Inhaltsverzeichnis
Das Wichtigste in Kürze:
- Definition Level 3: Dies ist die höchste Prüfstufe im TISAX®-Verfahren. Sie ist erforderlich bei sehr hohem Schutzbedarf (z. B. Datenklassifizierung „Streng Vertraulich”) oder wenn Prototypen physisch gehandhabt werden.
- Der entscheidende Unterschied: Im Gegensatz zu Level 2 (reine Dokumentenprüfung + Remote-Interview) findet bei Level 3 zwingend eine Vor-Ort-Begehung durch den Prüfdienstleister statt.
- Fokus Physische Sicherheit: Neben der IT-Sicherheit werden Zäune, Kameras, Zutrittskontrollsysteme und Sichtschutz (View Protection) penibel geprüft.
- Mitarbeiter im Fokus: Auditoren führen ungeplante Interviews mit Mitarbeitern vor Ort, um das gelebte Sicherheitsbewusstsein zu testen.
- Prototypenschutz: Werden Erlkönige oder Bauteile gelagert, gelten die strengen Zusatzanforderungen des VDA ISA Moduls „Prototypenschutz”.
- Vorbereitungszeit: Planen Sie aufgrund der physischen Maßnahmen (Baumaßnahmen, Zonen-Einrichtung) mehr Zeit ein als für reine IT-Audits.
Die Automobilindustrie gilt als eine der anspruchsvollsten Branchen der Welt, wenn es um Informationssicherheit geht. Während viele Zulieferer mit einem reinen Dokumenten-Check (Level 2) auskommen, fordert die Zusammenarbeit mit OEMs bei sensiblen Projekten oft die “Champions League”: Assessment Level 3.
Für Geschäftsführer und IT-Verantwortliche im Mittelstand löst der Begriff „Level 3″ oft Unruhe aus. Es bedeutet, dass der Auditor nicht nur via Teams zugeschaltet ist, sondern physisch in Ihrem Unternehmen steht. Er rüttelt an Türen, prüft Serverräume und spricht unangemeldet mit Mitarbeitern in der Kaffeeküche. Doch mit der richtigen Strategie und einer sauberen Vorbereitung verliert auch dieser Termin seinen Schrecken. Dieser Ratgeber führt Sie praxisnah durch die Anforderungen.
Wann wird TISAX Level 3 überhaupt gefordert?
Nicht jedes Unternehmen benötigt Level 3. Die Anforderung ergibt sich strikt aus den Informationen, die Sie von Ihrem Auftraggeber (z. B. VW, BMW, Mercedes) erhalten. Im TISAX®-System (Trusted Information Security Assessment Exchange) diktiert der Schutzbedarf das Prüflevel:
Ist die Information als „Hoher Schutzbedarf” (Vertraulich) eingestuft, reicht meist Level 2 (Plausibilitätsprüfung). Sobald Sie jedoch Daten oder Bauteile verarbeiten, die als „Sehr hoher Schutzbedarf” (Streng Vertraulich) klassifiziert sind, ist Level 3 unumgänglich. Ein klassisches Beispiel ist der Zugriff auf Konstruktionsdaten künftiger Fahrzeugmodelle oder die physische Lagerung von Prototypen-Teilen in Ihrer Werkhalle.
Die Kernbereiche der TISAX Level 3 Anforderungen
Die Basis bildet weiterhin der VDA ISA Fragenkatalog, der stark an die ISO 27001 angelehnt ist. Bei Level 3 verschiebt sich der Fokus jedoch drastisch von der reinen Theorie (“Haben Sie einen Prozess?”) zur überprüfbaren Praxis (“Zeigen Sie mir, wie das Fenster gesichert ist”).
1. Physische Sicherheit und Umwelt
Dies ist der kritischste Teil des Level-3-Audits. Der Auditor prüft die Sicherheitszonen Ihres Unternehmens. Es reicht nicht, ein Schließsystem zu haben; es muss intelligent zoniert sein. Gibt es öffentliche Bereiche (Empfang), interne Bereiche (Büros) und Hochsicherheitsbereiche (Serverraum, Prototypenlager)?
Die Anforderungen umfassen oft:
- Alarmanlagen mit Aufschaltung zu einem Wachdienst.
