Was wird nach ISO 27001 auditiert – und was nach TISAX®?

Sowohl ISO 27001 als auch TISAX® definieren Anforderungen an ein Informationssicherheits-Managementsystem (ISMS). Während ISO 27001 ein international gültiger Standard der International Organization for Standardization ist, richtet sich TISAX® speziell an Zulieferer der Automobilindustrie und wird von der ENX Association sowie dem Verband der Automobilindustrie (VDA) betreut.

Der wichtigste Unterschied liegt im Scope:

• ISO 27001 erlaubt Unternehmen, den Geltungsbereich ihrer Zertifizierung selbst zu bestimmen (z. B. Standort, Produktlinie oder gesamtes Unternehmen).
• TISAX® bewertet immer das gesamte Unternehmen und seine Informationssicherheitsprozesse.

Zudem handelt es sich bei TISAX® nicht um eine klassische Zertifizierung, sondern um ein Assessment-Verfahren innerhalb einer geschlossenen Plattform. Unternehmen registrieren sich dort, lassen ihre Umsetzung prüfen und können die Ergebnisse anschließend mit Partnern aus der Branche teilen – jedoch nicht öffentlich bewerben.

Wie hängen ISO 27001 und TISAX® zusammen?

TISAX® basiert ursprünglich auf der ISO 27001 und wurde 2017 als branchenspezifischer Prüfrahmen entwickelt. Der TISAX®-Fragenkatalog („Information Security Self-Assessment“) leitet sich direkt aus der ISO-Norm ab, hat sich aber inzwischen zu einer eigenständigen Anforderungssystematik entwickelt.

Eine ISO 27001-Zertifizierung ist keine Voraussetzung für TISAX®, erleichtert aber die Vorbereitung erheblich. Unternehmen mit einem etablierten ISMS nach ISO 27001 erfüllen bereits viele TISAX®-Anforderungen. Trotzdem ist eine gemeinsame Auditierung nicht möglich, da TISAX® stärker aus Kundensicht prüft – also aus der Perspektive des OEM.

Unterschiede im Aufwand und Fokus

Beide Standards prüfen Maßnahmen, Nachweise und Managementverantwortung.
Unterschiede bestehen in der Tiefe der Prüfungen:

• ISO 27001 deckt ein breiteres Spektrum ab, stellt aber weniger Detailfragen.
• TISAX® bewertet zusätzlich den Reifegrad einzelner Maßnahmen und konzentriert sich auf die Lieferkette.

Beim TISAX®-Audit stehen in der Regel nur Management und Informationssicherheitsbeauftragte im Fokus, während ISO 27001-Auditoren auch Mitarbeitende befragen können. Dadurch ist die interne Vorbereitung bei ISO meist aufwendiger.

Datenschutz und TISAX®

Im Gegensatz zur ISO 27001, die Datenschutz nur am Rande behandelt, enthält TISAX® einen eigenen Kriterienkatalog zum Datenschutz.
TISAX®-Audits werden nach Assessment-Levels (1–3) bewertet – je nach gefordertem Schutzniveau durch den OEM. Ein Level 3-Audit ist die anspruchsvollste Form und beinhaltet eine intensive Vor-Ort-Prüfung.

ISO 27001 oder TISAX® – was ist sinnvoll?

Für Automobilzulieferer ist TISAX® Pflicht, ISO 27001 dagegen freiwillig – aber strategisch sinnvoll.
Ein ISO 27001-Zertifikat darf öffentlich kommuniziert werden und stärkt das Vertrauen von Kunden und Investoren. TISAX®-Ergebnisse bleiben dagegen vertraulich.

Viele OEM erwarten mittlerweile beide Nachweise:
ISO 27001 als internationales Sicherheitsfundament und TISAX® als branchenspezifische Ergänzung.

Wer prüft?

• TISAX®: Auditierung erfolgt über die von der ENX Association zugelassenen Prüfdienstleister (aktuell ca. 14 weltweit).
• ISO 27001: Prüfungen werden durch von der DAkkS (Deutsche Akkreditierungsstelle) anerkannte Zertifizierungsstellen durchgeführt – z. B. TÜV oder DEKRA.

Fazit:
ISO 27001 schafft die Basis für Informationssicherheit in jedem Unternehmen.
TISAX® ergänzt sie dort, wo Automobilhersteller eine sichere Lieferkette verlangen. Für Zulieferer ist daher die Kombination beider Standards der ideale Weg.