TISAX-Eventagentur — der unsichtbare Pflicht-Standard für Automotive- und Aerospace-Auftritte
Eine TISAX-Eventagentur ist im DACH-Premium-Markt für Automotive-, Aerospace-, Defense- und Pharma-Kunden faktisch verpflichtend. TISAX — der Trusted Information Security Assessment Exchange — ist seit Mitte der 2010er Jahre der Informationssicherheits-Standard, den OEM-Konzerne wie Mercedes-Benz, BMW, Volkswagen, Audi, Airbus oder MTU von ihren Live-Kommunikations-Partnern verlangen. Ohne Zertifizierung scheitert die Vergabe an der Einkaufs-Compliance — nicht am Konzept.
Die Realität in deutschen Einkaufs-Audits: Wer für einen Premium-OEM-Konzern Messestände, Roadshows oder Vorstandsschulungen umsetzt, bekommt regelmäßig vertrauliche Konstruktionspläne, Material-Spezifikationen, Software-Demos und Prototypen-Visualisierungen ins Briefing. Ohne TISAX-Audit wird der Auftrag in der Pre-Qualifikation aussortiert — der Stand-Lieferant darf die Daten gar nicht erst sehen.
Ein Punkt entscheidet, ob die TISAX-Frage für Ihren nächsten Auftritt überhaupt relevant ist. Er steht weiter unten — zuvor was TISAX konkret bedeutet und warum so wenige Eventagenturen das Zertifikat halten.
+ beMaster
Sie haben einen Automotive-, Aerospace- oder Pharma-Auftritt zu vergeben? NEW LINE ist TISAX- und beMaster-zertifiziert.
Was TISAX konkret bedeutet — die offizielle Definition
TISAX steht für Trusted Information Security Assessment Exchange — ein VDA-ISA-basierter Sicherheitsstandard, der ursprünglich für Automotive-Zulieferer entwickelt wurde. Verwaltet wird der Standard über das ENX-Portal, geprüft wird durch BSI-akkreditierte Auditoren. Ein TISAX-Audit prüft die Informationssicherheits-Prozesse eines Unternehmens entlang eines klar definierten VDA-ISA-Katalogs: Zugangskontrolle, Datenklassifikation, Mitarbeiter-Schulung, Datenübertragung, physische Sicherheit, Lieferantenmanagement.
Die Vergabe erfolgt in drei Assessment-Levels (AL1, AL2, AL3) je nach Schutzbedarf der zu verarbeitenden Daten. AL1 für interne Standard-Daten, AL2 für vertrauliche Informationen wie typische Konstruktionspläne, AL3 für streng vertrauliche oder hochsensible Informationen wie unveröffentlichte Prototypen oder Defense-relevante Daten. Re-Assessments folgen alle drei Jahre, kleinere jährliche Updates dazwischen.
„TISAX ist kein Marketing-Etikett für Sicherheit — es ist die Eintrittskarte in den Automotive- und Aerospace-Einkaufsraum. Wer sie nicht hat, wird in der Pre-Qualifikation aussortiert.”
Was TISAX im operativen Eventalltag bedeutet
Verschlüsselte Datenübertragung für Konzeptpläne und Visualisierungen, dokumentierte Mitarbeiter-Schulungen für die gesamte Crew, Zugangskontrolle zu Standmodellen vor Messe-Öffnung, Geheimhaltungs-Vereinbarungen mit jedem Beteiligten, Foto-/Filmverbot für interne Vorab-Visits, sichere Cloud-Storage mit auditierter Backup-Logik. Das ist nicht IT-Theater — es ist das Tagesgeschäft, das ein TISAX-zertifizierter Service-Partner standardmäßig liefert.
Welche Branchen TISAX-Eventagenturen explizit verlangen
Automotive Tier-1 und Tier-2
Mercedes-Benz, BMW, Volkswagen, Audi, Porsche, Bosch, Continental, ZF — die OEMs und ihre direkten Zulieferer haben TISAX seit Jahren als Lieferanten-Mindeststandard etabliert. Wer für IAA Mobility-Auftritte, Vorstands-Schulungen, Roadshow-Stationen oder vertrauliche Produkt-Launches arbeitet, wird ohne TISAX-Zertifikat nicht angeschrieben.
