Informationssicherheit in der Automobilindustrie

Wenn es um die Digitalisierung von Abläufen und die Gewährleistung der Informationssicherheit geht, so steht jede Branche vor unterschiedlichen Herausforderungen. In der Automobilindustrie gehören dazu die Datensicherung, der Schutz von Prototypen und vor Wirtschaftsspionage sowie die reibungslose Zusammenarbeit in unternehmensübergreifenden Geschäftsprozessen. Dabei ist es erforderlich, dass alle Beteiligten – Automobilhersteller (OEM, Original Equiment Manufacturer), Zulieferer und Dienstleister – ein vergleichbares Schutzniveau gewährleisten.

Wir beraten Unternehmen aus der Automobilindustrie entlang des gesamten Informationsflusses, bei der Vorbereitung auf eine TISAX®-Prüfung* und der Optimierung ihres Informationssicherheitsmanagements. Im Folgenden erfahren Sie mehr über die spezifischen Anforderungen an die Informationssicherheit in der Automobilindustrie und unsere Beratungsleistung.

VDA ISA Katalog

Der Verband der Automobilindustrie (VDA) hat auf der Grundlage der Norm ISO/IEC 27001 ein eigenes Information Security Assessment (ISA) entwickelt. Dabei handelt es sich um einen Fragenkatalog zur Informationssicherheit, der drei Zwecken dient:

als „Self-Assessment“, um den Ist-Zustand der Informationssicherheit innerhalb der eigenen Organisation zu bestimmen
als Basis für Audits durch eigene Fachabteilungen, wie bspw. die interne Revision oder die Informationssicherheits-Abteilung
als Grundlage für eine Prüfung nach TISAX®

Mit dem VDA ISA Katalog haben Unternehmen der Automobilindustrie einen standardisierten Maßstab zur Beurteilung des eigenen Sicherheitsniveaus und dem der Dienstleister bzw. Kooperationspartner.

Wie ist der VDA ISA Katalog aufgebaut?

Als Branchenstandard wurde der ISA Anforderungskatalog im Laufe der Zeit immer wieder angepasst und zuletzt 2020 grundlegend überarbeitet. Die aktuelle Version 5.1 des Fragenkatalogs finden Sie auf der Website des VDA als Exceltabelle zum Download.

Wichtig: Ab dem 1. April 2024 gilt die neue Version 6 des VDA ISA-Katalogs, diese kann ebenfalls über die Website des VDA heruntergeladen werden. Die ENX Association* stellt auf ihrer Website eine Version zur Verfügung, in der alle Änderungen rot markiert sind. Wer bis einschließlich 31. März ein TISAX®-Assessment* in Auftrag gibt, kann noch nach der Version 5.1 des VDA ISA auditiert werden. Falls die Beauftragung für ISA 5 durchgeführt ist, jedoch der Wunsch auf die ISA 6 umzustellen besteht, ist dieses im Einverständnis mit ihrem Prüfdienstleister ab dem 1. April 2024 möglich. Die Übergangsfrist ist bis zum 30. September 2024 für bereits laufende Assessment-Verfahren. Lesen Sie auch unseren Blogbeitrag.

Der VDA ISA Katalog besteht aus drei Modulen: Dem Hauptmodul „Informationssicherheit“, den Zusatzanforderungen zum Prototypenschutz und den Ergänzungsfragen zum Datenschutz.

