TISAX-Audit-Saison Herbst 2026 Zwölf Bremsklötze verzögern die TISAX-Zertifizierung 2026

Ein Gastbeitrag von Dr. Ümüt Kaplan 5 min Lesedauer

Schon Wochen vor dem eigentlichen TISAX-Audit entscheidet sich oft bereits, ob die Zertifizierung gelingt. Unklare Klassifizierungsschemata oder Backups ohne Restore-Test zählen zu den häufigsten Gründen, warum Unternehmen ins Straucheln geraten.

Zwölf wiederkehrende Muster bremsen TISAX-Zertifizierungen unter VDA-ISA 6.0 regelmäßig aus. Wer sie frühzeitig kennt, vermeidet teure Nachbesserungen kurz vor dem Audit-Termin.(Bild:  Gemini / KI-generiert)
Zwölf wiederkehrende Muster bremsen TISAX-Zertifizierungen unter VDA-ISA 6.0 regelmäßig aus. Wer sie frühzeitig kennt, vermeidet teure Nachbesserungen kurz vor dem Audit-Termin.
(Bild: Gemini / KI-generiert)

Die TISAX-Audit-Saison läuft seit April auf Hochtouren, der Druck der Konzernkunden auf die Lieferanten steigt. VDA-ISA 6.0 hat die Latte angehoben, besonders bei Verfügbarkeit und Ransomware-Resilienz. Wer das Label im Herbst sicher holen will, sollte zwölf typische Bremsklötze kennen.

Was VDA-ISA 6.0 ändert

Seit April 2024 ist VDA-ISA 6.0 für alle neuen TISAX-Assessments verbindlich. Der Katalog enthält über neunzig Prüfziele, gegliedert in drei Reifegrade. Neu hinzugekommen sind fünf Controls zur Ransomware-Resilienz sowie ein eigenständiges Verfügbarkeits-Label. Hintergrund ist die Bedrohungslage. Der BSI-Lagebericht 2025 weist einen starken Anstieg der Angriffe auf Lieferketten aus. Andere Studien zeigen eine mittlere Erkennungszeit von 287 Tagen. Achtzig Prozent der dokumentierten Ransomware-Vorfälle treffen kleine und mittlere Unternehmen, von denen wiederum nur rund sechsundfünfzig Prozent die IT-Sicherheits-Basisanforderungen erfüllen. Die ISA-6.0-Verschärfung trifft also einen Mittelstand, der ohnehin unter Aufholdruck steht.

Zwölf Bremsklötze aus der Audit-Saison Q2 2026

Aus acht TISAX-Audits im zweiten Quartal 2026, sämtlich auf Reifegrad 2 oder 3, zeigen sich Muster, die in fast jeder Vorbereitung wiederkehren. Die Reihenfolge entspricht grob der Häufigkeit.

