TISAX® und BCM: Warum Prüfer jetzt genauer hinschauen

25.2.2026
 •
Charlotte Eberhart

Rund zwei Jahre nach Einführung der aktuellen TISAX-Anforderungen zeigt sich eine klare Entwicklung: Die Prüfer sind eingegroovt. Was in der Anfangsphase teilweise noch pragmatisch interpretiert wurde, wird inzwischen deutlich strukturierter und tiefer geprüft. Insbesondere im Bereich Business Continuity Management und den Verfügbarkeitsanforderungen steigt das Anspruchsniveau spürbar.

Viele Unternehmen verbinden TISAX nach wie vor primär mit Vertraulichkeit. Doch spätestens bei den Availability-Labels wird deutlich: Es geht nicht nur um den Schutz von Informationen, sondern um die belastbare Fortführung des Geschäftsbetriebs unter außergewöhnlichen Bedingungen. Und genau hier trennt sich inzwischen die Dokumentation von der tatsächlichen Belastbarkeit.

TISAX wird unterschätzt – Krisenmanagement ist kein Add-on

Im Audit zeigt sich zunehmend, dass Krisenmanagement und Business Continuity Management nicht als ergänzendes Modul betrachtet werden dürfen. Sie sind integraler Bestandteil der Bewertung und sollten deshalb beim Aufbau eines Infomations-sicherheitsmanagementsystems nicht vernachlässigt werden.

Prüfer fragen heute nicht mehr nur nach vorhandenen Dokumenten, sondern nach Strukturen, Entscheidungswegen und operativer Umsetzbarkeit. Wer übernimmt im Ernstfall die Führung? Wie wird eskaliert? Welche Ressourcen stehen realistisch zur Verfügung? Und wie aktuell sind diese Informationen tatsächlich?

 

Struktur ist Pflicht – nicht Kür

Unabhängig vom gewählten Label erwartet TISAX eine klar definierte Krisenorganisation mit dokumentierten Rollen und Verantwortlichkeiten. Ein Krisenstab muss benannt sein und Eskalationsmechanismen müssen nachvollziehbar beschrieben sein.

Entscheidend ist jedoch: Die Planung darf kein statisches Dokument sein. Sie muss regelmäßig überprüft und aktualisiert werden. Prüfer hinterfragen zunehmend, wann die Planung zuletzt überprüft wurde und ob Szenarien realistisch sind

Diese Struktur bildet das Fundament aller weiteren Ausbaustufen und reicht für alle Stufen des Schutzziels Vertraulichkeit aus.

High Availability: Wenn Theorie nicht reicht

Mit dem Label High Availability verschiebt sich der Fokus deutlich. Hier reicht es nicht mehr, Krisenszenarien abstrakt zu benennen. Unternehmen müssen darlegen, welche realistischen Bedrohungen betrachtet wurden und wie sie konkret damit umgehen. Die definierten Krisenszenarien müssen zudem mittels einer Planübung (Table Top Übung) durchgespielt werden.

Typische Szenarien sind der Ausfall zentraler IT-Infrastruktur, Ransomware-Angriffe, der Verlust eines Standorts oder der Ausfall von Schlüsselpersonal. Prüfer wollen nachvollziehen können, ob diese Szenarien strukturiert durchdacht wurden – inklusive Ressourcenplanung, Kommunikationswegen und Entscheidungsbefugnissen.

Auch Wiederanlaufziele wie Recovery Time Objective (die maximal tolerierbare Ausfallzeit) oder Recovery Point Objective (der maximale tolerierbare Datenverlust) müssen festgelegt werden. Entscheidend ist, dass diese Zielwerte realistisch erreichbar sind. In vielen Organisationen zeigt sich erst bei genauer Betrachtung, dass definierte Zeitvorgaben operativ nicht umsetzbar sind, weil Prozesse, Freigaben oder externe Abhängigkeiten nicht ausreichend berücksichtigt wurden.

Das Label High Availability bedeutet damit nicht nur Vorsorge, sondern überprüfbare Leistungsfähigkeit.

Very High Availability: Simulation als Realitätstest

Mit der nächsten Stufe, Very High Availability steigt die Erwartungshaltung nochmals deutlich. Hier genügt es nicht mehr, Szenarien am Tisch durchzusprechen. Die Organisation muss zeigen, dass ihre Maßnahmen in der Praxis funktionieren.

