05. Januar 2026
Worauf es bei der Auswahl eines externen Informationssicherheitsbeauftragten wirklich ankommt: Wie Advyce & Company die passende Beratung für das TISAX®-Assessment fand
Zertifizierungsanforderungen kommen selten gelegen. Und oft mitten in Wachstumsphasen. Das bedeutet immer Arbeit on top, zusätzlich zu laufenden Projekten und dem Daily Business. Genau vor dieser Herausforderung stand Advyce & Company: ein wachsendes Beratungshaus mit anspruchsvollen Kund:innen, komplexen Projekten und dem klaren Ziel, Informationssicherheit professionell und mit einem TISAX®-Label nachweisbar aufzustellen.
Der erste Versuch führte nicht zum gewünschten Ergebnis und zur zentralen Frage: Wie findet man den richtigen Partner, um Informationssicherheit strukturiert, effizient und innerhalb enger Zeitvorgaben aufzubauen und das TISAX®-Assessment zu bestehen?
Darüber sprechen Aurel von Bassewitz, Geschäftsführer, und Melanie Weigel, Senior Managerin bei Advyce & Company. Im Gespräch mit Joana Schmidtjansen, Head of Marketing & Communications von Nextwork, erzählen sie, wie sie nach einem ersten Anlauf mit Unterstützung von Nextwork als externen Informationssicherheitsbeauftragten (ISB) und Datenschutzbeauftragten (DSB) erfolgreich das TISAX®-Label erreicht haben – und welche Tipps sie Unternehmen geben, die auf der Suche nach der passenden Beratung für Informationssicherheit sind.
„Wir hatten das Gefühl: Wir schaffen das TISAX®-Assessment nicht in der Zeitschiene, die wir brauchen.“
Aurel von Bassewitz, Geschäftsführer bei Advyce & Company
Joana (Nextwork): Bevor wir darüber sprechen, worauf es bei der Auswahl eines externen Informationssicherheitsbeauftragten wirklich ankommt, lasst uns kurz auf die Ausgangssituation zurückblicken: Was war der Anlass, überhaupt ein TISAX®-Label anzustreben und welche Faktoren waren entscheidend für den Wechsel der Beratung?
Aurel (Advyce & Company): Wir standen unter zeitlichem Druck, das TISAX®-Label schnell bis zu einem bestimmten Zeitpunkt umzusetzen. Unsere Kund:innen – vor allem aus der Automobilbranche – haben zunehmend gefragt, inwieweit wir Informationssicherheit in unseren Zertifikaten abgebildet haben. Gleichzeitig sind wir gewachsen – und zwar schnell und vielfältig. Mit unserem damaligen Partner haben wir gemerkt: Wir schaffen das in der für uns relevanten Zeitschiene nicht so, wie wir uns das vorstellen. Uns war klar: Wir brauchen jemanden, der uns strukturiert und zielgerichtet durch den Prozess führt. Also haben wir uns umgeschaut und sind auf euch gestoßen.
Worauf es bei der Auswahl eines externen Informationssicherheitsbeauftragten ankommt
Joana: An welchen Kriterien habt ihr euch bei der Auswahl des neuen Partners und externen Informationssicherheitsbeauftragten und Datenschutzbeauftragten orientiert?
Aurel: Die Entscheidung für einen externen Informationssicherheitsbeauftragten und Datenschutzbeauftragten war eng verknüpft mit dem Ziel, ein professionelles ISMS aufzubauen und das TISAX®-Assessment zu bestehen. Wir wollten nicht einfach nur Unterstützung für die Formalien, sondern eine Beratung, die uns zum TISAX®-Label führt – und zwar effizient.
Melanie (Advyce & Company): Ein entscheidendes Kriterium war: Die Beratung sollte selbst das TISAX®-Label haben. Außerdem war uns ein tiefes Verständnis für Beratungsunternehmen wichtig. Wir arbeiten viel mit sensiblen Kundendaten – weit über CRM-Daten hinaus – und müssen sie sorgfältig schützen. Wir brauchten eine Beratung, die Auskunft geben kann zu Struktur und Reifegrad unseres ISMS und unterscheiden kann, was für uns wirklich relevant ist – und was nicht. Das hat uns Geschwindigkeit gebracht und intern Akzeptanz geschaffen.
Ein guter Informationssicherheitsbeauftragter stellt die richtigen Fragen und bringt Struktur ins Projekt.
Joana: Woran erkennt man eurer Meinung nach eine gute Beratung für das TISAX®-Assessment und als externen Informationssicherheitsbeauftragten?
Aurel: An drei Punkten: Erstens Use Cases und Referenzen – also echte Erfahrungen mit Unternehmen, die ähnlich aufgestellt sind. Zweitens, die Fähigkeit, beim Scoping die richtigen Fragen zu stellen und drittens ein hypothesen-geleitetes Vorgehen. Also nicht erst warten, bis man alles weiß, sondern proaktiv Strukturen vorschlagen.
