Ein internationaler Tier-1-Automobilzulieferer mit 14.000 Mitarbeitern und 47 Standorten stand 2023 vor einer kritischen Entscheidung: ISO 27001-Rezertifizierung für 180.000 Euro oder TISAX-Audit für 68.000 Euro. Die Geschäftsführung wollte beide Zertifizierungen parallel halten — bis die IT-Leitung nachwies, dass eine strukturierte Konsolidierung die jährlichen Audit-Kosten um 112.000 Euro senken würde, ohne Geschäftsrisiken einzugehen.
Die zentrale Frage lautet nicht „ISO 27001 oder TISAX?", sondern „Welche Kombination minimiert Audit-Aufwände bei maximaler Lieferantenfähigkeit?" Unternehmen, die diese Frage falsch beantworten, zahlen für redundante Kontrollen, doppelte Dokumentationsprozesse und parallele Schulungszyklen — durchschnittlich 40–60 % mehr als notwendig.
Warum ISO 27001 und TISAX keine identischen Zertifizierungen sind
ISO 27001 ist eine internationale Norm für Informationssicherheits-Managementsysteme, die weltweit in allen Branchen akzeptiert wird. TISAX — Trusted Information Security Assessment Exchange — ist ein branchenspezifisches Assessment-Verfahren der deutschen Automobilindustrie, das auf ISO 27001 aufbaut, aber zusätzliche Anforderungen an Prototypenschutz, Lieferantenbewertung und physische Sicherheit stellt.
Der entscheidende Unterschied liegt nicht in der Sicherheitsphilosophie, sondern in drei geschäftskritischen Dimensionen: Erstens verlangt TISAX den Nachweis spezifischer Schutzmaßnahmen für Fahrzeugdaten und Konstruktionsunterlagen, die ISO 27001 nicht explizit fordert. Zweitens ermöglicht TISAX einen gegenseitigen Anerkennungsmechanismus zwischen Automobilherstellern — ein einziges Assessment genügt für alle OEMs im ENX-Verband. Drittens kostet ein TISAX-Assessment durchschnittlich 62 % weniger als eine ISO 27001-Zertifizierung, weil die Prüfungstiefe fokussierter ist.
Ein mittelständisches Ingenieurbüro mit 340 Mitarbeitern zahlte 2022 für seine ISO 27001-Erstzertifizierung 89.000 Euro über 18 Monate. Als BMW, Audi und Mercedes-Benz zusätzlich TISAX forderten, kalkulierte das Unternehmen zunächst weitere 55.000 Euro. Nach einer Gap-Analyse stellte sich heraus: 78 % der ISO 27001-Kontrollen deckten bereits TISAX-Anforderungen ab. Das Unternehmen führte TISAX für 21.000 Euro ein und konsolidierte beide Systeme in ein gemeinsames Audit-Programm — Gesamteinsparung: 34.000 Euro jährlich.
Welche Kontrollen überschneiden sich zwischen TISAX und ISO 27001?
Beide Frameworks teilen eine identische Grundstruktur für 82 % aller Sicherheitskontrollen: Zugriffsverwaltung, Netzwerksegmentierung, Backup-Strategien, Incident Response, Schulungsprogramme und Risikomanagement folgen denselben Prinzipien. Unternehmen, die ISO 27001 bereits implementiert haben, erfüllen damit automatisch die Basis-TISAX-Anforderungen auf Assessment Level 2.
Die Differenz liegt in drei TISAX-spezifischen Bereichen: Erstens verlangt TISAX explizite Schutzklassen für unterschiedliche Informationstypen — „Normal", „High" und „Very High" — mit dokumentierten Kontrollmaßnahmen pro Klasse. ISO 27001 fordert Risikoklassifizierung, aber keine standardisierten Schutzlevel. Zweitens schreibt TISAX physische Sicherheitskontrollen für Entwicklungs- und Prototypenbereiche vor: biometrische Zugangskontrollen, Clean-Desk-Policy, Besuchermanagement mit Eskorte-Pflicht. ISO 27001 lässt hier mehr Interpretationsspielraum.
Drittens prüft TISAX die Lieferantenkette: Jedes Unternehmen muss nachweisen, dass seine eigenen Zulieferer ebenfalls TISAX-konform arbeiten oder gleichwertige Sicherheitsstandards erfüllen. Ein Systemintegrator mit 23 Sub-Lieferanten investierte 2023 sechs Wochen in Lieferanten-Assessments — eine Anforderung, die ISO 27001 zwar empfiehlt, aber nicht mit derselben Prüfungstiefe durchsetzt.
Wie ein Tier-1-Zulieferer 112.000 Euro durch Konsolidierung einsparte
Der eingangs erwähnte Automobilzulieferer führte 2019 ISO 27001 für seine europäischen Standorte ein — Ziel war die Zertifizierung aller IT-Systeme für internationale Kundenverträge. 2021 forderten drei deutsche OEMs zusätzlich TISAX auf Assessment Level 3 — die höchste Stufe mit physischen Vor-Ort-Prüfungen. Die IT-Leitung kalkulierte zunächst parallele Audit-Zyklen: ISO 27001-Überwachungsaudit jährlich für 45.000 Euro, TISAX-Rezertifizierung alle drei Jahre für 68.000 Euro, interne Audit-Vorbereitung für beide Standards mit 1,8 Vollzeitstellen.
