TISAX

Wie und wann Sie die richtige TISAX®-Zertifizierungsstelle und den richtigen Auditor auswählen

In diesem Leitfaden wird erläutert, wie man die richtige TISAX®-Zertifizierungsstelle und den richtigen Auditor auswählt. Dabei wird auf ihre Aufgaben, die ENX-Akkreditierung, den Zeitplan, die wichtigsten Kriterien und Möglichkeiten zur Vermeidung kostspieliger Verzögerungen eingegangen.

Alex Fuerst

Alex Fuerst

- 9 Minuten lesen
Wie und wann Sie die richtige TISAX®-Zertifizierungsstelle und den richtigen Auditor auswählen
Wie und wann Sie die richtige TISAX®-Zertifizierungsstelle und den richtigen Auditor auswählen

Inhaltsübersicht

Einführung

 
Sie haben sich für die TISAX®-Zertifizierung entschieden. Sie tun dies aus Gründen der Glaubwürdigkeit, des Vertrauens und der Konformität. Ein guter Schritt.

Aber hier ist der Teil, vor dem Sie niemand warnt: wie und wann Sie Ihre TISAX®-Zertifizierungsstelle und Ihren Auditor auswählen. Auf den ersten Blick sieht es einfach aus: Finden Sie einen akkreditierten Anbieter, buchen Sie das Audit, erhalten Sie das Siegel. Einfach, oder?

Nicht ganz. Sobald Sie anfangen, Anbieter zu vergleichen, wird es schnell unübersichtlich.

Was Sie in diesem Leitfaden lernen werden:

  • Der Unterschied zwischen einer Zertifizierungsstelle und einem Auditor - und warum er wichtig ist
  • Was die ENX-Akkreditierung tatsächlich bedeutet (und warum sie nicht verhandelbar ist)
  • Der richtige Zeitpunkt für die Bewertung von Anbietern (Hinweis: früher als Sie denken)
  • Wichtige Auswahlkriterien, um das Gute vom Vergessenen zu trennen
  • Wie man Verzögerungen, schlechte Kommunikation und überhöhte Kosten vermeidet

Warum sich dieser Artikel speziell auf TISAX® bezieht

 
Bevor wir uns damit befassen, ist es wichtig, etwas zu verstehen:

Dieser Leitfaden ist speziell für Unternehmen geschrieben, die die TISAX®-Zertifizierung anstreben, und nicht für ISO 27001, SOC 2 oder andere Rahmenwerke.

Warum?

Denn die Art und Weise, wie Sie eine Zertifizierungsstelle für TISAX® auswählen, ist grundlegend anders.

Für die meisten Normen (z. B. ISO 27001) gibt es weltweit Hunderte von Zertifizierungsstellen, die alle von verschiedenen nationalen Behörden wie UKAS (Großbritannien), DAkkS (Deutschland) oder ANAB (USA) akkreditiert sind. Dadurch haben Sie viele Möglichkeiten, was großartig, aber auch überwältigend ist.

TISAX® funktioniert nicht auf diese Weise.

TISAX® wird von der ENX Association verwaltet, und sie ist die einzige Organisation, die Zertifizierungsstellen für diesen Standard akkreditiert. Wenn ein Anbieter nicht im offiziellen ENX-Register aufgeführt ist, kann er keine gültigen TISAX®-Bewertungen durchführen. Punktum.

Und da TISAX® noch relativ neu ist, ist der Pool der verfügbaren Zertifizierungsstellen viel kleiner als bei ISO. Das ist keine schlechte Sache. Es kann sogar dazu beitragen, dass Sie schneller in die engere Wahl kommen. Aber es bedeutet auch:

  • Sie sollten sich nur an von ENX zugelassene Anbieter wenden.
  • Sie haben es mit einem engeren Markt zu tun, daher sind Verfügbarkeit und Reaktionsschnelligkeit besonders wichtig.
  • Die Wahl einer Einrichtung mit einschlägiger Branchenerfahrung ist umso wichtiger, als weniger Akteure eine größere Variabilität in der Qualität bedeuten.