Melanie: Außerdem gute Vorlagen und Templates. Die sparen enorm viel Zeit – vor allem, wenn sie anpassbar sind.
Joana: Die Qualität der Dokumente war also auch eines der Kriterien, auf die ihr bei der Auswahl der neuen Beratung geachtet habt?
„Das TISAX®-Assessment war das Ziel. Noch wichtiger war uns ein lebendes ISMS.“
Aurel von Bassewitz, Geschäftsführer bei Advyce & Company
Aurel: Absolut. Wir haben das sehr geschätzt, dass es erprobte Vorgehensweisen und saubere Dokumentstrukturen gab, die wir adaptieren konnten. Das hat vieles beschleunigt.
Joana: Was waren eure Erwartungen an die Zusammenarbeit mit Nextwork?
Aurel: Natürlich war das TISAX®-Assessment das Ziel – wir wollten es effizient und aufwandsoptimiert erreichen. Noch wichtiger war uns, dass das Ergebnis ein lebendes System ist. Informationssicherheit ist ja kein Projekt, das man abhaken kann. Es ist ein Management-System, das Risiken sichtbar macht, Verantwortlichkeiten klärt und im Ernstfall handlungsfähig hält.
„Ein TISAX®-Probe-Assessment und mehrere Fragerunden mit den Teams hat uns Sicherheit gegeben.“
Melanie Weigel, Senior Managerin bei Advyce & Company
Melanie: Viele Richtlinien hatten wir vorher schon umgesetzt – aber nicht formalisiert. Mit Nextwork konnten wir alles in ein konsistentes Regelwerk überführen.
Joana: Das Assessment ist oft der Moment, der viele nervös macht. Wie habt ihr das Assessment mit Nextwork erlebt?
Melanie: Wir hatten im Vorfeld ein Probe-Audit und mehrere Fragerunden mit den Teams. Das hat Sicherheit gegeben. Im eigentlichen Assessment kamen andere Themen als erwartet – aber das war kein Problem, weil wir die Grundlagen sauber aufgebaut hatten.
Aurel: Ich war als Geschäftsführer nicht direkt im Audit, aber ich stand bereit – und ehrlich gesagt war ich froh, nicht gebraucht zu werden. Das zeigt, dass das System funktioniert.
„Als Geschäftsführer habe ich jetzt das gute Gefühl, dass unser ISMS jetzt noch professioneller ist.“
Aurel von Bassewitz, Geschäftsführer bei Advyce & Company
Joana: Wenn ihr auf die letzten Monate und den TISAX®-Prozess zurückblickt – was nehmt ihr persönlich oder als Unternehmen aus der Zusammenarbeit mit?
Aurel: Wir haben unsere bisherige, funktionierende Praxis durch das ISMS weiter professionalisiert. Heute verfügen wir über ein System, das Risiken strukturiert bewertet und Verantwortlichkeiten noch klarer zuordnet. Das gibt mir als Geschäftsführer Sicherheit und das gute Gefühl, ein noch professionelleres System für Informationssicherheit aufgesetzt zu haben.
Melanie: Ich fand spannend, wie viele Bereiche im Unternehmen involviert waren – vom Projektteam bis zum Backoffice. Es braucht Awareness und Stakeholder-Management, damit alle verstehen, warum Informationssicherheit und eine TISAX®-Label wichtig für die Firma sind und was ihr Beitrag ist.
Joana: Melanie Aurel, ich danke euch ganz, ganz herzlich für das aufschlussreiche Gespräch!
Empfehlungen von Advyce & Company für die Auswahl eines externen Informationssicherheitsbeauftragten
Zum Abschluss fassen Aurel von Bassewitz und Melanie Weigel ihre wichtigsten Tipps zusammen, worauf Unternehmen bei der Auswahl eines externen Informationssicherheitsbeauftragten achten sollten:
Branchenverständnis
Wähle eine Beratung, die dein Geschäftsmodell versteht – etwa Dienstleister, die mit sensiblen Kundendaten arbeiten oder sich mit produzierenden Betrieben auskennen.
Zertifizierte TISAX®-Kompetenz
Deine Beratung für Informationssicherheit sollte selbst TISAX-zertifiziert sein – nur so weiß sie, was es bedeutet, die Maßnahmen umzusetzen und wirklich zu leben.
Strukturiertes Vorgehen
Achte auf klare Roadmaps, Hypothesen-geleitetes Vorgehen und realistische Zeitpläne – das spart Ressourcen und erhöht die Erfolgswahrscheinlichkeit.
Gute Vorlagen
Erprobte Templates und geprüfte Dokumentstrukturen erleichtern die Professionalisierung eines ISMS enorm.
Change-Management Expertise
Informationssicherheit ist Teamarbeit – wähle eine Beratung, die intern Akzeptanz schafft, Prozesse erklärt und Mitarbeitende mit