TISAX

Warum Kunden aus der Automobilindustrie TISAX® fordern und was Zulieferer dafür tun müssen

Der ultimative Leitfaden zum Verständnis von TISAX®, wer es braucht und wie sich Lieferanten stressfrei vorbereiten können.

Alex Fuerst

Alex Fuerst

- 21 Minuten gelesen
Kommen Sie auf die Überholspur zu TISAX®
Kommen Sie auf die Überholspur zu TISAX®

Der ultimative Leitfaden zum Verständnis von TISAX®, wer es braucht und wie sich Lieferanten stressfrei vorbereiten können.

Inhaltsübersicht

Einführung

 
TISAX® taucht oft ohne Vorwarnung auf. In der Regel taucht es in einer E-Mail eines Kunden aus der Automobilindustrie auf, der darum bittet, bevor ein Geschäft zustande kommt.

Es gibt keine Erklärung. Nur eine feste Erwartung. Und wenn die Forschung beginnt, führt sie schnell zu einem Labyrinth aus unbekannten Begriffen, komplexen Rahmenwerken und sehr wenigen praktischen Antworten.

Das ist nicht nur frustrierend. Es kann das Geschäft gefährden. Gelegenheiten können sich verzögern oder ganz verloren gehen, wenn nicht klar ist, was TISAX® ist und wie die Anforderungen zu erfüllen sind.

Deshalb ist Klarheit so wichtig.

In diesem Artikel wird erklärt, was TISAX® ist, wer es braucht, wie es im Vergleich zu Rahmenwerken wie ISO 27001 aussieht und wie der Zertifizierungsprozess von Anfang bis Ende abläuft. Er wurde geschrieben, um das Rätselraten zu beseitigen, damit Entscheidungen schnell und sicher getroffen werden können, sei es für die interne Planung oder für Kundenverhandlungen.

Was zum Teufel ist TISAX®?

 
TISAX steht für Trusted Information Security Assessment Exchange. Es handelt sich um einen Rahmen für die Sicherheitsbewertung und den Austausch von Informationen, der speziell für die Automobilindustrie entwickelt wurde. Sein Hauptzweck ist es, sicherzustellen, dass Lieferanten und Dienstleister, die mit sensiblen Informationen umgehen, die vereinbarten Standards für die Informationssicherheit einhalten.

Der TISAX-Rahmen wurde von der ENX Association geschaffen, einem von den großen europäischen Automobilherstellern unterstützten Gremium. Es basiert auf ISO 27001, ist aber auf die besonderen Bedürfnisse des Automobilsektors zugeschnitten, z. B. auf den Schutz von Designdaten, Prototypen und Produktionsinformationen.

TISAX ist kein Zertifikat. Stattdessen wird nach einer erfolgreichen Bewertung ein Gütesiegel vergeben. Dieses Gütesiegel kann über eine zentrale Plattform sicher mit Partnern geteilt werden. Das bedeutet, dass ein Lieferant nur eine einzige anerkannte Bewertung absolvieren muss, anstatt sich wiederholten Audits bei jedem Kunden zu unterziehen.

Kurz gesagt, TISAX hilft den Unternehmen der Automobilindustrie, darauf zu vertrauen, dass ihre Zulieferer die Informationssicherheit ernst nehmen. Es vereinfacht das Risikomanagement und reduziert doppelte Audits in der gesamten Lieferkette.

Wer braucht eigentlich TISAX®?

 
TISAX® richtet sich an Unternehmen, die in der Automobilzulieferkette arbeiten und mit sensiblen Informationen umgehen. Wenn ein Unternehmen mit Produktdesigndateien, Prototypdaten oder internen Systemen arbeitet, die von Kunden aus der Automobilindustrie genutzt werden, ist es wahrscheinlich, dass ein TISAX®-Label erforderlich ist.

Dazu gehören auch Unternehmen, die Dienstleistungen anbieten:

  • Lieferanten von Teilen und Komponenten
  • Ingenieur- oder Planungsleistungen
  • Entwicklung und Prüfung von Prototypen
  • Hosting oder IT-Infrastruktur
  • Kundenspezifische Software oder Connected-Car-Dienste
  • Physische Sicherheit, wenn Prototypen oder vertrauliche Daten betroffen sind

Es kommt nicht auf die Größe oder Art des Unternehmens an, sondern auf die Sensibilität der verarbeiteten Informationen: Es wird bestätigt, dass ein OEM von seinem Reinigungsdienstleister ein gültiges TISAX®-Label verlangte. Nicht, weil die Reinigungskräfte irgendwelche Datensysteme verwalteten, sondern weil sie außerhalb der Geschäftszeiten unbeaufsichtigten Zugang zu Prototypbereichen hatten.

Die gute Nachricht: Sie müssen nicht raten

TISAX® ist selten fakultativ. Wenn es erforderlich ist, werden Sie von einem Kunden in einem formellen Antrag darauf hingewiesen. Es ist auch möglich, dass Sie sich bereits dazu verpflichtet haben, das TISAX®-Zeichen zu erhalten - vielleicht unwissentlich - indem Sie einen Vertrag mit einem OEM unterzeichnet haben, da diese Anforderung oft in den Standardbedingungen enthalten ist.

Einige Unternehmen setzen TISAX® ein, bevor es angefordert wird, insbesondere wenn sie in der gesamten Automobilindustrie als sicherer und vertrauenswürdiger Partner angesehen werden wollen. Für die meisten Unternehmen gibt es jedoch keinen Grund, eine Selbstdiagnose zu stellen oder sich blindlings darauf einzulassen, es sei denn, es gibt einen Business Case, der im Vorfeld vorbereitet werden muss.

Zum Verständnis der TISAX®-Bewertungsebenen

 
TISAX®-Bewertungen sind keine Einheitsgröße für alle. Sie sind in drei Bewertungsstufen unterteilt, die jeweils die Sensibilität der zu verarbeitenden Informationen und den Grad der Sicherheit widerspiegeln, den ein Kunde benötigt.

