Ihr OEM verlangt ein TISAX-Label, und Sie stehen vor der Frage: Wo anfangen? Die Vorbereitung auf das TISAX-Assessment ist kein Hexenwerk, aber sie folgt einer klaren Logik. Wer die Reihenfolge kennt, spart Zeit und vermeidet typische Stolpersteine.
Dieser Artikel zeigt den Weg vom Projektstart bis zum bestandenen Assessment in fünf Phasen, mit realistischen Zeitangaben und konkreten Hinweisen, was in jeder Phase passieren muss.
So bereiten Sie sich auf TISAX vor: Die 5 Phasen im Überblick
Die TISAX-Vorbereitung lässt sich in fünf aufeinander aufbauende Phasen unterteilen: Scope-Definition, Gap-Analyse, Implementierung, Auditor-Auswahl und das Assessment selbst. Je nach Ausgangslage dauert der gesamte Prozess zwischen 3 und 12 Monaten. Unternehmen, die bereits ein Informationssicherheitsmanagementsystem (ISMS) betreiben, können deutlich schneller sein, weil sie in Phase 3 weniger aufbauen müssen.
Die Implementierungsphase (Phase 3) ist der größte Zeitblock. Wer hier Abkürzungen nimmt, zahlt beim Assessment drauf. Umgekehrt gilt: Wer Phase 1 und 2 sauber macht, reduziert den Aufwand in Phase 3 erheblich.
Phase 1: Scope festlegen und Projekt aufsetzen
Bevor irgendetwas implementiert wird, müssen drei Fragen beantwortet sein:
1Welche Standorte und Prozesse gehören in den Scope?
Nur die Bereiche, die mit schützenswerten Informationen Ihres OEM in Berührung kommen. Ein zu breiter Scope treibt Kosten und Dauer nach oben, ohne Nutzen.
2Welches Assessment Level brauchen Sie?
Das hängt davon ab, was Ihr OEM verlangt. In den meisten Fällen ist AL2 (Remote-Plausibilitätsprüfung) oder AL3 (Vor-Ort-Audit) gefordert. Welches Level für Ihr Unternehmen passt, erklären wir im Vergleich der TISAX Assessment Levels.
3Welche Prüfziele sind relevant?
TISAX unterscheidet zwischen Informationssicherheit, Datenschutz und Prototypenschutz. Nicht jedes Unternehmen braucht alle drei Module.
Parallel dazu sollten Sie das Projektteam zusammenstellen. Sie brauchen mindestens eine verantwortliche Person (oft der Informationssicherheitsbeauftragte) und Ansprechpartner in IT, HR und Fachabteilungen. Die Geschäftsführung muss das Projekt mittragen, denn ohne deren Rückendeckung versandet es spätestens in Phase 3.
Phase 1 dauert typischerweise 2 bis 4 Wochen. Am Ende steht ein klar definierter Scope, ein Projektteam und ein realistischer Zeitplan.
Phase 2: Ist-Analyse und Gap-Assessment
In Phase 2 gleichen Sie Ihren aktuellen Stand gegen die TISAX-Anforderungen ab. Die Grundlage dafür ist der VDA ISA Katalog, ein Fragenkatalog mit mehreren hundert Kontrollfragen, gegliedert in die Module Informationssicherheit, Datenschutz und Prototypenschutz.
Konkret läuft das so ab: Sie gehen den Katalog Frage für Frage durch und bewerten, wie ausgereift Ihre bestehenden Maßnahmen sind. Der VDA ISA arbeitet mit Reifegraden von 0 bis 5, wobei Sie für ein bestandenes Assessment typischerweise Reifegrad 3 ("etabliert und dokumentiert") erreichen müssen.
Praxisbeispiel
Ein Automobilzulieferer mit 120 Mitarbeitern stellt bei der Gap-Analyse fest: Zugriffskontrolle und Backup-Management sind gut aufgestellt (Reifegrad 3-4), aber es fehlt ein formaler Incident-Response-Prozess (Reifegrad 1). Statt alles gleichzeitig anzufassen, priorisiert das Team die kritischen Lücken und beginnt die Implementierung dort.
Welche konkreten Controls der VDA ISA Katalog verlangt, zeigt unser Überblick zu den TISAX Anforderungen. Den VDA ISA Fragenkatalog Punkt für Punkt erklärt finden Sie in unserer TISAX Checkliste.
Phase 2 dauert bei einem mittelständischen Unternehmen 3 bis 6 Wochen. Am Ende haben Sie eine priorisierte Liste der Lücken und wissen, wo der größte Handlungsbedarf liegt.
