Cybervize - Cybersecurity Beratung

Das Reifegradmodell (0-5) und die Zielreife

TISAX / VDA ISACEOCISOISMS ManagerTISAX-Projektleitung

Kernaussage

TISAX bewertet die einzelnen Prüfziele nicht binär als bestanden oder nicht bestanden, sondern über Reifegrade. Das Prüfmodell des VDA ISA ist an die CMMI-Logik angelehnt und beschreibt je Prüfziel eine Stufe von 0 bis 5. Für die Steuerung zählt nicht nur, ob eine Maßnahme existiert, sondern wie verlässlich, wiederholbar und gesteuert sie betrieben wird.

Für die meisten relevanten Prüfziele liegt die angestrebte Zielreife in der Regel bei mindestens 3 (etabliert), einzelne Ziele können höhere Werte verlangen. Welche Zielwerte konkret gelten, hängt von Katalog und Version ab und ist vor verbindlichen Aussagen an den aktuellen ENX- und VDA-Vorgaben zu prüfen. Für den CISO ist das Modell damit kein Audit-Detail, sondern ein Steuerungsinstrument: Es macht den Abstand zwischen Ist und Soll messbar und priorisierbar.

Problem in der Praxis

Viele Organisationen lesen Reifegrade wie Schulnoten und glauben, mehr sei automatisch besser. Daraus entstehen zwei Fehlhaltungen. Die einen melden eine hohe Eigenbewertung, die im Assessment keinen Bestand hat, weil Nachweise und gelebte Praxis fehlen. Die anderen investieren in Stufe 4 oder 5, wo Stufe 3 das Ziel ist, und binden Ressourcen ohne Mehrwert für das Label.

Hinzu kommt ein Verständnisproblem: Eine implementierte Maßnahme ist nicht dasselbe wie eine gesteuerte Maßnahme. Eine Regelung, die existiert, aber nicht zugewiesen, nicht überprüft und nicht verbessert wird, trägt keinen belastbaren Reifegrad. Im Self-Assessment wird das oft zu optimistisch bewertet, weil die Selbsteinschätzung den Wunschzustand abbildet statt den Betrieb. Die Folge sind Überraschungen im Assessment und Korrekturmaßnahmenpläne unter Zeitdruck.

CISO-Einordnung

Das Modell beschreibt eine Entwicklungslogik, die unabhängig vom konkreten Wortlaut des Katalogs verständlich ist. Die sechs Stufen lassen sich sinngemäß so einordnen:

  • Stufe 0, unvollständig: keine oder keine wirksame Umsetzung.
  • Stufe 1, durchgeführt: etwas wird getan, aber unsystematisch und personenabhängig.
  • Stufe 2, gesteuert: die Aktivität ist geplant, mit Verantwortung versehen und nachvollziehbar.
  • Stufe 3, etabliert: ein definierter, organisationsweit gültiger Standardprozess wird gelebt.
  • Stufe 4, vorhersagbar: die Wirksamkeit wird gemessen und mit Kennzahlen gesteuert.
  • Stufe 5, optimierend: der Prozess wird auf Basis dieser Messung kontinuierlich verbessert.

Diese Benennungen sind konzeptionell und ersetzen nicht die verbindlichen Definitionen des Katalogs. Der wichtigste Sprung für TISAX liegt zwischen 2 und 3: von einer gesteuerten Einzelpraxis zu einem etablierten, von Personen unabhängigen Standard. Genau dieser Sprung ist der eigentliche organisatorische Aufwand und der Kern der üblichen Zielreife.

Umsetzungsperspektive

Reifegrad entsteht nicht durch Dokumentation, sondern durch nachweisbar gelebten Betrieb. Aus Sicht des CISOs gehören zu jedem Prüfziel dieselben Bausteine: ein definierter Prozess, eine klare Verantwortung, Anwendung in der Breite der Organisation und Nachweise aus dem Regelbetrieb.

Die Zielreife wird je Prüfziel bewusst festgelegt statt pauschal. Für die meisten Ziele ist Stufe 3 das Ziel; dort, wo Katalog oder Schutzbedarf mehr verlangen, wird gezielt höher angesetzt. Das verhindert Überinvestition und konzentriert Aufwand auf die Lücken, die das Label tatsächlich gefährden.

Der Excel-basierte Selbstcheck des VDA ISA ist dabei das gemeinsame Arbeitsmittel von Selbstbewertung und Assessment. Wer ihn führt, hält je Ziel Ist-Reifegrad, Ziel-Reifegrad, belegende Evidenz und offene Lücke transparent. So wird aus der Bewertung eine Gap- und Steuerungsliste statt einer Momentaufnahme, und die Hebung lässt sich dort priorisieren, wo der Abstand am größten und am risikorelevantesten ist.