Die Bewertungsebene bestimmt, wie tief die Prüfung geht und wer sie durchführt.

Bewertung Stufe 1 - Selbsteinschätzung

Dies ist die leichteste Stufe. Sie basiert ausschließlich auf den Antworten eines Unternehmens auf den VDA ISA-Katalog. Es findet keine externe Überprüfung statt.

Es wird nur selten verwendet, da die meisten Automobilkunden eine unabhängige Bestätigung wünschen. Es kann jedoch für internes Benchmarking oder in Situationen mit sehr geringem Risiko nützlich sein.

Bewertungsstufe 2 - Plausibilitätsprüfung durch Dritte

Dies ist die häufigste Stufe. Ein TISAX®-akkreditierter Auditor überprüft die Antworten des Unternehmens auf den VDA ISA-Katalog auf Vollständigkeit und Plausibilität. Die Prüfung erfolgt in der Regel aus der Ferne, auf der Grundlage von eingereichten Unterlagen und Interviews.

Stufe 2 wird häufig verlangt, wenn ein Lieferant mit sensiblen Informationen umgeht, die jedoch keinen kritischen Schaden verursachen würden, wenn sie offengelegt würden.

Bewertungsstufe 3 - Audit vor Ort

Dies ist die detaillierteste Stufe. Sie beinhaltet einen Besuch vor Ort und eine eingehende Prüfung, wie das Unternehmen die VDA ISA-Anforderungen erfüllt. Stufe 3 ist in der Regel erforderlich, wenn:

  • Die Prototypen werden bearbeitet
  • Hochsensible Entwurfs- oder Testdaten sind betroffen
  • Der Kunde stuft das Risiko als sehr hoch ein

Stufe 3 erfordert mehr Zeit, Aufwand und Vorbereitung als die anderen Stufen. Sie erfordert auch eine gute Dokumentation und ausgereifte Prozesse.

Wer entscheidet über die Bewertungsstufe?

Eine weitere gute Nachricht: Sie müssen nicht entscheiden. Das tut der Kunde. Wenn ein Unternehmen gebeten wird, eine TISAX®-Bewertung durchzuführen, wird das erforderliche Niveau normalerweise vom Kunden auf der Grundlage seiner Risikoklassifizierung festgelegt.

Es ist nicht nötig zu raten, ob Stufe 2 ausreicht oder ob Stufe 3 erforderlich ist. Wenn TISAX® angefordert wird, wird die erforderliche Stufe in die Anforderung aufgenommen.

Warum die Wahl der richtigen Bewertungsstufe wichtig ist

 
Die Bewertungsstufe ist nicht nur eine Formalität. Sie bestimmt, wie tief die Prüfung gehen wird, wie viel Zeit sie in Anspruch nehmen wird und wie viel sie kosten wird. Die Wahl der richtigen Stufe oder das Hinterfragen einer gewünschten Stufe kann Monate an Arbeit und Tausende von Euro sparen.

Die Auswirkungen der Bewertungsstufen

  • Stufe 1 erfordert lediglich eine Selbsteinschätzung. Sie ist schnell und kostengünstig, wird aber von den Kunden selten akzeptiert.
  • Stufe 2 fügt eine Validierung durch Dritte hinzu. Dies ist die gängigste Stufe, die in der Regel aus der Ferne erfolgt und ein Gleichgewicht zwischen Sicherheit und Aufwand schafft.
  • Stufe 3 beinhaltet eine Prüfung vor Ort. Dies ist die anspruchsvollste und kostspieligste Option und ist nur für sehr sensible Daten wie Prototypen erforderlich.

Wenn ein Anbieter die Stufe 3 akzeptiert, ohne sie zu hinterfragen, kann er am Ende viel mehr Zeit und Geld investieren, als wirklich nötig ist.

Der aktuelle Trend

In der Praxis verlangen viele Kunden inzwischen Stufe 3 für alle Lieferanten, unabhängig von der Sensibilität der zu erledigenden Arbeit. Der Grund dafür ist oft die Risikoaversion und der Wunsch nach Einheitlichkeit in der gesamten Lieferkette.

Selbst wenn dieser Trend anhält, lohnt es sich, die Entscheidung zu hinterfragen. Indem er die Diskussion eröffnet, kann ein Lieferant zumindest bestätigen, ob die Stufe 3 allgemein angewandt wird oder ob es sich um eine gezielte Forderung handelt. Die Gewissheit, dass alle Lieferanten gleich behandelt werden, ist ein wertvoller Einblick und verhindert das Gefühl, dass sie ausgesondert werden.

Warum eine Debatte über das Niveau sinnvoll ist

Die Kunden beantragen in der Regel die Bewertungsstufe, von der sie glauben, dass sie ihrem Risiko entspricht. Dies ist jedoch nicht immer eindeutig. In einigen Fällen kann ein Anbieter nachweisen, dass Stufe 2 für die Art der von ihm verarbeiteten Daten ausreichend ist.

Dies mit dem Kunden zu besprechen, zeugt von einem professionellen Ansatz beim Risikomanagement. Selbst wenn das Ergebnis lautet, dass Stufe 3 nicht verhandelbar ist, klärt das Gespräch die Erwartungen, zeigt, wie streng sie durchgesetzt wird, und bestätigt, ob die Forderung universell ist.

Die Risiken eines Fehlverhaltens

  • Übermäßige Einhaltung verschwendet Ressourcen und Zeit
  • Bei Nichteinhaltung besteht die Gefahr, den Vertrag zu verlieren oder das Vertrauen zu beschädigen
  • Unklarheiten führen zu Verwirrung, Verzögerungen und Nacharbeit, wenn der Kunde später auf einem höheren Niveau besteht.

