TISAX-Audit-Saison Herbst 2026Zwölf Bremsklötze verzögern die TISAX-Zertifizierung 2026
Ein Gastbeitrag von
Dr. Ümüt Kaplan
5 min Lesedauer
Schon Wochen vor dem eigentlichen TISAX-Audit entscheidet sich oft bereits, ob die Zertifizierung gelingt. Unklare Klassifizierungsschemata oder Backups ohne Restore-Test zählen zu den häufigsten Gründen, warum Unternehmen ins Straucheln geraten.
Zwölf wiederkehrende Muster bremsen TISAX-Zertifizierungen unter VDA-ISA 6.0 regelmäßig aus. Wer sie frühzeitig kennt, vermeidet teure Nachbesserungen kurz vor dem Audit-Termin.
(Bild: Gemini / KI-generiert)
Die TISAX-Audit-Saison läuft seit April auf Hochtouren, der Druck der Konzernkunden auf die Lieferanten steigt. VDA-ISA 6.0 hat die Latte angehoben, besonders bei Verfügbarkeit und Ransomware-Resilienz. Wer das Label im Herbst sicher holen will, sollte zwölf typische Bremsklötze kennen.
Seit April 2024 ist VDA-ISA 6.0 für alle neuen TISAX-Assessments verbindlich. Der Katalog enthält über neunzig Prüfziele, gegliedert in drei Reifegrade. Neu hinzugekommen sind fünf Controls zur Ransomware-Resilienz sowie ein eigenständiges Verfügbarkeits-Label. Hintergrund ist die Bedrohungslage. Der BSI-Lagebericht 2025 weist einen starken Anstieg der Angriffe auf Lieferketten aus. Andere Studien zeigen eine mittlere Erkennungszeit von 287 Tagen. Achtzig Prozent der dokumentierten Ransomware-Vorfälle treffen kleine und mittlere Unternehmen, von denen wiederum nur rund sechsundfünfzig Prozent die IT-Sicherheits-Basisanforderungen erfüllen. Die ISA-6.0-Verschärfung trifft also einen Mittelstand, der ohnehin unter Aufholdruck steht.
Aus acht TISAX-Audits im zweiten Quartal 2026, sämtlich auf Reifegrad 2 oder 3, zeigen sich Muster, die in fast jeder Vorbereitung wiederkehren. Die Reihenfolge entspricht grob der Häufigkeit.
1. Klassifizierungsschema ohne praktische Umsetzung: Die Richtlinie definiert drei oder vier Schutzstufen, doch im Alltag landet alles auf Standardlaufwerken ohne Markierung. Auditoren prüfen Stichproben in Mailpostfächern und Projektordnern und finden vertrauliche Lieferantendaten ohne Kennung. Sanierung: Schema auf drei Stufen reduzieren, automatische Vorbelegung in Microsoft 365 oder Google Workspace aktivieren, zweiwöchige Inventur mit Stichproben. Aufwand: zehn bis fünfzehn Personentage.
2. Asset-Inventar mit Schatten-IT-Loch: Server und Clients sind erfasst, Cloud-Tenants, Browser-Plugins, Schatten-Cloud und BYOD-Geräte fehlen. Auditoren vergleichen das Inventar mit Firewall-Logs und Rechnungs-Belegen und entdecken regelmäßig Software-as-a-Service-Konten ohne Eigentümer. Sanierung: Cloud-Discovery-Tool oder Proxy-Auswertung, halbjährliche Asset-Owner-Bestätigung. Aufwand: fünf bis zehn Personentage pro Standort.
3. Lieferantenbewertung als statische Excel-Liste: Bei TISAX-Lieferantenkette schaut der Auditor explizit auf den Prozess, nicht das Dokument. Eine Liste mit grünen, gelben und roten Markierungen genügt nicht, wenn Kriterien, Bewertungs-Rhythmus und Eskalationspfad fehlen. Sanierung: Bewertungs-Workflow in Beschaffung verankern, jährliche Pflicht-Selbstauskunft, dokumentierter Eskalationspfad bei roter Bewertung. Aufwand: fünf bis acht Personentage plus Beschaffungs-Schulung.
4. Backups ohne dokumentierten Restore-Test: Das war schon in ISA 5.1 ein Dauerbrenner, mit ISA 6.0 wird es härter geprüft, da Ransomware-Resilienz explizit verlangt wird. Auditoren wollen das Test-Protokoll der letzten zwölf Monate sehen, mit Recovery-Zeit, Datenstand und Fehler-Log. Sanierung: Quartals-Restore-Test eines kritischen Systems, Protokoll-Vorlage, Verantwortlicher benannt. Aufwand: drei Personentage Initialaufwand, danach laufend pro Quartal ein Tag.
5. Krisenkommunikation nur auf Papier: Der Notfallplan listet Telefonnummern, aber niemand hat die Kette je geübt, und ein Out-of-Band-Kanal fehlt. Bei einem Ransomware-Vorfall sind genau diese Kanäle die ersten, die ausfallen. Auditoren fragen nach dem letzten Tabletop und der dokumentierten Übung. Sanierung: zwei Tabletops pro Jahr, alternativer Messenger-Kanal (Signal oder ähnlich), aktualisierte Telefonliste. Aufwand: zwei Personentage Vorbereitung pro Übung.
6. Awareness als jährliche Klick-Pflicht: Ein E-Learning einmal pro Jahr, abgehakt, Statistik im Audit vorgezeigt. Auditoren prüfen seit ISA 6.0 ergänzend Phishing-Test-Quoten und rollenspezifische Schulungen für Administratoren und Beschaffung. Sanierung: zwei Phishing-Kampagnen pro Jahr, Quoten-Tracking, Admin-Sondertraining. Aufwand: drei Personentage pro Kampagne, plus Lizenz für ein Phishing-Tool.
