Ein Informationssicherheits-Managementsystem (Information Security Management System, ISMS) gehört für immer mehr Unternehmen inzwischen zur Grundausstattung. Kein Wunder, denn Wissen und Information zählen zu den wichtigsten unternehmerischen Assets. Zugleich sind diese Assets mehr denn je bedroht: Durch menschliches Fehlverhalten, Cybercrime und zunehmende Naturgefahren. Audits nach ISO 27001 oder TISAX® erhöhen und dokumentieren die Resilienz gegenüber diesen Risiken. Doch wer braucht eigentliche welches Audit und worin liegen die Unterschiede?

Das Wichtigste in Kürze

  • Der internationale Standard ISO 27001 und der Mechanismus nach TISAX® definieren Anforderungen an Informationssicherheits-Managementsysteme (ISMS) von Unternehmen.
  • Die ISO 27001 gilt generell und für alle Unternehmen, TISAX® definiert Anforderungen speziell für Zulieferer in der Automobilindustrie.
  • TISAX® wurde abgeleitet von der ISO 27001. Die beiden Standards existieren aber komplett unabhängig voneinander. Auch im Hinblick auf die Audits und Zertifizierungen gibt es keine gegenseitigen Abhängigkeiten.
  • Wichtig: Ein Zertifikat erhalten Unternehmen nur für das Erfüllen der ISO 27001-Anforderungen. Für die Konformität nach TISAX® gibt es keine Zertifikate. Auch darf mit der erfolgreichen Auditierung nach TISAX® nicht öffentlich geworben werden. Das Ergebnis eines Audits nach TISAX® ist nur für andere TISAX®-Teilnehmer einsehbar.
  • Beide Normen ergänzen sich, sodass das Erfüllen der Vorgaben beider Standards für Zulieferer unbedingt empfehlenswert ist.

In diesem Beitrag

Was wird nach ISO 27001 auditiert und was nach TISAX®?

Beide Normen definieren, welche Anforderungen ein Informationssicherheits-Managementsystem (ISMS) zu erfüllen hat. Ganz allgemein betrachtet, geht es in beiden Fällen also um ein und dieselbe Sache. Hinter der allgemeingültigen ISO 27001 steht die International Organization for Standardization, kurz ISO.

Der Branchenstandard TISAX® (Trusted Information Security Assessment Exchange) definiert Anforderungen speziell für Zulieferer in der Automobilindustrie und wird international verantwortet von der privatwirtschaftlich organisierten ENX Association sowie vom Verband der Automobilindustrie (VDA) in Deutschland.

Der Hauptunterschied zwischen der ISO 27001 und TISAX® – wenn man es so generisch betrachten und auf den Punkt bringen möchte – ist der Scope des jeweiligen Standards, sprich sein Anwendungs- bzw. Geltungsbereich.

Welchen Scope deckt die ISO 27001 ab, welchen TISAX®?

Bei einer Zertifizierung nach ISO 27001 können Unternehmen den Scope im vorgegebenen Rahmen selbst festlegen. Die Norm beschreibt generelle Anforderungen an die Einführung, Umsetzung, den Betrieb, die Überwachung, Kontrolle, Kontinuität und kontinuierliche Verbesserung des ISMS, überlässt die Auswahl des Anwendungsbereichs aber den Anwendern selbst. Heißt konkret: Es ist für Unternehmen durchaus möglich, einen bestimmten Standort, einzelne Produktlinien oder Services nach ISO 27001 zertifizieren zu lassen, oder das Gesamtunternehmen. Letzteres ist aber nicht zwingend.

Anders sieht es bei TISAX® aus. Hier stehen immer das jeweilige Gesamtunternehmen und seine Informationssicherheitsprozesse auf dem Prüfstand. Noch ein wichtiger Unterschied: Gemeinhin wird zwar sowohl bei der ISO 27001 als auch bei TISAX® von einer „Zertifizierung“ gesprochen, eine Zertifizierung nach TISAX® gibt es genau genommen jedoch gar nicht.

TISAX® ist vielmehr eine Plattform, hinter der die Verbände der europäischen Automobilhersteller stehen. Unternehmen, die als Zulieferer für die Branche arbeiten möchten, müssen sich bei dieser Plattform anmelden und die Anforderungen nach TISAX® erfüllen. Wer zum Kreis der TISAX®-Teilnehmer gehört und die Vorgaben in welchem Umfang erfüllt, soll nach dem Willen der Automobilindustrie eine vorrangig brancheninterne Information bleiben. Aus diesem Grund dürfen Unternehmen öffentlich auch nicht damit werben, dass sie die Anforderungen nach TISAX® erfüllen.

 

Bauen ISO 27001 und TISAX® aufeinander auf?