Die Quintessenz

Die Bewertungsebene ist nicht nur ein technisches Detail. Sie prägt die gesamte TISAX®-Reise. Eine höhere Stufe als nötig zu akzeptieren, mag einen Kunden beeindrucken, hat aber einen hohen Preis. Eine Anfrage der Stufe 3 in Frage zu stellen, wird das Ergebnis nicht immer ändern, aber es sorgt für Transparenz, hilft dabei, den Aufwand realistisch einzuschätzen, und bestätigt, dass alle Lieferanten die gleichen Maßstäbe anlegen.

Die Bedeutung und der Alptraum des VDA ISA-Katalogs

 
Im Mittelpunkt jeder TISAX®-Bewertung steht der VDA ISA-Katalog. Dieses Dokument ist das Regelwerk. Es wurde vom Verband der Automobilindustrie erstellt und legt die spezifischen Anforderungen fest, die Lieferanten und Dienstleister erfüllen müssen.

Der Katalog ist in Module unterteilt, die folgende Themen abdecken:

  • Informationssicherheit
  • Schutz von Prototypen
  • Datenschutz

Jedes Unternehmen, das sich TISAX® unterzieht, muss diesen Katalog als Selbsteinschätzung ausfüllen. Er ist die Grundlage des Audits. Auditoren nutzen ihn als Checkliste, Kunden nutzen ihn zum Vergleich von Lieferanten und Lieferanten nutzen ihn, um ihre eigene Bereitschaft zu messen. Ohne den Katalog gibt es kein TISAX®.

Warum das wichtig ist

Der Katalog sorgt für Konsistenz in der gesamten Automobil-Lieferkette. Anstatt dass jeder Hersteller seinen eigenen Sicherheitsfragebogen erstellt, schafft der VDA ISA einen gemeinsamen Standard. Dies erspart den Zulieferern endlose Einzelaudits und bietet den Kunden gleiche Voraussetzungen für einen Vergleich.

Er bringt auch Struktur. Der Katalog ist eng an die ISO 27001 angelehnt, aber auf die Gegebenheiten der Automobilzulieferer zugeschnitten. Das bedeutet, dass Anforderungen, die in allgemeinen Sicherheitsstandards oft übersehen werden, wie z. B. die Kontrolle des Zugangs zu Fahrzeugprototypen, ausdrücklich enthalten sind.

Warum es sich wie ein Albtraum anfühlt

Wer die VDA ISA zum ersten Mal aufschlägt, erkennt schnell, warum sie Unbehagen auslöst. Das Dokument ist lang, detailliert und in einer präzisen, aber oft dichten Sprache verfasst.

Häufige Schmerzpunkte sind:

  • Die schiere Anzahl der zu überprüfenden und zu dokumentierenden Kontrollen
  • Wiederholungen oder Überschneidungen, die den Eindruck erwecken können, dass sie nie enden
  • Die Erwartung, dass jede Kontrolle angegangen werden muss, auch wenn das Unternehmen klein ist
  • Die Notwendigkeit, für jede Kontrolle Nachweise zu erbringen, nicht nur eine Ja- oder Nein-Antwort

Für viele Anbieter fühlt sich der Katalog weniger wie eine Checkliste als vielmehr wie ein Verhör an. Es braucht Zeit, Geduld und oft auch Hilfe von außen, um sich zurechtzufinden.

Die Quintessenz

Der VDA ISA-Katalog ist sowohl die Stärke als auch der Kampf von TISAX®. Er garantiert einen einheitlichen, branchenspezifischen Standard, ist aber auch mit viel Arbeit verbunden. Wenn man ihn als Gap-Analyse-Tool und nicht als einfachen Fragebogen betrachtet, ist er leichter zu handhaben. Der Katalog zeigt auf, wo Verbesserungen erforderlich sind, und zwingt die Anbieter dazu, zu dokumentieren, was sie bereits gut machen.

Nach Abschluss des Projekts ist ein Unternehmen nicht nur auf TISAX® vorbereitet, sondern verfügt auch über eine solide Sicherheitsgrundlage, die ISO 27001, SOC 2 oder sogar CMMC in anderen Branchen unterstützen kann.

TISAX® vs. ISO 27001 vs. SOC 2 vs. CMMC: Warum der Vergleich wichtig ist

 
Wenn TISAX® zum ersten Mal in einer Kundenanfrage auftaucht, wird oft instinktiv gesagt: "Aber wir sind doch schon ISO 27001-zertifiziert", "Wir sind SOC 2-konform" oder neuerdings: "Wir haben uns gerade auf CMMC vorbereitet - das deckt das doch sicher ab?"

Das ist eine vernünftige Annahme. Schließlich handelt es sich um Rahmenwerke für die Informationssicherheit. Sie alle beinhalten Kontrollen, Audits und Sicherheitsrichtlinien. Aber es gibt einen wichtigen Unterschied:

Bei TISAX® geht es nicht nur um Sicherheit, sondern auch um branchenspezifische Sicherheit

TISAX® ist speziell auf die Automobilindustrie zugeschnitten. Es wurde geschaffen, um die Sicherheitserwartungen von Herstellern und Zulieferern in ganz Europa anzugleichen. Andere Rahmenwerke wie ISO 27001, SOC 2 und CMMC wurden für breitere Anwendungsfälle - und oft für ganz andere Branchen - entwickelt.

Aus diesem Grund können Kunden TISAX® auch dann verlangen, wenn bereits eine andere Zertifizierung vorhanden ist.

Hinweis: Je nach Sensibilität der betroffenen Daten akzeptieren einige Hersteller die Zertifizierung nach ISO 27001 anstelle von TISAX®. PACCAR ist beispielsweise dafür bekannt, bei bestimmten Zulieferern ISO 27001 zu akzeptieren - vor allem dann, wenn die Rolle des Zulieferers keine risikoreichen Prototyp- oder Produktionsdaten umfasst.

