TISAX ist kein Thema für Großkonzerne allein. Die Automobilindustrie fordert den Nachweis über Informationssicherheit von ihren Zulieferern unabhängig von der Unternehmensgröße. Für KMU bedeutet das: Wer Aufträge von OEMs oder Tier-1-Lieferanten halten oder gewinnen will, braucht ein TISAX-Label. Viele kleine Zulieferer sehen darin zunächst eine Hürde. Tatsächlich lässt sich TISAX mit den richtigen Werkzeugen und einer realistischen Planung auch mit 20 bis 50 Mitarbeitern umsetzen.
Warum TISAX für KMU relevant ist
Die Automobilindustrie hat TISAX zur Standardanforderung gemacht. Wenn ein KMU als Elektronikkomponentenhersteller, Ingenieurdienstleister oder Werkzeugbauer Kunden in dieser Branche beliefert, ist TISAX keine Option, sondern eine Geschäftsvoraussetzung. Rund 80 Prozent der Zulieferer mit OEM-Kunden werden irgendwann mit dieser Anforderung konfrontiert.
Der Nutzen liegt auf zwei Ebenen. Erstens sichert TISAX bestehende Geschäftsbeziehungen. Ein OEM, der TISAX vertraglich einfordert, verlangt ein dokumentiertes Sicherheitsniveau, das über mündliche Zusicherungen hinausgeht. Zweitens öffnet ein TISAX-Label neue Ausschreibungen. In Vergabeverfahren von VDA-Mitgliedern werden zertifizierte Lieferanten bevorzugt, oft ist die Zertifizierung sogar Teilnahmevoraussetzung.
Wer bereits ein ISMS nach ISO 27001 betreibt, hat einen konkreten Vorteil. Die Überschneidung liegt bei den Unternehmen, die wir bei der Umsetzung begleiten, bei rund 70 bis 80 Prozent. Das bedeutet: Ein ISO-zertifiziertes KMU baut TISAX nicht von null auf, sondern macht eine Gap-Analyse und schließt die fehlenden TISAX-Anforderungen gezielt. Der Zeitaufwand sinkt von sechs bis zwölf Monaten auf drei bis vier.
Besondere Herausforderungen für KMU bei TISAX
KMU unterscheiden sich von Konzernen in einer Hinsicht grundlegend: Ressourcen. Ein typisches KMU mit 20 bis 50 Mitarbeitern hat oft eine einzige Person, die sich neben dem Tagesgeschäft um Informationssicherheit kümmert. Diese Person verbringt 60 Prozent ihrer Zeit mit operativen Aufgaben wie Systembetreuung und Ausfallmanagement. Für ein Projekt wie TISAX bleiben 40 Prozent, oft weniger. Ein Konzern stellt ein Projektteam ab. Ein KMU muss das Thema neben dem Tagesbetrieb schultern.
Dazu kommt ein organisatorisches Problem. Viele Geschäftsführer sehen TISAX als zusätzlichen Verwaltungsaufwand, nicht als Geschäftsvorteil. Solange die Führungsebene weder Budget noch aktive Unterstützung bereitstellt, fehlt dem IT-Leiter die Rückendeckung für Investitionen in Software, Schulungen und Prozessänderungen. Die Folge: Anträge für Awareness-Schulungen oder ISMS-Software werden verschoben, Fachabteilungen verweigern die Mitarbeit, und das Projekt gerät ins Stocken. Ohne Buy-in vom Management scheitert die Umsetzung häufig, bevor sie richtig beginnt.
Ein dritter Punkt betrifft physische Sicherheit. Große Konzerne haben dedizierte Sicherheitsbereiche mit Zutrittskontrollen und Videoüberwachung. KMU in älteren Gebäuden können das oft nicht umsetzen. TISAX akzeptiert hier sogenannte Compensating Controls: Wenn ein 24/7-Monitoring nicht realisierbar ist, reichen tägliche Log-Reviews und dokumentierte Zutrittsregelungen. Der VDA ISA 6.0 definiert Prüfziele, keine konkreten Technologielösungen. Statt eines biometrischen Zutrittssystems genügt eine Schlüsselregelung mit dokumentierter Ausgabe und Rückgabe, wenn der Prozess nachvollziehbar ist und regelmäßig geprüft wird.