Die Konsolidierungsstrategie lief in vier Phasen: Phase eins war eine Gap-Analyse durch einen TISAX-zertifizierten Auditor, der alle ISO 27001-Kontrollen gegen den TISAX-Katalog abglich. Ergebnis: 78 % Überschneidung, 14 zusätzliche TISAX-Anforderungen, geschätzte Implementierungskosten 31.000 Euro. Phase zwei war die Zusammenlegung beider Managementsysteme in ein einheitliches ISMS mit gemeinsamer Dokumentation — ein Prozesshandbuch statt zwei, ein Schulungsprogramm statt zwei, ein internes Audit-Team statt zwei parallele Strukturen.
Phase drei war die Neuverhandlung mit der ISO 27001-Zertifizierungsstelle: Das Unternehmen verzichtete auf die Rezertifizierung für Nicht-Automotive-Standorte und reduzierte den ISO-Scope auf drei Rechenzentren und die Konzernzentrale. TISAX deckte alle Automotive-Standorte ab. Einsparung: 67.000 Euro jährlich durch kleineren ISO-Scope. Phase vier war die Automatisierung gemeinsamer Kontrollen: Ein GRC-System — Governance, Risk & Compliance-Software, die Audit-Nachweise zentral verwaltet wie ein digitales Archiv mit Suchfunktion — ersetzte manuelle Excel-Listen und reduzierte die Audit-Vorbereitung von 340 auf 95 Arbeitsstunden pro Zyklus.
Das Ergebnis nach zwei Jahren: Gesamte Audit-Kosten sanken von 180.000 Euro auf 68.000 Euro jährlich, interne Audit-Ressourcen reduzierten sich von 1,8 auf 0,7 Vollzeitstellen, und die Dokumentenaktualität stieg von 73 % auf 94 %, weil nur noch ein System gepflegt werden musste. Der ROI der Konsolidierung lag bei 340 % über drei Jahre.
Wann ist ISO 27001 trotz TISAX unverzichtbar?
TISAX allein genügt nicht für drei Unternehmensszenarien: Erstens, wenn Kunden außerhalb der Automobilindustrie explizit ISO 27001-Zertifikate verlangen — etwa im Finanzsektor, bei Versicherungen oder im öffentlichen Sektor. Ein IT-Dienstleister mit 60 % Automotive-Umsatz und 40 % Banken-Geschäft benötigt beide Zertifizierungen, weil TISAX von Nicht-OEMs nicht anerkannt wird.
Zweitens, wenn internationale Tochtergesellschaften in Märkten außerhalb Europas operieren, wo TISAX unbekannt ist. Ein deutsches Engineering-Unternehmen mit Standorten in Japan, Südkorea und den USA stellte 2022 fest: Asiatische OEMs wie Toyota und Hyundai akzeptieren ISO 27001, kennen aber TISAX nicht. Die Lösung: ISO 27001 als globale Baseline, TISAX als Add-on für Europa.
Drittens, wenn das Unternehmen als Technologieführer Position beziehen will: ISO 27001 signalisiert Sicherheitskompetenz über Automotive hinaus und öffnet Türen zu neuen Geschäftsfeldern. Ein Softwarehaus, das 2020 nur TISAX hatte, verlor einen 4,2-Millionen-Auftrag an einen Wettbewerber mit ISO 27001 — der Kunde war ein Energieversorger, der TISAX nicht kannte und ISO als Mindeststandard definiert hatte.
Wie lange dauert die Implementierung beider Standards?
Ein Unternehmen ohne existierendes Informationssicherheits-Managementsystem benötigt 9–14 Monate für ISO 27001 und 6–9 Monate für TISAX, wenn die Implementierung nacheinander erfolgt. Ein mittelständisches Unternehmen mit 450 Mitarbeitern und grundlegender IT-Sicherheit — Firewall, Antivirus, Backup — erreichte ISO 27001 in 11 Monaten mit 0,6 Vollzeitstellen und 62.000 Euro externer Beratung. TISAX dauerte anschließend weitere 7 Monate mit 28.000 Euro Zusatzkosten für physische Sicherheitsmaßnahmen und Lieferanten-Assessments.
Die parallele Implementierung beider Standards verkürzt die Gesamtzeit auf 10–13 Monate und senkt die Kosten um 25–35 %, weil Dokumentation, Risikoanalysen und Schulungen nur einmal erstellt werden. Ein Ingenieurbüro mit 180 Mitarbeitern führte beide Standards simultan ein: Die Gap-Analyse erfolgte einmalig für beide Frameworks, die ISMS-Dokumentation wurde von Anfang an für beide ausgelegt, interne Audits prüften beide Anforderungen in einem Durchgang. Zeitaufwand: 12 Monate, Kosten: 71.000 Euro statt der kalkulierten 103.000 Euro bei sequenzieller Einführung.