Eine schnelle Aufschlüsselung:

Rahmenwerk Industrie Herkunft Primäres Zielpublikum Prüfungsart Zweck
TISAX®. Automobilindustrie OEMs, Tier 1s, Zulieferer Drittanbieter (über ENX) Vertrauen in die Lieferkette, Schutz von Prototypen
ISO 27001 Global, universell einsetzbar Alle Sektoren Drittanbieter (zertifiziert) Managementsysteme für die Informationssicherheit
SOC 2 Technologie (US) SaaS, Cloud-Anbieter Dritte (Wirtschaftsprüfungsgesellschaften) Umgang mit Kundendaten (Vertrauenskriterien)
CMMC US-Verteidigungsministerium Lieferanten der Verteidigungsindustrie Drittparteien (C3PAOs) Schutz von kontrollierten, nicht klassifizierten Informationen

Warum Unternehmen sie vergleichen:

Oberflächlich betrachtet sehen diese Rahmen oft ähnlich aus. Sie umfassen alle:

  • Risikobasierte Sicherheitskontrollen
  • Definierte Reifegrade
  • Regelmäßige Audit- oder Bewertungsprozesse
  • Anforderungen an Dokumentation und Richtlinien

Aber sie sind nicht austauschbar. Jedes dieser Produkte dient der Befriedigung einer anderen Gruppe von Käufern. TISAX® richtet sich an Kunden aus der Automobilindustrie. CMMC erfüllt die Anforderungen von US-Verteidigungsverträgen. SOC 2 erfüllt die Anforderungen amerikanischer Kunden aus der Technologiebranche. ISO 27001 ist global und grundlegend, aber nicht branchenspezifisch.

Sind andere Zertifizierungen noch hilfreich?

Ja - in erheblichem Maße. Wenn ein Unternehmen bereits über ISO 27001 oder SOC 2 verfügt, ist die Grundlage für TISAX® oft schon vorhanden. Insbesondere CMMC teilt das Konzept der Reifegrade, was die Anpassung an TISAX® intuitiver machen kann.

Dennoch werden die Kunden das TISAX®-Siegel erwarten, weil es ihre Sprache spricht. Es beseitigt Unklarheiten und zeigt, dass ein Lieferant die spezifischen Sicherheitserwartungen des Automobilsektors erfüllt.

Das TISAX®-Verfahren in einfachem Englisch

 
Wenn ein Kunde einen TISAX®-Antrag stellt, stellt sich natürlich die nächste Frage: Was müssen wir eigentlich tun?
Auf dem Papier ist der Prozess klar und strukturiert. In der Realität stellen die Lieferanten oft fest, dass er komplexer und voller Fallstricke ist, die das Audit verzögern oder zum Scheitern bringen können.

Das offizielle TISAX®-Verfahren

Registrieren Sie sich auf der ENX-Plattform
TISAX® wird von der ENX Association verwaltet, und alle Bewertungen werden über deren Online-Plattform koordiniert. Die Registrierung umfasst die Auswahl des Bewertungsumfangs, der festlegt, welche Standorte oder Dienstleistungen bewertet werden sollen, und die Bestätigung der vom Kunden gewünschten Bewertungsstufe. In dieser Phase wählt das Unternehmen auch einen von TISAX® akkreditierten Auditanbieter, einen so genannten Prüfdienstleister.

Vervollständigen Sie die Selbstbewertung
Das Unternehmen führt eine Selbstbewertung anhand des VDA ISA-Katalogs durch, einer Reihe von Kontrollen, die sich an der ISO 27001 orientieren, aber auf den Automobilsektor zugeschnitten sind. Er deckt die Informationssicherheit, den Prototypenschutz (falls relevant) und den Datenschutz (falls zutreffend) ab. Die Selbstbewertung dient als Lückenanalyse, die aufzeigt, was bereits vorhanden ist und wo Verbesserungen vor dem externen Audit erforderlich sind.

Unterziehen Sie sich dem Audit
Je nach Bewertungsstufe findet das Audit auf Stufe 2 aus der Ferne oder auf Stufe 3 vor Ort statt. Der Prüfer prüft Unterlagen, befragt Mitarbeiter und bewertet, wie das Unternehmen die VDA ISA-Anforderungen erfüllt. Der Schwerpunkt liegt darauf, ob die Kontrollen wirksam und risikoadäquat sind, nicht auf ihrer Perfektion.

Erhalt des Berichts und des Labels
Wenn das Audit erfolgreich war, übermittelt der Auditor die Ergebnisse an ENX. Das Unternehmen erhält ein TISAX®-Gütesiegel, das dann an autorisierte Kunden weitergegeben werden kann. Das Gütesiegel ist drei Jahre lang gültig, sofern sich der Umfang oder das Risiko nicht ändert.

Austausch von Ergebnissen über die Austauschplattform
TISAX®-Etiketten sind keine öffentlichen Zertifikate. Stattdessen werden sie selektiv über die TISAX® Exchange-Plattform weitergegeben. Auf diese Weise kann eine Bewertung viele Kunden zufriedenstellen, wodurch wiederholte Audits vermieden werden.

Wie die Realität aussieht

Während das offizielle Verfahren einfach klingt, sehen sich die Anbieter oft mit einer ganz anderen Realität konfrontiert:

Inflation des Umfangs
Manchmal bestehen Kunden darauf, alle Standorte in die Bewertung einzubeziehen, auch wenn nur ein Standort tatsächlich sensible Daten verarbeitet. Dies erhöht die Kosten und die Komplexität erheblich.

Beispiel: Ein mittelgroßer Logistikdienstleister wurde aufgefordert, jede Niederlassung in Europa zu zertifizieren, obwohl nur eine Einrichtung Prototypenfahrzeuge lagerte. Nach Verhandlungen konnte der Umfang reduziert werden, was dem Unternehmen Monate an Arbeit ersparte.

Überwältigende Selbsteinschätzungen
Der VDA ISA-Katalog ist lang und detailliert. Kleinere Anbieter haben oft Schwierigkeiten, die Anforderungen zu interpretieren, was zu unvollständigen oder widersprüchlichen Antworten führt.

Beispiel: Ein Software-Startup versuchte, den Katalog in einer Woche fertigzustellen. In den Antworten fehlten Nachweise, und der Prüfer stufte die Hälfte der Punkte als "nicht ausreichend" ein, was zu Verzögerungen und Nacharbeiten führte.

