Ein Zulieferer in der Automobilbranche steht vor der Frage: Reicht eine ISO 27001 oder muss es TISAX® sein? Ein SaaS-Anbieter ausserhalb der Branche fragt sich das Gegenteil. Die Antwort hängt weniger vom persönlichen Geschmack ab als von der Frage, wer Ihre Kunden sind und welche Nachweise diese verlangen.
TISAX® (Trusted Information Security Assessment Exchange) ist der branchenspezifische Prüfstandard für Informationssicherheit in der Automobilindustrie, entwickelt vom VDA und verwaltet von der ENX Association. Die ISO 27001 ist der international anerkannte Standard für Informationssicherheits-Managementsysteme (ISMS), herausgegeben von der International Organization for Standardization.
In diesem Artikel erfahren Sie:
- worin sich TISAX® und ISO 27001 konkret unterscheiden
- wann welcher Standard die richtige Wahl ist
- ob sich beide Standards kombinieren lassen
- mit welchen Kosten und Zeitrahmen Sie rechnen sollten
ISO 27001 und TISAX® im Überblick
Beide Standards verfolgen dasselbe Ziel: den systematischen Schutz von Informationen durch ein ISMS. Der Weg dorthin und die Rahmenbedingungen unterscheiden sich aber deutlich.
Die ISO 27001 ist ein internationaler, branchenunabhängiger Standard. Unternehmen jeder Grösse und Branche können sich zertifizieren lassen. Die Zertifizierung erfolgt durch akkreditierte Zertifizierungsstellen wie TÜV, DEKRA oder Bureau Veritas und wird weltweit anerkannt. Die aktuelle Version (ISO/IEC 27001:2022) definiert 93 Controls in vier Kategorien: organisatorisch, personenbezogen, physisch und technologisch.
TISAX® hingegen ist ein Branchenstandard, den der Verband der Automobilindustrie (VDA) 2017 speziell für die Automobilindustrie entwickelt hat. Der Prüfkatalog (VDA ISA) basiert zu grossen Teilen auf der ISO 27001, ergänzt diese aber um branchenspezifische Anforderungen: Prototypenschutz und Datenschutz nach DSGVO sind eigene Prüfbereiche. Die Prüfung erfolgt nicht durch eine Zertifizierungsstelle, sondern durch von der ENX Association akkreditierte Prüfdienstleister.
TISAX® und ISO 27001 auf einen Blick
| Eigenschaft | ISO 27001 | TISAX® |
|---|
| Herausgeber | ISO (International Organization for Standardization) | VDA (Verband der Automobilindustrie) |
| Branchenfokus | Branchenunabhängig, weltweit anerkannt | Automobilindustrie, primär DACH und EU |
| Prüfverfahren | Zertifizierung durch akkreditierte Stellen (TÜV, DEKRA u. a.) | Assessment durch ENX-akkreditierte Prüfdienstleister |
| Ergebnis | Zertifikat (3 Jahre, jährliche Überwachungsaudits) | Label (3 Jahre, keine Zwischenaudits) |
| Prüfkatalog | ISO 27001 Annex A (93 Controls) | VDA ISA-Katalog (ISO 27001 + Prototypen + Datenschutz) |
| Ergebnisteilung | Bilateral (Zertifikat wird weitergegeben) | Zentral über ENX-Portal |
| Kosten (3 Jahre) | 15.000–40.000 € (inkl. Überwachungsaudits) | 3.500–10.500 € (einmalige Prüfgebühr) |
Die wichtigsten Unterschiede zwischen TISAX® und ISO 27001
Geltungsbereich und Branchenfokus
ISO 27001 ist branchenunabhängig. Ob Finanzdienstleister, Gesundheitswesen oder IT-Dienstleister: Der Standard funktioniert überall. TISAX® ist ausschliesslich auf die Automobilindustrie zugeschnitten. OEMs wie VW, BMW oder Mercedes verlangen von ihren Zulieferern ein gültiges TISAX®-Label, bevor sie Aufträge vergeben. Ohne Label kein Zugang zur Lieferkette.
Prüfkatalog und Anforderungen
Der VDA ISA-Katalog umfasst drei Bereiche: Informationssicherheit (wird bei jedem Assessment geprüft), Datenschutz nach DSGVO (auf Anforderung des Auftraggebers) und Prototypenschutz (ebenfalls auf Anforderung). Welche Bereiche ein Unternehmen prüfen lassen muss, hängt davon ab, welche Daten der beauftragende OEM weitergibt. Ein Zulieferer, der Prototypenfahrzeuge testet, braucht andere Prüfziele als ein IT-Dienstleister, der Kundendaten verarbeitet.
