Doppelt hält besser: Wann Sie ISO 27001 und wann TISAX® brauchen (2024)

Das Wichtigste in Kürze

  • Der internationale Standard ISO 27001 und der Mechanismus nach TISAX® definieren Anforderungen an Informationssicherheits-Managementsysteme (ISMS) von Unternehmen.
  • Die ISO 27001 gilt generell und für alle Unternehmen, TISAX® definiert Anforderungen speziell für Zulieferer in der Automobilindustrie.
  • TISAX® wurde abgeleitet von der ISO 27001. Die beiden Standards existieren aber komplett unabhängig voneinander. Auch im Hinblick auf die Audits und Zertifizierungen gibt es keine gegenseitigen Abhängigkeiten.
  • Wichtig: Ein Zertifikat erhalten Unternehmen nur für das Erfüllen der ISO 27001-Anforderungen. Für die Konformität nach TISAX® gibt es keine Zertifikate. Auch darf mit der erfolgreichen Auditierung nach TISAX® nicht öffentlich geworben werden. Das Ergebnis eines Audits nach TISAX® ist nur für andere TISAX®-Teilnehmer einsehbar.
  • Beide Normen ergänzen sich, sodass das Erfüllen der Vorgaben beider Standards für Zulieferer unbedingt empfehlenswert ist.

In diesem Beitrag

  • Was wird nach ISO 27001 auditiert und was nach TISAX®?
  • Welchen Scope deckt die ISO 27001 ab, welchen TISAX®?
  • Bauen ISO 27001 und TISAX® aufeinander auf?
  • Setzt TISAX® eine Zertifizierung nach ISO 27001 voraus bzw. ist es möglich, beide Audits zu kombinieren?
  • TISAX® oder ISO 27001 – was ist schwieriger zu erfüllen?
  • Steht der Datenschutz bei TISAX® stärker im Fokus als bei der ISO 27001?
  • Ist ein ISO 27001-Zertifikat für Automobilzulieferer mit erfolgreichem Audit nach TISAX® überhaupt noch erstrebenswert?
  • Wer auditiert die Unternehmen eigentlich, sind für beide Standards die gleichen Stellen zuständig?
  • Fazit: Sind ISO 27001- und das Audit nach TISAX® eine klare Doppelempfehlung?

Was wird nach ISO 27001 auditiert und was nach TISAX®?

Beide Normen definieren, welche Anforderungen ein Informationssicherheits-Managementsystem (ISMS) zu erfüllen hat. Ganz allgemein betrachtet, geht es in beiden Fällen also um ein und dieselbe Sache. Hinter der allgemeingültigen ISO27001 steht die International Organization for Standardization, kurz ISO.

Der Branchenstandard TISAX® (Trusted Information Security Assessment Exchange) definiert Anforderungen speziell für Zulieferer in der Automobilindustrie und wird international verantwortet von der privatwirtschaftlich organisierten ENX Association sowie vom Verband der Automobilindustrie (VDA) in Deutschland.

Der Hauptunterschied zwischen der ISO 27001 und TISAX® – wenn man es so generisch betrachten und auf den Punkt bringen möchte – ist der Scope des jeweiligen Standards, sprich sein Anwendungs- bzw. Geltungsbereich.

Welchen Scope deckt die ISO 27001 ab, welchen TISAX®?

Bei einer Zertifizierung nach ISO 27001 können Unternehmen den Scope im vorgegebenen Rahmen selbst festlegen. Die Norm beschreibt generelle Anforderungen an die Einführung, Umsetzung, den Betrieb, die Überwachung, Kontrolle, Kontinuität und kontinuierliche Verbesserung des ISMS, überlässt die Auswahl des Anwendungsbereichs aber den Anwendern selbst. Heißt konkret: Es ist für Unternehmen durchaus möglich, einen bestimmten Standort, einzelne Produktlinien oder Services nach ISO 27001 zertifizieren zu lassen, oder das Gesamtunternehmen. Letzteres ist aber nicht zwingend.

Anders sieht es bei TISAX® aus. Hier stehen immer das jeweilige Gesamtunternehmen und seine Informationssicherheitsprozesse auf dem Prüfstand. Noch ein wichtiger Unterschied: Gemeinhin wird zwar sowohl bei der ISO 27001 als auch bei TISAX® von einer „Zertifizierung“ gesprochen, eine Zertifizierung nach TISAX® gibt es genau genommen jedoch gar nicht.

TISAX® ist vielmehr eine Plattform, hinter der die Verbände der europäischen Automobilhersteller stehen. Unternehmen, die als Zulieferer für die Branche arbeiten möchten, müssen sich bei dieser Plattform anmelden und die Anforderungen nach TISAX® erfüllen. Wer zum Kreis der TISAX®-Teilnehmer gehört und die Vorgaben in welchem Umfang erfüllt, soll nach dem Willen der Automobilindustrie eine vorrangig brancheninterne Information bleiben. Aus diesem Grund dürfen Unternehmen öffentlich auch nicht damit werben, dass sie die Anforderungen nach TISAX® erfüllen.

