Überblick
Die Automobilindustrie zählt zu den am stärksten regulierten Branchen im Bereich Informationssicherheit. Mit dem TISAX-Standard (Trusted Information Security Assessment Exchange), der auf dem VDA ISA-Kriterienkatalog basiert, stellen OEMs und Tier-1-Zulieferer sicher, dass alle Partner in der Lieferkette ein nachgewiesenes Informationssicherheits-Managementsystem (ISMS) betreiben. Diese Weiterbildung ISBA Teil 2 vermittelt vertiefende Kenntnisse und praktische Fähigkeiten zum Aufbau, zur Implementierung und zur kontinuierlichen Verbesserung eines solchen ISMS speziell im Automotive-Umfeld. Teilnehmende lernen alle relevanten Anforderungen des VDA ISA-Fragenkatalogs kennen, führen Gap-Analysen durch, entwickeln Sicherheitsrichtlinien und bereiten ihre Organisation auf ein erfolgreiches TISAX-Assessment vor.
Kursinhalte & Lernziele
Die Weiterbildung gliedert sich in eng miteinander verzahnte thematische Blöcke, die den vollständigen Zyklus des ISMS-Aufbaus nach VDA ISA abbilden. Praxisübungen und Fallstudien aus dem Automotive-Umfeld ergänzen die theoretischen Einheiten. VDA ISA Grundlagen und Scoping Zu Beginn werden die Grundlagen des VDA ISA-Fragenkatalogs und das TISAX-Ökosystem vermittelt. Teilnehmende lernen die Struktur des Kriterienkatalogs, die Bedeutung der Label und Level sowie die Anforderungen für verschiedene TISAX-Label kennen. Besonderes Augenmerk liegt auf der Definition des Anwendungsbereichs, der den gesamten weiteren Prozess prägt.
- VDA ISA-Struktur, Label und Level verstehen und einordnen
- TISAX-Ökosystem und Zusammenarbeit mit OEMs kennenlernen
- Standorte, Prozesse und Lieferantenbeziehungen für den Scope analysieren
- Stakeholder und ihre Anforderungen identifizieren und dokumentieren
- Interne und externe Einflussfaktoren auf das ISMS erfassen
- Geltungsbereich verbindlich festlegen und formal dokumentieren
Risikomanagement und IS-Kontrollen Das Herzstück jedes ISMS ist ein systematisches Risikomanagement. In diesem Modul werden alle Schritte vom Asset-Inventar über die Bedrohungs- und Schwachstellenanalyse bis zur Risikobehandlung bearbeitet. Teilnehmende entwickeln praxisnahe Risikomatrizen und ordnen geeignete VDA ISA-Controls zu.
- Kritische informationsverarbeitende Assets erfassen und klassifizieren
- Bedrohungen und Schwachstellen systematisch identifizieren
- Eintrittswahrscheinlichkeit und Schadensauswirkung bewerten und Risikomatrix erstellen
- Risikobehandlungsoptionen (Vermeiden, Vermindern, Übertragen, Akzeptieren) auswählen
- Risikobehandlungsplan dokumentieren und Controlverantwortliche festlegen
- Statement of Applicability (SoA) auf Basis der ausgewählten VDA ISA-Controls erstellen
Technische Sicherheitsmaßnahmen Dieser Block behandelt die technischen Anforderungen des VDA ISA-Katalogs: von Netzwerksicherheit über Identitätsmanagement bis hin zu Kryptographie und Schwachstellenmanagement. Praxisnahe Übungen helfen, abstrakte Anforderungen in konkrete technische Maßnahmen zu übersetzen.
- Identitätsmanagement und Zugriffskontrollen implementieren
- Passwortsicherheitsrichtlinien und Kryptographiekonzepte einführen
- Netzwerkpläne erstellen und Netzwerksicherheitsanforderungen ableiten
- Changemanagement- und Patchmanagement-Prozesse definieren und steuern
- Schwachstellenmanagement einrichten und strukturierte Behebungsprozesse etablieren
- OSI-Referenzmodell und ausgewählte Netzwerkdienste im Sicherheitskontext verstehen
Organisatorische Sicherheit und Assessment-Vorbereitung Im abschließenden Block werden alle organisatorischen und prozessualen Maßnahmen konsolidiert. Teilnehmende erstellen Richtlinien, Verfahrensanweisungen und Schulungspläne, führen eine Readiness-Prüfung durch und lernen, wie ein TISAX-Assessment abläuft und worauf es ankommt.
