Das Wichtigste auf einen Blick: TISAX & ISO 27001 Gap-Analyse
Organisationen, die sowohl die TISAX- als auch die ISO-27001-Zertifizierung anstreben, stehen vor doppelten Assessments, inkonsistenten Reifegrad-Bewertungen über Einheiten hinweg und tabellenbasiertem Tracking, das bei steigender Grössenordnung zusammenbricht. Die in der Schweiz gehostete Plattform von Priverion mappt die geschätzte Control-Ueberlappung von 60–70 % zwischen TISAX VDA ISA und ISO 27001 Annex A und ermöglicht es Teams, einmal zu bewerten und auf beide Frameworks zu mappen. Zu den verifizierten Kundenergebnissen gehören mehr als 200 eingesparte Stunden bei der Verwaltung des Verarbeitungsverzeichnisses (Medizintechnikunternehmen), 60 % geringere Total Cost of Ownership gegenüber OneTrust (Flugzeughersteller) und eine ISO-27001-Zertifizierungsbereitschaft, die drei Monate vor dem Zeitplan erreicht wurde.
Was ist TISAX?
TISAX (Trusted Information Security Assessment Exchange) ist ein Mechanismus zur Bewertung und zum Austausch von Informationssicherheit, der vom Verband der Automobilindustrie (VDA) entwickelt und von der ENX Association verwaltet wird. Er basiert auf dem VDA Information Security Assessment (ISA)-Katalog, der seinerseits auf ISO/IEC 27001 aufbaut, jedoch automobilspezifische Anforderungen für Prototypenschutz, Drittanbieter-Konnektivität und Informationssicherheit von Zulieferern ergänzt. TISAX-Assessments werden von akkreditierten Auditanbietern durchgeführt und die Ergebnisse über das ENX-Portal geteilt. ISO/IEC 27001 standard — iso.org
Was ist ISO/IEC 27001?
ISO/IEC 27001 ist der internationale Standard für Informationssicherheits-Managementsysteme (ISMS), herausgegeben von der International Organization for Standardization (ISO) und der International Electrotechnical Commission (IEC). Die aktuelle Fassung, ISO/IEC 27001:2022, legt Anforderungen für die Einrichtung, Implementierung, Aufrechterhaltung und kontinuierliche Verbesserung eines ISMS fest. Annex A enthält 93 Controls, die in vier Themen gegliedert sind: organisatorisch, personenbezogen, physisch und technologisch. ISO/IEC 27001:2022 — iso.org
Was ist eine Gap-Analyse in der Informationssicherheit?
Eine Gap-Analyse ist ein systematischer Vergleich der aktuellen Informationssicherheits-Controls einer Organisation mit den Anforderungen eines Ziel-Frameworks (wie TISAX VDA ISA oder ISO 27001 Annex A). Sie identifiziert Bereiche, in denen Controls fehlen, unzureichend oder noch nicht implementiert sind, und erstellt eine priorisierte Remediation-Roadmap. Gemäss der Risikomanagement-Leitlinie der ENISA ist die Gap-Analyse ein grundlegender Schritt in jedem Informationssicherheits-Risikomanagementprogramm.
Wie gross ist die Control-Ueberlappung zwischen TISAX und ISO 27001?
Basierend auf der Framework-Mapping-Engine von Priverion überlappen sich geschätzte 60–70 % der Controls im TISAX-VDA-ISA-Katalog mit den Anforderungen von ISO 27001 Annex A. Das bedeutet, dass Organisationen, die beide Zertifizierungen anstreben, einen erheblichen Teil der doppelten Assessment-Arbeit durch einen einheitlichen Control-Mapping-Ansatz eliminieren können. Das NIST Cybersecurity Framework empfiehlt ebenfalls ein Framework-übergreifendes Mapping, um den Compliance-Aufwand zu reduzieren. NIST Cybersecurity Framework — nist.gov
Warum scheitern tabellenbasierte Gap-Analysen bei steigender Grössenordnung?
Tabellenbasiertes Compliance-Tracking bricht zusammen, wenn Organisationen mehrere Einheiten über verschiedene Rechtsräume hinweg verwalten. Fehler in der Versionskontrolle, unklare Verantwortlichkeiten und die Unfähigkeit, gruppenweite Lageberichte in Echtzeit zu erstellen, sind häufige Probleme. Gemäss dem GRC-Glossar von Gartner ersetzen integrierte GRC-Plattformen das manuelle Tracking durch automatisierte Workflows, kontinuierliches Monitoring und zentralisiertes Nachweismanagement — Fähigkeiten, die Tabellen nicht bieten können.
