Daten

    Informationssicherheit in Unternehmen

    Im Verband der Automobilindustrie wurden Maßnahmen zur Datensicherung und zum Prototypenschutz in Unternehmen erarbeitet. Der aktuelle ISA-Katalog des VDA steht in der Version 5 in deutscher und englischer Sprache zur Verfügung.

    Im Verband der Automobilindustrie wurden Maßnahmen zur Datensicherung und zum Prototypenschutz in Unternehmen erarbeitet. Der aktuelle ISA-Katalog des VDA steht in der Version 5 in deutscher und englischer Sprache zur Verfügung.

    Leitfaden

    Geschäftsabläufe hängen maßgeblich von Informationen und Informationssystemen und deren sicherer Verarbeitung ab. Informationssicherheit ist dabei mehr als nur eine Absicherung der technischen Infrastruktur – sie bedeutet Sicherheit des gesamten Informationsflusses. Dies ist eine zentrale Aufgabe der Unternehmensleitung.

    Die Vernetzung und Globalisierung der digitalen Zukunft in der Automobilindustrie haben zahlreiche Vorteile, jedoch steigen für Unternehmen auch die internen und externen Risiken. Um diesen zu begegnen, müssen geeignete Schutzmaßnahmen etabliert werden. Die Digitalisierung von Geschäftsprozessen über Unternehmensgrenzen hinweg erfordert daher ein vergleichbares Informationssicherheitsniveau aller Beteiligten, das über die gesamte Wertschöpfungskette gewährleistet ist.

    Experten der Automobilindustrie arbeiten im VDA im Arbeitskreis Informationssicherheit zusammen, um gemeinsame Standards und angemessene Schutzmaßnahmen zu erarbeiten. Ein wesentliches Ergebnis der Zusammenarbeit ist ein Branchenstandard für Informationssicherheits-Assessments, der VDA Information Security Assessment (ISA) Katalog.

    Der VDA empfiehlt den Unternehmen, die an der Wertschöpfungskette der Automobilindustrie beteiligt sind, Informationssicherheit auf Basis des VDA ISA aufzubauen.

    Weitere Details zu den Empfehlungen über die Informationssicherheit finden Sie hier:

    Informationssicherheit — Empfehlung zum 2. Gesetz

    Das erste IT-Sicherheitsgesetz wurde im Jahr 2015 veröffentlicht. Es wurden damals nur kritische Versorgungsbereiche definiert. Durch das IT-Sicherheitsgesetz 2.0 verfolgt der Gesetzgeber erstmals einen ganzheitlicheren Ansatz. Am 27. Mai 2021 hat die Bundesregierung das „Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (IT-Sicherheitsgesetz 2.0, IT-SIG 2.0) veröffentlicht. Neu hinzugekommen sind Unternehmen von erheblicher volkswirtschaftlicher Bedeutung sowie Zulieferer, die für solche Unternehmen tätig sind und zudem ein Alleinstellungsmerkmal aufweisen können.

    Jedoch muss der genaue Adressatenkreis noch in Form einer eigenständigen Rechtsverordnung bestimmt werden. Der VDA Arbeitskreis Informationssicherheit hat zum Umgang mit dem sogenannten IT-SIG 2.0 für die deutsche Automobilbranche eine Empfehlung veröffentlicht, da die Automobilindustrie als Anbieter digitaler Dienste und als Unternehmen im besonderen öffentlichen Interesse unter diese Regelung voraussichtlich fallen wird.

    VDA ISA Katalog Version 6

    VDA-ISA Katalog Version 6, gültig am 01.04.2024


    Informations- und Cybersicherheit sind mehr denn je von großer Bedeutung. Das gilt ganz besonders für die Automobilindustrie, insbesondere im Hinblick auf die Bedeutung der Lieferkette. Lieferanten und Dienstleister sind sowohl stark in den Produktentwicklungsprozess eingebunden als auch in den Produktionsprozess. Im Rahmen der Produktentwicklung erhalten Lieferanten und Dienstleiter sensible und schützenswerte Informationen. Daher müssen sie nachweisen, dass sie die Anforderungen an die Informationssicherheit hinsichtlich Wahrung der Vertraulichkeit erfüllen. Als Lieferanten von Produktionsmaterial und Serienteilen hängt die störungsfreie Fahrzeugproduktion von Ihnen ab. Solche Lieferanten und Dienstleister müssen über das ein geeignetes Niveau an Resilienz gegenüber Störungen, sowohl im Cyber-Raum als auch in der physischen Sicherheit, verfügen.

    Im VDA und bei ENX haben Experten der Fahrzeughersteller sowie der Lieferanten und Dienstleister zusammengearbeitet, um gemeinsam einen Standard mit angemessenen Schutzmaßnahmen zu erarbeiten. Zwei wesentliche Ergebnisse der Zusammenarbeit sind die Branchenstandard für Informationssicherheits-Assessments, der VDA Information Security Assessment (VDA ISA) Katalog sowie der ENX Prüf- und Austauschmechanismus Trusted Information Security Assessment Exchange (ENX TISAX).