- IS-Leitlinie und Managementverpflichtung formulieren und kommunizieren
- Verfahrensanweisungen für Kernprozesse (Incident Management, Zugriffskontrolle) erstellen
- Awareness- und Schulungsplan entwickeln und Zielgruppen definieren
- Physische Sicherheitsmaßnahmen und BCM-Anforderungen umsetzen
- Auditplan erstellen und interne Audits durchführen
- TISAX-Assessment-Vorbereitung: Checklisten anpassen und Nachweise zusammenstellen
Datenschutz, Prototypenschutz und rechtliche Grundlagen Die einschlägigen Gesetze im Bereich Informationssicherheit (DSGVO, BDSG, IT-Sicherheitsgesetz), der Datenschutz nach VDA ISA sowie der Prototypenschutz als spezifisches Automotive-Thema werden praxisnah behandelt. Teilnehmende lernen, rechtliche Anforderungen im ISMS-Kontext einzuordnen und umzusetzen.
- Datenschutzanforderungen (DSGVO) im ISMS-Kontext abbilden
- Technische und organisatorische Maßnahmen (TOMs) und Datenschutzfolgeabschätzung durchführen
- Prototypenschutzanforderungen des VDA ISA verstehen und implementieren
- Informationssicherheitsvorfälle erkennen, klassifizieren und melden
- Einschlägige Gesetze (IT-Sicherheitsgesetz, NIS2) im Überblick kennenlernen
- Compliance-Nachweise für externe Assessments zusammenstellen und strukturieren
Praxislabore und TISAX-Simulation Alle Konzepte werden in praxisnahen Übungen und Fallstudien aus der Automobilindustrie vertieft. Die Simulation eines vollständigen TISAX-Assessment-Durchlaufs ermöglicht es, den gesamten Prozess einmal zu „durchleben" und Schwachstellen frühzeitig zu identifizieren.
- Gap-Analyse am Beispiel eines fiktiven Automotive-Zulieferers durchführen
- Risikoregister aufbauen und Risikobehandlungsplan dokumentieren
- SoA für einen definierten Scope erstellen und begründen
- IS-Leitlinie und eine Verfahrensanweisung erarbeiten
- Auditplan entwickeln und eine Interviewsimulation durchführen
- Managementreview-Agenda vorbereiten und Statusbericht erstellen
- Nachweise für ein TISAX-Assessment zusammenstellen und prüfen
- Awareness-Schulungsplan für eine Abteilung entwickeln
- Incident-Response-Plan erstellen und Meldewege definieren
- Datenschutz-TOM-Liste erstellen und bewerten
- Technische Sicherheitsmaßnahmen anhand des VDA ISA IS-Moduls auditieren
- Abschluss-Simulation: vollständigen ISMS-Zyklus einmal von Anfang bis Ende durchlaufen
Die Weiterbildung schließt alle Phasen des ISMS-Aufbaus gemäß dem Plan-Do-Check-Act-Zyklus ein und stellt sicher, dass Teilnehmende nicht nur einzelne Anforderungen kennen, sondern das Gesamtsystem verstehen und steuern können.
Lernziele:
Nach Abschluss dieser Weiterbildung sind Teilnehmende in der Lage, ein vollständiges ISMS auf Basis des VDA ISA-Standards aufzubauen und im laufenden Betrieb zu steuern. Die folgende Übersicht zeigt die konkreten Kompetenzen nach Kursende.