Wenn Sie sich also für TISAX® entscheiden, erfahren Sie in diesem Leitfaden, wie Sie die wenigen zugelassenen Anbieter bewerten und denjenigen auswählen können, der am besten zu Ihrem Aufgabenbereich, Ihrer Branche und Ihren Erwartungen passt.

Wenn Sie ISO 27001 anstreben, benötigen Sie eine umfassendere Strategie, die in diesem Leitfaden nicht behandelt wird.

Zertifizierungsstellen vs. Auditoren

 
Hier beginnt eine Menge Verwirrung. Sie werden hören, dass die Begriffe "Zertifizierungsstelle" und "Auditor" fast austauschbar sind, obwohl sie nicht dasselbe sind.

Lassen Sie es uns klar aufschlüsseln:

Zertifizierungsstelle = Die Organisation

Eine Zertifizierungsstelle ist das Unternehmen, das von ENX offiziell autorisiert ist, TISAX®-Zeichen zu vergeben. Sie ist verantwortlich für die Verwaltung des Auditprozesses, die Zuweisung von Auditoren, die Überprüfung der Ergebnisse und schließlich die Bestätigung, dass Ihre Organisation die TISAX®-Anforderungen erfüllt.

Betrachten Sie sie als die Dachorganisation, die die Akkreditierung und die Verwaltung übernimmt.

Prüfer = Die Person

Ein Auditor ist eine Person (oder ein Team), die von der Zertifizierungsstelle entsandt wird, um Ihr Unternehmen zu bewerten. Er überprüft Ihr ISMS (Information Security Management System), befragt Ihre Mitarbeiter, prüft Ihre Unterlagen und stellt fest, ob Sie das erforderliche Sicherheitsniveau erreichen.

Die Auditoren sind entweder Angestellte oder beauftragte Experten, die unter dem Dach der Zertifizierungsstelle arbeiten und unabhängig und unparteiisch bleiben.

Warum diese Unterscheidung wichtig ist

Hier ist der Grund, warum Sie das interessieren sollte:

  • Ihre Erfahrungen hängen von beidem ab. Sie können sich für eine angesehene Zertifizierungsstelle entscheiden, aber wenn diese Ihnen einen unerfahrenen oder schlecht geeigneten Auditor zuweist, kann der Prozess trotzdem schief gehen.
  • Es ist erlaubt, nach dem Prüfer zu fragen. Wenn Sie einen Kostenvoranschlag oder ein Angebot anfordern, können (und sollten) Sie danach fragen:
    • Wer wird die Prüfung durchführen?
    • Was ist ihr Hintergrund in Ihrem Sektor?
    • Sprechen sie die Sprache Ihres Teams?
    • Haben sie Unternehmen Ihrer Größe oder Komplexität geprüft?
  • Sie spielen bei der Rechenschaftspflicht unterschiedliche Rollen. Die Zertifizierungsstelle ist letztlich gegenüber ENX rechenschaftspflichtig, während der Prüfer gegenüber der Stelle rechenschaftspflichtig ist. Wenn etwas schief läuft, ist es die Stelle, an die man sich wendet. Aber es ist der Auditor, der die Erfahrungen vor Ort prägt.

Stellen Sie sich das so vor: Die Zertifizierungsstelle ist die Fluggesellschaft. Der Auditor ist der Pilot. Sie möchten, dass beide kompetent und zuverlässig sind und gut zu Ihrer Reise passen.

Noch etwas, was Sie wissen sollten

In vielen Zertifizierungsstellen ist das Verhältnis zwischen Festangestellten und externen Auftragnehmern stark verzerrt - oft 1:2 oder sogar mehr zugunsten der Freiberufler.

Während also die Zertifizierungsstelle Ihr Zertifikat unterschreibt, ist es sehr wahrscheinlich, dass der Auditor, mit dem Sie zusammenarbeiten, ein Auftragnehmer ist.