Die ISO 27001 kennt keinen Prototypenschutz. Dafür bietet sie mit Annex A einen flexibleren Rahmen, den Unternehmen an ihre spezifischen Risiken anpassen. Der Anwendungsbereich (Scope) wird vom Unternehmen selbst definiert und kann einzelne Abteilungen, Standorte oder die gesamte Organisation umfassen. Der VDA ISA-Katalog ist kostenlos verfügbar und eignet sich auch für ein Self-Assessment, bevor ein Unternehmen den formalen TISAX®-Prozess startet.
Assessment Level vs. einheitliche Zertifizierung
TISAX® arbeitet mit drei Assessment Leveln, die bestimmen, wie intensiv der Prüfdienstleister prüft:
- AL 1 (Selbsteinschätzung): Der Prüfer prüft lediglich die Vollständigkeit, nicht den Inhalt. Wird in der Praxis nicht verwendet und erzeugt kein TISAX®-Label.
- AL 2 (Plausibilitätsprüfung): Dokumentenprüfung und Interviews per Webkonferenz. Gilt für Informationen mit normalem bis hohem Schutzbedarf.
- AL 3 (eingehende Prüfung): Dokumentenprüfung, persönliche Interviews und Vor-Ort-Audit. Pflicht bei sehr hohem Schutzbedarf, etwa beim Umgang mit streng vertraulichen Informationen oder Prototypenfahrzeugen.
Bei der ISO 27001 gibt es diese Abstufung nicht. Jedes Zertifizierungsaudit folgt demselben Ablauf: Stage-1-Audit (Dokumentenprüfung) und Stage-2-Audit (Vor-Ort-Prüfung). Die Intensität skaliert mit der Grösse des Scopes, nicht mit einem vordefinierten Level.
Gültigkeit und Überwachungsaudits
Hier liegt ein oft unterschätzter Unterschied. Das TISAX®-Label gilt drei Jahre. In dieser Zeit gibt es keine Pflichtaudits durch externe Prüfer. Bei der ISO 27001 dagegen finden jährliche Überwachungsaudits statt, und nach drei Jahren steht ein vollständiges Rezertifizierungsaudit an.
Das bedeutet in der Praxis: TISAX® verursacht zwischen den Assessments geringere externe Auditkosten. Die Kehrseite ist, dass Unternehmen ohne jährliche externe Kontrolle selbst dafür verantwortlich sind, ihr ISMS aktuell zu halten. Der Prüfer kontrolliert bei der TISAX® Rezertifizierung nach drei Jahren, ob das ISMS kontinuierlich weiterentwickelt wurde. Veraltete Risikoanalysen, nicht gelebte Richtlinien oder fehlende Schulungsnachweise fallen dabei regelmässig auf.
Ergebnisteilung
TISAX®-Ergebnisse werden über das ENX-Portal geteilt. Berechtigte Partner können das Label dort einsehen, ohne dass das Unternehmen jedes Mal einen Auditbericht versenden muss. Vor TISAX® mussten OEMs jeden Zulieferer einzeln auditieren, was für beide Seiten erheblichen Aufwand bedeutete. Dieses zentrale Austauschverfahren ist einer der Hauptgründe, warum der VDA TISAX® eingeführt hat.
ISO-27001-Zertifikate hingegen werden bilateral weitergegeben. Es gibt kein zentrales Portal. Das Zertifikat bestätigt die Konformität gegenüber dem Standard, enthält aber keine detaillierten Prüfergebnisse.
Kosten und Zeitaufwand im Vergleich
TISAX®
3-Jahres-Zyklus (50 MA, AL 2)
Assessment~5.000 €
Überwachungsaudits0 €
Rezertifizierungnach 3 Jahren
Externe Auditkosten~5.000 €
Einmalige Prüfgebühr, keine Zwischenaudits
ISO 27001
3-Jahres-Zyklus (50 MA)
Zertifizierungsaudit~8.000 €
Überwachungsaudits (2x)~10.000 €
Rezertifizierungnach 3 Jahren
Externe Auditkosten~18.000 €
Inkl. jährlicher Überwachungsaudits
Die Kosten beider Standards setzen sich aus drei Blöcken zusammen: externe Auditkosten, interne Aufwände und Kosten für Beratung oder Tools.
TISAX® Auditkosten: Für ein Unternehmen mit bis zu 100 Mitarbeitenden liegen die reinen Prüfkosten bei Assessment Level 2 bei rund 3.500 Euro, bei Level 3 bei über 6.500 Euro. Grössere Unternehmen (über 1.000 Mitarbeitende) zahlen bei AL 3 bis zu 10.500 Euro. Zusätzliche Prüfziele wie Datenschutz oder Prototypenschutz kosten 900 bis 1.800 Euro extra pro Prüfziel. Diese Kosten fallen nur alle drei Jahre an. Detaillierte Zahlen nach Unternehmensgrösse finden Sie im Artikel TISAX® Kosten.