Das Modul „Informationssicherheit“ besteht insgesamt aus sieben Kapiteln, mit denen die gesamte Bandbreite an Fragen zum Informationssicherheitsmanagement abgedeckt wird, die in der Automobilindustrie relevant sind. Jedes Kapitel umfasst weitere Unterkapitel und entsprechende Fragestellungen, die es zu beantworten gilt und die neben „muss“-Anforderungen teilweise auch darüberhinausgehende „sollte“-Anforderungen sowie Zusatzanforderungen bei hohem und sehr hohem Schutzbedarf enthalten. Im Folgenden sind die Kapitel mit jeweils einer exemplarischen Frage aufgeführt:

IS Policies and Organization. Beispielfrage: Inwieweit wird das ISMS von einer unabhängigen Instanz geprüft?
Human Ressources. Beispielfrage: Inwieweit werden alle Mitarbeiter zur Einhaltung der Informationssicherheit verpflichtet?
Physical Security and Business Continuity. Beispielfrage: Inwieweit ist in Ausnahmesituationen die Informationssicherheit sichergestellt?
Identity and Access Management. Beispielfrage: Inwieweit werden Benutzerkonten und Anmeldeinformationen sicher verwaltet und angewandt?
IT Security / Cyber Security. Beispielfrage: Inwieweit sind die Entwicklungs- und Testumgebungen von den Produktivumgebungen getrennt?
Supplier Relationships. Beispielfrage: Inwieweit ist Geheimhaltung beim Austausch von Informationen vertraglich vereinbart?
Compliance. Beispielfrage: Inwieweit wird der Schutz von personenbezogenen Daten bei der Umsetzung der Informationssicherheit berücksichtigt?

Die Fragen zum Prototypenschutz sind nur dann zu berücksichtigen, wenn entsprechende, als schutzbedürftig klassifizierte Komponenten, Bauteile oder Fahrzeuge vorhanden sind, die zudem noch nicht seitens des Herstellers (OEM, Original Equipment Manufacturer) der Öffentlichkeit präsentiert oder in anderer Form veröffentlicht wurden. Diese Anforderungen sind in dem Dokument Mindestanforderungen zum Prototypenschutz, das der VDA auf seiner Website zum Download anbietet, zusammengefasst und für die Schutzklassen „hoch“ und „sehr hoch“ anzuwenden.

Die Ergänzungsfragen zum Datenschutz dienen dazu, die grundsätzliche Eignung eines Dienstleisters als Auftragsverarbeiter im Sinne von Art. 28 DSGVO festzustellen. Hier werden bspw. Fragen zur Organisation des Datenschutzes, zu technischen und organisatorischen Maßnahmen und zur Dokumentation der Verarbeitung personenbezogener Daten gestellt.

Warum sollten sich Unternehmen mit dem VDA ISA Katalog befassen?

Die Automobilindustrie ist wie kaum eine andere Branche vernetzt und weltweit tätig. Dadurch besteht jedoch auch ein großes Risiko für Angriffe auf die IT-Infrastruktur, bei denen zum einen sensible Daten entwendet und zum anderen (unternehmensübergreifende) Geschäftsprozesse unterbrochen werden können. Ein hohes Sicherheitsniveau bei allen beteiligten Akteuren ist daher unabdingbar.

Gerade für Dienstleister, wie bspw. Zulieferer, in der Automobilindustrie lohnt es sich, sich mit Anforderungen aus dem ISA Katalog hinsichtlich des aktuellen Schutzniveaus auseinanderzusetzen. Oftmals ist das die Voraussetzung für eine Beauftragung bzw. Folge-Beauftragung. Es geht darum, zu zeigen, dass man sich den internen und externen Risiken im Zusammenhang mit der Digitalisierung und beim Austausch von Informationen bewusst ist und entsprechende Schutzmaßnahmen vorweisen kann.

Branchenmodell TISAX®

Das TISAX®-Verfahren* basiert auf dem ISA Katalog und wurde vom VDA und der ENX Association* gemeinsam entwickelt. TISAX® steht für Trusted Information Security Assessment Exchange und ist ein Prüf- und Austauschmechanismus für die Informationssicherheit, speziell für Unternehmen der europäischen Automobilindustrie. Der Verein ENX Association agiert als neutrale Instanz für die Betreuung dieses Prüfprozesses. Das ENX-Netzwerk wiederum ist das private Internet der Automobilindustrie. Es ermöglicht den Teilnehmern den sicheren Austausch kritischer Daten in den Bereichen Entwicklung, Logistik und Produktionssteuerung.