Das ist nicht unbedingt etwas Schlechtes - viele dieser Prüfer sind nämlich sehr erfahrene Fachleute, die an anderen Tagen der Woche auch als TISAX®-Berater arbeiten. Natürlich können sie Sie nicht prüfen, wenn sie für Sie beratend tätig waren: Die ENX-Regeln verbieten dies, um die Unparteilichkeit zu gewährleisten. Aber es lohnt sich, auf die Überschneidungen im Ökosystem hinzuweisen.

Interessanterweise sind die Tagessätze für TISAX®-Berater in der Regel etwas höher als für Wirtschaftsprüfer, was die zusätzliche Flexibilität und den beratenden Beitrag widerspiegelt, den sie leisten. Wenn Sie also bereits mit einem Berater zusammengearbeitet haben, sollten Sie sich nicht wundern, wenn sein "Prüfungskollege" aus der gleichen Welt kommt.

Das Ergebnis?

Stellen Sie Fragen. Sie sollten wissen, wer zu Ihrer Prüfung kommt. Und stellen Sie sicher, dass sie für Ihre Größe, Branche und Ihren Reifegrad geeignet sind.

Die TISAX®-Akkreditierung ist nicht verhandelbar

 
Sie werden es überall sehen: "Wir sind akkreditiert", "Akkreditiert von ENX", "Vollständig zertifizierte Prüfer".

Das klingt beeindruckend - aber was bedeutet das eigentlich? Und warum sollte Sie das interessieren?

Im Gegensatz zu anderen Normen (wie ISO 27001), bei denen Sie aus Hunderten von Zertifizierungsstellen wählen können, die von verschiedenen nationalen Behörden (wie UKAS oder DAkkS) akkreditiert sind, wird TISAX® ausschließlich von der ENX Association verwaltet.

Das bedeutet:

  • Nur von ENX zugelassene Zertifizierungsstellen können gültige TISAX®-Audits durchführen.
  • Wenn sie nicht auf der ENX-Liste stehen, können sie kein rechtmäßiges TISAX®-Label ausstellen.
  • Zeitraum.

Während also in anderen Rahmenwerken die "Akkreditierung" ein Qualitätssignal darstellt, ist sie in TISAX® eher eine Art Torwächter. Entweder sie sind drin, oder sie sind draußen. Keine Grauzone.

Die offizielle Liste der akkreditierten TISAX®-Auditanbieter finden Sie auf der ENX-Website.

Kriterien für die Auswahl einer Zertifizierungsstelle

 
Sie haben sich also vergewissert, dass ein Anbieter ENX-akkreditiert ist. Gut, das ist das Mindeste. Aber jetzt kommt der schwierigere Teil: die Auswahl des richtigen Anbieters für Sie.

Denn auch wenn jedes TISAX®-Audit den gleichen Basiskriterien folgt, kann die Erfahrung, die Sie machen (wie stressig es ist, wie aufschlussreich es sich anfühlt, wie gut es Ihr Unternehmen widerspiegelt), je nach dem, wen Sie auswählen, sehr unterschiedlich sein.

Hier erfahren Sie, worauf Sie achten müssen:

1. Sektor Erfahrung

Nicht alle Prüfer sind gleich - vor allem, wenn es darum geht, Ihre Branche zu verstehen.

  • Sind sie mit Ihrer Art von Geschäft vertraut (z. B. Automobilzulieferer, Cloud-Plattformen, Tech-Start-ups)?
  • Haben sie Unternehmen Ihrer Größe und Komplexität geprüft?
  • Verstehen sie die realen Risiken, die Ihr ISMS zu kontrollieren versucht?

Ein Prüfer, der "es versteht", wird keine Zeit damit verschwenden, irrelevante Fragen zu stellen oder sich zu sehr auf Bereiche mit geringem Risiko zu konzentrieren.

2. Reaktionsschnelligkeit, Unterstützung und erste Eindrücke

Dieser Punkt ist wichtiger, als den meisten Menschen bewusst ist.

Wie war Ihr allererster Kontakt? Haben sie...

