Von TISAX zur ISO 27001
Aus vorhandenen Strukturen wird ein belastbares Managementsystem.
Mit TISAX als Fundament erreicht CQSE die ISO 27001 Zertifizierung in fünf Monaten. Der entscheidende Faktor: ein Partner, der bestehende Strukturen konsequent integriert, technisch auf Augenhöhe agiert und über das Audit hinaus verlässlich bleibt.
Für Geschäftsführung und Entscheider.
Unternehmen, die bereits zertifiziert sind und den nächsten Schritt gehen wollen, stehen vor einer entscheidenden Frage: Wie lässt sich auf bestehenden Strukturen aufbauen, ohne interne Ressourcen langfristig zu blockieren oder ein weiteres Parallelprojekt zu schaffen? CQSE zeigt, wie eine bestehende Sicherheitsbasis gezielt weiterentwickelt wird: hin zu einem System, das nicht nur auditfähig ist, sondern im Alltag funktioniert und dauerhaft Bestand hat.
Für IT-Verantwortliche und Sicherheitsteams.
Das bestehende TISAX-Framework wurde auf ISO 27001 gemappt und das vorhandene ISMS gezielt erweitert, ohne die bestehende Systemlandschaft zu verlassen. Entscheidend war dabei ein Auditor mit Erfahrung
in Cloud- und Softwareumgebungen, der den Auditprozess vollständig remote und auf Englisch durchgeführt hat. So entstand kein generischer Auditansatz, sondern ein Setup, das zur technischen Realität eines Softwareunter- nehmens passt.
Das Unternehmen
CQSE ist ein Softwareunternehmen aus München, das mit seiner Plattform Teamscale Softwarequalität für Entwickler, Tester und Führungskräfte transparent und steuerbar macht. Zu den Kunden zählen Unternehmen aus regulierten Branchen wie der Automobilindustrie, in denen Softwarequalität als geschäftskritischer Faktor betrachtet wird.
Die Ausgangslage
- Fünf Standorte, ~80 Mitarbeitende, internes Team bereits ausgelastet
- TISAX durch Automotive-Kunden etabliert, gleichzeitig steigende Anforderungen anderer Kunden an ISO 27001
- Bestehende ISMS-Strukturen, Prozesse und Dokumentation bereits vorhanden
- Bisheriger Zertifizierungspartner ohne Cloud- und Software-Verständnis
- Nach der Zertifizierung: laufender Betrieb des ISMS ohne zusätzliche Vollzeitstelle sicherstellen
Das Hauptziel war das Zertifikat. Das haben wir. Von daher: alles super, vielen Dank für die Unterstützung und den Prozess.
Das Problem
CQSE verfügte bereits über funktionierende Strukturen für Informationssicherheit. Mit der wachsenden Kundenbasis veränderten sich jedoch die Anforderungen: Während TISAX im Automotive-Umfeld ausreichte, wurde ISO 27001 für andere Kunden zunehmend zur Voraussetzung und damit zu einem entscheidenden Faktor für weitere Vertriebs- und Wachstumsmöglichkeiten. Gleichzeitig war klar, dass ein klassischer Neuaufbau keine Option ist. Ein paralleles System hätte bestehende Prozesse dupliziert, zusätzliche Komplexität geschaffen und interne Ressourcen dauerhaft gebunden. Die Erfahrung mit dem bisherigen Zertifizierungsanbieter verstärkte dieses Risiko zusätzlich: Ein Auditprozess ohne Bezug zur technischen Realität hätte zwar formale Anforderungen erfüllt, aber keinen echten Fortschritt für das Unternehmen
gebracht. Damit entstand eine klare Anforderung: Die bestehende Sicherheitsbasis musste so weiterentwickelt werden, dass sie den steigenden Anforderungen gerecht wird, ohne zusätzlichen organisatorischen Overhead und ohne den laufenden Betrieb zu beeinträchtigen.
Die Lösung
Zu Beginn wurde im Rahmen eines GAP Assessments der bestehende Stand des ISMS entlang der ISO-27001-Anforderungen bewertet. So wurde transparent, welche bestehenden TISAX-Strukturen bereits auditfähig sind und wo gezielter Handlungsbedarf besteht. Auf dieser Basis wurde das bestehende Framework auf ISO 27001 gemappt und gezielt weiterentwickelt, mit Fokus auf auditkritische Themen sowie klare Verantwortlichkeiten und Prozesse. Die Umsetzung erfolgte in enger Abstimmung mit den relevanten Stakeholdern und als strukturelle Weiterentwicklung des bestehenden Systems, nicht als isoliertes Compliance Projekt. Abschließend wurde CQSE gezielt auf das Zertifizierungsaudit vorbereitet und durch den gesamten Auditprozess begleitet. Ein zusätzlicher Erfolgsfaktor war ein Auditor mit Erfahrung in Cloud- und Softwareumgebungen, der den Auditprozess vollständig remote und auf Englisch durchgeführt hat.