Ihre TISAX®-Prüfergebnisse können Unternehmen auf einer Plattform der ENX Assocation anzeigen lassen und somit aktuellen und potenziellen Geschäftspartnern zeigen, dass die Informationssicherheit in ihrem Unternehmen konform zum ISA-Standard ist.

Wie läuft die TISAX®-Prüfung ab?

Um als Unternehmen der Automobilindustrie gegenüber anderen Unternehmen (z. B. einem Auftraggeber) nachzuweisen, dass das eigene Informationssicherheits-Managementsystem (ISMS) den Anforderungen des VDA ISA entspricht, kann die TISAX®-Prüfung absolviert und das Prüfergebnis als Nachweis vorgelegt werden. Der Aufbau eines ISMS stellt für viele Unternehmen oftmals eine Hürde da. Mehr dazu erfahren Sie dazu auf unserer Informationsseite über ISMS.

Wenn Sie bereits ein ISMS eingeführt haben, so erklären wir Ihnen im Folgenden, wie der Prozess der TISAX®-Prüfung abläuft. Der Prozess besteht aus drei Schritten, die wir hier vereinfacht darstellen:

Registrierung: Um TISAX®-Teilnehmer zu werden, müssen Sie Ihr Unternehmen bei der ENX Association online registrieren und mitteilen, was Bestandteil bzw. der Scope der Informationssicherheitsprüfung sein soll. Der Scope kann bspw. auf einen bestimmten Geschäftspartner angepasst sein, mit dem Daten ausgetauscht werden sollen.
Informationssicherheitsprüfung: Ein lizensierter TISAX®-Prüfdienstleister führt die Prüfung durch. Das Ausmaß der Vorbereitung auf diese Prüfung hängt vom geforderten Reifegrad an das ISMS ab. Weitere Informationen zum Reifegrad finden Sie im ISA Katalog. Die Vorbereitung umfasst natürlich ebenfalls den oben erwähnten Fragenkatalog. Der Prüfdienstleister wird vom nachweisenden Unternehmen selbst gewählt. Besteht Ihr Unternehmen die Prüfung nicht auf Anhieb, so können weitere Schritte (bspw. die Umsetzung von Abhilfemaßnahmen) und eine erneute Prüfung oder Nachprüfung erforderlich werden. Das Prüfergebnis erhält man in Form eines TISAX® Assessment Berichts, der auch das TISAX®-Label für das gewählte Prüfziel enthält.
Austausch: Sie erhalten Ihr TISAX®-Prüfergebnis und können dieses Ihren Geschäftspartnern mitteilen. Die Mitteilung erfolgt über die TISAX®-Austauschplattform. Da der Bericht in verschiedene Ebenen aufgeteilt ist, können Sie entscheiden, bis zu welcher Ebene ein Geschäftspartner Zugang erhalten soll. Zu beachten ist, dass das Prüfergebnis drei Jahre gültig ist und der Prozess anschließend erneut durchlaufen werden muss.

Die Hauptzielsetzung von TISAX® ist das Veröffentlichen und Teilen der Prüfergebnisse mit anderen TISAX®-Teilnehmern, um leichter und vor allem sicherer Daten mit Geschäfts- bzw. Kooperationspartnern austauschen zu können.

Hinweis: Die DSN GROUP steht in keiner geschäftlichen Beziehung zur ENX Association, die den TISAX®-Prozess betreut und Inhaberin der Markenrechte ist. Wir beraten lediglich bei der Vorbereitung auf eine TISAX®-Prüfung, die dann von einem lizensierten TISAX®-Prüfdienstleister durchgeführt wird. Mehr zu unserer Dienstleistung lesen Sie weiter unten auf dieser Seite.

Welche Vorteile hat das TISAX®-Assessment?

Das Information Security Assessment (ISA) des VDA ist ein Anforderungskatalog, mit dem sich ein bestimmtes Niveau des Informationssicherheitsmanagements im Automotive-Bereich nachweisen lässt.