Aerospace
Airbus, MTU Aero Engines, Diehl Aerospace, Hensoldt — die Aerospace-Konzerne haben Informationssicherheits-Anforderungen, die in vielen Bereichen über TISAX hinausgehen, aber TISAX als Mindest-Eintritts-Standard nutzen. Für ILA Berlin oder Le Bourget-Auftritte ist die Zertifizierung Voraussetzung.
Defense
Rheinmetall, Hensoldt, KMW, Diehl Defence — der Defense-Bereich verlangt zusätzlich zur TISAX-Basis weitere Sicherheits-Standards wie Ü-Anforderungen, aber TISAX ist die Eintrittsstufe für Veranstaltungs-Logistik und Demo-Architektur.
Pharma und Life Sciences
Sanofi, Bayer, Boehringer, Novartis — Pharma-Konzerne nutzen TISAX zunehmend als Standard für Lieferanten, die klinische Daten, Patientenmaterial oder unveröffentlichte Studien-Ergebnisse berühren. Insbesondere für Auftritte auf der DMEA, Veranstaltungen mit Fachärzten oder vertraulichen Vorstellungen neuer Wirkstoffe.
Tech-Konzerne mit vertraulichen Produkt-Launches
Microsoft, ASUS, Hisense — Tech-Konzerne verlangen TISAX bei Auftritten, die unveröffentlichte Hardware-Demos oder Pre-Launch-Software zeigen. Die Klassifizierung als vertraulich erfolgt im Briefing, die TISAX-Voraussetzung folgt automatisch.
Worauf es wirklich ankommt
TISAX ist nicht „nice to have” für Premium-Eventagenturen — es ist Eintrittsstufe für Automotive-, Aerospace-, Defense- und zunehmend Pharma-Auftritte. Ohne Zertifikat sind diese Briefings für die Agentur unsichtbar.
Wie viele TISAX-zertifizierte Eventagenturen gibt es im DACH-Raum?
Verlässliche aktuelle Zahlen veröffentlicht das ENX-Portal nicht differenziert nach Branche. Nach Branchen-Schätzungen halten im DACH-Raum eine niedrige zweistellige bis hohe einstellige Anzahl Eventagenturen die TISAX-Zertifizierung — bei über 800 Eventagenturen am Markt insgesamt. Die Zertifikat-Knappheit ist konstruktiv, weil ein Audit Aufwand und Investition bedeutet, die sich nur für Agenturen mit klarem Premium-OEM-Fokus rechnen.
Für Aussteller-Marken bedeutet das: die TISAX-Frage filtert den Vergabe-Markt drastisch. Sobald ein Briefing TISAX als Voraussetzung benennt, schrumpft die Bieterliste auf einen handhabbaren Kreis. NEW LINE in Berlin gehört zu diesem Kreis — und kombiniert TISAX mit dem beMaster-Status, was die Schnittmenge noch weiter reduziert.
Sie wollen TISAX und beMaster aus einer Hand? NEW LINE ist eine der wenigen Agenturen in Berlin mit beiden Zertifikaten.
Wie läuft der TISAX-Audit-Prozess?
Phase 1: Self-Assessment via ENX-Portal
Die Agentur registriert sich im ENX-Portal und arbeitet den VDA-ISA-Fragenkatalog durch — typischerweise 100 bis 200 Einzel-Anforderungen je nach Assessment-Level. Diese Selbst-Bewertung legt offen, wo bereits Compliance erreicht ist und wo Lücken bestehen.
Phase 2: Gap-Schließung und Dokumentation
Die identifizierten Lücken werden über Wochen oder Monate geschlossen: IT-Sicherheits-Prozesse dokumentiert, Mitarbeiter-Schulungen aufgesetzt, Zutritts-Kontrollen formalisiert, Notfall-Prozesse definiert. Diese Phase dauert je nach Ausgangslage 3 bis 9 Monate.
