TISAX
TISAX-Umsetzung bei Autozulieferer
Wie ein Autozulieferer Informationssicherheit auditfähig machte
Branche: Automotive
Standorte: 5 Standorte weltweit
Mitarbeitende: > 1.000
Leistung: TISAX Beratung
Ein mittelständischer Autozulieferer stand vor der Aufgabe, die Anforderungen an Informationssicherheit systematisch umzusetzen und sich auf eine TISAX-Prüfung vorzubereiten. Auslöser waren konkrete Anforderungen von Kunden aus der Automobilindustrie sowie die zunehmende Bedeutung sicherer Entwicklungs-, Produktions- und Austauschprozesse entlang der Lieferkette.
Der Zulieferer arbeitete mit sensiblen Kundeninformationen, technischen Zeichnungen, Entwicklungsdaten, Prototypeninformationen und projektbezogenen Spezifikationen. Für die Zusammenarbeit mit OEMs und Tier-1-Kunden wurde ein belastbarer Nachweis über den Umgang mit Informationssicherheit erforderlich.
Ziel des Projekts war es, die Organisation auf die TISAX-Anforderungen vorzubereiten, bestehende Sicherheitsmaßnahmen zu strukturieren und die erforderliche Nachweisfähigkeit für Kunden und Prüfer herzustellen.
Zu Projektbeginn verfügte das Unternehmen bereits über viele praktische Sicherheitsmaßnahmen. Es gab geregelte Zutritte, technische Schutzmechanismen, definierte IT-Prozesse und ein hohes Bewusstsein für Vertraulichkeit im Umgang mit Kundendaten. Diese Maßnahmen waren jedoch nicht durchgängig an einem einheitlichen Anforderungskatalog ausgerichtet und teilweise nur informell dokumentiert.
Besonders herausfordernd war die Verbindung unterschiedlicher Unternehmensbereiche: Entwicklung, Produktion, Einkauf, IT, Qualitätssicherung, Vertrieb und Geschäftsführung mussten gemeinsam in die Umsetzung eingebunden werden. Informationssicherheit durfte nicht nur als IT-Thema verstanden werden, sondern musste entlang der gesamten Wertschöpfungskette sichtbar werden.
Hinzu kamen typische Anforderungen aus dem Automotive-Umfeld: sichere Projektbereiche, kontrollierter Umgang mit Kundeninformationen, Berechtigungskonzepte, Dienstleistersteuerung, physische Sicherheit, Prototypenschutz, Sensibilisierung von Mitarbeitenden und nachvollziehbare Prozesse für Abweichungen und Verbesserungsmaßnahmen.
Im ersten Schritt führten wir eine strukturierte TISAX-Readiness-Analyse durch. Dabei wurden vorhandene Prozesse, Richtlinien, technische Maßnahmen und Nachweise anhand der relevanten Anforderungen bewertet. Neben der IT-Sicherheit betrachteten wir auch organisatorische und physische Schutzmaßnahmen.
Dazu fanden Interviews und Workshops mit Geschäftsführung, IT, Entwicklung, Produktion, HR, Einkauf, Qualitätsmanagement und Projektverantwortlichen statt. So entstand ein realistisches Bild des vorhandenen Reifegrads und der offenen Handlungsfelder.
Die Ergebnisse wurden in einer priorisierten Gap-Analyse zusammengeführt. Der Fokus lag darauf, Maßnahmen so zu planen, dass sie prüffähig, wirtschaftlich sinnvoll und im Alltag des Unternehmens umsetzbar sind. Statt ein paralleles Compliance-System aufzubauen, wurden bestehende Strukturen aus Qualitätsmanagement, Projektmanagement und IT-Betrieb gezielt genutzt und ergänzt.