  • 1. Klassifizierungsschema ohne praktische Umsetzung: Die Richtlinie definiert drei oder vier Schutzstufen, doch im Alltag landet alles auf Standardlaufwerken ohne Markierung. Auditoren prüfen Stichproben in Mailpostfächern und Projektordnern und finden vertrauliche Lieferantendaten ohne Kennung. Sanierung: Schema auf drei Stufen reduzieren, automatische Vorbelegung in Microsoft 365 oder Google Workspace aktivieren, zweiwöchige Inventur mit Stichproben. Aufwand: zehn bis fünfzehn Personentage.
  • 2. Asset-Inventar mit Schatten-IT-Loch: Server und Clients sind erfasst, Cloud-Tenants, Browser-Plugins, Schatten-Cloud und BYOD-Geräte fehlen. Auditoren vergleichen das Inventar mit Firewall-Logs und Rechnungs-Belegen und entdecken regelmäßig Software-as-a-Service-Konten ohne Eigentümer. Sanierung: Cloud-Discovery-Tool oder Proxy-Auswertung, halbjährliche Asset-Owner-Bestätigung. Aufwand: fünf bis zehn Personentage pro Standort.
  • 3. Lieferantenbewertung als statische Excel-Liste: Bei TISAX-Lieferantenkette schaut der Auditor explizit auf den Prozess, nicht das Dokument. Eine Liste mit grünen, gelben und roten Markierungen genügt nicht, wenn Kriterien, Bewertungs-Rhythmus und Eskalationspfad fehlen. Sanierung: Bewertungs-Workflow in Beschaffung verankern, jährliche Pflicht-Selbstauskunft, dokumentierter Eskalationspfad bei roter Bewertung. Aufwand: fünf bis acht Personentage plus Beschaffungs-Schulung.
  • 4. Backups ohne dokumentierten Restore-Test: Das war schon in ISA 5.1 ein Dauerbrenner, mit ISA 6.0 wird es härter geprüft, da Ransomware-Resilienz explizit verlangt wird. Auditoren wollen das Test-Protokoll der letzten zwölf Monate sehen, mit Recovery-Zeit, Datenstand und Fehler-Log. Sanierung: Quartals-Restore-Test eines kritischen Systems, Protokoll-Vorlage, Verantwortlicher benannt. Aufwand: drei Personentage Initialaufwand, danach laufend pro Quartal ein Tag.
  • 5. Krisenkommunikation nur auf Papier: Der Notfallplan listet Telefonnummern, aber niemand hat die Kette je geübt, und ein Out-of-Band-Kanal fehlt. Bei einem Ransomware-Vorfall sind genau diese Kanäle die ersten, die ausfallen. Auditoren fragen nach dem letzten Tabletop und der dokumentierten Übung. Sanierung: zwei Tabletops pro Jahr, alternativer Messenger-Kanal (Signal oder ähnlich), aktualisierte Telefonliste. Aufwand: zwei Personentage Vorbereitung pro Übung.
  • 6. Awareness als jährliche Klick-Pflicht: Ein E-Learning einmal pro Jahr, abgehakt, Statistik im Audit vorgezeigt. Auditoren prüfen seit ISA 6.0 ergänzend Phishing-Test-Quoten und rollenspezifische Schulungen für Administratoren und Beschaffung. Sanierung: zwei Phishing-Kampagnen pro Jahr, Quoten-Tracking, Admin-Sondertraining. Aufwand: drei Personentage pro Kampagne, plus Lizenz für ein Phishing-Tool.
  • 7. Zugriffsrechte ohne Rezertifizierung: Berechtigungen wachsen, Mitarbeiter wechseln Abteilungen, alte Accounts bleiben. Auditoren prüfen Stichproben von Administratoren und privilegierten Rollen und stoßen regelmäßig auf Ex-Mitarbeiter-Konten oder verwaiste Service-Accounts. Sanierung: halbjährliche Rezertifizierung durch Rollen-Eigentümer, Tool-Unterstützung (Identity-Governance), Sofort-Sperre bei Austritten. Aufwand: zehn Personentage Initialaufwand, danach pro Lauf zwei bis drei Tage.
  • 8. Patch-Management nur für Server: Clients, mobile Geräte und Produktions-Endpunkte fallen durch das Raster. ISA 6.0 prüft das End-zu-End. Auditoren ziehen Reports aus dem Schwachstellen-Scan und finden offene Lücken auf Vertriebslaptops oder OT-Steuerungen. Sanierung: vollständiges Asset-Inventar mit Patch-Status verknüpfen, Service-Level pro Asset-Klasse definieren, monatlicher Schwachstellen-Report an die Leitung. Aufwand: fünf bis fünfzehn Personentage je nach Heterogenität.
  • 9. Verschlüsselung im Transit, nicht im Ruhezustand: TLS auf Webservern ist Standard, bei Datenbank-Festplatten, Backup-Medien und Cloud-Buckets fehlt sie häufig. Auditoren prüfen Stichproben in Cloud-Konsolen und Backup-Repositories. Sanierung: Verschlüsselung als Default für neue Workloads, Migration kritischer Bestände priorisiert, Schlüssel-Verwaltung dokumentiert. Aufwand: acht bis zwanzig Personentage abhängig von Cloud-Reife.
  • 10. Lieferanten-Sicherheit per Selbstauskunft ohne Folge-Prozess: Der Lieferant füllt einen Fragebogen aus, das Ergebnis wandert in den Ordner. ISA 6.0 verlangt einen Bewertungs-Kreislauf mit Nachhalten, vor allem für Lieferanten mit Zugang zu Konstruktionsdaten oder Produktions-Systemen. Sanierung: risikobasierter Tiefenprüfungs-Plan, Vor-Ort-Audits für Top-Lieferanten alle zwei bis drei Jahre, dokumentierte Mängelverfolgung. Aufwand: fünf Personentage Konzept, plus Audit-Aufwand je Lieferant.
  • 11. Verarbeitungsverzeichnis und Asset-Inventar nicht synchron: Datenschutz und Informationssicherheit pflegen getrennte Listen, beim Audit zeigen sich Inkonsistenzen. Auditoren prüfen die Konsistenz beider Verzeichnisse und werten das als Reifegrad-Indikator. Sanierung: gemeinsame Asset-Datenquelle, Datenschutz-Sicht als Layer darauf, vierteljährlicher Abgleich. Aufwand: fünf bis acht Personentage Initialaufwand.
  • 12. Notfallplan nie unter Last getestet: Wiederanlaufzeiten stehen im Plan, der Wiederherstellungs-Ablauf wurde nie unter realistischen Bedingungen geübt. Auditoren fragen nach dem letzten Test-Protokoll mit gemessener Recovery-Time. Sanierung: jährliche Übung eines kritischen Geschäftsprozesses unter Stoppuhr, Lessons-Learned dokumentiert, RTO-Werte korrigiert. Aufwand: fünf Personentage Vorbereitung, ein Tag Übung.