Typische Fehler

  1. Reifegrade werden wie Schulnoten gelesen, höher gilt pauschal als besser.
  2. Die Selbstbewertung bildet den Wunschzustand ab statt den nachweisbaren Betrieb.
  3. Stufe 3 wird mit vorhandener Dokumentation verwechselt statt mit gelebtem Standardprozess.
  4. Aufwand fließt in Stufe 4 oder 5, wo Stufe 3 als Ziel ausreicht.
  5. Nachweise entstehen erst kurz vor dem Assessment statt aus dem Regelbetrieb.

Risiken und Trade-offs

Eine zu optimistische Selbstbewertung erzeugt das größte Risiko: Sie führt zu Abweichungen im Assessment, zu Korrekturmaßnahmenplänen und zu Verzögerungen bei der Label-Vergabe. Eine zu pessimistische Bewertung kostet dagegen unnötig Aufwand. Der zentrale Trade-off liegt zwischen Tiefe und Ressourcen: Höhere Reifegrade liefern mehr Steuerung und Messbarkeit, kosten aber Aufbau und laufenden Betrieb. Die Kunst besteht darin, die geforderte Zielreife zuverlässig und nachweisbar zu erreichen, statt punktuelle Spitzenwerte zu erzeugen, die im Alltag nicht gehalten werden.

Ein weiteres Spannungsfeld ist die Versionsabhängigkeit. Zielwerte, Benennungen und Bewertungsregeln können sich mit der Katalogversion ändern. Wer seine Steuerung an einer veralteten Annahme ausrichtet, arbeitet womöglich am falschen Ziel; verbindliche Zielwerte gehören deshalb immer gegen die aktuell gültige ENX- und VDA-Vorgabe geprüft.

Entscheidungspunkte

  • Welche Zielreife gilt je Prüfziel, und wo verlangt Katalog oder Schutzbedarf mehr als die übliche Stufe 3?
  • Bewerten wir konservativ und nachweisorientiert oder optimistisch und wunschgetrieben?
  • Welche Prüfziele haben den größten Abstand zur Zielreife und zugleich die höchste Risikorelevanz?
  • Wer ist je Prüfziel verantwortlich für Prozess, Nachweis und kontinuierliche Pflege?

Praktische Empfehlungen

  1. Behandeln Sie Reifegrade als Steuerungsskala, nicht als Notensystem; Ziel ist verlässliche Zielreife, nicht Maximalwert.
  2. Setzen Sie je Prüfziel eine bewusste Zielreife, in der Regel mindestens etabliert, mit gezielten Ausnahmen nach oben.
  3. Bewerten Sie den Ist-Zustand konservativ und ausschließlich gegen nachweisbaren Betrieb.
  4. Führen Sie den VDA-ISA-Selbstcheck als lebende Gap- und Maßnahmenliste mit Ist, Soll, Evidenz und Lücke.
  5. Prüfen Sie geltende Zielwerte und Bewertungsregeln gegen die aktuelle ENX- und VDA-Version, bevor Sie sie verbindlich kommunizieren.

Relevante Normreferenzen

  • VDA ISA / TISAX (ENX im Auftrag des VDA): Prüfkatalog mit Reifegradmodell; lizenziert, nur als allgemeine Referenz, kein Wortlaut.
  • ISO/IEC 27001:2022: Referenz für ISMS-Anforderungen als inhaltliche Grundlage; die TISAX-Reifegradlogik geht über reine Konformität hinaus.
  • CMMI (Capability Maturity Model Integration): konzeptionelle Herkunft der Reifegradstufen, allgemeine Referenz.

Häufige Fragen

Was bedeutet Zielreife 3 bei TISAX?+

Stufe 3 (etabliert) bedeutet, dass ein definierter, organisationsweit gültiger Standardprozess existiert und gelebt wird, unabhängig von einzelnen Personen. Sie ist für die meisten relevanten Prüfziele die übliche Zielvorgabe; die konkret geltenden Zielwerte sind jedoch versionsabhängig und vor verbindlichen Aussagen an den aktuellen ENX- und VDA-Vorgaben zu prüfen.

Muss ich überall Stufe 4 oder 5 erreichen?+

In der Regel nicht. Höhere Stufen sind nur dort sinnvoll, wo Katalog oder Schutzbedarf sie verlangen. Pauschale Maximalreife bindet Ressourcen ohne Mehrwert für das Label.

Warum reicht eine vorhandene Maßnahme nicht für einen hohen Reifegrad?+

Weil Reifegrad Steuerung misst. Eine Maßnahme ohne Verantwortung, Anwendung in der Breite und Nachweise bleibt auf einer niedrigen Stufe, auch wenn sie dokumentiert ist.

Vom Wissen zur Umsetzung

Die Cybervize-Plattform und unsere Beratung setzen TISAX / VDA ISA prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.

Passende Leistung ansehen

Verwandte Artikel

Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: tisax-003.