TISAX und ISO 27001: Gemeinsamkeiten, Unterschiede, Doppelnutzung
Kernaussage
TISAX und ISO/IEC 27001 sind keine konkurrierenden Welten, sondern zwei Anwendungen auf derselben Grundlage. Diese Grundlage ist ein funktionierendes Informationssicherheits-Managementsystem (ISMS). Wer ein belastbares ISMS betreibt, hat den größeren Teil der Arbeit für beide Ziele bereits geleistet.
Der wesentliche Unterschied liegt nicht im inhaltlichen Kern, sondern in Logik, Nachweisform und Pflichtkontext. ISO 27001 fragt nach Konformität mit Anforderungen und endet in einem akkreditierten Zertifikat. TISAX bewertet Reifegrade entlang des VDA-ISA-Katalogs und endet in einem TISAX-Label, das über die ENX-Plattform mit Geschäftspartnern geteilt wird. Der eigentliche Zweck dieses Modells ist die gegenseitige Anerkennung: Ein Assessment-Ergebnis wird einmal erstellt und kontrolliert mit mehreren Partnern geteilt, statt für jeden Kunden ein eigenes Audit zu wiederholen. Für den CISO ist die Kernfrage daher nicht "entweder oder", sondern "wie nutze ich ein ISMS so, dass es beide Ergebnisse trägt".
Problem in der Praxis
In vielen Automobilzulieferern entstehen TISAX und ISO 27001 als getrennte Projekte mit eigenen Teams, eigenen Dokumenten und eigener Taktung. Das ist teuer, erzeugt Doppelarbeit und führt zu widersprüchlichen Nachweisen, wenn ein Kunde oder Auditor genauer hinsieht.
Typisch ist auch das umgekehrte Missverständnis: Ein vorhandenes ISO-27001-Zertifikat wird als TISAX-Ersatz präsentiert. Das geht nicht. TISAX ist keine ISO-Zertifizierung, und ein OEM akzeptiert in der Regel kein Zertifikat anstelle eines geforderten TISAX-Labels. Umgekehrt belegt ein TISAX-Label keine ISO-Konformität im akkreditierten Sinn.
Der dritte häufige Fehler ist der Glaube, eine inhaltliche Überschneidung bedeute automatische Anerkennung. Die Kataloge sind verwandt, aber die Bewertungslogik und die Prüfziele unterscheiden sich. Ohne sauberes Mapping bleibt der Effizienzgewinn theoretisch.
CISO-Einordnung
Es hilft, drei Ebenen zu trennen.
Erstens die inhaltliche Ebene. TISAX ist inhaltlich an ISO/IEC 27001 und 27002 angelehnt. Themen wie Organisation der Sicherheit, Zugriffssteuerung, Lieferantenbeziehungen, Betrieb und Vorfallbehandlung tauchen in beiden Modellen auf. Hier liegt das größte Wiederverwendungspotenzial.
Zweitens die Bewertungsebene. ISO 27001 prüft, ob Anforderungen erfüllt sind, und arbeitet mit Konformität und Abweichungen. TISAX nutzt ein Reifegradmodell mit den Stufen null bis fünf, von unvollständig über durchgeführt, gesteuert, etabliert und vorhersagbar bis optimierend. Für die relevanten Prüfziele wird in der Regel mindestens die Stufe "etabliert" erwartet; einzelne Ziele können höhere Zielwerte haben. Die genaue Zielreife ist gegen die aktuelle VDA-ISA-Version zu prüfen und nicht pauschal zu setzen.
Drittens die Ergebnis- und Pflichtebene. ISO 27001 mündet in ein Zertifikat einer akkreditierten Zertifizierungsstelle. TISAX mündet in ein Label, das den Prüfumfang und den Schutzbedarf abbildet und kontrolliert über die ENX-Plattform geteilt wird. Welche Prüftiefe dabei gilt, steuert das Assessment-Level (AL): höherer Schutzbedarf führt in der Regel zu einem höheren Level mit größerer Prüftiefe; die konkrete Stufe ist gegen die aktuellen ENX/VDA-Vorgaben festzulegen. TISAX entsteht zudem fast immer aus einer Kundenanforderung: OEMs und Tier-1-Lieferanten verlangen es als Voraussetzung für Geschäft. ISO 27001 ist dagegen häufiger eine strategische Eigenentscheidung.
Umsetzungsperspektive
Der wirtschaftlich sinnvolle Weg ist ein gemeinsames ISMS als Betriebssystem, auf dem beide Ziele als Anwendungen laufen.
Konkret bedeutet das: Scope, Rollen, Risikologik, Maßnahmen- und Nachweismanagement sowie Review-Taktung werden einmal aufgebaut und für beide Ergebnisse genutzt. Auf diesem Kern wird ein Mapping gelegt, das die ISO-Strukturlogik mit den TISAX-Prüfzielen verknüpft, sodass ein Nachweis möglichst mehrere Anforderungen gleichzeitig bedient.
Wichtig ist, die TISAX-spezifischen Anteile bewusst zu ergänzen statt sie unterzuordnen. Dazu gehören die branchenspezifischen Module, insbesondere Prototypenschutz und der Datenschutzbezug mit Blick auf die DSGVO, sowie die reifegradorientierte Selbstbewertung mit dem VDA-ISA-Katalog. Diese Anteile haben in ISO 27001 kein direktes Gegenstück und müssen eigenständig getragen werden.