    Der VDA empfiehlt den Unternehmen, die an der Wertschöpfungskette der Automobilindustrie beteiligt sind, Informationssicherheit auf Basis des aktuellen VDA-ISA Katalogs aufzubauen. Um weiterhin einen hohen Sicherheitsstandard als Grundlage für das Information Security Management System (ISMS) in der Automobilindustrie zu gewährleisten, wurde der VDA-Katalog überarbeitet. In Zukunft können Lieferanten und Dienstleister in der Automobilindustrie ihre Erfüllung der Anforderungen an Cyber- und Informationssicherheit neben dem Label Vertraulichkeit nun auch erstmalig im Bereich Verfügbarkeit nachweisen. Das Label "Verfügbarkeit" wurde neu in dem VDA-ISA Katalog 6.0 eingearbeitet und dieser Katalog wird zum 01.04.2024 in Kraft treten. Mit diesen beiden Standards, dem VDA ISA sowie ENX TISAX, verfügt die Automobilbranche bereits heute über anerkannte Standards nach Stand der Technik.

    Die beiden Standards bilden in der Branche auch eine wesentliche Grundlage zur Erfüllung von gesetzlichen Regulierungen nach NIS 2-Regulierung der Europäischen Union sowie weiterer EU-Richtlinien und deren nationalen Umsetzungen in den EU-Mitgliedsstaaten. Detaillierte und technische Informationen zu den Änderungen im VDA ISA 6 und den ENX TISAX Labels sowie den konkreten Auswirkungen auf TISAX Prüfungen finden sie unter https://enx.com/de-DE/news/.

    Mindestanforderungen zum Prototypenschutz

    Beim Umgang mit Prototypen sind zusätzliche Anforderungen zu erfüllen. Als Prototypen werden hierbei Fahrzeuge, Komponenten und Bauteile bezeichnet, welche als schutzbedürftig klassifiziert sind und noch nicht seitens eines Automobilherstellers der Öffentlichkeit vorgestellt und/oder in geeigneter Form veröffentlicht wurden.

    Ziel des Prototypenschutzes ist es, angemessene Maßnahmen zum Schutz von Prototypen zu etablieren und die Wirksamkeit dieser Maßnahmen auch regelmäßig zu überprüfen.

    Im folgenden Dokument sind die Mindestanforderungen zum Prototypenschutz aufgeführt. Diese sind Bestandteil des VDA ISA Katalogs.

    Einen Katalog über die Mindestanforderungen zum Prototypenschutz finden Sie sowohl in deutscher als auch in englischer Sprache.

    Risikomanagement in der Informationssicherheit

    Eine Projektgruppe des VDA-Arbeitskreises Informationssicherheit hat ein Whitepaper zum Thema „Risikomanagement in der Informationssicherheit“ erarbeitet (englisch).

    Ziel dieses Whitepapers ist es, Unternehmen in der Automobilindustrie hinsichtlich eines risikoorientierten Informationssicherheitsmanagements zu sensibilisieren und zu befähigen, ein effektives Informationssicherheitsrisikomanagement zu etablieren. Das Whitepaper soll darüber hinaus Unternehmen bei der Vorbereitung oder Durchführung eines TISAX-Assessments dabei unterstützen, die Anforderungen der entsprechenden Kontrollfrage des VDA ISA in der aktuellen Version 5.0 zu erfüllen.

    Kompakt werden die wesentlichen Prozessschritte des Informationssicherheitsrisikomanagements dargestellt, und detailliert wird auf die konkreten Schritte der Beurteilung, Behandlung und Überwachung von Informationssicherheitsrisiken eingegangen.

    Parallel werden alle Prozessschritte anhand von zwei durchgängigen Beispielen veranschaulicht. Dies soll zu einem besseren Verständnis des Themas beitragen.

    Der VDA empfiehlt seinen Mitgliedsunternehmen, sich an dem Whitepaper zu orientieren.

    Harmonisierung der Klassifizierungsstufen

    Die Informationsklassifizierung stellt eine wesentliche Grundlage zur Erreichung eines bedarfsgerechten Informationssicherheitsniveaus dar. Ein Vergleich innerhalb der Automobilindustrie hat gezeigt, dass es sowohl hinsichtlich der Anzahl als auch hinsichtlich der Bezeichnung der Klassifizierungsstufen Unterschiede zwischen den Unternehmen gibt.

    Der Arbeitskreis Informationssicherheit hat ein einheitliches Schema zur Informationsklassifizierung entwickelt und als Whitepaper veröffentlicht. Dieses trägt in Verbindung mit den Anforderungen des VDA ISA dazu bei, Missverständnissen und Risiken beim Informationsaustausch vorzubeugen und damit einen angemessenen Umgang mit Informationen zu ermöglichen.

    Der VDA empfiehlt seinen Mitgliedsunternehmen, sich an dem Whitepaper (englisch) zu orientieren und das beschriebene Schema zur Informationsklassifizierung in den jeweiligen Unternehmen umzusetzen.

    Koordinierungsstelle Security & Daten

    Martin Lorenz

    Abteilungsleiter Koordinierungsstelle Security & Daten Produktbezogene Security, Informations- und IT- Sicherheit für Produkt & Unternehmen, Wirtschaftsschutz

    Lesen Sie mehr zum Thema