Informationssicherheit

Der Schutz von Geschäftsprozessen und Informationen, auch unter schwierigen Randbe­din­gungen, ist eine zentrale Aufgabe der Unternehmensführung. Eine vereinheitlichte Standardanforderung an Schutzmaßnahmen gibt es derzeit noch nicht.

Durch die zunehmende Globalisierung der Unternehmen kommen zusätzliche Anforderungen hinzu. Die Vernetzung von Geschäftsprozessen über Unternehmensgrenzen hinweg erfordert ein vergleichbares Schutzniveau aller Beteiligten.

Gerade in der Automobilindustrie birgt diese Vernetzung nicht nur viele Chancen, sie macht sie zugleich auch empfindlicher und anfälliger für externe und interne Bedrohungen.

VDA Information Security Assessment: Version 4.1.1 verfügbar

Der VDA hat im Jahr 2005 eine Empfehlung zu Anforderungen der Informationssicherheit für Unternehmen der Automobilindustrie herausgegeben. Zur Unterstützung der Mitgliedsunternehmen wurde ein Fragenkatalog entwickelt, der als Leitfaden für den Einstieg in die Themenstellung der ISO/IEC 27001 und ISO/IEC 27002 dient.

Auf Grundlage der bisherigen Version 4.0.4 vom Juni 2018 wurde der Katalog systematisch weiterentwickelt. Im Katalog selbst wurden sprachliche Anpassungen ebenso vorgenommen wie auch Präzisierungen von Anforderungen. Das aktuelle Dokument steht in der Version 4.1.1 vom Mai 2019 in deutscher und englischer Sprache bereit.

Das Zusatz-Modul "Prototypenschutz" wurde überarbeitet und hat nunmehr den Aufbau des zentralen Katalogs. Das Modul "Anbindung Dritter" beschreibt, welche spezifischen Anforderungen zu berücksichtigen sind, wenn Flächen durch einen Lieferanten oder Dienstleister angemietet werden und in dieser Liegenschaft eine Verbindung ins fremde Unternehmensnetz etabliert werden soll. Das Zusatz-Modul Datenschutz kommt zum Tragen, wenn bei Dienstleistern eine Auftragsverarbeitung im Sinne des Art. 28 der Europäischen Datenschutz-Grundverordnung erfolgen soll.

Der Katalog in der vorliegenden Form ist ab 01.01.2019 gültig. Der bisherige Katalog kann für eine Übergangsfrist bis zum 30.06.2019 in begründeten Ausnahmefällen angewendet werden. Durch die eingangs aufgeführten Zusatzmodule entfallen grundsätzlich unternehmensspezifische "Spezialkataloge" mit Sonderanforderungen.

Bei der Ausrichtung am Standard werden die VDA - Mitgliedsunternehmen durch die „Empfehlung Informationssicherheit“ und das "Information Security Assessment" unterstützt (siehe unter weitere Informationen).

Auf Basis der Ergebnisse des Arbeitskreises Informationssicherheit hat der VDA seinen Mitgliedern empfohlen, den Informationsschutz am internationalen Standard ISO 2700x auszurichten.

Harmonisierung der Klassifizierungsstufen

Die Informationsklassifizierung stellt eine wesentliche Grundlage zur Erreichung eines bedarfsgerechten Informationssicherheitsniveaus dar. Ein Vergleich innerhalb der Automobilindustrie hat gezeigt, dass es sowohl hinsichtlich der Anzahl als auch der Bezeichnung der Klassifizierungsstufen Unterschiede zwischen den Unternehmen gibt. Der Arbeitskreis Informationssicherheit hat in den letzten Monaten ein einheitliches Schema zur Informationsklassifizierung entwickelt und nun als Whitepaper veröffentlicht. Dieses trägt in Verbindung mit den Anforderungen des VDA ISA (Information Security Assessment) dazu bei, Missverständnissen und Risiken beim Informationsaustausch vorzubeugen und damit einen angemessenen Umgang mit Informationen zu ermöglichen.

Der VDA empfiehlt seinen Mitgliedsunternehmen, sich an dem Whitepaper zu orientieren und das beschriebene Schema zur Informationsklassifizierung in den jeweiligen Unternehmen umzusetzen.