Phase 3: Externes Audit durch BSI-akkreditierten Auditor
Ein externer Auditor prüft alle Anforderungen vor Ort. Stichproben in Räumen, Interviews mit Mitarbeitern, Einsicht in Dokumentation, technische Prüfung der IT-Infrastruktur. Bei AL2 typischerweise 2 bis 4 Audit-Tage, bei AL3 entsprechend länger.
Phase 4: Re-Assessment alle 3 Jahre
Die Zertifizierung gilt drei Jahre. Zwischendrin kleinere jährliche Updates. Nach Ablauf erneutes Vollaudit. Eine TISAX-Zertifizierung ist also keine einmalige Investition, sondern eine wiederkehrende Verpflichtung.
Fünf Fehler bei der Wahl der Eventagentur für Compliance-Projekte
Fehler 1: TISAX-Frage erst beim Briefing gestellt
Die Bieterliste steht, das Briefing geht raus — erst danach fragt der Einkauf nach TISAX-Status der Bieter. Folge: die Hälfte der Bieter scheidet aus, das Vergabeverfahren verzögert sich um Wochen. Die TISAX-Voraussetzung gehört in die Bieter-Vorqualifikation, nicht in die Konzept-Bewertung.
Fehler 2: Selbsterklärung ohne Zertifikat akzeptiert
„Wir arbeiten nach TISAX-Standards” ist keine TISAX-Zertifizierung. Ohne formales Audit und Eintrag im ENX-Portal ist die Aussage juristisch wertlos. Im OEM-Einkaufs-Audit fliegt das spätestens beim Compliance-Check auf.
Fehler 3: Einzelnes Mitarbeiter-NDA als Ersatz akzeptiert
Manche Agenturen bieten anstelle der TISAX-Zertifizierung individuelle Geheimhaltungs-Vereinbarungen für die beteiligten Mitarbeiter an. Das ist kein gleichwertiger Ersatz — TISAX deckt Prozesse und Infrastruktur ab, ein NDA nur die einzelne Person. Im OEM-Vergabe-Standard wird dieser Ersatz nicht akzeptiert.
Fehler 4: Nicht-zertifizierte Sub-Unternehmer übersehen
Die Hauptagentur ist TISAX-zertifiziert, aber Logistik, Reinigung, Catering oder Crew werden über externe Sub-Unternehmer abgewickelt — die ihrerseits keine Zertifizierung haben. TISAX verlangt jedoch die gesamte Lieferkette. Ein nicht-zertifizierter Sub-Unternehmer bringt das Hauptaudit zu Fall.
Fehler 5: Falsches Assessment-Level für die Datenklasse
AL1 reicht nicht für vertrauliche Prototypen — dafür braucht es mindestens AL2, oft AL3. Wer die Anforderung im Briefing nicht klar benennt, vergleicht Äpfel mit Birnen: Agentur A hat AL1, Agentur B hat AL2 — der Vergleichspreis ist nicht aussagekräftig.
In drei Schritten zur TISAX-konformen Vergabe
TISAX-Status früh abfragen
In der Bieter-Vorqualifikation, nicht erst nach Konzept-Bewertung.
Assessment-Level klären
AL1 für interne Daten, AL2 für vertraulich, AL3 für streng vertraulich.
Sub-Unternehmer-Kette prüfen
Logistik, Reinigung, Crew — die gesamte Lieferkette muss konform sein.
Was TISAX-konforme Eventarbeit kostet — realistische Hausnummern
Initial-Zertifizierung einer Eventagentur
Für die Agentur selbst: im entsprechenden Investitions-Rahmen Initial-Aufwand für Self-Assessment, Gap-Schließung, externes Audit und Erstellung der Dokumentation. Plus jährliche Wartung im entsprechenden Investitions-Rahmen für Re-Assessment-Vorbereitung, interne Audits, Mitarbeiter-Updates.