  • Schnell reagieren?
  • Verstehen Sie Ihren Aufgabenbereich und Ihre Situation?
  • Die Dinge klar und deutlich erklären, ohne Floskeln oder Druck?
  • Bieten Sie an, Sie mit einem Fachmann zu verbinden - nicht nur mit einem Verkäufer?

Wir haben schon alles gesehen:

  • Eine Zertifizierungsstelle brauchte drei Wochen, um ein Angebot zu übermitteln. Eine andere antwortete in weniger als 24 Stunden.
  • Einer schickte ein veraltetes Word-Dokument in einem schmerzhaften Format. Ein anderer stellte einen sauberen, intuitiven Online-Fragebogen zur Verfügung.

Die ersten Kontakte verraten Ihnen oft schon alles, was Sie wissen müssen. Wenn sie langsam und vage sind oder nur eine allgemeine Broschüre schicken, stellen Sie sich vor, wie es sein wird, wenn mitten im Audit etwas Dringendes auftaucht.

Sie beauftragen nicht nur eine Dienstleistung, sondern gehen eine Beziehung ein. Wählen Sie jemanden, der vom ersten Tag an wie ein Partner handelt.

3. Einsatz von Technologie

Fragen Sie sie, welche Hilfsmittel sie zur Durchführung der Prüfung verwenden.

  • Werden Sie sensible Dateien per E-Mail versenden?
  • Gibt es eine sichere, benutzerfreundliche Plattform für das Hochladen von Beweismitteln?
  • Können Sie Fortschritte oder Feedback online verfolgen?
  • Werden Sie am Ende eine klare Dokumentation und Berichterstattung erhalten?

Einige Anbieter arbeiten noch mit Tabellenkalkulationen und veralteten Portalen. Andere bieten ein rationalisiertes, modernes Verfahren. Wenn Sie teamübergreifend koordinieren müssen, macht dieser Unterschied viel aus.

4. Zeitplan und Verfügbarkeit

TISAX®-Audits sind zeitkritisch. Vielleicht wollen Sie eine Kundenfrist einhalten, einen internen Meilenstein erreichen oder ein auslaufendes Siegel erneuern, und nicht alle Zertifizierungsstellen können Ihren Zeitrahmen einhalten.

  • Viele Anbieter sind seit Monaten ausgebucht.
  • Bei anderen stehen die Prüfer fast sofort zur Verfügung.
  • Die Vorlaufzeiten variieren je nach Umfang, Region und Sprachbedarf.

Fragen Sie nicht nur nach dem Preis. Fragen Sie, wann sie beginnen können, wie lange der Prozess dauert und wie die einzelnen Schritte aussehen.

5. Preis (aber nicht nur Preis)

Ja, die Kosten für TISAX®-Prüfungen variieren, aber nicht dramatisch. Einige Anbieter bieten Festpreispakete an, während andere Tagessätze berechnen. Im Allgemeinen liegen die Preise zwischen 4.800 € und 25.000 €, je nach Umfang und Komplexität der Prüfung.

Letztendlich basieren die TISAX®-Auditdienste auf einem standardisierten Verfahren, und die meisten Anbieter kennen die Preise ihrer Konkurrenten. Daher werden Sie bei TISAX®-Audits keine großen Preisunterschiede feststellen, im Gegensatz zu den größeren Kostenunterschieden bei ISO 27001-Audits.

Fordern Sie immer Angebote von mindestens zwei TISAX® Audit-Anbietern an. Nicht nur, um die Preise zu vergleichen, sondern auch, um Ihre ersten Erfahrungen mit dem Kunden und dem Support der einzelnen Anbieter zu bewerten. Auf diese Weise können Sie sicherstellen, dass Sie einen Partner auswählen, der sowohl Ihre Erwartungen an den Service als auch Ihr Budget erfüllt.