KMU können die Anforderungen also mit organisatorischen Maßnahmen erfüllen, die zu ihrer Größe passen. Der Prüfer bewertet nicht die Technologie, sondern den Reifegrad des Prozesses. Wie Sie den gesamten Vorbereitungsprozess aufsetzen, erklären wir in unserem Leitfaden zur TISAX Vorbereitung.
Pragmatischer Ansatz: TISAX mit begrenzten Mitteln
Die Gesamtkosten liegen für ein KMU mit 20 bis 50 Mitarbeitern typischerweise zwischen 30.000 und 65.000 Euro. Der größte Posten ist der interne Personalaufwand (ca. 15.000 bis 30.000 Euro für 600 bis 1.200 Arbeitsstunden). Die reinen Assessmentkosten liegen bei Assessment Level 2 für KMU mit bis zu 100 Mitarbeitern bei rund 3.500 Euro, bei Assessment Level 3 bei rund 6.000 bis 7.000 Euro. Die ENX-Registrierungsgebühr beträgt 405 Euro einmalig pro Standort für die gesamte Gültigkeitsdauer von drei Jahren. Eine detaillierte Kostenaufschlüsselung finden Sie in unserem TISAX Kosten-Guide.
Der pragmatische Weg besteht darin, TISAX in Phasen umzusetzen, statt alles gleichzeitig anzugehen. Phase 1 legt in den ersten zwei Monaten die Grundlagen: Risikoanalyse durchführen, Geltungsbereich definieren, grundlegende Zugangskontrollen einrichten und die ersten Richtlinien dokumentieren. In dieser Phase zahlt sich ein Quick-Win-Ansatz aus, etwa Access Control als eines der ersten Controls, weil es schnell umsetzbar ist und beim Assessment sofort sichtbar wird. Phase 2 schließt in den Monaten drei bis fünf die TISAX-spezifischen Lücken: Lieferantenmanagement aufsetzen, Schulungsnachweise erstellen, Backup-Konzept und Logging einführen. Phase 3 bereitet in den letzten ein bis zwei Monaten auf das Assessment vor: interne Audits durchführen, Nachweise konsolidieren und offene Punkte nacharbeiten.
Ohne eine ISMS-Plattform dauert dieser Prozess erfahrungsgemäß 12 bis 18 Monate, weil Dokumentation, Nachweise und Audit-Trails manuell in Tabellen und E-Mails verwaltet werden. Eine Plattform wie SECJUR Digital Compliance Office (ab 10.000 Euro) bündelt Richtlinienverwaltung, Risikoanalyse und Audit-Trails in einem System und verkürzt die Umsetzung um zwei bis drei Monate. Der Vorteil gegenüber einem reinen Beratungsansatz: Das ISMS-Wissen bleibt im Unternehmen und steht beim Re-Assessment nach drei Jahren direkt wieder zur Verfügung, ohne erneut externen Aufbau zu bezahlen.
Die Wahl des Assessment Levels ist eine strategische Entscheidung. Viele KMU starten mit Assessment Level 2 beim ersten Durchlauf. Welches Level zu Ihrem Unternehmen passt, erklären wir in unserer Anleitung zum richtigen Assessment Level.
KMU-typische Fehler (und wie Sie sie vermeiden)
Fünf Fehler, die KMU bei TISAX vermeiden sollten
- 1.Scope Creep vor dem Assessment.
Das KMU will beim ersten Assessment alle Anforderungen auf höchstem Niveau umsetzen. Die Folge: Das Budget verdoppelt sich, die Timeline wird unrealistisch. Starten Sie mit Assessment Level 2 oder 3 und erweitern Sie beim Re-Assessment nach drei Jahren. - 2.Fehlende Unterstützung der Geschäftsführung.
Der IT-Leiter treibt TISAX voran, die Geschäftsführung sieht es als IT-Projekt. Ohne Budget und Rückendeckung scheitern Investitionen in Software und Schulungen. Die richtige Botschaft: Unsere Top-Kunden fordern TISAX. Ohne Label verlieren wir diese Aufträge. - 3.Dokumentation-Overkill.