OEMs, Zulieferer und andere Dienstleister profitieren von diesem „vertrauenswürdigen Austausch von Informationssicherheitsprüfungen“ (Trusted Information Security Assessment Exchange, kurz TISAX®). Anhand des Standards ist ein Vergleich der Level der Informationssicherheit möglich und das TISAX®-Prüfergebnis, das drei Jahre gültig ist, kann als Nachweis für verschiedene Aufträge oder Kooperationen genutzt werden. Mehr über die TISAX®-Labels lesen Sie im nächsten Abschnitt.

Was ist ein TISAX®-Label?

Wichtig: Ab dem 1. April 2024 gilt die neue Version 6 des VDA ISA-Katalogs, dadurch gibt es auch Änderungen beim Prüfprozess und den TISAX®-Labeln. Ausführliche Informationen dazu finden Sie hier auf der Website der ENX Association* sowie in unserem Blogbeitrag. Wer bis einschließlich 31. März ein TISAX®-Assessment* in Auftrag gibt, kann noch nach der Version 5.1 des VDA ISA auditiert werden. Der folgende Text bezieht sich auf die aktuell noch gültigen Labels entsprechend Version 5.1.

Eine „Zertifizierung nach TISAX®“, wie bei zertifizierbaren ISO-Normen, gibt es nicht.

Aber es gibt die sog. TISAX®-Labels. Ein Label ist das Ergebnis eines Prüfziels, bei mehreren Prüfzielen gibt es dementsprechend auch mehrere Labels. Im jeweiligen Label ist das Ergebnis des Prüfprozesses zusammengefasst.

Für die drei Module im ISA Katalog – „Informationssicherheit“, „Prototypenschutz“ und „Datenschutz“ – gibt es jeweils verschiedene Prüfziele, die wiederum noch nach dem Schutzbedarf in „hoch“ und „sehr hoch“ unterschieden werden. Es kann auch sein, dass der Geschäftspartner, der Sie zum Nachweis aufgefordert hat, Ihrem Unternehmen ein bestimmtes Prüfziel vorgibt.

Auswahl des Assessment-Levels

Die TISAX®-Prüfziele haben entweder das Assessment-Level 2 (AL 2) oder das Assessment-Level 3 (AL 3). Das Assessment-Level 1 (AL 1) dient nur für unternehmensinterne Zwecke (Self-Assessment). Da die Prüfungsergebnisse von AL 1 eine niedrige Vertrauensstufe haben, werden sie in TISAX® nicht verwendet. Bei AL 2 und schließlich bei AL 3 steigen die Anforderungen der Prüfung und der Prozess sowie die Prüfmethoden werden immer umfassender, sowohl im Hinblick auf die Dokumente und Nachweise, die geprüft werden, als auch auf die beteiligten Personen, mit denen Interviews geführt werden.

Der wesentliche Unterschied zwischen AL 2 und AL 3 ist, dass bei AL 2 (Schutzbedarf „hoch“) nur eine Plausibilitätsprüfung und ein Telefon- bzw. Remotetermin zur Klärung von Fragen des Prüfers stattfindet, während bei AL 3 (Schutzbedarf „sehr hoch“) eine Verifizierung und Vor-Ort-Begehung durchgeführt wird. Umgekehrt bedeutet das auch, wenn ein Unternehmen AL 3 bei einem Prüfziel erfüllt, erfüllt es automatisch auch AL 2.

Was bedeuten nun die TISAX®-Labels?

Das Prüfziel wird vorab festgelegt, das Ergebnis des TISAX®-Prozesses ist dann das Label. Beispiel: Sie werden aufgefordert, das TISAX®-Label „Umgang mit Erprobungsfahrzeugen“ nachzuweisen, dann ist das TISAX®-Prüfziel „Umgang mit Erprobungsfahrzeugen“, welches in den ISA Katalog „Prototypenschutz“ und in den Schutzbedarf „hoch“ fällt. Das Assessment-Level für dieses Prüfziel ist AL 3.

