TISAX Audit vorbereiten: Die Checkliste für Eventagenturen

TISAX Audit vorbereiten — die Checkliste für Eventagenturen und Live-Kommunikations-Partner

TISAX ist 2026 kein Bonus mehr — es ist der Türöffner zu Automotive- und Aerospace-Konzernen. Wer keine TISAX-Zertifizierung hat, kommt in vielen Vergabe-Verfahren nicht einmal in die Long-List. Wer die Zertifizierung versucht, ohne sich strukturiert vorzubereiten, scheitert in der Vor-Audit-Phase und verliert sechs Monate Anlauf.

Der TISAX-Standard ist nicht ein Dokument, das man unterschreibt. Er ist ein Prozess-Audit, das die gesamte Informations-Sicherheits-Architektur einer Eventagentur prüft. Wer das unterschätzt, wird bei der ersten Lücke aus dem Audit fallen. Wer es strukturiert angeht, durchläuft die Zertifizierung in vier bis sechs Monaten — und steht danach auf einer kurzen Liste TISAX-konformer Live-Kommunikations-Partner im DACH-Raum.

Welche fünf Vorbereitungs-Bereiche typischerweise im Audit-Prüfsetting zur Falle werden — dazu gleich mehr.

Was TISAX für eine Eventagentur konkret bedeutet

TISAX (Trusted Information Security Assessment Exchange) ist der Sicherheitsstandard des Automotive-Verbands VDA. Ursprünglich entwickelt für Zulieferer der Automobilindustrie, hat sich der Standard heute in Aerospace, Defense, Pharma und im erweiterten OEM-Umfeld etabliert. Eine Eventagentur, die TISAX hat, kann Auftritte mit prototypen-relevanten Inhalten, Konzern-Vertraulichkeit und NDA-pflichtigen Demos abwickeln.

Die drei TISAX-Schutzbedarfsstufen

TISAX kennt drei Schutzbedarfsstufen — hoch, sehr hoch und kritisch. Für Eventagenturen ist meist die mittlere Stufe “hoch” relevant. Diese Stufe deckt Standard-Konzern-Vertraulichkeit ab, ohne in die Komplexität militärischer oder geheimdienstlicher Vertraulichkeit zu gehen. Wer hoch-zertifiziert ist, kann mit fast allen DAX-Konzernen arbeiten.

Audit-Frequenz und Wiederholung

Die TISAX-Zertifizierung gilt drei Jahre. Danach folgt ein Re-Audit. In den ersten drei Jahren ist die Agentur in der TISAX-Datenbank gelistet und kann den Status gegenüber Auftraggebern nachweisen. Ein abgelaufener Status ist gleichbedeutend mit fehlender Zertifizierung — die Vergabe-Long-Lists prüfen tagesaktuell.

Wer macht das Audit?

Audits werden von akkreditierten Prüfstellen wie TÜV, DEKRA oder DQS durchgeführt. Die Prüfstellen sind unabhängig — die Eventagentur kann sich die Stelle aussuchen, hat aber bei den großen Anbietern teilweise lange Wartezeiten. Der Markt ist eng, weil viele Zulieferer 2024 bis 2026 erstzertifizierungs-pflichtig wurden.

So bereiten Sie das TISAX-Audit strukturiert vor

Eine strukturierte Vorbereitung folgt vier Phasen, die nicht parallel, sondern sequenziell ablaufen. Wer alles gleichzeitig angeht, verliert den Überblick und scheitert am ersten Detail-Audit.

Phase eins: Self-Assessment

Der ISA-Fragebogen (Information Security Assessment) der VDA ist der Selbst-Check. Die aktuelle Version umfasst über 60 Kontroll-Fragen zu Informations-Sicherheit, Zugriffs-Schutz, Vorfalls-Management und Daten-Klassifikation. Jede Frage wird auf einer Skala von 0 bis 5 bewertet. Wer unter 2,7 liegt, ist nicht audit-fähig. Die ehrliche Selbst-Bewertung ist der wichtigste Schritt — Schönfärben bringt im echten Audit nichts.

Phase zwei: Lücken-Analyse

Nach dem Self-Assessment entsteht eine Lücken-Liste. Diese Lücken werden priorisiert nach Audit-Relevanz. Klassische Lücken sind unstrukturierte Zugriffs-Konzepte (wer hat Zugriff auf welche Kunden-Daten?), fehlende Notfall-Pläne (was passiert bei einem Daten-Vorfall?) und unklare Lieferanten-Schnittstellen (welche Sub-Auftragnehmer haben Zugriff auf Kunden-Material?).

Phase drei: Implementation

Die identifizierten Lücken werden geschlossen. Das ist die längste Phase — typischerweise zwei bis vier Monate. Es entstehen Richtlinien, Prozess-Dokumente, Schulungs-Konzepte, technische Konfigurationen. Wichtig: TISAX bewertet nicht das, was auf dem Papier steht, sondern was im Alltag gelebt wird. Eine Richtlinie ohne Schulung ist keine Richtlinie.