Im Projektverlauf wurden unter anderem folgende Ergebnisse erarbeitet und umgesetzt:
- eine TISAX-Readiness-Bewertung mit priorisierter Gap-Analyse
- ein Maßnahmenplan mit Verantwortlichkeiten, Fristen und Umsetzungsstatus
- eine Informationssicherheitsleitlinie mit klaren Rollen und Berichtslinien
- Richtlinien für den Umgang mit Kundeninformationen, Entwicklungsdaten und vertraulichen Dokumenten
- ein strukturiertes Berechtigungs- und Zugriffskonzept
- verbesserte Prozesse für Onboarding, Rollenwechsel und Offboarding
- Regelungen für externe Dienstleister und projektbezogene Zugriffe
- Maßnahmen zur physischen Sicherheit in relevanten Bereichen
- Sensibilisierung der Mitarbeitenden für Informationssicherheit und Vertraulichkeit
- eine prüffähige Nachweisstruktur für das TISAX-Assessment
- Vorbereitung von Management, Fachbereichen und IT auf Interviews im Prüfverfahren
Ein besonderer Schwerpunkt lag auf dem Zusammenspiel von Informationssicherheit und bestehenden Qualitätsprozessen. Da der Zulieferer bereits über etablierte Managementstrukturen verfügte, konnten viele Anforderungen in vorhandene Prozesse integriert werden. Dadurch entstand keine isolierte Sicherheitsorganisation, sondern ein praxisnaher Rahmen, der zu den Abläufen des Unternehmens passte.
Durch das Projekt erhielt der Zulieferer eine klare Sicht auf seinen Umsetzungsstand und die konkreten Anforderungen für das TISAX-Assessment. Bestehende Sicherheitsmaßnahmen wurden sichtbar gemacht, Lücken priorisiert geschlossen und relevante Nachweise systematisch vorbereitet.
Die Geschäftsführung konnte die Umsetzung gezielt steuern und Entscheidungen auf Basis einer nachvollziehbaren Risikobetrachtung treffen. Gleichzeitig wurden die Fachbereiche stärker eingebunden und entwickelten ein besseres Verständnis dafür, warum Informationssicherheit im Automotive-Umfeld ein wesentlicher Bestandteil der Kundenbeziehung ist.
Auch gegenüber Kunden entstand ein direkter Nutzen. Sicherheitsfragen konnten konsistenter beantwortet, Anforderungen aus Ausschreibungen besser eingeordnet und der Fortschritt der TISAX-Umsetzung transparent dargestellt werden.
Der Erfolg lag vor allem in der pragmatischen Übersetzung der TISAX-Anforderungen in den Unternehmensalltag. Statt Anforderungen rein formal abzuarbeiten, wurde gemeinsam mit dem Zulieferer geprüft, welche Schutzmaßnahmen für die konkreten Kundenprojekte, Datenarten und Betriebsabläufe relevant sind.
Dabei wurden technische, organisatorische und physische Aspekte gleichermaßen berücksichtigt. Die Umsetzung war nicht auf die IT-Abteilung beschränkt, sondern bezog alle Bereiche ein, die mit schützenswerten Informationen arbeiten oder deren Prozesse für die Nachweisfähigkeit relevant sind.
Wichtig war außerdem die frühzeitige Vorbereitung auf das Prüfverfahren. Dokumente, Verantwortlichkeiten, Nachweise und Interviewpartner wurden so vorbereitet, dass das Unternehmen seine Sicherheitsorganisation nachvollziehbar und glaubwürdig darstellen konnte.
Der Autozulieferer konnte seine Organisation gezielt auf die TISAX-Prüfung vorbereiten und die Anforderungen seiner Kunden strukturiert adressieren. Informationssicherheit wurde klarer organisiert, prüffähig dokumentiert und stärker in bestehende Management- und Betriebsprozesse integriert.
Das Unternehmen verfügt nun über eine belastbare Grundlage, um sensible Kundeninformationen, Entwicklungsdaten und projektbezogene Informationen angemessen zu schützen. Gleichzeitig wurde die Zusammenarbeit mit OEMs und Tier-1-Kunden durch nachvollziehbare Sicherheitsstrukturen gestärkt.
Das Projekt zeigt: TISAX ist nicht nur ein formaler Nachweis für die Automobilindustrie. Richtig umgesetzt, wird es zu einem wirksamen Instrument, um Informationssicherheit, Kundenvertrauen und operative Verlässlichkeit entlang der Lieferkette zu stärken.
Vereinbaren Sie ein unverbindliches Erstgespräch und lassen Sie uns gemeinsam klären, wo Ihr Unternehmen steht und welche nächsten Schritte sinnvoll sind.
Elit facilisis maecenas euismod vulputate. Dignissim natoque nascetur donec urna in vel vitae.
Vereinbaren Sie ein unverbindliches Erstgespräch und lassen Sie uns gemeinsam klären, wo Ihr Unternehmen steht und welche nächsten Schritte sinnvoll sind.
