, Produktion):
•  Umsetzung: 5-10 Stunden insgesamt pro Abteilung (Mithilfe bei der Erstellung von prozessspezifischen Anweisungen, z.B. Regelung für mobile Datenträger)

Gesamtdauer: Planen Sie realistisch mit 6 bis 9 Monaten von der ersten Entscheidung bis zum Erhalt des Labels.

Mühelose TISAX-Umsetzung mit SECJUR

Mit dem SECJUR Digital Compliance Office setzen Sie alle TISAX-Anforderungen bequem und strukturiert um. So lassen sich interne Aufwände auf ein Minimum reduzieren und die Umsetzung kann in Wochen statt Monaten gelingen.

‍

Häufig gestellte Fragen (FAQ) zu TISAX für KMU

1. Was ist TISAX genau?

TISAX ist ein branchenweiter Standard in der Automobilindustrie zur Gewährleistung der Informationssicherheit bei Zulieferern. Er basiert auf dem VDA-ISA-Fragenkatalog.

2. Ist TISAX für mein Unternehmen Pflicht?

Gesetzlich nicht, aber es ist eine De-facto-Anforderung vieler großer Automobilhersteller und Zulieferer. Ohne ein TISAX-Label ist es oft unmöglich, neue Aufträge zu erhalten oder bestehende zu behalten.

3. Was kostet eine TISAX-Zertifizierung für ein KMU?

Rechnen Sie mit externen Kosten für den Prüfer von ca. 4.000 € bis 8.000 €. Der größte Posten sind jedoch die internen Personalkosten für die Vorbereitung und Umsetzung, die stark von Ihrem aktuellen Sicherheitsniveau abhängen.

4. Wie lange dauert der TISAX-Prozess?

Für ein gut vorbereitetes KMU ist ein Zeitrahmen von 6 bis 9 Monaten realistisch. Mit SECJUR lässt sich diese Zeitspanne auf wenige Wochen reduzieren.

5. Was ist der Unterschied zwischen Assessment Level 2 (AL2) und 3 (AL3)?

Vereinfacht gesagt:

•  AL2 (hoch): Der Prüfer checkt Ihre Selbsteinschätzung auf Plausibilität und fordert Nachweise an (Dokumentenprüfung). Dies geschieht meist remote.
•  AL3 (sehr hoch): Zusätzlich zu AL2 führt der Prüfer intensive Interviews und Prüfungen vor Ort durch, um sich die Wirksamkeit Ihrer Prozesse live demonstrieren zu lassen. Dies ist für Lieferanten mit extrem sensiblen Daten (z.B. Prototypen) erforderlich.

Fazit: Vom Pflichtprogramm zum Wettbewerbsvorteil

Die Anforderung nach TISAX mag zunächst wie eine Bürde wirken. Doch mit einem pragmatischen Ansatz, einer klaren Planung und dem Fokus auf skalierbare Lösungen wird sie zu einer machbaren Aufgabe. Mehr noch: Ein erfolgreiches TISAX-Assessment ist nicht nur eine Eintrittskarte in die Lieferketten der OEMs, sondern auch ein starkes Qualitätssignal an alle Ihre Kunden. Sie beweisen damit, dass Sie Sicherheit ernst nehmen und ein vertrauenswürdiger Partner sind. Das ist in der heutigen Zeit ein unschätzbarer Wettbewerbsvorteil.

Ihr nächster Schritt

Sie haben nun einen klaren Überblick über den Weg, der vor Ihnen liegt. Wenn Sie tiefer in die Welt der Informationssicherheit eintauchen und verstehen möchten, welche verschiedenen ISMS Standards es gibt und wie sie zusammenhängen, empfehlen wir Ihnen unsere weiterführenden Artikel.

Für Unternehmen, die den Prozess beschleunigen und von Anfang an auf eine bewährte Struktur setzen möchten, kann eine Compliance-Automatisierungsplattform der entscheidende Faktor sein. Erfahren Sie, wie Sie mit einer Lösung für TISAX for automotive smb den Aufwand drastisch reduzieren und sicher zum Ziel kommen.

‍