Phase vier: Audit-Vorbereitung

Vor dem eigentlichen Audit empfiehlt sich ein internes Probe-Audit mit einer externen Beraterin oder einem externen Berater. Das deckt die letzten Schwachstellen auf, bevor der offizielle Auditor sie findet. Beim externen Audit selbst werden in Interviews die Prozess-Verantwortlichen befragt, Dokumente eingesehen und Stichproben durchgeführt.

Fünf Audit-Fallen bei der TISAX-Vorbereitung

Falle Nummer eins: Crew-Onboarding nicht dokumentiert. Eventagenturen arbeiten mit Hostessen, Promotoren und Aufbau-Crew, die wechselnd eingesetzt werden. Wer kein dokumentiertes Onboarding-Konzept mit NDA-Unterzeichnung und Daten-Schulung pro Crew-Mitglied hat, fällt im Audit durch.

Falle Nummer zwei: Lieferanten-Schnittstellen unklar. Druck-Dienstleister, Logistik-Partner, freie Standbauer — alle, die Zugriff auf Kunden-Material haben, müssen vertraglich auf den TISAX-Standard verpflichtet sein. Die Vertraulichkeits-Kette ist nur so stark wie ihr schwächstes Glied.

Falle Nummer drei: Datenhaltung ungeordnet. Wo werden Kunden-Briefings gespeichert? Wer hat Zugriff? Wie werden alte Projekte archiviert? Wie und wann werden vertrauliche Daten gelöscht? Eine durchgängige Klassifikation und Lebenszyklus-Beschreibung ist Pflicht.

Falle Nummer vier: Notfall-Pläne nur theoretisch. Was passiert bei einem Datenleck? Welcher Verantwortliche meldet den Vorfall an welche Stelle innerhalb welcher Frist? Wer das nicht im operativen Alltag geübt hat, scheitert in der Audit-Interview-Situation an der Detail-Frage.

Falle Nummer fünf: Schulungs-Nachweis fehlt. Mitarbeiter müssen regelmäßig zu Informations-Sicherheit geschult werden. Eine einmalige Schulung beim Eintritt reicht nicht. Audit-konform ist mindestens eine Wiederholungs-Schulung pro Jahr mit dokumentiertem Teilnehmer-Nachweis.

Was sich nach der Zertifizierung verändert

Mit der TISAX-Zertifizierung ändert sich nicht nur die Vergabe-Liste, sondern auch die innere Organisation. Vertraulichkeit ist nicht mehr eine Tugend einzelner Mitarbeiter — sie ist ein Prozess mit Verantwortlichen, Eskalations-Wegen und Nachweisen. Die Crew durchläuft strukturierte NDA-Unterzeichnung. Briefing-Pakete sind klassifiziert. Lager-Zugang ist auditiert.

Für Auftraggeber bedeutet das: weniger eigene Compliance-Arbeit. Eine TISAX-zertifizierte Eventagentur bringt die Vertraulichkeits-Architektur mit. Der Auftraggeber muss nicht für jeden Auftritt eigene Kontrollen und Nebenabreden aufsetzen — der Standard ist beidseits gleich.

Häufige Fragen zur TISAX-Vorbereitung

Wie lange dauert eine TISAX-Zertifizierung von Beginn bis zertifiziert?

Für eine Eventagentur, die strukturiert vorgeht, sind vier bis sechs Monate realistisch. Wer im Self-Assessment unter 2,7 liegt, sollte ein bis zwei Monate länger einplanen, um die Lücken vor dem Audit zu schließen. Die reine Audit-Phase dauert je nach Größe der Agentur ein bis drei Tage.

Welche Schutzbedarfsstufe ist für Eventagenturen sinnvoll?

Für klassische Eventagenturen mit Automotive- und Aerospace-Kunden ist die Stufe “hoch” Standard. Sie deckt Konzern-Vertraulichkeit mit prototypen-relevanten Inhalten ab. “Sehr hoch” oder “kritisch” sind selten erforderlich und bringen disproportional hohen Aufwand.

Können kleine Eventagenturen TISAX-zertifiziert werden?

Ja. TISAX ist nicht größen-abhängig. Auch eine Eventagentur mit zehn bis zwanzig festen Mitarbeitern kann zertifiziert werden — wenn die Prozesse strukturiert sind. Kleinere Agenturen haben sogar oft den Vorteil, dass die Prozess-Klarheit leichter herzustellen ist als in größeren Strukturen.

Was passiert, wenn das Audit nicht besteht?

Bei wesentlichen Lücken wird das Audit unterbrochen oder es wird ein Nachbesserungs-Zeitraum vereinbart. Typischerweise drei Monate, in denen die identifizierten Lücken geschlossen werden müssen. Danach folgt ein Re-Check. Wer die Lücken nicht schließt, verliert die Audit-Investition.

Hilft Newline anderen Eventagenturen bei der TISAX-Vorbereitung?

Newline ist selbst TISAX-zertifiziert und teilt gerne Erfahrungen aus der eigenen Vorbereitung — strukturierten Beratungs-Auftrag für andere Eventagenturen nehmen wir nicht an. Der Erfahrungs-Austausch ist trotzdem oft hilfreich, weil viele Stolpersteine identisch sind.