Bauen ISO 27001 und TISAX® aufeinander auf?

TISAX® existiert seit 2017 und wurde als Anforderungs- und Prüfkatalog für die Informationssicherheit bei Zulieferbetrieben der Automobilindustrie aus der ISO27001 abgeleitet. Der Fragebogen nach TISAX®, das so genannte „Information Security Self-Assessment“, und die einzelnen Kontrollbereiche gehen also direkt auf die ISO-Norm zurück. Allerdings entwickeln sich die beiden Standards mit jeder neuen TISAX®-Version weiter auseinander. Inzwischen sind wir bei Version 5 des Self-Assessments– die Gemeinsamkeiten sind hier auf den ersten Blick nicht mehr ganz so offenkundig, eine enge Verwandtschaft bleibt jedoch klar erkennbar.

Tipp: Der aktuelle Fragebogen nach TISAX® kann auf der Website des VDA eingesehen werden und steht dort zum Download bereit.

Setzt TISAX® eine Zertifizierung nach ISO 27001 voraus?

Formal gibt es keine Verbindung und daher auch keine Abhängigkeiten zwischen der ISO 27001 und TISAX®. Die Standards sind völlig unabhängig voneinander. Unternehmen können also die Kriterien nach TISAX® erfüllen und zugleich nach ISO 27001 zertifiziert sein oder nur einen der beiden Standards erfüllen. Dennoch lassen sich Synergien nutzen: Wer ein ISO 27001-Audit mit unternehmensweitem Scope bereits erfolgreich durchlaufen hat, für den wird TISAX® keine allzu große Herausforderung mehr sein.

Trotz aller Ähnlichkeiten ist eine kombinierte Auditierung nicht möglich. Der Grund: Die Audit-Perspektiven sind grundverschieden. Bei der ISO27001 betrachten die Auditoren die Risiken und sämtliche Maßnahmen für die Informationssicherheit aus Unternehmensperspektive. Bei TISAX® ist die Sicht eine andere: TISAX® zielt auf eine sichere Zulieferkette für den OEM ab, der von seinem Lieferanten einen TISAX®-konformen Managementprozess erwartet. Im Mittelpunkt steht also die Perspektive des Endkunden.

TISAX® oder ISO 27001 – welcher Standard ist schwieriger zu erfüllen?

Diese Frage lässt sich nicht eindeutig beantworten. Die Schwierigkeitsgrade und Herausforderungen sind individuell zu betrachten. Grundsätzlich folgen beide Auditierungen aber dem gleichen Prüfschema. Es wird immer abgefragt: Welche Maßnahmen ergreift ein Unternehmen nach eigener Aussage, wie sind die Maßnahmen umgesetzt und welche Nachweise belegen dies? Verantwortlich für alle drei Bereiche ist übrigens das Management eines Unternehmens. Informationssicherheit ist in jedem Fall eine Managementaufgabe – ganz gleich, ob nach ISO 27001 oder TISAX®.

Unterschiede gibt es dennoch. Während bei einem Audit nach TISAX® ausschließlich das Management und allenfalls noch der Informationssicherheitsbeauftragte befragt werden, können die Auditoren bei einer ISO27001-Prüfung auch die Mitarbeiter zu einzelnen Maßnahmen und Prozessen befragen.

Der Aufwand für die interne Vorbereitung der Belegschaft ist daher etwas höher. Hinzu kommt, dass ein ISO 27001-Audit im Vergleich zu TISAX® ein breiteres Spektrum an Informationssicherheitsprozessen umfasst. Dafür gehen die Audit-Fragen weniger in die Tiefe. Wird eine Maßnahme nachweislich umgesetzt, gibt es einen Okay-Haken. Beim Audit nach TISAX® werden dagegen auch die Reifegrade der Umsetzung berücksichtigt.

Übrigens: Um bei der Auditierung nach TISAX® und/oder ISO27001 den Überblick zu behalten, haben wir bei DataGuard zwei praktische Checklisten entworfen. In diesen Schritt-für-Schritt-Leitfäden für das jeweilige Audit erfahren Sie, was die notwendigen Arbeitsergebnisse für jeden Schritt sind. Hier geht’s zu den Downloads:

  • Roadmap für die Implementierung der ISO 27001
  • Checkliste für das erfolgreiche Assessment nach TISAX®

Steht der Datenschutz bei TISAX® stärker im Fokus als bei der ISO27001?

Ja, das trifft durchaus zu. Denn in der ISO 27001 findet sich explizit zum Datenschutz nur ein kurzer Absatz. TISAX® beschreibt die Datenschutzanforderungen dagegen ausführlich in einem seiner drei Kriterienkataloge.

Zum Hintergrund: Es gibt bei TISAX® einen Kriterienkatalog mit Fokus auf die allgemeine Informationssicherheit, einen zum Prototypenschutz und einen dritten zum Datenschutz. Das Besondere: Für das Audit nach TISAX® bei einem Zulieferer legt der OEM fest, welche Kriterienkataloge im Mittelpunkt stehen sollen. Je nach Auswahl wird dann auch noch der erforderliche Reifegrad im Hinblick auf die Umsetzung festgelegt.