TISAX® existiert seit 2017 und wurde als Anforderungs- und Prüfkatalog für die Informationssicherheit bei Zulieferbetrieben der Automobilindustrie aus der ISO 27001 abgeleitet. Der Fragebogen nach TISAX®, das so genannte „Information Security Self-Assessment“, und die einzelnen Kontrollbereiche gehen also direkt auf die ISO-Norm zurück. Allerdings entwickeln sich die beiden Standards mit jeder neuen TISAX®-Version weiter auseinander. Inzwischen sind wir bei Version 5 des Self-Assessments – die Gemeinsamkeiten sind hier auf den ersten Blick nicht mehr ganz so offenkundig, eine enge Verwandtschaft bleibt jedoch klar erkennbar.

Tipp: Der aktuelle Fragebogen nach TISAX® kann auf der Website des VDA eingesehen werden und steht dort zum Download bereit.

Setzt TISAX® eine Zertifizierung nach ISO 27001 voraus?

Formal gibt es keine Verbindung und daher auch keine Abhängigkeiten zwischen der ISO 27001 und TISAX®. Die Standards sind völlig unabhängig voneinander. Unternehmen können also die Kriterien nach TISAX® erfüllen und zugleich nach ISO 27001 zertifiziert sein oder nur einen der beiden Standards erfüllen. Dennoch lassen sich Synergien nutzen: Wer ein ISO 27001-Audit mit unternehmensweitem Scope bereits erfolgreich durchlaufen hat, für den wird TISAX® keine allzu große Herausforderung mehr sein.

Trotz aller Ähnlichkeiten ist eine kombinierte Auditierung nicht möglich. Der Grund: Die Audit-Perspektiven sind grundverschieden. Bei der ISO 27001 betrachten die Auditoren die Risiken und sämtliche Maßnahmen für die Informationssicherheit aus Unternehmensperspektive. Bei TISAX® ist die Sicht eine andere: TISAX® zielt auf eine sichere Zulieferkette für den OEM ab, der von seinem Lieferanten einen TISAX®-konformen Managementprozess erwartet. Im Mittelpunkt steht also die Perspektive des Endkunden.

TISAX® oder ISO 27001 – welcher Standard ist schwieriger zu erfüllen?

Diese Frage lässt sich nicht eindeutig beantworten. Die Schwierigkeitsgrade und Herausforderungen sind individuell zu betrachten. Grundsätzlich folgen beide Auditierungen aber dem gleichen Prüfschema. Es wird immer abgefragt: Welche Maßnahmen ergreift ein Unternehmen nach eigener Aussage, wie sind die Maßnahmen umgesetzt und welche Nachweise belegen dies? Verantwortlich für alle drei Bereiche ist übrigens das Management eines Unternehmens. Informationssicherheit ist in jedem Fall eine Managementaufgabe – ganz gleich, ob nach ISO 27001 oder TISAX®.

Unterschiede gibt es dennoch. Während bei einem Audit nach TISAX® ausschließlich das Management und allenfalls noch der Informationssicherheitsbeauftragte befragt werden, können die Auditoren bei einer ISO 27001-Prüfung auch die Mitarbeiter zu einzelnen Maßnahmen und Prozessen befragen.

Der Aufwand für die interne Vorbereitung der Belegschaft ist daher etwas höher. Hinzu kommt, dass ein ISO 27001-Audit im Vergleich zu TISAX® ein breiteres Spektrum an Informationssicherheitsprozessen umfasst. Dafür gehen die Audit-Fragen weniger in die Tiefe. Wird eine Maßnahme nachweislich umgesetzt, gibt es einen Okay-Haken. Beim Audit nach TISAX® werden dagegen auch die Reifegrade der Umsetzung berücksichtigt.

Übrigens: Um bei der Auditierung nach TISAX® und/oder ISO 27001 den Überblick zu behalten, haben wir bei DataGuard zwei praktische Checklisten entworfen. In diesen Schritt-für-Schritt-Leitfäden für das jeweilige Audit erfahren Sie, was die notwendigen Arbeitsergebnisse für jeden Schritt sind. Hier geht’s zu den Downloads:

Steht der Datenschutz bei TISAX® stärker im Fokus als bei der ISO 27001?

Ja, das trifft durchaus zu. Denn in der ISO 27001 findet sich explizit zum Datenschutz nur ein kurzer Absatz. TISAX® beschreibt die Datenschutzanforderungen dagegen ausführlich in einem seiner drei Kriterienkataloge.

Zum Hintergrund: Es gibt bei TISAX® einen Kriterienkatalog mit Fokus auf die allgemeine Informationssicherheit, einen zum Prototypenschutz und einen dritten zum Datenschutz. Das Besondere: Für das Audit nach TISAX® bei einem Zulieferer legt der OEM fest, welche Kriterienkataloge im Mittelpunkt stehen sollen. Je nach Auswahl wird dann auch noch der erforderliche Reifegrad im Hinblick auf die Umsetzung festgelegt.

Das Spektrum der Assessment-Level reicht von 1 für „normal“ bis 3 für „sehr hoch“. Sprich: Wird mit Fokus auf den Kriterienkatalog nach TISAX® „Datenschutz“ ein Level-3-Assessment durchgeführt, sind die Anforderungen ungleich höher als bei einem ISO 27001-Audit. In der Regel werden Level-3-Assessments durchgeführt – das sind intensive Vor-Ort-Prüfungen.