Audits, die tiefer gehen als erwartet
Selbst auf Stufe 2 können die Prüfer detaillierte Unterlagen wie Protokolle, Zugriffsaufzeichnungen oder Personalrichtlinien verlangen. Audits der Stufe 3 ähneln in der Praxis oft einer vollständigen ISO 27001-Zertifizierung.

Beispiel: Ein IT-Dienstleistungsunternehmen dachte, ein Audit der Stufe 2 wäre eine "leichte Prüfung". Stattdessen musste es mehrere Interviews führen und kurzfristig System-Screenshots und aktualisierte Richtlinien vorlegen.

Ein Etikett ist nicht immer genug
Theoretisch sollten die Kunden das TISAX®-Gütesiegel über die ENX-Plattform akzeptieren. In der Praxis schicken einige immer noch zusätzliche Fragebögen oder verlangen zusätzliche Nachweise.

Beispiel: Ein Lieferant erzählte stolz von seinem neuen TISAX®-Label, nur um eine Woche später von einem Kunden eine Sicherheitscheckliste mit 50 Fragen zu erhalten. Der Kunde bestand darauf, dass es sich um "interne Richtlinien" handelte.

Zu vermeidende Fallstricke

  • Versäumnis, den Umfang mit dem Kunden zu Beginn zu klären
  • Behandlung der Selbsteinschätzung als eine Übung zum Ankreuzen von Kästchen statt einer ernsthaften Überprüfung
  • Die Annahme, dass die Prüfer nur die Dokumentation prüfen, ohne Beweise zu verlangen
  • in dem Glauben, dass die Kunden keine weiteren Fragen mehr stellen werden, sobald sie das Gütesiegel erhalten haben

Die Quintessenz

Der offizielle TISAX®-Prozess ist strukturiert und logisch. Die Realität ist jedoch oft anspruchsvoller und voller Fallen für den Unvorbereiteten. Der Erfolg hängt davon ab, dass man die Selbstbewertung ernst nimmt, den Geltungsbereich sorgfältig aushandelt und sich auf zusätzliche Prüfungen vorbereitet, auch nachdem das Siegel verliehen wurde.

Sollten Sie selbst Hand anlegen oder Hilfe anheuern?

 
TISAX®-Bewertungen können intern verwaltet werden, aber das bedeutet nicht immer, dass sie das auch sollten. Die richtige Wahl hängt von der Erfahrung des Teams, den Ressourcen und dem Umfang der Prüfung ab.

Brauchen Sie überhaupt externe Hilfe?

Beginnen Sie mit drei einfachen Ja- oder Nein-Fragen:

  1. Haben Sie bereits Erfahrung mit ISO 27001 oder ähnlichen Sicherheitsrahmenwerken?
  2. Haben Sie jemanden, der viel Zeit für die Verwaltung des TISAX®-Prozesses aufwenden kann?
  3. Verfügen Sie bereits über eine klare, aktuelle Dokumentation für Richtlinien, Zugangskontrollen und Risikobewertungen?

Wenn Sie alle drei Fragen mit "Ja" beantworten, können Sie die Bewertung möglicherweise intern durchführen. Wenn Sie eine oder mehrere Fragen mit "nein" beantworten, ist es wahrscheinlich, dass externe Unterstützung den Prozess reibungsloser gestaltet.

Wie viel externe Hilfe brauchen Sie?

Wenn Sie Unterstützung benötigen, müssen Sie im nächsten Schritt entscheiden, in welchem Umfang. Diese Fragen können Ihnen dabei helfen:

  1. Benötigen Sie nur jemanden, der Ihre Arbeit gelegentlich überprüft und Anforderungen klärt? Wenn ja, kann ein Rat hier und da genügen.

  2. Brauchen Sie einen Partner, der Ihre Dokumentation regelmäßig überprüft und das Projekt im Zeitplan hält? Wenn ja, ist eine regelmäßige Beratung wahrscheinlich hilfreich.

  3. Fehlen Ihnen die internen Ressourcen, um die Dokumentation, die Vorbereitung und den Prüfungsprozess überhaupt zu bewältigen? Wenn ja, ist eine umfassende Unterstützung die beste Option.

Die Quintessenz

Manche Unternehmen können TISAX® selbst verwalten, andere wiederum profitieren von externer Unterstützung. Entscheidend ist, dass Sie Ihre Kapazitäten ehrlich einschätzen und abwägen, ob externe Hilfe mehr Zeit spart und mehr Risiken verringert, als sie an Kosten verursacht.

Die Wahl des richtigen TISAX®-Trägers

 
Wenn Sie sich für externe Unterstützung entscheiden, besteht die nächste Herausforderung darin, zu entscheiden, welche Art von Hilfe tatsächlich benötigt wird. Nicht alle Anbieter bieten die gleichen Dienstleistungen an, und nicht jeder Anbieter benötigt das gleiche Maß an Beratung.

Beratung auf Augenhöhe

Diese Option bietet gelegentliche Überprüfungen und Rückmeldungen. Sie eignet sich am besten für Lieferanten, die bereits über gute interne Ressourcen verfügen, sich aber vergewissern wollen, dass sie die Anforderungen richtig interpretieren. Die Berater können Unterlagen prüfen, spezifische Fragen beantworten oder kurze Workshops durchführen.

  • Wenn es passt: Kleinere Bewertungen auf Stufe 2, erfahrene Teams oder Unternehmen, die bereits ISO 27001 eingeführt haben.
  • Risiko: Fortschritte hängen von der internen Disziplin ab. Ohne jemanden, der den Prozess intern vorantreibt, können Lücken bis zum Schluss unbemerkt bleiben.

Regelmäßiges Coaching und Projektunterstützung

Hier arbeitet ein externer Partner während des gesamten Projekts mit dem Team zusammen. Er hilft bei der Planung der Aufgaben, überprüft regelmäßig die Dokumente und hält den Schwung aufrecht. Auf diese Weise wird ein Gleichgewicht zwischen Anleitung und Unabhängigkeit geschaffen.