Zeitbudget bis zur Audit-Reife

Welche Stellen in welchem Zeitfenster realistisch sanierbar sind, hängt vom Reifegrad-Ziel ab.

Vorlauf Realistisch Pattern-Bezug
4Wochen Dokumentations-Sprint, Rezertifizierungs-Lauf, Tabletop Pattern 1, 5, 6, 7
8 Wochen Backup-Test-Zyklusaufsetzen, Klassifizierungs-Inventur, Patch-Management-Lücken schließen Pattern 4, 8, 11
12Wochen Asset-Inventar inklusive Schatten-IT, Lieferanten-Bewertungs-Prozess,Verschlüsselung-Migration Pattern 2, 3, 9, 10, 12

Die Erfahrung aus Q2 zeigt: Wer den Vorlauf richtig kalibriert, vermeidet die teure Drittversuch-Konstellation, bei der Sanierungs-Sprint und Audit-Wiederholung gleichzeitig laufen.

Was Auditoren in ISA 6.0 zusätzlich prüfen

Fünf der zwölf typischen Bremsklötze benötigen den vollen Zwölf-Wochen-Vorlauf, darunter Asset-Inventare und Lieferanten-Tiefenprüfungen. Nur vier Muster lassen sich als Quick-Win in vier Wochen beheben.(Bild:  Safe Bytes)
Fünf der zwölf typischen Bremsklötze benötigen den vollen Zwölf-Wochen-Vorlauf, darunter Asset-Inventare und Lieferanten-Tiefenprüfungen. Nur vier Muster lassen sich als Quick-Win in vier Wochen beheben.
(Bild: Safe Bytes)

Das neue Verfügbarkeits-Label verschiebt die Audit-Tiefe spürbar. Geprüft werden Backup-Resilienz unter Ransomware-Bedingungen, dokumentierte Recovery-Zeiten, redundante Kommunikationswege und definierte Verantwortlichkeiten für den Krisenfall. Wer das Verfügbarkeits-Label benötigt, etwa für sicherheitsrelevante Lieferanten in der Konzern-Lieferkette, sollte Backup- und Notfall-Tests deutlich vor dem Audit-Termin abgeschlossen haben.

Fazit

Die Audit-Saison im Herbst entscheidet sich in den Wochen davor. Wer die zwölf Bremsklötze kennt und das passende Zeitfenster wählt, geht mit deutlich weniger Reibung durchs Assessment. Reife entsteht nicht im Audit, sondern in der Reihenfolge.

Über den Autor: Dr. Ümüt Kaplan ist Gründer und Geschäftsführer der IT-Security-Boutique Safe Bytes mit Sitz in Hannover. Schwerpunkte sind NIS2-Beratung, TISAX-Vorbereitung, ISO-27001-Audits und BSI-IT-Grundschutz-Konzeption. Er ist ISO-27001-Lead-Auditor (TÜV), IT-Grundschutz-Berater (BSI) und CISO (TÜV).

(ID:50891862)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung