Informationssicherheit in Unternehmen

Geschäftsabläufe hängen maßgeblich von Informationen und Informationssystemen und deren sicherer Verarbeitung ab. Informationssicherheit ist dabei mehr als nur eine Absicherung der technischen Infrastruktur – sie bedeutet Sicherheit des gesamten Informationsflusses. Dies ist eine zentrale Aufgabe der Unternehmensleitung.

Die Vernetzung und Globalisierung der digitalen Zukunft in der Automobilindustrie haben zahlreiche Vorteile, jedoch steigen für Unternehmen auch die internen und externen Risiken. Um diesen zu begegnen, müssen geeignete Schutzmaßnahmen etabliert werden. Die Digitalisierung von Geschäftsprozessen über Unternehmensgrenzen hinweg erfordert daher ein vergleichbares Informationssicherheitsniveau aller Beteiligten, das über die gesamte Wertschöpfungskette gewährleistet ist.

Experten der Automobilindustrie arbeiten im VDA im Arbeitskreis Informationssicherheit zusammen, um gemeinsame Standards und angemessene Schutzmaßnahmen zu erarbeiten. Ein wesentliches Ergebnis der Zusammenarbeit ist ein Branchenstandard für Informationssicherheits-Assessments, der VDA Information Security Assessment (ISA) Katalog.

Der VDA empfiehlt den Unternehmen, die an der Wertschöpfungskette der Automobilindustrie beteiligt sind, Informationssicherheit auf Basis des VDA ISA aufzubauen.

Weitere Details zu den Empfehlungen über die Informationssicherheit finden Sie hier:

Das erste IT-Sicherheitsgesetz wurde im Jahr 2015 veröffentlicht. Es wurden damals nur kritische Versorgungsbereiche definiert. Durch das IT-Sicherheitsgesetz 2.0 verfolgt der Gesetzgeber erstmals einen ganzheitlicheren Ansatz. Am 27. Mai 2021 hat die Bundesregierung das „Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (IT-Sicherheitsgesetz 2.0, IT-SIG 2.0) veröffentlicht. Neu hinzugekommen sind Unternehmen von erheblicher volkswirtschaftlicher Bedeutung sowie Zulieferer, die für solche Unternehmen tätig sind und zudem ein Alleinstellungsmerkmal aufweisen können.

Jedoch muss der genaue Adressatenkreis noch in Form einer eigenständigen Rechtsverordnung bestimmt werden. Der VDA Arbeitskreis Informationssicherheit hat zum Umgang mit dem sogenannten IT-SIG 2.0 für die deutsche Automobilbranche eine Empfehlung veröffentlicht, da die Automobilindustrie als Anbieter digitaler Dienste und als Unternehmen im besonderen öffentlichen Interesse unter diese Regelung voraussichtlich fallen wird.

Der aktuelle VDA ISA Katalog steht in der Version 5.1 in deutscher und englischer Sprache zur Verfügung. 

Er enthält branchenweit abgestimmte Anforderungen zur Informationssicherheit und ist Basis für Assessments zur Bestimmung des Informationssicherheitsniveaus (Information Security Assessments).

Der VDA ISA Katalog ist zudem Grundlage für das Branchenmodell TISAX, über das eine unternehmensübergreifende Anerkennung von Information Security Assessment-Ergebnissen gewährleistet wird. Der VDA hat die ENX Association als neutrale Instanz für die Steuerung und Betreuung des TISAX-Modells hinzugezogen. Weitere Informationen finden Sie hier.

Der VDA ISA Katalog wurde 2020 grundlegend überarbeitet und sowohl strukturell als auch inhaltlich optimiert. Im Vordergrund stand hierbei, die Arbeit mit dem Katalog einfacher und effizienter zu gestalten und damit Aufwände für Unternehmen und Prüfer zu reduzieren. Mit der Version 5.1 wurden neben sprachlichen Korrekturen die Schutzziele bezüglich Anforderungen für hohen und sehr hohen Schutzbedarf im Tabellenblatt "Informationssicherheit" ergänzt. Eine Veränderung von Anforderungen fand nicht statt.

Bei der Etablierung und Aufrechterhaltung eines angemessenen Informationssicherheitsniveaus werden die Mitgliedsunternehmen durch die „Empfehlung Informationssicherheit“ und den VDA ISA Katalog unterstützt.

Beim Umgang mit Prototypen sind zusätzliche Anforderungen zu erfüllen. Als Prototypen werden hierbei Fahrzeuge, Komponenten und Bauteile bezeichnet, welche als schutzbedürftig klassifiziert sind und noch nicht seitens eines Automobilherstellers der Öffentlichkeit vorgestellt und/oder in geeigneter Form veröffentlicht wurden.

Ziel des Prototypenschutzes ist es, angemessene Maßnahmen zum Schutz von Prototypen zu etablieren und die Wirksamkeit dieser Maßnahmen auch regelmäßig zu überprüfen.

Im folgenden Dokument sind die Mindestanforderungen zum Prototypenschutz aufgeführt. Diese sind Bestandteil des VDA ISA Katalogs.

Einen Katalog über die Mindestanforderungen zum Prototypenschutz finden Sie sowohl in deutscher als auch in englischer Sprache.

Eine Projektgruppe des VDA-Arbeitskreises Informationssicherheit hat ein Whitepaper zum Thema „Risikomanagement in der Informationssicherheit“ erarbeitet (englisch).

Ziel dieses Whitepapers ist es, Unternehmen in der Automobilindustrie hinsichtlich eines risikoorientierten Informationssicherheitsmanagements zu sensibilisieren und zu befähigen, ein effektives Informationssicherheitsrisikomanagement zu etablieren. Das Whitepaper soll darüber hinaus Unternehmen bei der Vorbereitung oder Durchführung eines TISAX-Assessments dabei unterstützen, die Anforderungen der entsprechenden Kontrollfrage des VDA ISA in der aktuellen Version 5.0 zu erfüllen.

Kompakt werden die wesentlichen Prozessschritte des Informationssicherheitsrisikomanagements dargestellt, und detailliert wird auf die konkreten Schritte der Beurteilung, Behandlung und Überwachung von Informationssicherheitsrisiken eingegangen.

Parallel werden alle Prozessschritte anhand von zwei durchgängigen Beispielen veranschaulicht. Dies soll zu einem besseren Verständnis des Themas beitragen.

Der VDA empfiehlt seinen Mitgliedsunternehmen, sich an dem Whitepaper zu orientieren.

Die Informationsklassifizierung stellt eine wesentliche Grundlage zur Erreichung eines bedarfsgerechten Informationssicherheitsniveaus dar. Ein Vergleich innerhalb der Automobilindustrie hat gezeigt, dass es sowohl hinsichtlich der Anzahl als auch hinsichtlich der Bezeichnung der Klassifizierungsstufen Unterschiede zwischen den Unternehmen gibt.

Der Arbeitskreis Informationssicherheit hat ein einheitliches Schema zur Informationsklassifizierung entwickelt und als Whitepaper veröffentlicht. Dieses trägt in Verbindung mit den Anforderungen des VDA ISA dazu bei, Missverständnissen und Risiken beim Informationsaustausch vorzubeugen und damit einen angemessenen Umgang mit Informationen zu ermöglichen.

Der VDA empfiehlt seinen Mitgliedsunternehmen, sich an dem Whitepaper (englisch) zu orientieren und das beschriebene Schema zur Informationsklassifizierung in den jeweiligen Unternehmen umzusetzen.