7. Zugriffsrechte ohne Rezertifizierung:Berechtigungen wachsen, Mitarbeiter wechseln Abteilungen, alte Accounts bleiben. Auditoren prüfen Stichproben von Administratoren und privilegierten Rollen und stoßen regelmäßig auf Ex-Mitarbeiter-Konten oder verwaiste Service-Accounts. Sanierung: halbjährliche Rezertifizierung durch Rollen-Eigentümer, Tool-Unterstützung (Identity-Governance), Sofort-Sperre bei Austritten. Aufwand: zehn Personentage Initialaufwand, danach pro Lauf zwei bis drei Tage.
8. Patch-Management nur für Server: Clients, mobile Geräte und Produktions-Endpunkte fallen durch das Raster. ISA 6.0 prüft das End-zu-End. Auditoren ziehen Reports aus dem Schwachstellen-Scan und finden offene Lücken auf Vertriebslaptops oder OT-Steuerungen. Sanierung: vollständiges Asset-Inventar mit Patch-Status verknüpfen, Service-Level pro Asset-Klasse definieren, monatlicher Schwachstellen-Report an die Leitung. Aufwand: fünf bis fünfzehn Personentage je nach Heterogenität.
9. Verschlüsselung im Transit, nicht im Ruhezustand:TLS auf Webservern ist Standard, bei Datenbank-Festplatten, Backup-Medien und Cloud-Buckets fehlt sie häufig. Auditoren prüfen Stichproben in Cloud-Konsolen und Backup-Repositories. Sanierung: Verschlüsselung als Default für neue Workloads, Migration kritischer Bestände priorisiert, Schlüssel-Verwaltung dokumentiert. Aufwand: acht bis zwanzig Personentage abhängig von Cloud-Reife.
10. Lieferanten-Sicherheit per Selbstauskunft ohne Folge-Prozess: Der Lieferant füllt einen Fragebogen aus, das Ergebnis wandert in den Ordner. ISA 6.0 verlangt einen Bewertungs-Kreislauf mit Nachhalten, vor allem für Lieferanten mit Zugang zu Konstruktionsdaten oder Produktions-Systemen. Sanierung: risikobasierter Tiefenprüfungs-Plan, Vor-Ort-Audits für Top-Lieferanten alle zwei bis drei Jahre, dokumentierte Mängelverfolgung. Aufwand: fünf Personentage Konzept, plus Audit-Aufwand je Lieferant.
11. Verarbeitungsverzeichnis und Asset-Inventar nicht synchron:Datenschutz und Informationssicherheit pflegen getrennte Listen, beim Audit zeigen sich Inkonsistenzen. Auditoren prüfen die Konsistenz beider Verzeichnisse und werten das als Reifegrad-Indikator. Sanierung: gemeinsame Asset-Datenquelle, Datenschutz-Sicht als Layer darauf, vierteljährlicher Abgleich. Aufwand: fünf bis acht Personentage Initialaufwand.
12. Notfallplan nie unter Last getestet: Wiederanlaufzeiten stehen im Plan, der Wiederherstellungs-Ablauf wurde nie unter realistischen Bedingungen geübt. Auditoren fragen nach dem letzten Test-Protokoll mit gemessener Recovery-Time. Sanierung: jährliche Übung eines kritischen Geschäftsprozesses unter Stoppuhr, Lessons-Learned dokumentiert, RTO-Werte korrigiert. Aufwand: fünf Personentage Vorbereitung, ein Tag Übung.
Die Erfahrung aus Q2 zeigt: Wer den Vorlauf richtig kalibriert, vermeidet die teure Drittversuch-Konstellation, bei der Sanierungs-Sprint und Audit-Wiederholung gleichzeitig laufen.
Was Auditoren in ISA 6.0 zusätzlich prüfen
Fünf der zwölf typischen Bremsklötze benötigen den vollen Zwölf-Wochen-Vorlauf, darunter Asset-Inventare und Lieferanten-Tiefenprüfungen. Nur vier Muster lassen sich als Quick-Win in vier Wochen beheben.
(Bild: Safe Bytes)
Das neue Verfügbarkeits-Label verschiebt die Audit-Tiefe spürbar. Geprüft werden Backup-Resilienz unter Ransomware-Bedingungen, dokumentierte Recovery-Zeiten, redundante Kommunikationswege und definierte Verantwortlichkeiten für den Krisenfall. Wer das Verfügbarkeits-Label benötigt, etwa für sicherheitsrelevante Lieferanten in der Konzern-Lieferkette, sollte Backup- und Notfall-Tests deutlich vor dem Audit-Termin abgeschlossen haben.
Die Audit-Saison im Herbst entscheidet sich in den Wochen davor. Wer die zwölf Bremsklötze kennt und das passende Zeitfenster wählt, geht mit deutlich weniger Reibung durchs Assessment. Reife entsteht nicht im Audit, sondern in der Reihenfolge.
Über den Autor: Dr. Ümüt Kaplan ist Gründer und Geschäftsführer der IT-Security-Boutique Safe Bytes mit Sitz in Hannover. Schwerpunkte sind NIS2-Beratung, TISAX-Vorbereitung, ISO-27001-Audits und BSI-IT-Grundschutz-Konzeption. Er ist ISO-27001-Lead-Auditor (TÜV), IT-Grundschutz-Berater (BSI) und CISO (TÜV).
(ID:50891862)
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.