Premium-Aufschlag für TISAX-konforme Auftrag
Für Auftraggeber: Premium-Aufschlag im niedrigen einstelligen Prozentbereich gegenüber Standard-Auftrag, dafür Audit-Freigabe garantiert. Bei einem 60-Quadratmeter-Inselstand auf der IAA Mobility liegt der TISAX-Premium-Anteil typischerweise bei 3 bis 7 Prozent des Gesamtbudgets.
Typische Auftrags-Volumen mit TISAX-Voraussetzung
Automotive-Stände auf der IAA Mobility: 250.000 bis 1.im entsprechenden Investitions-Rahmen. Aerospace-Auftritte auf der ILA Berlin: im entsprechenden Investitions-Rahmen. Defense-Messeauftritte: im entsprechenden Investitions-Rahmen. Pharma-Auftritte auf DMEA-Außenstandorten oder vertraulichen Vorstellungen: im entsprechenden Investitions-Rahmen. Bei diesen Volumina ist der TISAX-Premium-Aufschlag praktisch vernachlässigbar gegenüber der Vergabe-Sicherheit.
Premium-Marken, die NEW LINE vertrauen
Mercedes-Benz · Sanofi · Microsoft · Acer · Hisense · ASUS · Square Enix · Ravensburger · Ubisoft · Warner Bros
Sie wollen wissen, ob Ihr Auftritt TISAX braucht und welche Investitions-Spanne realistisch ist? NEW LINE klärt es im Erstgespräch.
TISAX und beMaster — die Kombination, die im DACH-Raum selten ist
TISAX deckt Informationssicherheit ab. beMaster deckt technische Stand-Kompetenz ab. Beide Zertifikate parallel zu halten, ist im DACH-Raum die Ausnahme — die meisten Eventagenturen halten entweder das eine oder das andere, selten beides.
Warum die Kombination zählt
Für einen Premium-Automotive-Auftritt auf der IAA Mobility braucht der Auftraggeber beides: TISAX für die vertrauliche Datenverarbeitung im Briefing- und Konzeptions-Prozess, beMaster für die Sonderbau-Statiknachweise des physischen Stands. Eine Agentur, die nur eines davon hält, liefert entweder die Compliance-Sicherheit oder die Bau-Kompetenz, nicht beides aus einer Hand.
NEW LINE als Berliner TISAX- und beMaster-Adresse
NEW LINE hält beide Zertifikate parallel — TISAX für Informationssicherheit, beMaster für die höchste beMatrix-Zertifizierungsstufe. Plus 25 Jahre Berliner Messepraxis mit über 600 realisierten Auftritten für Marken von Mercedes-Benz bis Sanofi, von Square Enix bis Microsoft. Mehr zum beMatrix-System siehe unseren Beitrag beMatrix mieten. Für Tech-/CE-Spezifika: Eventagentur für Tech-Marken. Mess- und Bau-Kompetenz: Messe-Unit, Event-Unit.
Kostenloses Erstgespräch: TISAX-Frage geklärt in 30 Minuten
Sie planen einen Automotive-, Aerospace- oder Pharma-Auftritt? Wir klären, welches Assessment-Level Sie brauchen und welche Investitions-Spanne realistisch ist. Kein Verkaufsdruck.
Direkt sprechen: +49 30 473931-300 · info@newline-network.com
Häufige Fragen zur TISAX-Eventagentur
Was bedeutet TISAX konkret?
TISAX (Trusted Information Security Assessment Exchange) ist ein VDA-ISA-basierter Sicherheitsstandard, ursprünglich für Automotive-Zulieferer entwickelt, heute auch in Aerospace, Defense und Pharma verbreitet. Geprüft wird durch BSI-akkreditierte Auditoren in drei Assessment-Levels (AL1, AL2, AL3) je nach Schutzbedarf der Daten.
Wer verlangt TISAX-zertifizierte Eventagenturen?