6. Reputation und Anerkennung sind gegeben

Bei der Auswahl eines TISAX-Auditanbieters müssen Sie nicht so sehr auf den Ruf und die Anerkennung achten wie bei der ISO 27001-Zertifizierung. TISAX-Bewertungen werden zentral von der ENX Association mit standardisierten Anforderungen geregelt, wodurch der Ruf des Anbieters weniger kritisch ist als bei ISO 27001, wo die internationale Anerkennung der Zertifizierungsstellen die Glaubwürdigkeit und Akzeptanz Ihres Zertifikats erheblich beeinflussen kann.

Konzentrieren Sie sich stattdessen auf Eignung, Verfügbarkeit und Erfahrung in Ihrem spezifischen Sektor.

Wann sollte der Auswahlprozess beginnen?

 
Sie wissen, wie Sie die richtige Zertifizierungsstelle auswählen. Aber jetzt kommt der andere wichtige Teil: wann Sie anfangen sollten.

Das Timing kann den Zeitplan für die TISAX®-Zertifizierung beeinflussen - vor allem, wenn ein Kundentermin oder ein Projektmeilenstein an Ihr Audit gebunden ist.

Die kurze Antwort: Beginnen Sie, sobald Sie den "Auszug aus dem Geltungsbereich" erhalten haben.

Hier ist der Grund dafür:

  • Die meisten Zertifizierungsstellen sind über Monate hinweg ausgebucht, vor allem für Audits der Stufe 3 (vor Ort).
  • Die meisten Zertifizierungsstellen erstellen nur dann ein Angebot, wenn Sie sich bereits im ENX-Portal registriert haben und den "Auszug aus dem Geltungsbereich" vorlegen können.
  • Der Auszug aus dem Geltungsbereich ist von entscheidender Bedeutung, da er die Grenzen und den Schwerpunkt Ihrer Bewertung der Informationssicherheit festlegt. Die Anpassung des Umfangs und die Klärung der Vorregistrierung können jedoch mehrere Wochen in Anspruch nehmen, selbst wenn Sie glauben, dass Sie vorbereitet sind.

Was zu beachten ist

 
Die TISAX®-Zertifizierung ist ein strategischer Schritt, aber die Wahl der falschen Zertifizierungsstelle oder das Hinauszögern der Entscheidung kann zu einer schmerzhaften und teuren Angelegenheit werden.

Folgendes ist zu beachten:

  • Nur ENX-akkreditierte Stellen können gültige TISAX®-Etiketten ausstellen. Keine Akkreditierung = kein Etikett.
  • Auditoren und Zertifizierungsstellen sind nicht dasselbe. Sie stellen beide ein, also prüfen Sie sie entsprechend.
  • Die Qualität Ihrer Prüfungserfahrung hängt nicht nur von der technischen Konformität ab. Sehen Sie sich das an:
    • Erfahrung im Sektor
    • Einsatz von modernen Werkzeugen
    • Reaktionsfähigkeit und Unterstützung
    • Zeitplan und Verfügbarkeit
  • Vertrauen Sie Ihrem ersten Eindruck. Ein langsames Angebot, ein schwerfälliger Prozess oder vage Antworten werden später nur noch schlimmer.
  • So früh wie möglich beginnen

Was kommt als Nächstes?

 
Sind Sie bereit, sich für einen TISAX®-Auditanbieter zu entscheiden - oder sind Sie noch dabei, Ihre Liste einzugrenzen? Wo auch immer Sie sich in diesem Prozess befinden, wir haben einen einfachen Weg, Ihnen zu helfen:

Die TISAX®-Auditor-Checkliste

Eine klare, praktische Checkliste hilft Ihnen, Anbieter zu vergleichen, die richtigen Fragen zu stellen und kostspielige Fehler zu vermeiden.

Benötigen Sie eine Empfehlung oder eine zweite Meinung?

Wir haben mit mehreren ENX-akkreditierten Anbietern zusammengearbeitet und können Ihnen je nach Umfang, Zeitplan und Branche den richtigen Weg weisen.

Senden Sie einfach eine E-Mail an ix@isegrim-x.com, um die TISAX®-Checkliste für die Auditorenauswahl oder eine Empfehlung zu erhalten.

Mehr lesen