Das KMU erstellt 50-seitige Sicherheitshandbücher und hochdetaillierte Richtlinien, die nach dem Assessment niemand pflegt. Besser: Eine zehnseitige Prozessbeschreibung mit konkreten Nachweisen, die tatsächlich gelebt wird. - 4.Finish-Line-Mentalität.
Nach dem Assessment fahren Unternehmen die Aktivitäten herunter. Drei Jahre später ist das Re-Assessment fällig, und vieles ist veraltet. Das Assessment ist ein Checkpoint, nicht das Ziel. Jährliche interne Audits und kontinuierliche Verbesserung gehören zum Regelbetrieb. - 5.Keine ISMS-Software von Beginn an.
Excel und E-Mail für Aufgabenverfolgung, Risikoregister und Audit-Trails führen zu unklaren Versionen und nicht nachvollziehbaren Nachweisen. Eine ISMS-Plattform wie SECJUR macht diese Verwaltung automatisch und spart erfahrungsgemäß zwei bis drei Monate Implementierungszeit.
Software und Tools, die KMU helfen
Die Frage, die KMU am häufigsten stellen: Kann ich TISAX ohne externe Beratung umsetzen? Die Antwort: Ja, aber nicht ohne ein ISMS als Grundlage. Handarbeit mit Tabellen und E-Mails führt erfahrungsgemäß zu Frustration und verpassten Deadlines. Das Assessment selbst muss durch einen externen Prüfdienstleister erfolgen, die Vorbereitung aber können KMU intern leisten.
Das Fundament ist eine ISMS-Plattform, die den VDA ISA 6.0 abbildet. Solche Plattformen enthalten vorstrukturierte Fragebogen, Risikoanalyse-Workflows und Dokumentationsvorlagen. SECJUR ist auf KMU zugeschnitten (ab 10.000 Euro) und deckt neben TISAX auch ISO 27001 ab. Das spart doppelte Arbeit, weil beide Standards auf denselben ISMS-Grundlagen aufbauen.
Daneben braucht jedes KMU ein Identitäts- und Zugriffsmanagement. Das ist keine optionale Empfehlung, sondern eine Kernanforderung des VDA ISA (Kapitel 4, Identity and Access Management). Enterprise-taugliche Lösungen kosten ca. 50 bis 200 Euro pro Monat. Backup- und Recovery-Systeme sind ebenfalls Pflicht (Kapitel 5, Operations Security). Cloud-basierte Lösungen sind für KMU sinnvoll, weil sie automatisiert laufen und keine zusätzliche Hardware erfordern. Budget: ca. 100 bis 300 Euro pro Monat.
Für Logging und Monitoring reicht KMU ein Centralized Log Management als leichtere Alternative zu einer vollständigen SIEM-Lösung. Kosten: ca. 200 bis 500 Euro pro Monat. Sicherheits-Awareness-Training gehört zu den Anforderungen aus Kapitel 2 (Human Resources) des VDA ISA. E-Learning-Plattformen kosten 10 bis 50 Euro pro Mitarbeiter pro Jahr und dokumentieren Abschlüsse automatisch für Audits.
"Der häufigste Fehler bei KMU ist die Annahme, TISAX erfordere die gleichen Strukturen wie bei einem Konzern. Der VDA ISA prüft, ob ein Prozess existiert, dokumentiert ist und gelebt wird. Ein 30-Personen-Unternehmen braucht kein Security Operations Center. Es braucht ein ISMS, das zur eigenen Größe passt, und den Nachweis, dass es funktioniert."
Amin Abbaszadeh, Informationssicherheitsexperte bei SECJUR
Für KMU in der Automobilbranche ist TISAX ein Geschäftsmodell-Thema, kein reines Compliance-Projekt. Die Zertifizierung sichert Aufträge und öffnet neue Geschäftsbeziehungen. Mit einem schlanken ISMS, klarer Planung und realistischen Zielen beim ersten Assessment ist TISAX auch mit 20 bis 50 Mitarbeitern in sechs bis acht Monaten umsetzbar.
.svg)
.svg)
.svg)
.svg){kind=small}