Praktisch bewährt sich die Reihenfolge, zuerst das ISMS und die Risikobasis zu stabilisieren, dann die TISAX-Reifegrade je Prüfziel zu bestimmen und erst danach die externen Termine zu planen. Wer mit dem Audit- oder Assessment-Termin beginnt, baut Druck auf, der die Qualität des Regelkreises beschädigt.
Typische Fehler
- TISAX und ISO 27001 werden als zwei getrennte Projekte ohne gemeinsames ISMS betrieben.
- Ein ISO-Zertifikat wird als gleichwertiger Ersatz für ein gefordertes TISAX-Label dargestellt.
- Die Reifegradlogik wird wie eine reine Ja-Nein-Konformität behandelt, ohne Belege für gelebte Steuerung.
- Prototypenschutz und Datenschutzmodul werden vergessen, weil sie in der ISO-Welt nicht vorkommen.
- Zielreife, Label-Geltung und Versionsstand werden aus dem Gedächtnis gesetzt statt gegen aktuelle ENX/VDA-Vorgaben geprüft.
Risiken und Trade-offs
Ein zu stark auf ISO ausgerichtetes Programm unterschätzt die TISAX-Spezifika und scheitert an Reifegradnachweisen oder am Prototypenschutz. Ein zu stark auf den einen OEM-Auftrag zugeschnittenes TISAX-Programm wiederum erzeugt Insellösungen, die sich nicht für ISO oder weitere Kunden skalieren lassen.
Ein gemeinsames ISMS spart Aufwand, erhöht aber die Abhängigkeit von einem konsistenten Kern. Fehler im Scope oder in der Rollenlogik wirken dann doppelt. Diese Konzentration ist beherrschbar, verlangt aber Disziplin bei Pflege und Nachweisführung.
Schließlich besteht ein zeitlicher Trade-off. Versions-, Label- und Geltungsdetails ändern sich. Wer ein Mapping einmal aufbaut und nicht pflegt, riskiert, dass die Doppelnutzung bei der nächsten Katalogversion bricht.
Entscheidungspunkte
- Bauen wir ein gemeinsames ISMS als Basis für beide Ziele, oder bleiben sie getrennt?
- Welches Ergebnis ist Pflicht aus Kundensicht, und welches ist strategische Eigenentscheidung?
- Welcher Scope und welche Standorte gelten für ISO, welche für TISAX, und wo decken sie sich?
- Welche TISAX-Module und welches Assessment-Level ergeben sich aus dem geforderten Schutzbedarf?
- Wer pflegt das Mapping und die Versionsstände, damit die Doppelnutzung dauerhaft trägt?
Praktische Empfehlungen
- Betreiben Sie ein ISMS als gemeinsame Grundlage und führen Sie ISO und TISAX als Anwendungen darauf.
- Erstellen Sie ein gepflegtes Mapping zwischen ISO-Strukturlogik und TISAX-Prüfzielen, damit Nachweise mehrfach wirken.
- Behandeln Sie die TISAX-Reifegrade als Beleg gelebter Steuerung, nicht als Haken auf einer Liste.
- Planen Sie Prototypenschutz und Datenschutzmodul von Anfang an als eigenständige Anteile ein.
- Klären Sie zu Projektbeginn, welches Ergebnis Pflicht ist, und leiten Sie Scope und Reihenfolge daraus ab.
- Prüfen Sie Zielreife, Label-Geltung und Versionsstand stets gegen die aktuellen ENX/VDA-Vorgaben.
Relevante Normreferenzen
- ISO/IEC 27001: Referenz für ISMS-Anforderungen und akkreditierte Zertifizierung (aktuelle Ausgabe verwenden).
- ISO/IEC 27002: Referenz für Sicherheitsmaßnahmen, an denen der TISAX-Inhalt inhaltlich angelehnt ist.
- VDA ISA / TISAX: lizenzierter Prüfkatalog und Branchenstandard; nur Konzept und Struktur, kein Wortlaut. Verbindliche Details der jeweils gültigen Version bei ENX/VDA prüfen.
Häufige Fragen
Ersetzt ein ISO-27001-Zertifikat ein TISAX-Label?+
Nein. TISAX ist keine ISO-Zertifizierung. Ein OEM akzeptiert in der Regel kein Zertifikat anstelle eines geforderten TISAX-Labels, auch wenn der Inhalt verwandt ist.
Kann ich ein bestehendes ISMS für beide Ziele nutzen?+
Ja. Ein belastbares ISMS ist die gemeinsame Grundlage. Mit einem gepflegten Mapping lassen sich viele Nachweise für ISO und TISAX gleichzeitig nutzen.
Was ist der Hauptunterschied in der Bewertung?+
ISO 27001 prüft Konformität und mündet in ein Zertifikat. TISAX bewertet Reifegrade von null bis fünf und mündet in ein Label, das über die ENX-Plattform geteilt wird.
Welche TISAX-Anteile fehlen in ISO 27001?+
Vor allem die branchenspezifischen Module, insbesondere Prototypenschutz, der Datenschutzbezug zur DSGVO und die reifegradorientierte Selbstbewertung mit dem VDA-ISA-Katalog.
Warum brauchen Zulieferer überhaupt TISAX?+
Weil OEMs und größere Lieferanten es als Voraussetzung für die Zusammenarbeit verlangen. TISAX entsteht damit meist aus einem Pflichtkontext, ISO 27001 oft aus eigener strategischer Entscheidung.
Vom Wissen zur Umsetzung
Die Cybervize-Plattform und unsere Beratung setzen TISAX / VDA ISA prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.
Passende Leistung ansehenVerwandte Artikel
Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: tisax-007.