  • Wann es passt: Teams mit einiger Erfahrung, aber begrenzter Zeit, oder wenn der Umfang größer ist und die Fristen festgelegt sind.
  • Risiko: Kostet mehr als eine einfache Beratung, erfordert aber dennoch ein hohes Maß an Eigenverantwortung.

Umfassende Unterstützung

Bei diesem Modell übernimmt ein Berater oder Anbieter die Hauptrolle. Er verwaltet die Dokumentation, bereitet die Nachweise vor und koordiniert sich mit den Prüfern. Die internen Mitarbeiter sind weiterhin involviert, aber die schwere Arbeit wird ausgelagert.

  • Wenn es passt: Audits der Stufe 3, Lieferanten ohne Auditerfahrung oder Unternehmen, deren interne Ressourcen bereits überlastet sind.
  • Risiko: Kann teuer sein und den internen Lernprozess beeinträchtigen, wenn sich der Anbieter vollständig auf Außenstehende verlässt.

Die Quintessenz

Externe Hilfe ist keine Einheitslösung. Welche Option die richtige ist, hängt vom Umfang der Bewertung, der Frist des Kunden und dem Reifegrad der Sicherheitsprozesse des Unternehmens ab. Manche Anbieter brauchen nur ein zweites Paar Augen, andere brauchen einen festen Partner, und wieder andere brauchen einen praktischen Leiter, der sie durch den gesamten Prozess führt.

Wichtige Überlegungen bei der Inanspruchnahme externer Hilfe

 
Die Wahl der Art der Unterstützung ist nur der erste Schritt. Die nächste Herausforderung besteht darin, zu entscheiden, mit wem man zusammenarbeitet und wie man diese Beziehung strukturiert. Nicht alle externen Anbieter bringen den gleichen Nutzen, und eine schlechte Auswahl kann sowohl Zeit als auch Geld verschwenden.

Was Sie beachten sollten, bevor Sie sich verpflichten

Erfahrung in der Branche
Hat der Anbieter bereits mit Automobilzulieferern gearbeitet? TISAX® hat branchenspezifische Anforderungen, die sich von allgemeinen ISO- oder SOC-Audits unterscheiden. Jemand mit direkter Erfahrung in der Automobilindustrie wird die praktischen Erwartungen von Kunden und Auditoren verstehen.

Vertrautheit mit dem VDA ISA-Katalog
Der Katalog ist das Rückgrat von TISAX®. Stellen Sie sicher, dass der Berater ihn in- und auswendig kennt. Ein Berater, der nur die Grundsätze der ISO 27001 anwendet, ohne sie an den Kontext der Automobilindustrie anzupassen, kann kritische Bereiche wie den Prototypenschutz übersehen.

Flexibilität des Ansatzes
Passt sich der Anbieter an Ihren Umfang und Ihr Niveau an, oder bietet er jedem Kunden dasselbe Paket an? Einem kleinen Softwareunternehmen sollte nicht dieselbe Dienstleistung verkauft werden wie einem multinationalen Anbieter.

Transparenz der Kosten
Fragen Sie nach klaren Kostenvoranschlägen und machen Sie sich klar, wie die Gebühren berechnet werden. Einige Anbieter rechnen nach Tagen ab, andere nach Projektmeilensteinen oder bieten einen festen TISAX®-Projektpreis an. Wenn Sie dies im Voraus wissen, vermeiden Sie unangenehme Überraschungen.

Gleichgewicht zwischen Unterstützung und Unabhängigkeit
Die besten Berater leiten an und coachen, aber sie nehmen Ihnen nicht die Verantwortung ab. Ein komplettes Outsourcing mag verlockend klingen, aber es kann dazu führen, dass Sie bei künftigen Verlängerungen oder Aktualisierungen von Außenstehenden abhängig sind.

Die Quintessenz

Externe Unterstützung kann ein wertvoller Beschleuniger sein, aber nur bei kluger Auswahl. Suchen Sie nach Partnern, die TISAX® in der Praxis verstehen, nicht nur in der Theorie, und die ihren Ansatz auf Ihre Bedürfnisse abstimmen können. Die richtige Wahl wird für Klarheit und Dynamik sorgen, während die falsche Wahl Verwirrung und Kosten verursachen kann.

Der Einsatz von Technologie macht TISAX® einfacher

 
TISAX® ist sehr aufwendig in Bezug auf Dokumentation, Zugangskontrollen, Beweissammlung und Aufgabenverfolgung. Manuell verwaltet, kann es schnell zu einem Durcheinander von Tabellenkalkulationen, gemeinsamen Ordnern und endlosen E-Mail-Threads werden. Deshalb suchen viele Anbieter nach technologischen Lösungen, um den Prozess zu strukturieren und effizienter zu gestalten.

TISAX® schreibt keine bestimmten Werkzeuge vor, aber der Einsatz der richtigen Werkzeuge kann die Reibung verringern, die Sichtbarkeit erhöhen und kostspielige Verzögerungen verhindern.

Wo Technologie helfen kann

1. Verwaltung von Richtlinien und Dokumenten
Die Zentralisierung von Richtlinien, Genehmigungen und Versionsverläufen verhindert Verwirrung und hilft, die Kontrolle bei Prüfungen nachzuweisen. Einige Plattformen umfassen sogar automatisierte Workflows zur Verfolgung von Aktualisierungen.

2. Risikobewertungen und Vermögensverfolgung
Tabellenkalkulationen mögen anfangs funktionieren, aber sie sind fehleranfällig und werden mit zunehmender Komplexität unhandlich. Tools mit automatischer Risikobewertung, verknüpften Anlagenregistern und Historienverfolgung machen den Prozess viel zuverlässiger.