Phase 3: Maßnahmen umsetzen und ISMS aufbauen
Phase 3 ist der Kern der Vorbereitung und gleichzeitig der größte Zeitblock. Hier schließen Sie die Lücken, die Phase 2 aufgedeckt hat. Die Maßnahmen lassen sich in drei Kategorien unterteilen:
Technische Maßnahmen: Zugriffskontrolle, Verschlüsselung, Netzwerksegmentierung, Backup-Konzept, Monitoring. Was genau gefordert ist, hängt vom Assessment Level und den gewählten Prüfzielen ab.
Organisatorische Maßnahmen: Richtlinien schreiben (Informationssicherheitsrichtlinie, Zugriffsrichtlinie, Passwortrichtlinie), Prozesse definieren (Incident-Response, Change-Management) und Schulungen durchführen. Der Auditor prüft nicht nur, ob eine Richtlinie existiert, sondern ob sie gelebt wird.
Dokumentation: Ohne Dokumentation kein Nachweis. Der Auditor braucht Nachweise für alles: Risikoanalysen, Schulungsbelege, Prüfprotokolle, Freigabeprozesse. Die Dokumentation parallel zur Implementierung aufzubauen spart Zeit, weil Sie nicht im Nachhinein rekonstruieren müssen, was Sie wann gemacht haben.
Eine ISMS-Plattform wie SECJUR Digital Compliance Office hilft, Richtlinien, Risikobewertungen und Nachweise zentral zu verwalten, statt alles in Excel-Tabellen zu pflegen. Der Vorteil: Das System bleibt nach dem Assessment bestehen und erleichtert die Rezertifizierung nach drei Jahren.
"Die meisten Unternehmen unterschätzen Phase 2. Wer die Gap-Analyse sauber macht, weiß genau, welche Maßnahmen Priorität haben. Wer sie überspringt, implementiert nach Bauchgefühl und wundert sich, warum im Audit trotzdem Abweichungen auftauchen."
Kai Irmler, Head of Compliance Services bei SECJUR
Nicht alles gleichzeitig aufbauen, sondern die Bereiche priorisieren, in denen die Gap-Analyse die größten Lücken gezeigt hat. Typischerweise sind das Zugriffskontrollen, Dokumentation und Incident-Response.
Phase 3 dauert zwischen 2 und 6 Monaten, je nach Ausgangslage. Unternehmen mit einem bestehenden ISMS nach ISO 27001 brauchen deutlich weniger Zeit, weil TISAX auf dem gleichen Fundament aufbaut. Die Überschneidung liegt bei rund 70-80 %.
Phase 4: Prüfdienstleister auswählen und Audit vorbereiten
Für das TISAX-Assessment brauchen Sie einen von der ENX Association akkreditierten Prüfdienstleister. Die Auswahl sollten Sie nicht dem Zufall überlassen. Achten Sie auf drei Kriterien:
Branchenerfahrung: Ein Auditor, der regelmäßig Automobilzulieferer prüft, kennt die typischen Schwachstellen und stellt die richtigen Fragen. Das verkürzt das Assessment und reduziert Überraschungen.
Verfügbarkeit: Gute Prüfdienstleister haben Vorlaufzeiten von 4 bis 8 Wochen. Planen Sie das ein, bevor Sie am Ende unter Zeitdruck geraten.
Kommunikation: Klären Sie vorab, welche Unterlagen der Auditor vor dem Assessment sehen will, und in welchem Format. Manche Auditoren arbeiten mit einer Vorprüfung der Dokumentation (Pre-Audit), was den eigentlichen Assessment-Termin effizienter macht.
Vor dem Assessment lohnt sich ein internes Audit als Generalprobe. Lassen Sie eine Person aus dem Projektteam (oder einen externen Berater) die Rolle des Auditors übernehmen und die Dokumentation und Nachweise durchgehen. Das deckt Lücken auf, die im Tagesgeschäft untergehen.
Mit welchem Budget Sie für die TISAX-Vorbereitung rechnen sollten, erfahren Sie in unserem TISAX Kosten-Guide.
Phase 5: Das Assessment durchlaufen und Nachbesserungen umsetzen
Das eigentliche Assessment dauert je nach Scope und Level zwischen einem und vier Tagen. Bei AL2 findet die Prüfung remote statt (Dokumentenprüfung plus Interviews), bei AL3 kommt der Auditor vor Ort.
Der Auditor prüft zwei Dinge: Erstens, ob die dokumentierten Maßnahmen den VDA ISA Anforderungen entsprechen. Zweitens, ob die Maßnahmen tatsächlich gelebt werden. Ein sauber geschriebenes Verschlüsselungskonzept hilft nichts, wenn in der Praxis Laptops ohne Festplattenverschlüsselung im Einsatz sind.
