.png)
Wie TISAX®-Kontrollen 1.6.3, 5.2.8 und 5.2.9 die IT-Resilienz deines Unternehmens stärken
Wer sich mit TISAX® beschäftigt, begegnet früher oder später dem Begriff der Business Continuity – und damit den konkreten Anforderungen an Schadsoftware-Schutz, IT-Dienstekontinuität und Wiederherstellungskonzepte. Was auf den ersten Blick technisch klingt, betrifft in Wahrheit das Überleben der Organisation im Ernstfall.
Denn wie schnell ein Unternehmen nach einem Sicherheitsvorfall wieder arbeitsfähig ist, entscheidet nicht nur über Imageschäden oder Umsatzeinbußen, sondern auch über die Existenz von Lieferbeziehungen. Gerade im Automotive-Umfeld, wo Produktionsketten eng getaktet sind, duldet ein Stillstand keinen Aufschub.
TISAX®-Control 1.6.3: Schutz vor Schadsoftware im Fokus
Die TISAX®-Control 1.6.3 fordert einen effektiven Schutz vor Schadsoftware. Es genügt längst nicht mehr, nur einen Antivirenscanner zu installieren. Unternehmen müssen nachvollziehbar belegen, dass sie proaktiv gegen den Verlust von Verfügbarkeit kritischer Systeme, Prozesse und Dienste vorgehen – von der technischen Absicherung bis zur organisatorischen Regelung. Dazu zählen moderne Schutzmechanismen wie Endpoint Detection & Response (EDR), zentrale Update- und Monitoringlösungen sowie definierte Maßnahmen bei der Nutzung externer Datenquellen oder Datenträger, sogenannte organisationsfremde IT-Dienste.
Auch Awareness ist ein Thema: Wer regelmäßig simulierte Phishing-Angriffe oder gezielte Schulungen durchführt, erhöht nicht nur die Resilienz der Mitarbeitenden, sondern erfüllt auch die dokumentationspflichtigen Anforderungen dieser Kontrolle.
TISAX®-Anforderung 5.2.8: Kontinuitätsplanung für IT-Dienste
In 5.2.8 geht es um nicht weniger als die zentrale Frage: Was passiert, wenn dein IT-System ausfällt – sei es durch einen Ransomware-Angriff, einen Stromausfall oder schlicht durch einen technischen Defekt? Diese Anforderung verlangt eine umfassende Planung, die sowohl typische Vorfälle als auch Worst-Case-Szenarien abdeckt.
Dabei ist besonders relevant, dass die Wiederherstellung nicht dem Zufall überlassen bleibt: Verantwortlichkeiten müssen geklärt, Kommunikationswege definiert und Wiederanlaufzeiten (RTO) realistisch bewertet sein. Auch alternative Energieversorgung, redundante Netzwerke und sogar vorbereitete manuelle Betriebsarten spielen eine Rolle – ebenso wie regelmäßige Tests dieser Pläne und deren Aktualisierung nach jedem relevanten Vorfall.
5.2.9 das TISAX®-Control für Backup & Wiederherstellung
Die dritte zentrale Anforderung in diesem Zusammenhang, 5.2.9, widmet sich der Sicherung und Wiederherstellung von Daten. Was hier auf den ersten Blick nach einem klassischen IT-Thema klingt, ist in Wahrheit ein sensibles Element der Gesamtverantwortung: Wer entscheidet im Ernstfall über Wiederherstellungsreihenfolgen? Wo liegen welche Daten? Und sind diese Daten nicht nur gesichert, sondern auch in ihrer Wiederherstellbarkeit geprüft und vor Manipulation geschützt?
TISAX® fordert hier unter anderem die Verwendung von unveränderlichen Backup-Formaten (immutable backups), eine geografisch getrennte Aufbewahrung und regelmäßige Prüfungen auf Wiederherstellbarkeit. Wer hier keine klaren Konzepte vorweisen kann – idealerweise inklusive Protokollen und technischen Nachweisen – riskiert empfindliche Abwertungen im Assessment.
Du möchtest mehr darüber erfahren, wie vertrauliche Daten effektiv geschützt und verschlüsselt werden – auch im Kontext von TISAX®-Anforderungen? Dann wirf einen Blick auf unseren Beitrag:👉 Sichere Dateiverschlüsselung in Unternehmen
Was heißt das konkret für dein Unternehmen?
Viele Organisationen unterschätzen diese drei Controls – nicht aus Fahrlässigkeit, sondern aus mangelnder Tiefe in der Umsetzung. Die gute Nachricht: Es sind keine neuen Konzepte. Vielmehr geht es darum, bestehende Sicherheitsmaßnahmen strukturiert zu dokumentieren, Verantwortlichkeiten zu benennen und technische Maßnahmen regelmäßig zu testen.
Ein funktionierendes ISMS hilft dabei, doch gerade im Bereich Business Continuity braucht es operative Klarheit: Wer tut was – wann – mit welchen Ressourcen – und in welcher Reihenfolge?
Du möchtest verstehen, wie TISAX®-Kontrollen wie 1.6.3, 5.2.8 und 5.2.9 in das große Ganze passen?Hier findest du den vollständigen Überblick über den VDA ISA und die TISAX®-Kapitelstruktur:👉 TISAX®-Anforderungen im Überblick
Häufige Fragen zu Business Continuity
🔍 Was verlangen die TISAX®-Controls zum Schutz vor Schadsoftware (1.6.3)?
Die TISAX®-Control 1.6.3 fordert umfassende Schutzmaßnahmen gegen Schadsoftware – dazu gehören aktuelle Schutztechnologien wie EDR, kontrollierter Einsatz externer Medien und regelmäßige Schulungen zur Erkennung von Angriffsmustern. Alle Maßnahmen müssen dokumentiert und zentral verwaltet werden.
🔍 Was wird in TISAX®-Anforderung 5.2.8 zur IT-Kontinuitätsplanung verlangt?
Unternehmen müssen kritische IT-Dienste identifizieren und für den Ernstfall vorausschauend planen: mit klaren RTO-Zielen, alternativen Betriebsstrategien, Backup-Stellen, Kommunikationswegen und regelmäßigen Tests. Auch Abstimmungen mit externen Dienstleistern sind Teil der Anforderung.
🔍 Was fordert die TISAX®-Control 5.2.9 in Bezug auf Backup und Wiederherstellung?
Gefordert ist ein vollständiges Konzept zur Sicherung und Wiederherstellung von Daten und IT-Diensten – inklusive Wiederherstellungszielen (RPO/RTO), technischer Tests, Schutzmechanismen wie immutable Backups und geografischer Redundanz. Auch werden regelmäßige Wiederherstellungstests verlangt.
Praxisorientierte Unterstützung für deine TISAX®-Reise
Wenn du merkst, dass deine aktuellen Backup-Konzepte nicht mehr dem Stand der Technik entsprechen, dein Notfallhandbuch veraltet ist oder die Umsetzung der Schutzmaßnahmen gegen Schadsoftware nur auf dem Papier existiert, ist jetzt der richtige Zeitpunkt, gegenzusteuern.
Unsere TISAX®-Beratung hilft dir dabei, aus jedem Kontrollpunkt eine umsetzbare Maßnahme zu machen – mit individuellen Dokumenten, Erfahrungswerten aus über 30 Projekten und einer pragmatischen Vorgehensweise, die sich an deinem Betrieb orientiert – nicht an der Theorie.