3. Prüfungsbereitschaft und Sammlung von Nachweisen
Prüfer wollen den Nachweis, dass die Kontrollen nicht nur aufgeschrieben sind, sondern auch tatsächlich funktionieren. Lösungen, die Protokolle sammeln, Zugriffsüberprüfungen automatisieren oder Änderungen nachverfolgen, können die erforderlichen Nachweise mit minimalem manuellen Aufwand erbringen.

4. Aufgabenmanagement und Rechenschaftspflicht
Compliance ist eine Teamleistung. Plattformen, die Maßnahmen zuweisen, den Fortschritt verfolgen und Erinnerungen senden, sorgen dafür, dass nichts vergessen wird. Selbst einfache Projektmanagement-Tools können einen großen Unterschied ausmachen.

Beispiele für Technologie in der Praxis

  • ISEGRIM X (IX) bietet eine KI-gesteuerte Plattform, die speziell für TISAX® entwickelt wurde. Sie ist vollständig auf den VDA ISA-Katalog abgestimmt und führt Unternehmen Schritt für Schritt durch die Vorbereitung. Sie lässt sich auch mit anderen Automatisierungsplattformen für die Einhaltung von Vorschriften wie Drata, Vanta, Secureframe und Strike Graph integrieren.

  • Strike Graph bietet eine breitere Plattform zur Automatisierung der Einhaltung von Vorschriften, die mehrere Rahmenwerke unterstützt, darunter ISO 27001 und SOC 2. Für Lieferanten, die mit mehreren Kundenanforderungen umgehen, kann ein Tool wie dieses die sich überschneidenden Kontrollen rationalisieren und gleichzeitig den TISAX®-Prozess unterstützen.

Was zu vermeiden ist

  • Übertechnisierung der Lösung. Die Implementierung einer groß angelegten GRC-Plattform für eine Level-2-Bewertung an einem einzigen Standort ist so, als würde man einen Kran mieten, um einen Bilderrahmen aufzuhängen.

  • Verlassen Sie sich bei der Einhaltung der Vorschriften ausschließlich auf Tools. Software unterstützt den Prozess, kann aber nicht die Menschen ersetzen, die ihm folgen.

  • Einführung neuer Systeme während der Bewertung. Ein Wechsel der Plattform auf halbem Weg führt oft zu verlorenen Nachweisen und Verzögerungen. Welches System auch immer gewählt wird, bleiben Sie dabei, bis der Prozess abgeschlossen ist.

Zum Verständnis der TISAX®-Zeitachse

 
Eine der ersten Fragen, die sich Lieferanten stellen, wenn sie mit TISAX® konfrontiert werden, lautet: Wie lange wird das dauern? Die Antwort lautet: Das hängt nicht nur vom offiziellen Verfahren ab, sondern auch davon, wie gut das Unternehmen vorbereitet ist und wie Kunden oder Prüfer mit Anfragen umgehen.

Der offizielle Zeitstrahl

In der Theorie sieht die TISAX®-Reise ganz einfach aus:

  • Die Registrierung auf der ENX-Plattform kann innerhalb weniger Tage erfolgen
  • Die Selbstbewertung mit dem VDA ISA-Katalog dauert in der Regel mehrere Wochen.
  • Die Prüfung wird innerhalb von zwei bis drei Monaten geplant, abgeschlossen und berichtet.
  • Die Vergabe des Siegels erfolgt innerhalb weniger Wochen nach Fertigstellung des Prüfberichts

Insgesamt kann das offizielle Verfahren in drei bis sechs Monaten abgeschlossen werden, wenn alles reibungslos verläuft... theoretisch.

Wie die Realität aussieht

Die Realität ist, dass nie alles reibungslos verläuft. Bei vielen Anbietern ist die tatsächliche Zeitspanne länger. Oft kommt es an wichtigen Punkten zu Verzögerungen:

Vorbereitung vor der Selbstbewertung
Unternehmen ohne klare Dokumentation brauchen oft Monate, um Strategien, Kontrollen und Nachweise einzuführen.

Prozesse müssen umgesetzt und befolgt werden
Das Schreiben von Prozessen ist einfach, aber um sicherzustellen, dass sie bei der täglichen Arbeit konsequent befolgt werden, sind ein kultureller Wandel, Schulungen und Verantwortlichkeit erforderlich. Manchmal denken Unternehmen, sie könnten die Prüfer austricksen, indem sie eine perfekte Dokumentation vorlegen, ohne die Prozesse zu befolgen. Bitte tappen Sie nicht in diese Falle. Die Prüfer sind sehr schlau und werden herausfinden, wenn Unternehmen nur "Lippenbekenntnisse" abgeben. Immer.

Terminplanung für Audits
Die Nachfrage nach akkreditierten Prüfern ist groß, und einige sind über Monate hinweg ausgebucht. Das Warten auf einen freien Termin kann das Verfahren erheblich verlängern.

Korrigierende Maßnahmen
Wenn während des Audits Mängel festgestellt werden, werden die Lieferanten möglicherweise aufgefordert, diese zu beheben, bevor das Siegel vergeben wird. Je nach Umfang der erforderlichen Änderungen kann dies Wochen oder sogar Monate dauern.

Kundenbedingter Druck
Manchmal setzen Kunden Fristen, die kürzer sind als realistisch erreichbar. Das erzeugt Stress und kann zu einer übereilten oder unvollständigen Vorbereitung führen.

Infolgedessen stellen viele Anbieter fest, dass sich der tatsächliche Zeitrahmen auf neun bis 12 Monate erstreckt, und in größeren oder komplexeren Organisationen kann es über ein Jahr dauern.

Verkürzung des Zeitrahmens

  • Beginnen Sie frühzeitig mit der Vorbereitung, idealerweise bevor ein Kunde einen formellen Antrag stellt.
  • Beauftragen Sie einen speziellen internen Verantwortlichen mit der Verwaltung des Prozesses
  • Klärung des Umfangs mit dem Kunden im Voraus, um spätere Nacharbeiten zu vermeiden
  • Einsatz von Technologie oder externen Beratern zur Beschleunigung der Dokumentation und Beweiserhebung

Die Quintessenz

Offiziell kann TISAX® in wenigen Monaten erreicht werden. In der Praxis dauert ein typisches TISAX®-Projekt mindestens 9 Monate, wenn man die Vorbereitung, die Zeitplanung und die Korrekturmaßnahmen mit einbezieht.