Nach dem Assessment gibt es drei mögliche Ergebnisse:
| Ergebnis | Bedeutung | Was passiert |
|---|
| Bestanden | Alle Anforderungen erfüllt | TISAX-Label wird erteilt, gültig für 3 Jahre |
| Minor Abweichungen | Kleinere Lücken identifiziert | Bis zu 9 Monate Zeit für Nachbesserungen, dann Nachprüfung |
| Major Abweichungen | Grundlegende Anforderungen nicht erfüllt | Maßnahmenplan erforderlich, erneutes Assessment nötig |
Ein komplettes Durchfallen ist in der Praxis selten. Die meisten Unternehmen erhalten Minor Abweichungen und haben ausreichend Zeit, diese zu beheben. Die 9-Monate-Frist der ENX Association ist großzügig bemessen.
Realistische Timeline: So lange dauert die TISAX-Vorbereitung
Die Dauer der TISAX-Vorbereitung hängt von zwei Faktoren ab: Ihrer Unternehmensgröße und Ihrer Ausgangslage. Ein Unternehmen ohne bestehendes ISMS braucht deutlich länger als eines, das bereits nach ISO 27001 zertifiziert ist.
| Phase | Ohne ISMS | Mit bestehendem ISMS |
|---|
| Scope und Projektsetup | 2-4 Wochen | 1-2 Wochen |
| Gap-Analyse | 3-6 Wochen | 2-3 Wochen |
| Implementierung | 3-6 Monate | 1-3 Monate |
| Auditor-Auswahl und Vorbereitung | 2-4 Wochen | 2-4 Wochen |
| Assessment und Follow-up | 1-4 Wochen | 1-2 Wochen |
| Gesamt | 6-12 Monate | 3-6 Monate |
Der größte Hebel ist die Ausgangslage. Wer bereits ein ISMS betreibt, hat Richtlinien, Prozesse und Dokumentation. Die TISAX-spezifischen Ergänzungen (vor allem Prototypenschutz und automotive-spezifische Anforderungen) lassen sich darauf aufbauen. Der Vergleich von TISAX und ISO 27001 zeigt, wo die Überschneidungen liegen.
Einen pragmatischen Ansatz für Unternehmen mit begrenzten Ressourcen finden Sie in unserem TISAX für KMU Guide.
5 typische Fehler in der TISAX-Vorbereitung
Fehler, die Sie vermeiden sollten
- 1.Scope zu breit definieren
Jeder Standort und jeder Prozess im Scope kostet Zeit und Geld. Nehmen Sie nur die Bereiche auf, die tatsächlich mit schützenswerten OEM-Informationen arbeiten. Alles andere bläht das Projekt auf. - 2.Gap-Analyse überspringen
Wer direkt mit der Implementierung beginnt, arbeitet nach Bauchgefühl statt nach Daten. Die Gap-Analyse zeigt, wo der größte Handlungsbedarf liegt, und verhindert, dass Ressourcen in Bereiche fließen, die ohnehin schon gut aufgestellt sind. - 3.Dokumentation erst kurz vor dem Audit erstellen
Der Auditor erkennt, ob Dokumente gelebt werden oder hastig zusammengestellt wurden. Richtlinien ohne Versionierung, Schulungsnachweise ohne Teilnehmerlisten, Risikoanalysen ohne nachvollziehbare Bewertung: All das fällt auf. - 4.Keine Management-Unterstützung
TISAX betrifft die gesamte Organisation: IT, HR, Fachabteilungen, Geschäftsführung. Wenn das Projekt als reines IT-Thema behandelt wird, scheitert es an fehlenden Ressourcen und mangelnder Kooperationsbereitschaft anderer Abteilungen. - 5.ISMS nach dem Assessment einschlafen lassen
Das TISAX-Label gilt drei Jahre. Die Rezertifizierung prüft, ob Sie in der Zwischenzeit weitergearbeitet haben. Mit einer Plattform wie SECJUR bleibt Ihr ISMS lebendig: automatische Erinnerungen, zentrale Dokumentation und klare Verantwortlichkeiten sorgen dafür, dass nichts einschläft.
Die TISAX-Vorbereitung ist ein Projekt mit klarem Anfang und Ende, aber das ISMS dahinter ist ein laufender Prozess. Wer das von Anfang an mitdenkt, hat bei der Rezertifizierung nach drei Jahren deutlich weniger Aufwand.
.svg)
.svg)
.svg)
.avif)
.svg){kind=small}