ISO 27001, TISAX, VDA ISA, … im Vergleich – Orientierung im Normendschungel der Informationssicherheit
Orientierung im Vorschriftenlabyrinth
Zunehmender Wettbewerbsdruck, gesetzliche Vorgaben, steigende Cyberbedrohungen: Unternehmen stehen unter Druck, ihre Informationssicherheit professionell aufzustellen. Doch welche Norm passt eigentlich zum eigenen Geschäftsmodell? ISO 27001, TISAX, VDA ISA, BSI-Grundschutz, NIS2 oder doch branchenspezifische Anforderungen?
Diese Frage ist entscheidend – denn Überregulierung kostet Geld und Zeit, Unterregulierung gefährdet Vertrauen, Kundenbeziehungen und unter Umständen sogar die Existenz.
Dieser Beitrag zeigt anhand realer Anforderungen, worin sich die wichtigsten Normen unterscheiden, welche sich für wen eignen und worauf Unternehmen beim Einstieg achten sollten.
1. Warum überhaupt eine Norm?
Eine Norm zur Informationssicherheit ist mehr als ein Stück Papier. Sie ist:
- Vertrauensbeweis gegenüber Kunden, Partnern und Aufsichtsbehörden
- Risikomanagement-Instrument, das systematisch Schwachstellen erfasst
- Wettbewerbsvorteil, vor allem bei Ausschreibungen
- Rechts- und Haftungsschutz, etwa bei Datenschutzverstößen
- Orientierungshilfe, um IT- und Sicherheitsstrukturen aufzubauen
Normen bringen Struktur – doch sie müssen zur Unternehmensrealität passen. Und genau hier beginnt der Irrgarten.
2. ISO/IEC 27001 – der internationale Standard
Die ISO/IEC 27001 ist die weltweit bekannteste Norm für Informationssicherheits-Managementsysteme (ISMS).
Merkmale:
- International anerkannt
- Modular, risikobasiert, prozessorientiert
- Grundlage für viele weitere Ableitungen (z. B. ISO 27701, ISO 27017 etc.)
- Anforderungen an Kontext, Führung, Risikobewertung, Maßnahmenplanung, Monitoring
- Zertifizierung durch akkreditierte Stellen
Für wen geeignet?
- Unternehmen jeder Größe und Branche
- Besonders geeignet für Unternehmen mit internationalen Partnern oder Kunden
- Häufig in der Lieferkette gefordert
Vorteile:
International gültig
Flexibel und skalierbar
Kompatibel mit anderen Managementsystemen (ISO 9001, ISO 14001)
3. TISAX – der Automobilstandard
TISAX (Trusted Information Security Assessment Exchange) ist ein von der ENX Association entwickelter Standard speziell für die Automobilindustrie, basierend auf dem VDA ISA-Katalog.
Merkmale:
- Spezifisch für Automotive-Zulieferer
- Keine ISO-Zertifizierung, sondern Assessmentmodell mit Labels
- Anforderungen u. a. an Prototypenschutz, Anbindung Dritter, Datenschutz
Für wen geeignet?
- Zulieferer, Dienstleister, Entwicklungsfirmen im Automotive-Umfeld
- Auch IT-Dienstleister mit OEM-Kunden
Vorteile:
Branchenrelevanz
Pflichtvoraussetzung für OEM-Zulassungen
Vergleichbarkeit durch Assessment-Level
4. VDA ISA – das Fundament von TISAX
Der VDA ISA ist ein Fragenkatalog, der die Grundlage für TISAX bildet. Er orientiert sich stark an ISO 27001, ergänzt jedoch branchenspezifische Anforderungen.
Typische Inhalte:
- Informationssicherheitsmanagement
- Konnektivität zu Dritten
- Datenschutz nach DSGVO
- Prototypenschutz
Für Unternehmen ohne TISAX-Zwang kann der VDA ISA als Selbstcheck dienen, um sich systematisch auf TISAX vorzubereiten – oder als Erweiterung eines bestehenden ISO 27001 ISMS.