ISO 27001 Auditkosten: Das Zertifizierungsaudit kostet je nach Unternehmensgrösse und Zertifizierer zwischen 5.000 und 15.000 Euro. Hinzu kommen jährliche Überwachungsaudits (typischerweise 3.000 bis 8.000 Euro pro Jahr) und nach drei Jahren ein Rezertifizierungsaudit. Über einen Dreijahreszyklus summieren sich die externen Kosten bei ISO 27001 daher auf 15.000 bis 40.000 Euro, während TISAX® nur eine einmalige Prüfgebühr erfordert.
Interne Aufwände: Bei beiden Standards ist der Aufbau des ISMS der grösste Kostentreiber. Schulungen, Risikoanalysen, Richtlinien erstellen, interne Audits durchführen: Für ein Unternehmen mit 50 Mitarbeitenden entstehen ein halber bis zwei Personentage pro Woche über den gesamten Aufbauzeitraum. Diese internen Kosten sind schwer zu beziffern, machen aber oft den Grossteil der Gesamtinvestition aus. Automatisierte ISMS-Tools können diesen Aufwand deutlich reduzieren, weil Richtlinien nicht von Grund auf geschrieben, sondern aus Vorlagen generiert und angepasst werden.
Zeitrahmen: Der ISMS-Aufbau von Null dauert bei beiden Standards 6 bis 18 Monate, abhängig von Unternehmensgrösse und vorhandenem Reifegrad. Mit der SECJUR Plattform verkürzt sich der Zeitrahmen auf ab 3 Monate, weil Richtlinienerstellung, Risikomanagement und Audit-Vorbereitung weitgehend automatisiert ablaufen.
Wann brauchen Sie welchen Standard?
PflichtTISAX® wählen
Sie sind Zulieferer in der Automobilindustrie oder wollen es werden. OEMs wie VW, BMW oder Mercedes verlangen ein TISAX®-Label. Auch Tier-1- und Tier-2-Zulieferer fordern es zunehmend von ihren Partnern.
EmpfohlenISO 27001 wählen
Sie arbeiten branchenübergreifend, bedienen internationale Kunden oder sind in regulierten Branchen (Finanzen, Gesundheit, KRITIS) tätig. Im B2B-SaaS-Bereich ist ISO 27001 zunehmend Voraussetzung für Enterprise-Kunden.
OptimalBeide Standards kombinieren
Ihr Unternehmen bedient sowohl Automotive- als auch branchenunabhängige Kunden. Da TISAX® auf ISO 27001 aufbaut, ist der Zusatzaufwand überschaubar, wenn das ISMS von Anfang an auf beide Nachweise ausgelegt wird.
Die Entscheidung folgt einer klaren Logik:
TISAX® ist Pflicht, wenn Sie als Zulieferer in der Automobilindustrie tätig sind oder werden wollen. OEMs akzeptieren in der Regel keine ISO 27001 als Ersatz, weil TISAX® die branchenspezifischen Anforderungen an Prototypenschutz und Datenschutz abdeckt, die ISO 27001 nicht kennt. Auch Unternehmen, die nicht direkt an OEMs liefern, sondern an Tier-1- oder Tier-2-Zulieferer, benötigen zunehmend ein TISAX®-Label.
ISO 27001 ist die richtige Wahl, wenn Sie branchenübergreifend arbeiten, internationale Kunden bedienen oder in regulierten Branchen (Finanzen, Gesundheit, kritische Infrastruktur) tätig sind. Die ISO 27001 wird zunehmend auch regulatorisch vorausgesetzt, etwa als Nachweis im Kontext der NIS-2-Richtlinie. Auch im B2B-SaaS-Bereich fragen immer mehr Enterprise-Kunden nach einer ISO-27001-Zertifizierung als Voraussetzung für die Zusammenarbeit.
Beide Standards ergeben Sinn, wenn Ihr Unternehmen sowohl Automotive-Kunden als auch Kunden ausserhalb der Branche bedient. Da TISAX® auf der ISO 27001 aufbaut, ist der Zusatzaufwand für den zweiten Standard überschaubar, wenn das ISMS von Anfang an auf beide Nachweise ausgelegt wird.
Lassen sich TISAX® und ISO 27001 kombinieren?