Das Spektrum der Assessment-Level reicht von 1 für „normal“ bis 3 für „sehr hoch“. Sprich: Wird mit Fokus auf den Kriterienkatalog nach TISAX® „Datenschutz“ ein Level-3-Assessment durchgeführt, sind die Anforderungen ungleich höher als bei einem ISO 27001-Audit. In der Regel werden Level-3-Assessments durchgeführt – das sind intensive Vor-Ort-Prüfungen.

Ist ein ISO 27001-Zertifikat für Automobilzulieferer mit erfolgreichem Audit nachTISAX® überhaupt noch erstrebenswert?

Das ist es definitiv! Schon allein für die Außendarstellung. Unternehmen dürfen ihr ISO 27001-Zertifikat beispielsweise auf der eigenen Website veröffentlichen, um ihre Informationssicherheit zu belegen und sich damit auf dem Markt zu positionieren. Bei einer erfolgreichen Auditierung nach TISAX® sieht das anders aus, wie zuvor gesagt.

Andererseits braucht ein Automobilzulieferer nicht zwingend eine ISO27001-Zertifizierung, um in der Branche ein Bestandteil einer Lieferkette zu werden. Entscheidend ist die Prüfung nach TISAX®. Ausnahmen bestätigen jedoch auch hier die Regel – und so gibt es durchaus OEM, die über TISAX® hinaus zusätzlich ein ISO 27001-Zertifikat von ihren Zulieferern erwarten.

Wer auditiert die Unternehmen eigentlich, sind für beide Standards die gleichen Stellen zuständig?

Es gibt zwar Prüfdienstleister, die Audits nach beiden Standards durchführen, grundsätzlich sind die Verantwortlichkeiten aber komplett getrennt. So wird das akkreditierte Prüfergebnis für Auditierungen nach TISAX® ausschließlich von der ENX Association verantwortet. Diese benennt ihrerseits Prüfdienstleister, die zur Durchführung von Audits berechtigt sind. Aktuell gibt es für TISAX® weltweit 14 zugelassene Prüfdienstleister.

Bei der ISO 27001 sind die Verantwortlichkeiten analog strukturiert. National laufen die Fäden bei der DAkkS zusammen, der Deutschen Akkreditierungsstelle. Diese hat deutschlandweit aktuell rund 50Prüfdienstleister für die Durchführung von Auditierung von Informationssicherheit zugelassen– darunter sind zum Beispiel einige TÜV-Organisationen, aber auch etliche andere Prüfunternehmen.

Sind ISO 27001- und Auditierung nachTISAX® eine klare Doppelempfehlung?

Nicht grundsätzlich und für alle Unternehmen. Generell ist jedoch die Zertifizierung nach ISO27001 zu empfehlen. Diese sollten heute alle Unternehmen vorweisen können, um in puncto Informationssicherheit auf der sicheren Seite zu sein. Entsprechend hoch ist marktweit auch die Nachfrage nach entsprechenden Beratungsservices und ISO27001-Zertifizierungen.

Anders sieht es für Unternehmen aus, die ausschließlich oder auch als Automobilzulieferer tätig sind. Für diese Betriebe sprechen wir bei DataGuard eine klare Doppelempfehlung aus: Sie sollten als Fundament des eigenen ISMS sämtliche Anforderungen gemäß ISO27001 erfüllen und entsprechend zertifiziert sein. Die Auditierung nach TISAX® kommt für Automobilzulieferer dann on-top.

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das TISAX® Assessment an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Veröffentlicht am Aktualisiert am

Doppelt hält besser: Wann Sie ISO 27001 und wann TISAX® brauchen (1) Doppelt hält besser: Wann Sie ISO 27001 und wann TISAX® brauchen (2)

Wohin soll Ihre Reise gehen?

Sie sind weiterhin unsicher, welcher der passende Standard für Sie ist? Sprechen Sie uns einfach an. Unsere Berater haben bereits über 3.000 Kunden bei Datenschutz und Informationssicherheit geholfen.

Jetzt Termin vereinbaren

Doppelt hält besser: Wann Sie ISO 27001 und wann TISAX® brauchen (2024)
Top Articles
Latest Posts
Article information

Author: Saturnina Altenwerth DVM

Last Updated:

Views: 6386

Rating: 4.3 / 5 (44 voted)

Reviews: 91% of readers found this page helpful

Author information

Name: Saturnina Altenwerth DVM

Birthday: 1992-08-21

Address: Apt. 237 662 Haag Mills, East Verenaport, MO 57071-5493

Phone: +331850833384

Job: District Real-Estate Architect

Hobby: Skateboarding, Taxidermy, Air sports, Painting, Knife making, Letterboxing, Inline skating

Introduction: My name is Saturnina Altenwerth DVM, I am a witty, perfect, combative, beautiful, determined, fancy, determined person who loves writing and wants to share my knowledge and understanding with you.