Informationssicherheit im Projektmanagement: TISAX® Control 1.2.3 richtig umsetzen

Clock
5
min Lesezeit
Calendar icon
10/4/25

Die Durchführung von Projekten ist für viele Unternehmen Alltag – doch inmitten von Innovation, Veränderung und technischer Entwicklung darf eines nicht fehlen: die Informationssicherheit. Genau hier setzt die TISAX® Control 1.2.3 an. Sie fordert, dass Informationssicherheitsanforderungen strukturiert in alle relevanten Projekte eingebunden werden – unabhängig von Projektart oder -umfang.

Nur wenn Risiken frühzeitig erkannt und geeignete Maßnahmen eingeplant werden, lässt sich verhindern, dass Sicherheitsanforderungen übersehen werden.

Was fordert TISAX® Control 1.2.3 konkret?

Laut VDA ISA 6.0.2 verlangt die Control, dass:

  • Projekte hinsichtlich Sicherheitsanforderungen klassifiziert werden
  • Informationssicherheitsrisiken identifiziert, bewertet und dokumentiert werden
  • Maßnahmen aus der Risikobewertung in das Projekt integriert werden
  • Risiken und Maßnahmen regelmäßig überprüft und bei Bedarf aktualisiert werden

Der Fokus liegt dabei klar auf dem Frühstadium des Projekts: Sicherheitsüberlegungen sollen nicht nachträglich, sondern präventiv eingebracht werden – als integraler Bestandteil des Projektmanagements.

Warum das wichtig ist

Viele Unternehmen behandeln Sicherheit noch als „Begleitdisziplin“. Im Projektalltag wird sie oft vergessen – bis ein externer Auditor Fragen stellt. Dabei gilt:

  • Neue Systeme oder Prozesse = neue Risiken
  • Frühzeitige Integration spart Zeit, Geld und Nachbesserungen
  • Gute Praxis = gelebtes ISMS = einfachere TISAX®-Auditierung

Sicherheitsrisiken, die im Projekt entstehen, betreffen oft sensible Daten, neue Schnittstellen oder Lieferantenintegration.

Best Practices: So setzt du die Anforderung in der Praxis um

Projektphase Sicherheitsrelevante Maßnahmen
Initialisierung Projektklassifizierung nach Sicherheitsrelevanz
Planung Risikobewertung und Ableitung technischer und organisatorischer Maßnahmen
Umsetzung Integration der Maßnahmen in Zeit-, Ressourcen- und Kommunikationsplanung
Monitoring Überprüfung der Maßnahmen und Anpassung bei Projektscope-Änderung

Was Auditoren konkret sehen wollen

Für eine erfolgreiche Auditierung im Rahmen von TISAX® sollten folgende Nachweise vorliegen:

  • Vorgehensweise zur Klassifizierung von Projekten
  • Dokumentierte Risikobewertungen zu konkreten Projekten
  • Maßnahmenlisten mit Verknüpfung zur Projektplanung
  • Überprüfungsergebnisse, Reviews und Lessons Learned zur Nachweisführung

FAQ: Informationssicherheit in Projekten nach TISAX® Control 1.2.3

1. Müssen alle Projekte berücksichtigt werden?
Ja, grundsätzlich sind alle Projekte mit potenziellem Einfluss auf IT, Daten, Prozesse oder Lieferketten zu bewerten – auch interne oder rein technische Projekte.

2. Was bedeutet „Projektklassifizierung“ konkret?
Projekte werden nach vordefinierten Kriterien in Sicherheitsklassen eingeordnet. Daraus ergeben sich der Umfang der Risikobewertung und die Anforderungen an Dokumentation und Nachweispflicht.

3. Wer ist verantwortlich für die Integration von Sicherheitsanforderungen?
In der Regel liegt die Verantwortung beim Projektverantwortlichen in enger Zusammenarbeit mit dem Informationssicherheitsbeauftragten oder dem ISMS-Team.

4. Wie oft müssen Risiken überprüft werden?
Mindestens bei Änderungen des Projektscopes, bei Meilensteinen oder wenn neue Informationen zur Bedrohungslage vorliegen.

5. Gibt es Tools zur Unterstützung?
Ja, viele Unternehmen integrieren Sicherheits-Checklisten oder spezielle Risk Assessments in ihre PM-Tools (z. B. Jira, Confluence, MS Project), teilweise ergänzt durch ISMS-Plattformen.

Fazit

Die Einbindung von Informationssicherheitsanforderungen in Projekte ist nicht optional, sondern essenzieller Bestandteil eines funktionierenden ISMS. Die TISAX® Control 1.2.3 liefert klare Anforderungen, wie Projektmanagement und Sicherheitskultur verknüpft werden müssen – strukturiert, risikobasiert und nachweisbar.

Weitere Beiträge

Entdecken Sie weitere spannende Artikel zu Datenschutz, Informationssicherheit und Compliance. Bleiben Sie auf dem neuesten Stand und erfahren Sie, wie Sie Ihr Unternehmen optimal schützen können.

Learn More
View Details