Ja, und in der Praxis ist das häufiger als man denkt. Der VDA ISA-Katalog basiert auf der ISO 27001. Wer bereits ein ISO-27001-konformes ISMS betreibt, hat einen grossen Teil der TISAX®-Anforderungen bereits erfüllt. Die Lücken liegen typischerweise in den branchenspezifischen Bereichen: Prototypenschutz, Anbindung an das ENX-Portal und die spezifischen Prüfziele des VDA ISA.
Der umgekehrte Weg funktioniert ebenfalls: Ein Unternehmen mit TISAX®-Label hat bereits ein funktionierendes ISMS, das sich mit vertretbarem Aufwand auf ISO-27001-Konformität erweitern lässt. Die grössten Unterschiede liegen dann im Audit-Verfahren selbst (jährliche Überwachungsaudits statt dreijährlichem Re-Assessment) und in der Dokumentationsstruktur nach ISO-Anforderungen.
Ein konkretes Beispiel: Ein Automobilzulieferer mit 200 Mitarbeitenden, der neben OEM-Aufträgen auch Industrie- und Logistikkunden bedient, könnte zuerst TISAX® AL 2 für die Automotive-Sparte anstreben und parallel das ISMS so aufbauen, dass es die ISO-27001-Anforderungen miterfüllt. Der ISMS-Aufbau ist dabei der gleiche, nur die Audit-Verfahren und die Dokumentation der Ergebnisse unterscheiden sich.
Entscheidend ist: Ein TISAX®-Label deckt nicht automatisch die ISO 27001 ab, weil TISAX® kein Zertifikat im klassischen Sinne ist. Wer beide Nachweise braucht, muss beide Verfahren durchlaufen, kann aber mit einem einzigen ISMS arbeiten.
Häufige Missverständnisse
"TISAX® ist schwieriger als ISO 27001." Das stimmt so nicht. TISAX® ist nicht schwieriger, sondern spezifischer. Die Kernanforderungen an das ISMS sind vergleichbar. Der Unterschied liegt in den zusätzlichen Prüfbereichen (Prototypen, Datenschutz) und im Verfahren selbst.
"Mit ISO 27001 brauche ich kein TISAX®." In der Automobilbranche reicht ISO 27001 allein nicht aus. OEMs verlangen explizit das TISAX®-Label, weil es die Ergebnisse über das ENX-Portal teilbar macht und branchenspezifische Anforderungen abdeckt.
"TISAX® ist eine Zertifizierung." Technisch ist TISAX® ein Assessment, kein Zertifizierungsverfahren. Das Ergebnis ist ein Label, kein Zertifikat. Der Unterschied klingt akademisch, spielt aber bei der Kommunikation gegenüber Partnern eine Rolle: Wer von einer "TISAX® Zertifizierung" spricht, verwendet den Begriff umgangssprachlich. Korrekt ist "TISAX® Assessment" oder "TISAX® Label".
"TISAX® gilt nur in Deutschland." TISAX® ist zwar ein deutscher Branchenstandard, wird aber europaweit anerkannt. Zulieferer aus Tschechien, Polen, Rumänien oder der Türkei, die für deutsche OEMs fertigen, benötigen ebenfalls ein gültiges TISAX®-Label. Die ENX Association ist eine europäische Organisation, und die akkreditierten Prüfdienstleister operieren international.
TISAX® und ISO 27001 mit SECJUR umsetzen
Das Digital Compliance Office von SECJUR unterstützt den Aufbau eines ISMS nach beiden Standards in einer Plattform. Richtlinienerstellung, Risikomanagement und Audit-Vorbereitung laufen automatisiert ab. Unternehmen, die mit SECJUR arbeiten, erreichen das TISAX®-Label ab 3 Monaten bei Gesamtkosten ab 10.000 Euro.
Für Unternehmen, die sowohl TISAX® als auch ISO 27001 benötigen, bietet das DCO einen integrierten Ansatz: ein ISMS aufbauen, zwei Nachweise erhalten, ohne den gesamten Prozess doppelt durchlaufen zu müssen.
Fazit: Nicht entweder-oder, sondern die richtige Reihenfolge
TISAX® und ISO 27001 sind keine Konkurrenten. Sie bedienen unterschiedliche Anforderungen. Die Entscheidung hängt von Ihrem Kundenportfolio ab: Automotive-Zulieferer brauchen TISAX®, branchenübergreifend agierende Unternehmen brauchen ISO 27001, und wer beides bedient, profitiert von einem integrierten ISMS-Ansatz.
Unabhängig davon, welchen Standard Sie zuerst angehen: Der grösste Aufwand liegt im Aufbau des ISMS selbst. Wer diesen Schritt strukturiert und mit den richtigen Tools angeht, legt die Basis für beide Nachweise gleichzeitig.
.svg)
.svg)
.svg)
.svg){kind=small}