Ist ein ISO 27001-Zertifikat für Automobilzulieferer mit erfolgreichem Audit nach TISAX® überhaupt noch erstrebenswert?

Das ist es definitiv! Schon allein für die Außendarstellung. Unternehmen dürfen ihr ISO 27001-Zertifikat beispielsweise auf der eigenen Website veröffentlichen, um ihre Informationssicherheit zu belegen und sich damit auf dem Markt zu positionieren. Bei einer erfolgreichen Auditierung nach TISAX® sieht das anders aus, wie zuvor gesagt.

Andererseits braucht ein Automobilzulieferer nicht zwingend eine ISO 27001-Zertifizierung, um in der Branche ein Bestandteil einer Lieferkette zu werden. Entscheidend ist die Prüfung nach TISAX®. Ausnahmen bestätigen jedoch auch hier die Regel – und so gibt es durchaus OEM, die über TISAX® hinaus zusätzlich ein ISO 27001-Zertifikat von ihren Zulieferern erwarten.

 

Wer auditiert die Unternehmen eigentlich, sind für beide Standards die gleichen Stellen zuständig?

Es gibt zwar Prüfdienstleister, die Audits nach beiden Standards durchführen, grundsätzlich sind die Verantwortlichkeiten aber komplett getrennt. So wird das akkreditierte Prüfergebnis für Auditierungen nach TISAX® ausschließlich von der ENX Association verantwortet. Diese benennt ihrerseits Prüfdienstleister, die zur Durchführung von Audits berechtigt sind. Aktuell gibt es für TISAX® weltweit 14 zugelassene Prüfdienstleister.

Bei der ISO 27001 sind die Verantwortlichkeiten analog strukturiert. National laufen die Fäden bei der DAkkS zusammen, der Deutschen Akkreditierungsstelle. Diese hat deutschlandweit aktuell rund 50 Prüfdienstleister für die Durchführung von Auditierung von Informationssicherheit zugelassen – darunter sind zum Beispiel einige TÜV-Organisationen, aber auch etliche andere Prüfunternehmen.

Sind ISO 27001- und Auditierung nach TISAX® eine klare Doppelempfehlung?

Nicht grundsätzlich und für alle Unternehmen. Generell ist jedoch die Zertifizierung nach ISO 27001 zu empfehlen. Diese sollten heute alle Unternehmen vorweisen können, um in puncto Informationssicherheit auf der sicheren Seite zu sein. Entsprechend hoch ist marktweit auch die Nachfrage nach entsprechenden Beratungsservices und ISO 27001-Zertifizierungen.

Anders sieht es für Unternehmen aus, die ausschließlich oder auch als Automobilzulieferer tätig sind. Für diese Betriebe sprechen wir bei DataGuard eine klare Doppelempfehlung aus: Sie sollten als Fundament des eigenen ISMS sämtliche Anforderungen gemäß ISO 27001 erfüllen und entsprechend zertifiziert sein. Die Auditierung nach TISAX® kommt für Automobilzulieferer dann on-top.

 

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das TISAX® Assessment an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Experten für ISO 27001 und TISAX® Experten für ISO 27001 und TISAX®

Wohin soll Ihre Reise gehen? 

Sie sind weiterhin unsicher, welcher der passende Standard für Sie ist? Sprechen Sie uns einfach an. Unsere Berater haben bereits über 3.000 Kunden bei Datenschutz und Informationssicherheit geholfen.

Jetzt Termin vereinbaren

Über den Autor

DataGuard Informationssicherheits-Experten DataGuard Informationssicherheits-Experten
DataGuard Informationssicherheits-Experten

Tipps und Best Practices zur erfolgreichen Erlangung von Zertifizierungen wie ISO 27001 oder TISAX®, die Bedeutung robuster Sicherheitsprogramme, effiziente Risikominderung... und vieles mehr!

Profitieren Sie von der jahrelangen Erfahrung unserer zertifizierten Informationssicherheitsbeauftragen (oder CISOs) in Deutschland, UK und Österreich, um Ihr Unternehmen auf den nachhaltigen Erfolgspfad zu bringen – indem Sie Ihre Informationswerte und Mitarbeitenden vor gängigen Risiken wie Cyberangriffen schützen.

Diese Qualifizierungen unserer Informationssicherheitsberater stehen für Qualität und Vertrauen: Certified Information Privacy Professional Europe (IAPP), ITIL® 4 Foundation Certificate for IT Service Management, ISO 27001 Lead Implementer/Lead Auditor/Master, Certificate in Information Security Management Principles (CISMP), Certified TickIT+ Lead Auditor, Certified ISO 9001 Lead Auditor, Cyber Essentials

Mehr Artikel ansehen
Bottom CTA Expert Female

Den richtigen Standard finden? Wir beraten Sie gerne!

Jetzt Termin vereinbaren

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren