TISAX-Vorbereitung: Roadmap für den CISO
Kernaussage
Eine TISAX-Vorbereitung ist kein einmaliges Auditprojekt, sondern eine geplante Strecke von der Kundenanforderung bis zum austauschbaren Label. Der CISO steuert sie in einer festen Reihenfolge: zuerst Scope, Labels und Assessment-Level klären, dann den Abstand zur Zielreife messen, den Reifegrad gezielt heben, durchgängig Nachweise erzeugen und erst danach das Assessment terminieren.
Der häufigste Fehler ist, diese Reihenfolge umzudrehen und mit einem Prüftermin zu beginnen, bevor Scope und Schutzbedarf feststehen. Eine belastbare Roadmap macht die Vorbereitung planbar und kostenstabil, statt sie in Korrekturschleifen kurz vor dem Assessment laufen zu lassen.
Problem in der Praxis
Viele TISAX-Vorhaben starten mit dem Satz "Ein Kunde verlangt TISAX bis Quartalsende". Daraus wird sofort ein Termin abgeleitet, oft bevor klar ist, welches Label, welcher Schutzbedarf und welches Assessment-Level für welchen Standort verlangt sind. Die Vorbereitung beginnt dann am falschen Ende.
Typisch ist auch, dass der vorhandene Reifegrad zu optimistisch eingeschätzt wird, statt nüchtern gegen die Zielreife gemessen zu werden. Die Folge sind Abweichungen, ein Korrekturmaßnahmenplan und ein zweiter Anlauf, der Zeit und Budget kostet.
Hinzu kommt das Nachweisproblem. Maßnahmen werden umgesetzt, aber ihre Wirksamkeit wird nicht belegt. Fehlende oder erst kurz vor dem Termin erzeugte Nachweise sind ein Hauptgrund dafür, dass die angestrebte Reife nicht bestätigt wird.
CISO-Einordnung
TISAX beruht auf gegenseitiger Anerkennung: Ein einmal erzieltes und über die ENX-Plattform geteiltes Ergebnis ersetzt wiederholte Einzelaudits durch verschiedene Partner. Genau deshalb muss das Ergebnis von Anfang an zur tatsächlichen Kundenanforderung passen. Die Roadmap ist die Brücke zwischen externer Anforderung und austauschbarem Prüfergebnis.
Inhaltlich ist TISAX eng an ISO/IEC 27001/27002 angelehnt. Ein bestehendes ISMS ist deshalb eine sehr gute Grundlage, aber keine automatische Garantie. TISAX bewertet über ein Reifegradmodell statt über reine Konformität, kennt branchenspezifische Module wie den Prototypenschutz und arbeitet mit Labels und Austausch statt mit einem klassischen Zertifikat. Bei den Rollen lohnt sich Klarheit: Der VDA ist Herausgeber des Prüfkatalogs VDA ISA (aktuelle Hauptversion VDA ISA 6), die ENX Association betreibt im Auftrag des VDA die Governance und die TISAX-Austauschplattform.
Drei Ebenen müssen sauber getrennt bleiben. Das Label beschreibt Umfang und Schutzniveau (wählbar sind im Kern Informationssicherheit mit den Schutzbedarfen "Confidential" und "Strictly Confidential", Prototypenschutz und Datenschutz), das Assessment-Level (AL1, AL2, AL3) bestimmt die Prüftiefe und -methode, und der Reifegrad bewertet die Prüfziele inhaltlich auf einer Skala von 0 bis 5 mit einer Zielreife in der Regel von mindestens 3 ("Established"). Die Roadmap macht diese drei Ebenen explizit und verhindert, dass sie im Projektalltag vermischt werden. Die Detailgrundlagen zu Modulen und Reifegradmodell stehen in tisax-002, zu Labels und Assessment-Level in tisax-004.
Umsetzungsperspektive
Aus CISO-Sicht läuft die Vorbereitung in nachvollziehbaren Phasen ab, die aufeinander aufbauen.
- Anforderung klären: Welche Labels und welches Schutzniveau verlangt der Auftraggeber konkret, und liegt das schriftlich vor? Daraus ergeben sich die relevanten Module Informationssicherheit, Prototypenschutz oder Datenschutz.
- Scope und Standorte abgrenzen: Welche Standorte, Prozesse und Informationen sind betroffen? Der Schutzbedarf wird je Standort und Datenart bestimmt und treibt Label und Assessment-Level.
- Gap gegen Zielreife messen: Mit dem VDA-ISA-Selbstcheck wird je Prüfziel der heutige Reifegrad ehrlich erhoben und gegen die Zielreife gestellt. Als Zielwert gilt in der Regel Reifegrad 3 ("Established") auf der Skala 0 bis 5; einzelne Prüfziele können höher liegen, verbindliche Zielwerte sind aus der aktuellen Katalogversion zu übernehmen.
- Reifegrad heben: Für jede Lücke werden Maßnahme, Owner und Termin festgelegt. Maßnahmen dürfen nicht nur eingeführt, sondern müssen betrieben werden, damit im Assessment eine etablierte und nicht nur einmal durchgeführte Praxis sichtbar wird.
- Nachweise erzeugen: Belege entstehen als Nebenprodukt des laufenden Betriebs. Protokolle, Freigaben, Reviews und Aufzeichnungen werden so abgelegt, dass sie im Assessment ohne Suchaktion vorliegen.
- Assessment planen: Akkreditierten Prüfdienstleister auswählen, Scope und Prüfziele bei der ENX-Plattform registrieren, Termin mit Vorlauf legen und die Verfügbarkeit der Ansprechpartner sichern.
- Assessment und Nachsteuerung: Geprüft wird gemäß dem festgelegten AL; bei Abweichungen wird ein Korrekturmaßnahmenplan abgearbeitet, bevor das Label vergeben und über die ENX-Plattform geteilt wird.