Die Kosten von TISAX® verstehen

 
Eine häufige Frage von Lieferanten lautet: Wie viel wird uns TISAX® kosten? Der Gesamtbetrag hängt vom Umfang, der Bewertungsstufe und der Vorbereitung ab, aber zwei Kosten sind unvermeidlich. Jedes Unternehmen muss die ENX-Registrierungsgebühr und die Auditkosten bezahlen. Alles andere - von der Vorbereitung bis zur Beratung oder den Technologieplattformen - ist unterschiedlich.

Die unvermeidlichen Kosten

ENX Portal Registrierung

  • Kosten: Zwischen 405 € und 475 € (etwa 500 bis 600 $)
  • Struktur: Einmalige Gebühr pro Standort, pro Bereich oder pro Unternehmen, je nach Modell
  • Anmerkung: Immer erforderlich und in der Regel der kleinste Posten im Haushaltsplan.

Audit-Kosten

  • Einzelner Standort: Erwarten Sie zwischen €5.000 und €10.000 (etwa $6.000 bis $11.000)
  • Zusätzliche Faktoren: Die Kosten steigen mit zusätzlichen Standorten, größerem Umfang oder höheren Bewertungsstufen
  • Anmerkung: Dies sind die minimalen Kosten, die kein Anbieter vermeiden kann

Weitere Kosten, die variieren

  • Interne Vorbereitung: Personalzeit für das Verfassen von Richtlinien, das Erstellen von Nachweisen und die Umsetzung fehlender Prozesse
  • Externe Unterstützung: Von leichter Beratung bis hin zu kompletter Betreuung, je nach Umfang und Terminen ab einigen tausend Euro aufwärts
  • Technologie-Plattformen: Optional, aber nützlich für die Strukturierung von Dokumentation, Beweisen und Aufgabenmanagement

Die versteckten Kosten

Neben den sichtbaren Gebühren gibt es Kosten, die schwieriger zu planen sind, sich aber schnell summieren können:

  • Zeit der Mitarbeiter: Mitarbeiter in Schlüsselpositionen verbringen Wochen oder Monate mit der Vorbereitung von Unterlagen, oft zusätzlich zu ihrer regulären Arbeit
  • Produktivitätsverlust: Das Tagesgeschäft kann sich verlangsamen, während sich die Teams auf die Bewertung konzentrieren
  • Implementierung von Prozessen: Möglicherweise müssen neue Sicherheitskontrollen, Tools oder Prozesse eingeführt werden, um die TISAX®-Anforderungen zu erfüllen.
  • Abhilfemaßnahmen: Wenn der Prüfer Lücken feststellt, kann deren Behebung zusätzliche Investitionen erfordern und die Vergabe des Labels verzögern.
  • Wartung: Das TISAX®-Etikett ist drei Jahre lang gültig, aber die Kontrollen müssen ständig gewartet werden. Dies erfordert laufende Zeit und manchmal auch wiederkehrende Kosten

Die Quintessenz

Das Mindestbudget für TISAX® beginnt bei ca. 5.500 bis 11.000 € (ca. 6.000 bis 12.000 $) für die ENX-Registrierung und für ein Audit an einem einzigen Standort. Von da an steigen die Kosten je nach Umfang, Bewertungsniveau und Vorbereitung. Die wirklichen Kosten liegen oft nicht in der Registrierung oder dem Audit, sondern in der versteckten internen Arbeit und den fortlaufenden Bemühungen, die notwendig sind, um die Anforderungen zu erfüllen, sobald das Siegel erworben wurde.

Damit TISAX® für Sie arbeitet

 
TISAX® beginnt oft als ein Kästchen zum Ankreuzen. Eine Anforderung, die in einem Vertrag versteckt ist. Eine Hürde zwischen heute und einem neuen Kunden. Aber wenn es richtig gemacht wird, ist es mehr als nur die Einhaltung von Vorschriften - es wird zu einer Möglichkeit, Vertrauen aufzubauen, Reibungsverluste zu verringern und in einer hochselektiven Lieferkette zu konkurrieren.

Ja, das Verfahren kann sich manchmal bürokratisch anfühlen. Ja, die Dokumentation kann mühsam sein. Dahinter steht jedoch ein einfacher Gedanke: Die Kunden wollen wissen, dass ihre sensiblen Daten bei Ihnen sicher sind. TISAX® gibt ihnen Vertrauen und verschafft Ihnen Glaubwürdigkeit.

Bei TISAX® geht es nicht nur darum, einmal zu bestehen

Ein einmal ausgestelltes Etikett hat eine Laufzeit von drei Jahren. Aber die Sicherheit reift weiter. Viele Unternehmen nutzen ihre TISAX®-Vorbereitung als Ausgangspunkt, um bessere Gewohnheiten zu entwickeln, Prozesse zu formalisieren und teamübergreifend Klarheit zu schaffen.

Diese Vorteile bleiben noch lange nach Abschluss der Prüfung erhalten.

Und wenn der nächste Kunde anklopft und nach dem Datenschutz oder der Sicherheit von Prototypen fragt, ändert sich das Gespräch, wenn man ein TISAX®-Etikett zur Hand hat. Es bringt die Dinge voran. Es beseitigt die Unsicherheit. Es zeigt, dass Sie es ernst meinen.

Sind Sie bereit, TISAX® mit Zuversicht in Angriff zu nehmen? Die Reise mag entmutigend erscheinen, aber mit dem richtigen Ansatz und der richtigen Vorbereitung wird sie zu einer wertvollen Investition in die Sicherheitslage Ihres Unternehmens und zu einem Wettbewerbsvorteil in der Lieferkette der Automobilindustrie.

Mehr lesen