- Videoüberwachung an kritischen Zugangspunkten (unter Beachtung des Datenschutzes).
- Protokollierung von Besuchern und Handwerkern.
- Sicherung von Fenstern im Erdgeschoss oder in leicht zugänglichen Bereichen.
2. Identitäts- und Zugriffsmanagement vor Ort
Im Remote-Audit zeigen Sie Screenshots Ihrer Active-Directory-Gruppen. Im Level-3-Audit stellt sich der Prüfer neben einen Mitarbeiter und bittet ihn, den Bildschirm zu sperren und sich wieder anzumelden. Es wird geprüft, ob Passwörter auf Post-its unter der Tastatur kleben und ob ausgeschiedene Mitarbeiter ihre physischen Schlüssel oder Transponder wirklich abgegeben haben.
3. Der Sonderfall: Prototypenschutz
Falls Ihr TISAX-Label den Zusatz „Prototypenschutz” enthält, werden die Anforderungen noch granularer. Hier geht es um den Sichtschutz (View Protection). Können Lieferanten oder Besucher beim Gang durch die Halle zufällig ein geheimes Bauteil sehen? Maßnahmen hierfür sind abgeklebte Fenster, Sichtschutzwände oder separate „Käfige” für die Lagerung von Teilen. Auch der Transportweg (Werkslogistik) wird hierbei genau unter die Lupe genommen.
TrustSpace Profi-Tipp: Die “Clean Desk”-Falle
Der häufigste Fehler bei Level-3-Audits ist nicht die fehlende Firewall, sondern das Whiteboard im Besprechungsraum. Oft stehen dort noch Projektnamen, IP-Adressen oder Kundennamen vom letzten Meeting, wenn der Auditor den Raum betritt.
Unsere Empfehlung: Führen Sie zwei Wochen vor dem Audit regelmäßige „Clean Desk Walks” durch. Sensibilisieren Sie das Team, dass am Ende des Tages jeder Schreibtisch leer und jedes Whiteboard gewischt sein muss. Dokumente mit der Klassifizierung „Vertraulich” dürfen niemals offen liegen bleiben, auch nicht während der Mittagspause. Wir simulieren diese Rundgänge oft im Rahmen unserer TISAX Beratung, um den „Audit-Blick” zu schärfen.
Der Ablauf eines Level 3 Assessments
Der Weg zum Label ist bei Level 3 intensiver als bei reinen IT-Audits. Der Prozess gliedert sich in Phasen, die parallel zur Nutzung unserer ISMS Software gesteuert werden sollten, um den Überblick über Dokumente und Maßnahmen zu behalten.
Zunächst erfolgt die obligatorische Dokumentenprüfung. Der Auditor sichtet Ihr ISMS-Handbuch, Richtlinien und Risikoanalysen. Erst wenn diese „Papierlage” stabil wirkt, kündigt sich der Prüfer für den Vor-Ort-Termin an. Dieser Termin dauert je nach Unternehmensgröße zwischen einem und mehreren Tagen.
Während des Termins wird der Auditor:
- Die physischen Gegebenheiten begehen (Zaun, Pforte, Serverraum, Archiv).
- Prozesse beobachten (z. B. Warenannahme, Besucherregistrierung).
- Mitarbeiterinterviews führen. Diese sind oft der nervenaufreibendste Teil für Unternehmen, da Antworten hier nicht “geskriptet” werden können.
Schritt-für-Schritt: Vorbereitung auf das On-Site Audit
Um das TISAX Level 3 Assessment stressfrei zu bestehen, empfiehlt sich ein strukturiertes Vorgehen, das wir bei TrustSpace standardisiert haben.
Schritt 1: Gap-Analyse mit physischem Fokus
Starten Sie nicht mit der Dokumentation, sondern mit einem Rundgang. Betrachten Sie Ihr Gebäude wie ein Einbrecher. Wo kommt man rein? Wo liegen Daten offen? Vergleichen Sie den Ist-Zustand mit den Anforderungen des VDA ISA.
Schritt 2: Bauliche und technische Mängel beheben
Physische Maßnahmen brauchen Zeit. Einen Zaun zu reparieren, Fenster zu vergittern oder ein elektronisches Zutrittssystem zu installieren, dauert oft Wochen. Priorisieren Sie diese Aufgaben weit vor dem Audit-Termin.