Simulationen, Wiederherstellungstests oder Evakuierungsübungen werden zur entscheidenden Bewährungsprobe. Dabei wird deutlich, ob dokumentierte Prozesse operativ belastbar sind oder ob es Lücken zwischen Planung und Realität gibt.

Spätestens auf dieser Stufe werden auch externe Abhängigkeiten kritisch betrachtet. Kontinuitätskonzepte müssen mit Dienstleistern abgestimmt sein. Eine isolierte Betrachtung der eigenen Organisation reicht nicht mehr aus.

Warum viele Unternehmen hier scheitern

Die Erfahrung aus Projekten zeigt: Die meisten Schwachstellen entstehen nicht aus fehlendem Fachwissen, sondern aus organisatorischer Komplexität.

Pläne existieren, doch Entscheidungswege sind nicht eingeübt. Zeitziele sind definiert, aber realistisch nicht erreichbar. Verantwortlichkeiten sind benannt, aber im Krisenfall nicht klar akzeptiert. Tests werden durchgeführt, aber Erkenntnisse nicht strukturiert in die Planung zurückgeführt.

Gerade jetzt, da Prüfer tiefer einsteigen und die operative Realität stärker hinterfragen, werden diese Schwächen sichtbar.

Fazit: Dokumentation ist nicht gleich Belastbarkeit

Business Continuity Management im TISAX-Kontext ist kein technischer Anhang und kein einmaliges Projekt. Es ist eine organisatorische Fähigkeit.

Wer Availability-Labels anstrebt, muss zeigen, dass die Organisation auch unter außergewöhnlichen Bedingungen handlungsfähig bleibt. Das bedeutet strukturierte Vorbereitung, realistische Zieldefinition, regelmäßige Überprüfung und die Bereitschaft, erkannte Schwachstellen konsequent zu schließen.

Je höher das angestrebte Label, desto stärker rückt der Nachweis tatsächlicher Belastbarkeit in den Mittelpunkt.

Auch wenn praktische Übungen und Simulationen nicht in jeder Ausprägung verpflichtend sind, zeigt die Erfahrung: Erst durch Tests werden Schwachstellen sichtbar. Unternehmen, die ihr Krisen- und Kontinuitätsmanagement regelmäßig überprüfen, schaffen nicht nur Audit-Sicherheit, sondern stärken ihre reale organisatorische Resilienz.

Wie die glacier unterstützt

Die glacier begleitet Unternehmen dabei, ihr Krisen- und Kontinuitätsmanagement nicht nur auditfähig, sondern operativ tragfähig zu gestalten. Dabei geht es nicht um zusätzliche Komplexität, sondern um klare Strukturen, realistische Zielwerte und praktikable Prozesse.

Insbesondere bei High- und Very-High-Availability-Anforderungen unterstützt die glacier dabei, Planung und tatsächliche Leistungsfähigkeit in Einklang zu bringen – damit Dokumentation und Realität übereinstimmen.

Wenn Sie wissen möchten, wo Ihr Unternehmen im Hinblick auf TISAX und BCM wirklich steht und welche Schritte jetzt sinnvoll sind, begleitet Sie die glacier gerne beratend.

Unser Blog

Entdecken Sie weitere Artikel

TISAX® und BCM: Warum Prüfer jetzt genauer hinschauen

Zwei Jahre nach Einführung der aktuellen TISAX-Anforderungen prüfen Auditoren deutlich tiefer – insbesondere bei Business Continuity Management und Availability. Warum Dokumentation nicht mehr ausreicht und wo Unternehmen jetzt konkret nachschärfen müssen, lesen Sie hier.

OpenClaw im Unternehmen: Risiken für Informationssicherheit und Datenschutz

KI-Agenten wie OpenClaw versprechen tiefgreifende Automatisierung und Produktivitätsgewinne. Gleichzeitig erfordern sie weitreichende System- und Account-Berechtigungen. Dieser Beitrag ordnet ein, woher OpenClaw kommt, wie das Tool technisch arbeitet und warum sein unkontrollierter Einsatz erhebliche Risiken für Informationssicherheit und Datenschutz birgt.

Automatisierte Tools im Unternehmen – zwischen Effizienz und Verantwortung

Automatisierte Tools versprechen schnelle Lösungen für Informationssicherheit und Compliance. Doch wo endet sinnvolle Unterstützung – und wo beginnen Risiken? Ein kritischer Blick auf Automatisierung, Verantwortung und die Rolle von Beratung.