Diese Reihenfolge ist der Kern der Roadmap: Der Termin steht am Ende, nachdem Scope, Zielreife und Nachweise stehen, nicht am Anfang als willkürliches Datum.
Typische Fehler
- Der Prüftermin wird festgelegt, bevor Scope, Labels und Assessment-Level aus der Kundenanforderung abgeleitet sind.
- Der heutige Reifegrad wird zu optimistisch eingeschätzt, sodass der Gap zur Zielreife unterschätzt wird.
- Maßnahmen werden eingeführt, aber nicht betrieben, sodass im Assessment keine etablierte Praxis nachweisbar ist.
- Nachweise werden erst kurz vor dem Termin erzeugt statt aus dem Regelbetrieb.
- Versionsstand des Katalogs, Zielwerte je Prüfziel und Geltungsdauer werden als fix angenommen, statt sie vor Registrierung zu prüfen.
Risiken und Trade-offs
Das größte Terminrisiko ist ein zu spät gemessener Gap. Wer die Selbstbewertung an den Schluss schiebt, entdeckt Lücken erst, wenn keine Zeit mehr bleibt, sie über einen betriebenen Zeitraum nachweisbar zu schließen. Reife lässt sich nicht über Nacht herstellen.
Auf der Scope-Ebene besteht ein Trade-off zwischen Breite und Aufwand. Ein knapp gefasster Scope spart Vorbereitungsaufwand, deckt aber möglicherweise nicht alle Kundenanforderungen ab; ein zu breiter Scope erzeugt unnötigen Prüf- und Pflegeaufwand. Ähnliches gilt für das Assessment-Level: zu niedrig deckt die Anforderung nicht ab, zu hoch bindet Aufwand, den der Vertrag nicht verlangt. Auch die Tool- und Beratungsfalle gehört hierher: Software oder Dienstleister können die Vorbereitung strukturieren, aber weder unklare Verantwortlichkeiten noch fehlende betriebene Praxis ersetzen.
Entscheidungspunkte
- Welche Labels, welcher Schutzbedarf und welches Assessment-Level werden je Standort verlangt, und liegt die Anforderung schriftlich vor?
- Wie ist der Scope so geschnitten, dass er die Kundenanforderung abdeckt, ohne unnötigen Aufwand zu erzeugen?
- Wie groß ist der Abstand zwischen heutigem Reifegrad und Zielreife je Modul, und reicht der Zeitplan, um ihn betrieben und nachweisbar zu schließen?
- Welche Nachweise entstehen automatisch im Prozess, und welche müssen bewusst erzeugt werden?
- Wann ist die Organisation reif genug, um den Termin verbindlich beim Prüfdienstleister zu setzen?
Praktische Empfehlungen
- Beginnen Sie mit der dokumentierten Kundenanforderung und leiten Sie daraus Labels, Schutzbedarf und Assessment-Level ab, bevor ein Termin genannt wird.
- Führen Sie die VDA-ISA-Selbstbewertung früh und ehrlich durch und behandeln Sie den Gap zur Zielreife als zentrale Planungsgröße.
- Planen Sie pro Lücke nicht nur die Einführung, sondern einen betriebenen Zeitraum ein, damit etablierte Praxis nachweisbar wird.
- Machen Sie Nachweise zum Nebenprodukt laufender Prozesse und legen Sie sie assessmentfest ab.
- Verifizieren Sie Versionsstand des Katalogs, Zielwerte je Prüfziel, AL-Methodik und Geltungsdauer vor der Registrierung gegen die aktuellen ENX- und VDA-Vorgaben.
Relevante Normreferenzen
- VDA ISA (Information Security Assessment): Referenz für Prüfkatalog, Module und Reifegradlogik; lizenziert, nur als Verweis, kein Wortlaut.
- TISAX-Regelwerk der ENX Association: Referenz für Ablauf, Registrierung, Assessment-Level, Labels und Austauschmodell; lizenziert, nur als Verweis.
- ISO/IEC 27001/27002: Referenz für den inhaltlichen Bezugsrahmen der Informationssicherheit, an den die TISAX-Inhalte angelehnt sind.
Häufige Fragen
Womit beginnt eine TISAX-Vorbereitung?+
Mit der dokumentierten Kundenanforderung: welche Labels, welcher Schutzbedarf und welches Assessment-Level je Standort verlangt sind. Erst danach werden Scope, Gap-Analyse und Termin geplant.
Wie wird der Gap zur Zielreife ermittelt?+
Über die VDA-ISA-Selbstbewertung wird je Prüfziel der heutige Reifegrad erhoben und gegen die Zielreife gestellt. Als Zielwert gilt in der Regel Reifegrad 3 ("Established") auf der Skala 0 bis 5; einzelne Ziele können höhere Werte verlangen.
Warum sind Nachweise so wichtig?+
Weil TISAX Reife bewertet, nicht nur Existenz von Dokumenten. Nachweise belegen, dass Maßnahmen über einen Zeitraum betrieben wurden. Fehlende oder nachträglich erzeugte Belege sind ein Hauptgrund für Abweichungen.
Wann sollte der Prüftermin gesetzt werden?+
Erst wenn Scope, Zielreife und Nachweise stehen. Der Termin steht am Ende der Roadmap, nicht am Anfang. Versionsstand, Zielwerte und Geltungsdauer sind vorab gegen die aktuellen ENX- und VDA-Vorgaben zu prüfen.
Vom Wissen zur Umsetzung
Die Cybervize-Plattform und unsere Beratung setzen TISAX / VDA ISA prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.
Passende Leistung ansehenVerwandte Artikel
Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: tisax-008.