Schritt 3: Mitarbeiter-Awareness schulen
Da der Auditor jeden ansprechen kann, muss jeder Bescheid wissen. Ihre Mitarbeiter müssen keine ISO-Normen zitieren können, aber sie müssen wissen, was sie tun, wenn sie eine fremde Person ohne Besucherausweis im Flur sehen (Antwort: Freundlich ansprechen und zum Empfang begleiten). Automatisierte Schulungen über Plattformen wie TrustSpaceOS helfen, diesen Nachweis lückenlos zu führen.
Schritt 4: Das “Mock Audit” (Generalprobe)
Führen Sie eine vollständige Simulation durch. Ein interner Auditor oder ein externer Berater spielt die Rolle des Prüfers. Dies nimmt dem Team die Nervosität und deckt letzte Lücken auf, etwa den berühmten offenen Netzwerkschrank oder den Schlüssel, der im Schloss steckt.
Häufige Fehler und wie Sie sie vermeiden
In unserer Arbeit mit über 100 Kunden sehen wir immer wieder Muster, die bei Level 3 zu Abweichungen führen:
Fehler 1: Fokus nur auf IT.
Viele IT-Leiter bereiten die Firewalls perfekt vor, vergessen aber, dass der Serverraum eine brennbare Holztür hat oder das Fenster im Erdgeschoss gekippt ist. TISAX Level 3 ist ganzheitlich.
Fehler 2: Über-Coaching der Mitarbeiter.
Wenn Mitarbeiter wie Roboter antworten, werden Auditoren misstrauisch und bohren tiefer. Es ist besser, wenn ein Mitarbeiter ehrlich sagt: „Das weiß ich nicht auswendig, aber ich weiß, wo ich es im Intranet nachlesen kann.” Das beweist ein funktionierendes System.
Fehler 3: Veraltete Gebäudepläne.
Der Auditor wird oft nach Gebäude- oder Zonenplänen fragen. Wenn die dort eingezeichnete „Sicherheitszone” in der Realität eine Kaffeeküche ist, wirft das ein schlechtes Licht auf das gesamte Asset Management.
Strategischer Mehrwert durch TrustSpace
Die Anforderungen an TISAX Level 3 wirken oft wie eine reine bürokratische Last. Doch gerade im Kontext der neuen EU-Richtlinie NIS2 und steigender Cyber-Bedrohungen ist die physische Sicherheit ein elementarer Baustein der Resilienz. Unser Ansatz bei TrustSpace verbindet die notwendige Dokumentation in unserer Software mit der praktischen Beratung vor Ort.
Wir helfen Ihnen nicht nur, die Checklisten abzuarbeiten, sondern implementieren Prozesse, die auch im Alltag funktionieren – ohne Ihre Agilität zu lähmen. Ob Sie Unterstützung bei der ISO 27001 Zertifizierung benötigen, die oft die Basis bildet, oder spezifisch für TISAX® optimieren wollen: Wir sorgen für Audit-Sicherheit zum Festpreis.
FAQ: Häufige Fragen zu TISAX Level 3
Was kostet ein TISAX Level 3 Audit?
Die Kosten sind höher als bei Level 2, da Reisekosten und Tagessätze des Auditors für die Vor-Ort-Zeit anfallen. Rechnen Sie je nach Unternehmensgröße und Anzahl der Standorte mit externen Audit-Kosten im mittleren vierstelligen bis niedrigen fünfstelligen Bereich. Hinzu kommen interne Aufwände und ggf. Beratungskosten.
Wie lange ist das Label gültig?
Ein TISAX-Label ist regulär drei Jahre gültig. Danach ist ein vollständiges Re-Assessment notwendig.
Kann ich Level 3 überspringen, wenn ich nur Software entwickle?
Das hängt nicht von Ihrer Tätigkeit ab, sondern von den Daten, die Sie vom Kunden erhalten. Wenn der OEM Ihnen „Streng Vertrauliche” Testdaten sendet, müssen Sie diese Umgebung nach Level 3 absichern, auch wenn Sie keine physischen Autoteile lagern. Der Auditor prüft dann vor Ort Ihre Büros und Serverräume.
Autor