Wir haben viel profitiert von der Erfahrung, die ihr mitgebracht habt, und davon, dass ihr bereits einen Auditor kanntet, mit dem wir schnell Termine vereinbaren konnten.
Die Zusammenarbeit
Was CQSE im Rückblick besonders hervorhebt, ist die Klarheit und Verlässlichkeit in der Zusammenarbeit über den gesamten Prozess hinweg. Durch das initiale GAP Assessment entstand statt eines offenen Projekts ein klar geführter Ablauf mit definiertem Umfang und Zeitrahmen, umgesetzt als Festpreisprojekt. Die inhaltliche Führung lag dabei nicht auf Projektmanagement-Ebene, sondern bei erfahrenen Ex-Auditoren und CISOs. Dadurch konnten Entscheidungen fundiert getroffen und direkt in die Umsetzung überführt werden, auch bei technischen Detailfragen. Die Zusammenarbeit war dabei durchgängig auf geringe interne Aufwände ausgelegt. Themen wurden strukturiert vorbereitet, priorisiert und gemeinsam umgesetzt, ohne dass ein zusätzliches Parallelprojekt im Unternehmen entstand. Statt einzelner Maßnahmen entstand so ein End-to-End geführter Prozess mit klarer Orientierung, kontinuierlichem Fortschritt und einem hohen Maß an Sicherheit im Hinblick auf das Zertifizierungsaudit.
Es war eine sehr gute Zusammenarbeit, auch in der Kommunikation. Dass wir auch außerhalb der vereinbarten Termine produktiv zusammengearbeitet haben und begonnene Themen sauber zu Ende gebracht wurden, ist nicht mehr selbstverständlich.
Wie sieht es heute aus und wie geht es weiter
Für CQSE bedeutet die ISO-27001-Zertifizierung vor allem eines: Informationssicherheit ist kein Projekt mehr, sondern Teil des operativen Geschäfts. Anforderungen lassen sich strukturiert beantworten, Audits planbar vorbereiten und neue Kundenanforderungen ohne zusätzlichen Projektaufwand umsetzen. Auch im Vertrieb zeigt sich der Unterschied. ISO 27001 ist kein Hindernis mehr im Sales-Prozess, sondern die Grundlage, um mit Enterprise-Kunden, Partnern und Investoren auf Augenhöhe zu agieren. Nachweise sind vorhanden, Prozesse etabliert und Deals scheitern nicht mehr an fehlender organisatorischer Reife. Gleichzeitig bleibt der interne Aufwand gering. Klare Strukturen und definierte Prozesse sorgen dafür, dass das ISMS im Alltag funktioniert, ohne zusätzliche Ressourcen dauerhaft zu binden. Auf dieser Grundlage kann CQSE das ISMS kontinuierlich weiterentwickeln und auch zukünftige Anforderungen wie NIS-2, SOC 2 oder C5 umsetzen, ohne jedes Mal neu anzusetzen. Um diese Weiterentwicklung langfristig sicher zustellen, übernimmt PCG im Rahmen eines vCISO-Mandats die Rolle des verlängerten Arms des internen Sicherheitsteams.
Wir haben mit einem anderen Dienstleister für TISAX zusammengearbeitet und haben daher Vergleichswerte. Mit PCG sind wir deutlich zufriedener.
Über PCG
Die Public Cloud Group (PCG) unterstützt Unternehmen bei ihrer digitalen Transformation durch den Einsatz von Public Cloud-Lösungen.
Mit einem Portfolio, das darauf ausgerichtet ist, Unternehmen aller Größe auf ihrer Cloud Journey zu begleiten, sowie der Kompetenz von zahlreichen zertifizierten Expert:innen, mit denen Kunden und Partner gerne zusammenarbeiten, positioniert sich PCG als verlässlicher und vertrauenswürdiger Partner der Hyperscaler.
Als erfahrener Partner der drei relevanten Hyperscaler (Amazon Web Services (AWS), Google Cloud und Microsoft Cloud) hält PCG die höchsten Auszeichnungen der jeweiligen Anbieter und berät Sie als unsere Kunden in Ihrer Cloud Journey unabhängig.
Mehr Einblicke