Informationssicherheit

Geschäftsabläufe hängen maßgeblich von Informationen und Informationssystemen und deren sicherer Verarbeitung ab. Informations­sicherheit ist dabei mehr als nur eine Absicherung der technischen Infrastruktur – es bedeutet Sicherheit des gesamten Informationsflusses. Dies ist eine zentrale Aufgabe der Unternehmensleitung.

Die Vernetzung und Globalisierung der digitalen Zukunft in der Automobilindustrie hat zahlreiche Vorteile, jedoch steigen für Unternehmen auch die internen und externen Risiken. Um diesen zu begegnen, müssen geeignete Schutzmaßnahmen etabliert werden. Die Digitalisierung von Geschäftsprozessen über Unternehmens­grenzen hinweg erfordert daher ein vergleichbares Informationssicherheitsniveau aller Beteiligten, das über die gesamte Wertschöpfungskette gewährleistet ist.

Experten der Automobilindustrie arbeiten im VDA im Arbeitskreis Informationssicherheit zusammen, um gemeinsame Standards und angemessene Schutzmaßnahmen zu erarbeiten. Ein wesentliches Ergebnis der Zusammenarbeit ist ein Branchenstandard für Informationssicherheits-Assessments, der VDA Information Security Assessment (ISA) Katalog.

Der VDA empfiehlt den Unternehmen, die an der Wertschöpfungskette der Automobilindustrie beteiligt sind, Informationssicherheit auf Basis des VDA ISA aufzubauen.

Der aktuelle VDA ISA Katalog steht in der Version 5 in deutscher und englischer Sprache zur Verfügung. Er gilt seit dem 01.10.2020 für neu beginnende TISAX Assessments. Für laufende TISAX Assessments kann der bisherige Katalog, Version 4.1.1 noch angewendet werden (bis zum 31.03.2021).

Der VDA ISA Katalog ist Grundlage für das Branchenmodell TISAX, über das eine unternehmensübergreifende Anerkennung von Assessment-Ergebnissen gewährleistet wird.

Der VDA hat die ENX Association als neutrale Instanz für die Steuerung und Betreuung des TISAX Modells hinzugezogen. Weitere Informationen unter https://portal.enx.com/de-de/TISAX/

VDA Information Security Assessment: VDA ISA Katalog in der Version 5.0 verfügbar

Der VDA ISA Katalog wurde 2020 grundlegend überarbeitet und sowohl strukturell als auch inhaltlich optimiert. Im Vordergrund stand hier­bei, die Arbeit mit dem Katalog einfacher und effizienter zu gestalten und damit Aufwände für Unternehmen und Prüfer zu reduzieren.

Es wurden nicht nur alle Anforderungen des Moduls „Informationssicher­heit“ bezüglich des aktuellen Stands der Technik und auf Angemessenheit hin geprüft, sondern auch Redundanzen entfernt und den VDA ISA Katalog zu einem umfangreichen Tool weiter­entwickelt.

Die Module "Prototypenschutz" und „Datenschutz“ wurden ebenfalls an die neue Struktur des Katalogs angepasst.

Bei der Etablierung und Aufrechterhaltung eines angemessenen Informationssicherheits­niveaus werden die Mitgliedsunternehmen durch die „Empfehlung Informationssicherheit“ und den VDA ISA Katalog unterstützt.

Mindestanforderungen zum Prototypenschutz

Beim Umgang mit Prototypen sind zusätzliche Anforderungen zu erfüllen. Als Prototypen werden hierbei Fahrzeuge, Komponenten und Bauteile bezeichnet, welche als schutzbedürftig klassifiziert sind und noch nicht seitens eines Automobilherstellers der Öffentlichkeit vorgestellt und/oder in geeigneter Form veröffentlicht wurden.

Ziel des Prototypenschutzes ist es, angemessene Maßnahmen zum Schutz von Prototypen zu etablieren und die Wirksamkeit dieser Maßnahmen auch regelmäßig zu überprüfen.

Im folgenden Dokument sind die Mindestanforderungen zum Prototypenschutz aufgeführt. Diese sind Bestandteil des VDA ISA Katalogs.

Risikomanagement in der Informationssicherheit

Eine Projektgruppe des VDA Arbeitskreises Informationssicherheit hat ein Whitepaper zum Thema „Risikomanagement in der Informationssicherheit“ erarbeitet.

Ziel dieses Whitepapers ist es, Unternehmen in der Automobilindustrie hinsichtlich eines risikoorientierten Informationssicherheitsmanagements zu sensibilisieren und zu befähigen, ein effektives Informationssicherheitsrisikomanagement zu etablieren. Das Whitepaper soll darüber hinaus Unternehmen bei der Vorbereitung oder Durchführung eines TISAX Assess­ments unterstützen, die Anforderungen der entsprechenden Kontrollfrage des VDA ISA in der aktuellen Version 5.0 zu erfüllen.

Kompakt werden die wesentlichen Prozessschritte des Informationssicherheitsrisikomanagements dargestellt und detailliert auf die konkreten Schritte der Beurteilung, Behandlung und Überwachung von Informationssicherheitsrisiken eingegangen.

Parallel werden alle Prozessschritte anhand von zwei durchgängigen Beispielen veran­schaulicht. Dies soll zu einem besseren Verständnis des Themas beitragen.

Der VDA empfiehlt seinen Mitgliedsunternehmen, sich an dem Whitepaper zu orientieren.

Harmonisierung der Klassifizierungsstufen

Die Informationsklassifizierung stellt eine wesentliche Grundlage zur Erreichung eines be­darfsgerechten Informationssicherheitsniveaus dar. Ein Vergleich innerhalb der Automobil­industrie hat gezeigt, dass es sowohl hinsichtlich der Anzahl als auch der Bezeichnung der Klassifizierungsstufen Unterschiede zwischen den Unternehmen gibt.

Der Arbeitskreis Informationssicherheit hat ein einheitliches Schema zur Informations­klassifizierung entwickelt und als Whitepaper veröffentlicht. Dieses trägt in Verbindung mit den Anforderungen des VDA ISA dazu bei, Missver­ständnissen und Risiken beim Informationsaustausch vorzubeugen und damit einen ange­messenen Umgang mit Informationen zu ermöglichen.

Der VDA empfiehlt seinen Mitgliedsunternehmen, sich an dem Whitepaper zu orientieren und das beschriebene Schema zur Informationsklassifizierung in den jeweiligen Unternehmen umzusetzen.