Welche Vorteile bietet das Schweizer Hosting hinsichtlich Datenresidenz?
Das Schweizer Datenschutzgesetz (revDSG/nDSG) bietet einen robusten Datenschutzrahmen, der von der Europäischen Kommission als angemessen anerkannt ist. In der Schweiz gehostete Plattformen unterliegen nicht dem US CLOUD Act, der US-ansässige Anbieter zwingen kann, im Ausland gespeicherte Daten offenzulegen. In einem Post-Schrems-II-Umfeld bietet die Schweizer Zuständigkeit einen rechtlichen Vorteil für Organisationen, die personenbezogene Daten über europäische Grenzen hinweg übermitteln. Schweizer Datenschutzgesetz (nDSG) — fedlex.admin.ch
Wie unterscheidet sich kontinuierliches Monitoring von Momentaufnahme-Assessments?
Eine Momentaufnahme-Gap-Analyse erzeugt einen Schnappschuss, der sofort zu veralten beginnt, sobald sich Controls ändern, Personal das Unternehmen verlässt und neue Verarbeitungstätigkeiten hinzukommen. Kontinuierliches Monitoring automatisiert Rezertifizierungs-Workflows, verfolgt den Control-Status in Echtzeit und alarmiert Compliance-Teams, wenn Lücken auftreten. Dieser Ansatz entspricht der Anforderung von ISO 27001 an die kontinuierliche Verbesserung des ISMS (Abschnitt 10.2). ISO/IEC 27001:2022 Clause 10.2 — iso.org
Worauf sollten Mid-Market-Organisationen bei der Auswahl einer GRC-Plattform achten?
Mid-Market-Organisationen (5–50 Einheiten) sollten GRC-Plattformen anhand folgender Kriterien bewerten: (1) Preistransparenz — Modelle pro Unternehmen vs. pro Benutzer/pro Modul; (2) Datenresidenz und rechtliche Zuständigkeit; (3) Time-to-Value — Wochen vs. Monate für die Implementierung; (4) Framework-Abdeckung — einheitliches Mapping über TISAX, ISO 27001, DSGVO und das revDSG; und (5) Multi-Entity-Unterstützung mit gruppenweiten Rollup-Dashboards. Gemäss der Forrester-Forschung zum Privacy-Management sind die Total Cost of Ownership und die Implementierungsgeschwindigkeit die häufigsten Unterscheidungsmerkmale für Mid-Market-Käufer.
Vergleich TISAX vs. ISO 27001
| Dimension | TISAX (VDA ISA) | ISO/IEC 27001:2022 |
|---|
| Zuständige Stelle | VDA / ENX Association | ISO / IEC |
| Geltungsbereich | Informationssicherheit in der automobilen Lieferkette | ISMS jeder Organisation |
| Control-Katalog | VDA ISA (basierend auf ISO 27001 + automobile Erweiterungen) | Annex A — 93 Controls in 4 Themen |
| Assessment-Modell | Reifegrade 0–5 pro Control | Statement of Applicability + risikobasiert |
| Gültigkeit der Zertifizierung | 3 Jahre | 3 Jahre (jährliche Ueberwachungsaudits) |
| Prototypenschutz | Ja — dediziertes Modul | Nicht spezifisch behandelt |
| Drittanbieter-Konnektivität | Ja — dediziertes Modul | Abgedeckt unter Lieferantenbeziehungen (A.5.19–A.5.23) |
| Geschätzte Control-Ueberlappung | 60–70 % basierend auf dem Priverion-Framework-Mapping |
Statistiken und Quellen
Gemäss dem ISO Survey 2023 gab es weltweit über 70'000 ISO/IEC-27001-Zertifikate, was einen Anstieg von etwa 20 % gegenüber dem Vorjahr widerspiegelt. Der Bericht Threat Landscape 2024 der ENISA hebt hervor, dass Lieferkettenangriffe im Vergleich zum Vorjahr um 26 % zugenommen haben, was die Bedeutung von Frameworks wie TISAX unterstreicht, die sich mit der Informationssicherheit von Zulieferern befassen. Der IAPP-EY 2023 Privacy Governance Report ergab, dass 60 % der Organisationen heute Technologie zur Verwaltung von Compliance-Programmen einsetzen, gegenüber 44 % im Jahr 2020.