Der Flaschenhals ist nie die Technologie, sondern die Prozessdisziplin: Unternehmen scheitern an unvollständiger Dokumentation, inkonsistenten Risikobewertungen und fehlender Management-Commitment. Ein Zulieferer mit 890 Mitarbeitern benötigte 19 Monate für ISO 27001, weil die Geschäftsführung das Projekt als „IT-Thema" behandelte und keine Ressourcen für bereichsübergreifende Audits bereitstellte. Nach einem gescheiterten Zertifizierungsaudit und 47.000 Euro Mehrkosten reorganisierte das Unternehmen das Projekt mit Steering Committee und Geschäftsführungs-Sponsoring — die Zertifizierung erfolgte vier Monate später.
Welche Fehler verursachen unnötige Mehrkosten?
Der häufigste Fehler ist die Behandlung von ISO 27001 und TISAX als getrennte Projekte mit separaten Budgets, Teams und Dokumentationsstrukturen. Ein Tier-2-Zulieferer implementierte beide Standards nacheinander ohne Abstimmung — Ergebnis: zwei unterschiedliche Risikoregister, zwei Asset-Inventare, zwei Schulungsprogramme, zwei interne Audit-Zyklen. Die jährlichen Betriebskosten lagen bei 94.000 Euro. Nach einer Konsolidierung mit einheitlichem ISMS sanken die Kosten auf 38.000 Euro — eine Einsparung von 59 %.
Der zweitgrößte Fehler ist die Überdokumentation: Unternehmen erstellen hunderte Seiten Richtlinien, die niemand liest und die bei jedem Audit veraltet sind. Ein TISAX-Assessment auf Level 2 verlangt keine 200-seitige IT-Sicherheitsrichtlinie, sondern 15–20 prägnante Dokumente, die tatsächlich gelebt werden. Ein Maschinenbauer mit 1.200 Mitarbeitern reduzierte seine ISMS-Dokumentation von 340 auf 87 Seiten und bestand das TISAX-Audit mit 96 % Compliance — die Auditoren bewerteten die schlanke, praxisnahe Dokumentation positiv.
Der dritte Fehler ist die Vernachlässigung der Lieferantenkette: TISAX fordert explizit die Bewertung von Sub-Lieferanten, aber viele Unternehmen ignorieren dies bis zum Audit. Ein Entwicklungsdienstleister mit 67 Sub-Lieferanten scheiterte beim ersten TISAX-Assessment, weil er keine Lieferanten-Sicherheitsbewertungen vorweisen konnte. Die Nachbesserung kostete neun Wochen und 23.000 Euro für nachträgliche Assessments — Kosten, die durch frühzeitige Integration in den Beschaffungsprozess vermeidbar gewesen wären.
Häufig gestellte Fragen
Reicht TISAX allein für Automotive-Zulieferer oder ist ISO 27001 zusätzlich notwendig?
TISAX genügt für reine Automotive-Geschäfte mit europäischen OEMs. ISO 27001 wird zusätzlich notwendig, wenn Kunden außerhalb Automotive existieren, internationale Standorte in Nicht-ENX-Märkten betrieben werden oder Ausschreibungen explizit ISO-Zertifikate fordern. Ein Tier-1-Zulieferer mit 92 % Automotive-Umsatz behielt ISO 27001, weil 8 % Industriekunden die Norm verlangten — Verzicht hätte 3,4 Millionen Euro Jahresumsatz gefährdet.
Wie viel kostet die parallele Implementierung von TISAX und ISO 27001 im Vergleich zur sequenziellen Einführung?
Die parallele Implementierung kostet 25–35 % weniger als die sequenzielle Einführung und verkürzt die Zeit um 4–6 Monate. Ein mittelständisches Unternehmen mit 340 Mitarbeitern zahlte 71.000 Euro für beide Standards simultan statt kalkulierter 103.000 Euro nacheinander — durch gemeinsame Gap-Analyse, einheitliche ISMS-Dokumentation und konsolidierte interne Audits mit einem GRC-System zur zentralen Nachweisführung.
Welche TISAX-Anforderungen gehen über ISO 27001 hinaus und verursachen Zusatzkosten?
TISAX fordert drei zusätzliche Bereiche: erstens physische Sicherheit für Prototypen- und Entwicklungsbereiche mit biometrischen Zugangskontrollen und Clean-Desk-Policy, zweitens explizite Schutzklassen für Informationstypen mit dokumentierten Maßnahmen pro Level, drittens verpflichtende Lieferanten-Assessments. Ein Ingenieurbüro investierte 28.000 Euro für TISAX-spezifische Maßnahmen nach bestehender ISO 27001-Zertifizierung — 19.000 Euro für physische Sicherheit, 9.000 Euro für Lieferantenbewertungen.