Der ISA verwendet das Konzept der Reifegrade mit insgesamt sechs Graden, von 0 (unvollständig) bis 5 (optimierend). Je höher der Reifegrad bewertet wird, desto besser bzw. ausgereifter ist das ISMS. Der Reifegrad wird für jede Frage aus dem ISA Katalog für das gewählte Prüfziel bewertet. Der „Zielreifegrad“ (ZRG) für jede Frage ist 3, dieser wird dann dem Ergebnis aus der Prüfung Ihres ISMS gegenübergestellt. Liegt Ihr Ergebnis bei 4 oder 5, wird auf 3 (ZRG) gekürzt. Sie befinden sich im „grünen Bereich“, wenn Ihr Reifegrad (IRG) auf oder über dem ZRG liegt. Bei einem IRG zwischen 0 und 2 liegen Sie unterhalb des ZRG, dann müssen Maßnahmen ergriffen werden, um diese Aspekte zu verbessern. Durch eine vorherige Selbsteinschätzung können Sie bereits feststellen, ob Ihr ISMS bereit für eine Prüfung ist.

Wichtig:

Auch wenn Sie überall den ZRG erreichen, kann es im Prüfbericht trotzdem Beanstandungen geben.
Ist ihr Gesamtprüfergebnis „Nebenabweichend“, d. h. bei 10 % der Fragen wird nicht der ZRG erreicht, dann erhalten Sie ein temporäres Label. Die Dauer der Gültigkeit richtet sich nach der Umsetzungsfrist für die Abhilfemaßnahmen.

Wo erhalte ich weitere Informationen zum Prüfprozess?

Ausführliche Informationen zum gesamten TISAX®-Prüfprozess finden Sie im TISAX®-Teilnehmerhandbuch.

So können wir Sie unterstützen

Wir analysieren den Ist-Zustand der Informationssicherheit für den konkreten Fall Ihres Unternehmens und gleichen diesen mit den jeweiligen Anforderungen des VDA ISA Katalogs ab. So erhalten Sie einen Überblick, ob Ihre Prozesse und Maßnahmen auf einem aktuellen und angemessenen Stand sind und in welchen Bereichen ggf. Anpassungs- oder Optimierungsbedarf besteht.

Weiterhin begleiten wir Sie bei der Umsetzung der nötigen Prozesse und Maßnahmen, erstellen oder aktualisieren die nötigen Richtlinien und Regelungen sowie die Risikoanalyse und führen interne Auditierungen als Vorbereitung auf die Prüfung* nach TISAX® durch.

Informationssicherheit endet nicht mit einem Einführungsprojekt: Als externer Informationssicherheits-Beauftragter (ISB) sorgen wir als zentrale Koordinationsstelle für Informationssicherheit im Unternehmen für den Betrieb und die Weiterentwicklung des etablierten ISMS entsprechend den Anforderungen des VDA ISA Kataloges.

Ihr Ansprechpartner

Sie haben Fragen zum Thema Informationssicherheit in der Automobilindustrie oder möchten sich auf eine Prüfung Ihres ISMS vorbereiten? Dann nehmen Sie gerne Kontakt mit uns auf und vereinbaren ein unverbindliches Beratungsgespräch.

Thomas Wennemann

Leiter Informationssicherheit | Beratung

E-Mail: twennemann@re-move-this.datenschutz-nord.de

Telefon: +49 421 69 66 32-346

zum Kontaktformular

*Die DSN GROUP steht in keiner geschäftlichen Verbindung zur ENX Association. Der Begriff TISAX® ist markenrechtlich geschützt; Inhaberin der Markenrechte ist die ENX Association. Für die Inhalte auf dieser Webseite übernimmt die ENX Association keine Verantwortung. Die DSN GROUP bietet Unternehmen lediglich Beratung an, als Unterstützung bei der Vorbereitung auf das TISAX®-Prüfverfahren.