5. BSI-Grundschutz – deutsch, staatlich, konkret
Der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist detaillierter als ISO 27001, stärker vorschreibend und wird häufig im öffentlichen Sektor verwendet.
Merkmale:
- 3 Schutzniveaus (Basis-, Standard-, Kernschutz)
- Modularer Aufbau mit konkreten Umsetzungshinweisen
- Bestandteil des IT-Sicherheitskatalogs für KRITIS-Unternehmen
Vorteile:
Sehr detailliert
Öffentliche Förderung möglich
Eng mit deutschen Gesetzen und Aufsichtsbehörden abgestimmt
Nachteile:
Für kleinere Unternehmen oft zu umfangreich
Internationale Anerkennung begrenzt
6. Weitere relevante Normen und Vorgaben
ISO 27701 – Datenschutz-Management
Erweiterung der ISO 27001 um Anforderungen an den Umgang mit personenbezogenen Daten.
ISO 27017 / 27018 – Cloud Security
Branchenspezifische Ergänzungen zur ISO 27001 mit Fokus auf Cloudumgebungen und Datenschutz.
NIS2 – neue europäische Richtlinie
Ab Oktober 2024 müssen Unternehmen in kritischen Sektoren (z. B. Energie, Verkehr, Finanzen) Anforderungen aus der NIS2-Richtlinie umsetzen – auch ohne formale Zertifizierungspflicht.
7. Wann reicht ISO 27001? Wann ist TISAX zwingend?
| Unternehmenstyp | Empfohlene Norm |
| Mittelständischer Dienstleister | ISO 27001 |
| Automotive-Zulieferer | TISAX (VDA ISA verpflichtend) |
| Softwareunternehmen mit Cloud | ISO 27001 + ISO 27017/18 |
| Unternehmen mit vielen Subdienstleistern | ISO 27001 + VDA ISA |
| Behördennahes Unternehmen | BSI-Grundschutz |
| Internationaler Konzern | ISO 27001 mit Erweiterungen |
8. Zertifizierung vs. Assessment: Was ist der Unterschied?
- Zertifizierung (z. B. ISO 27001): erfolgt durch eine akkreditierte Stelle, nach standardisiertem Auditverfahren
- Assessment (z. B. TISAX): wird durch ein Assessment-Level bewertet, kein Zertifikat, sondern Ergebnislabel im Portal
Beide Verfahren haben unterschiedliche Wirkung – und sollten je nach Ziel (Ausschreibung, Image, Pflicht) gewählt werden.
9. Auswahlstrategie: Welche Norm passt?
1. Anforderungen ermitteln
- Kundenvorgaben prüfen (z. B. OEM-Vorgaben, Cloudvertragsanforderungen)
- Interne Anforderungen (z. B. Risikobereitschaft, IT-Komplexität)
2. Normkompatibilität prüfen
- ISO 27001 als „Basisnorm“ deckt viele Anforderungen bereits ab
- Erweiterungen sind möglich – z. B. für Datenschutz oder Safety
3. Lückenanalyse durchführen
- Was ist bereits vorhanden (Policy, Prozesse, Technik)?
- Welche Anforderungen sind neu?
4. Schrittweise planen
- Beginnen mit einem kleinen Geltungsbereich
- Roadmap entwickeln: erst ISO, dann Erweiterungen (z. B. TISAX)
10. Fazit: Struktur statt Verwirrung
Im Dschungel der Sicherheitsnormen ist Orientierung das A und O. ISO 27001 ist für viele Unternehmen ein sinnvoller Ausgangspunkt – flexibel, international anerkannt und gut kombinierbar. TISAX und VDA ISA sind unverzichtbar im Automotive-Sektor. Wer internationale Standorte oder Cloudbetrieb plant, sollte die passenden Ergänzungen gleich mitdenken.
Wichtig ist: Nicht alles auf einmal. Lieber klein starten – dafür mit klarem Ziel und fundierter Entscheidung.
Adinger unterstützt Unternehmen bei der Auswahl, Einführung und Umsetzung passender Normen und ISMS-Strukturen – strategisch, praxisnah und revisionssicher.