- Den VDA ISA-Kriterienkatalog vollständig verstehen und auf die eigene Organisation anwenden
- Den Geltungsbereich (Scope) für ein TISAX-Assessment systematisch definieren und dokumentieren
- Eine Gap-Analyse anhand der VDA ISA IS-, Datenschutz- und Prototypenschutz-Module durchführen
- Ein strukturiertes Asset- und Risikomanagement aufbauen, Risikobewertungen durchführen und Behandlungspläne erstellen
- Informationssicherheitsrichtlinien, Verfahrensanweisungen und ein Statement of Applicability (SoA) erstellen
- Identitätsmanagement, Zugriffskontrolle, Passwortsicherheit und Kryptographie im Unternehmenskontext implementieren
- Physische Sicherheitsmaßnahmen und Business Continuity Management (BCM) planen und umsetzen
- Changemanagement- und Patchmanagement-Prozesse aufsetzen und dokumentieren
- Awareness- und Schulungspläne für Mitarbeitende entwickeln und umsetzen
- Interne Audits planen und ein Managementreview vorbereiten
- Den TISAX-Prüfungsprozess von innen heraus verstehen und die Vorbereitung effizient steuern
- Informationssicherheitsvorfälle strukturiert handhaben und dokumentieren
Zielgruppe & Voraussetzungen
Der Kurs ISBA Teil 2 richtet sich an Fachkräfte der Automotive-Branche und ihrer Lieferkette, die praktische und technische Kenntnisse im Aufbau eines ISMS nach VDA ISA benötigen. Geeignet sind insbesondere
- Informationssicherheitsbeauftragte (ISB) in Automotive-Unternehmen und deren Zulieferern
- IT-Leiter und Sicherheitsverantwortliche, die die TISAX-Zertifizierung ihres Unternehmens vorbereiten
- ISMS-Manager, die ihr vorhandenes Managementsystem auf VDA ISA ausrichten wollen
- Qualitätsmanager und Compliance-Verantwortliche, die Informationssicherheitsanforderungen in bestehende Managementsysteme integrieren
- IT-Sicherheitsauditoren, die TISAX-Assessments durchführen oder begleiten
Grundkenntnisse der Informationssicherheit und idealerweise Erfahrung mit Managementsystemen (ISO 27001, IT-Grundschutz) oder Vorerfahrung aus ISBA Teil 1 werden vorausgesetzt. Kenntnisse über die Automobilbranche und deren Lieferkettenprozesse sind von Vorteil. Für Teilnehmende, die ISBA Teil 2 ohne Teil 1 belegen, wird im Beratungsgespräch vor Kursbeginn der individuelle Lernstand ermittelt und ein angepasster Lernplan erstellt.
Ablauf & Abschluss
Die Weiterbildung wird im Combined-Learning-Format durchgeführt, das instruktorgeführte Online-Live-Sessions mit selbstgesteuerten Lernphasen und intensiven Praxisübungen kombiniert. Erfahrene IS-Auditor:innen und ISMS-Praktiker:innen leiten den Kurs und bringen reale Projekterfahrungen aus der Automotive-Branche ein. Fallstudien, Checklisten und praxiserprobte Templates unterstützen die direkte Anwendbarkeit des Gelernten. Ergänzend werden Online-Seminar-Formate angeboten, die eine flexible Teilnahme ermöglichen.
Der Kurs dauert typischerweise mehr als eine Woche bis zu einem Monat. Vollzeitvarianten ermöglichen einen kompakten Abschluss innerhalb weniger Wochen; Teilzeitformate erlauben die Kombination mit laufenden beruflichen Aufgaben. Der genaue Zeitplan wird individuell abgestimmt.
Nach Abschluss erhalten Teilnehmende eine qualifizierte Teilnahmebescheinigung des Schulungsanbieters. Diese bescheinigt die vertiefte Qualifikation als Informationssicherheitsbeauftragte:r im Automotive-Umfeld (ISBA). Externe Prüfungsformate können je nach Anbieter ergänzend angeboten werden. Die Teilnahmebescheinigung ist ein anerkannter Nachweis gegenüber Kunden und OEMs im TISAX-Prozess.