Automotive-Konzerne (Mercedes-Benz, BMW, Volkswagen, Audi, Porsche, Bosch, Continental), Aerospace-Konzerne (Airbus, MTU, Diehl), Defense (Rheinmetall, Hensoldt), Pharma (Sanofi, Bayer, Boehringer) sowie Tech-Konzerne bei vertraulichen Produkt-Launches.
Wie viele TISAX-Eventagenturen gibt es im DACH-Raum?
Nach Branchen-Schätzungen halten im DACH-Raum eine niedrige zweistellige bis hohe einstellige Anzahl Eventagenturen die TISAX-Zertifizierung — bei über 800 Eventagenturen am Markt insgesamt. NEW LINE in Berlin gehört dazu und kombiniert TISAX mit beMaster.
Was sind die drei TISAX-Assessment-Levels?
AL1 für interne Standard-Daten, AL2 für vertrauliche Informationen wie typische Konstruktionspläne, AL3 für streng vertrauliche oder hochsensible Informationen wie unveröffentlichte Prototypen oder Defense-relevante Daten. Re-Assessments folgen alle drei Jahre.
Was kostet ein TISAX-konformer Eventauftrag?
Premium-Aufschlag im niedrigen einstelligen Prozentbereich gegenüber Standard-Auftrag. Bei einem 60-Quadratmeter-Inselstand auf der IAA Mobility liegt der TISAX-Premium-Anteil typischerweise bei 3 bis 7 Prozent des Gesamtbudgets — vernachlässigbar gegenüber der Vergabe-Sicherheit.
Reicht ein NDA als Ersatz für TISAX?
Nein. Ein NDA deckt nur die einzelne Person ab, TISAX deckt Prozesse und Infrastruktur. Im OEM-Vergabe-Standard wird ein NDA nicht als gleichwertiger Ersatz akzeptiert. Auch nicht-zertifizierte Sub-Unternehmer bringen das Hauptaudit zu Fall — TISAX verlangt die gesamte Lieferkette.
TISAX und beMaster aus einer Hand — NEW LINE plant Ihren Automotive-, Aerospace- oder Pharma-Auftritt schlüsselfertig.
TISAX im Messebau-Kontext — was bei OEM-Vergaben konkret geprüft wird
TISAX-Messebau ist im DACH-Premium-Segment für Automotive-, Aerospace-, Defense- und Pharma-Aussteller seit Jahren faktischer Vergabe-Standard. Wer einen Messestand für Mercedes-Benz, BMW, Audi, Volkswagen, Airbus oder MTU baut, sieht vertrauliche Konstruktionspläne, unveröffentlichte Demo-Geräte und Material-Spezifikationen, die zur internen Klassifikation der OEM gehören. Ohne TISAX-Zertifizierung wird die Bieterliste vor dem Briefing gefiltert.
Drei Prüfpunkte stehen bei OEM-Audits konkret im Fokus: Erstens — wie geht der Messebauer mit Konstruktionsplänen um? Sichere Übertragung, klassifizierter Speicher-Standort, dokumentierte Zugriffs-Logs. Zweitens — wer hat physischen Zugang zu unveröffentlichten Demo-Geräten? Crew-Listen mit TISAX-Clearing, Vier-Augen-Prinzip bei der Hallen-Anlieferung, abgeschlossene Stand-Bereiche während des Aufbaus. Drittens — wie wird mit Foto-Verbot vor Hallen-Eröffnung umgegangen? Crew-Schulung, Foto-Embargo-Klauseln in den Subunternehmer-Verträgen, dokumentierte Konsequenzen bei Verstößen.
Wer als Messebauer TISAX-zertifiziert ist, hat diese Prozesse schriftlich, geprüft und im Tagesgeschäft verankert. Wer es nicht ist, scheitert spätestens im OEM-Lieferanten-Audit — meistens vorher schon, wenn die Einkaufs-Abteilung beim Bieter-Screening die fehlende Zertifizierung als Ausschluss-Kriterium markiert.