Nutzen & Perspektiven
In der Automobilindustrie ist TISAX kein optionaler Standard, sondern eine Marktzugangsvoraussetzung. Lieferanten, die keine gültige TISAX-Registrierung vorweisen können, riskieren, Aufträge von OEMs zu verlieren oder nicht in Ausschreibungen berücksichtigt zu werden. Mit dem Wissen aus ISBA Teil 2 sind Teilnehmende in der Lage, ihr Unternehmen oder ihre Organisation systematisch auf ein erfolgreiches TISAX-Assessment vorzubereiten und dauerhaft ein funktionsfähiges ISMS zu betreiben. Die Nachfrage nach qualifizierten ISBs im Automotive-Umfeld wächst kontinuierlich, da die Anforderungen der OEMs an ihre Lieferkette immer strenger werden und NIS2 zusätzliche Compliance-Pflichten mit sich bringt. Absolventen dieser Weiterbildung sind deshalb als interne Sicherheitsverantwortliche, externe Berater oder Auditoren gefragte Fachkräfte. Die Kombination aus technischen und organisatorischen Kompetenzen macht sie zu wertvollen Ansprechpartnern in interdisziplinären Teams. Bei AZAV-zertifizierten Trägern ist diese Weiterbildung in der Regel über einen Bildungsgutschein förderbar. Darüber hinaus können je nach Situation Leistungen nach dem Qualifizierungschancengesetz, die Berufsförderung der Bundeswehr (BFD) oder Förderungen der Deutschen Rentenversicherung in Anspruch genommen werden.
Häufig gestellte Fragen (FAQ)
Was ist der Unterschied zwischen ISBA Teil 1 und Teil 2?
ISBA Teil 1 vermittelt die Grundlagen der Informationssicherheit im Automotive-Kontext und führt in den VDA ISA-Standard ein. ISBA Teil 2 vertieft diese Kenntnisse und fokussiert auf den praktischen Aufbau eines vollständigen ISMS, die Durchführung von Gap-Analysen und die konkrete Vorbereitung auf ein TISAX-Assessment. Teil 2 setzt Grundkenntnisse voraus, die idealerweise aus Teil 1 stammen oder anderweitig erworben wurden.
Für welche Unternehmen ist diese Weiterbildung relevant?
Die Weiterbildung ist für alle Unternehmen relevant, die in der Automotive-Lieferkette tätig sind und von OEMs eine TISAX-Registrierung nachweisen müssen. Das betrifft Tier-1- und Tier-2-Zulieferer, Dienstleister und IT-Unternehmen, die vertrauliche Informationen von Automobilherstellern verarbeiten.
Welche Zertifizierung erlange ich nach ISBA Teil 2?
Teilnehmende erhalten eine qualifizierte Teilnahmebescheinigung als Informationssicherheitsbeauftragte:r Automotive (ISBA). Diese bescheinigt die vertiefte Qualifikation im VDA ISA-basierten ISMS-Aufbau und ist ein anerkannter Nachweis im TISAX-Prozess gegenüber Kunden und OEMs.
Kann der Kurs gefördert werden?
Bei AZAV-zertifizierten Trägern ist der Kurs in der Regel über einen Bildungsgutschein der Agentur für Arbeit oder des Jobcenters förderbar. Auch Förderungen nach dem Qualifizierungschancengesetz oder der Deutschen Rentenversicherung sind je nach Situation möglich.
Wie wird der Kurs durchgeführt?
Der Kurs wird im Combined-Learning-Format durchgeführt und kombiniert instruktorgeführte Live-Sessions mit selbstgesteuerten Lernphasen und praxisnahen Fallstudien. Er kann als Vollzeit- oder Teilzeitvariante belegt werden, und individuelle Starttermine können abgestimmt werden.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
Berufsbild ist branchenübergreifend einsetzbar. Karrierechancen hängen stark von zusätzlicher Spezialisierung und Region ab.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- Beamter/Beamtin im Bibliothekswesen (gehobener nichttechnischer Dienst)2.354 Stellen
- Geschichte (grundständig)249 Stellen
- Informationssicherheitsbeauftragter (ISB)201 Stellen
- Fachangestellter/Fachangestellte für Medien- und Informationsdienste Fachrichtung Information und Dokumentation39 Stellen
- ISMS-Manager0 Stellen
- IT-Sicherheitsauditor0 Stellen