Informationssicherheit in Unternehmen

Geschäftsabläufe hängen maßgeblich von Informationen und Informationssystemen und deren sicherer Verarbeitung ab. Informationssicherheit ist dabei mehr als nur eine Absicherung der technischen Infrastruktur – sie bedeutet Sicherheit des gesamten Informationsflusses. Dies ist eine zentrale Aufgabe der Unternehmensleitung.

Die Vernetzung und Globalisierung der digitalen Zukunft in der Automobilindustrie haben zahlreiche Vorteile, jedoch steigen für Unternehmen auch die internen und externen Risiken. Um diesen zu begegnen, müssen geeignete Schutzmaßnahmen etabliert werden. Die Digitalisierung von Geschäftsprozessen über Unternehmensgrenzen hinweg erfordert daher ein vergleichbares Informationssicherheitsniveau aller Beteiligten, das über die gesamte Wertschöpfungskette gewährleistet ist.

Experten der Automobilindustrie arbeiten im VDA im Arbeitskreis Informationssicherheit zusammen, um gemeinsame Standards und angemessene Schutzmaßnahmen zu erarbeiten. Ein wesentliches Ergebnis der Zusammenarbeit ist ein Branchenstandard für Informationssicherheits-Assessments, der VDA Information Security Assessment (ISA) Katalog.

Der VDA empfiehlt den Unternehmen, die an der Wertschöpfungskette der Automobilindustrie beteiligt sind, Informationssicherheit auf Basis des VDA ISA aufzubauen.

Weitere Details zu den Empfehlungen über die Informationssicherheit finden Sie hier:

Die EU NIS- 2 Richtlinie (Security of network and information systems Directive) trat am 16.01.2023 in Kraft. Das Bundesministerium des Inneren und für Heimat veröffentlichte im Juli 2023 den ersten Referentenentwurf, das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (Nis-2UmsuCG). Am 24.07.2024 nahm das Bundeskabinett die NIS2UmsuCG ohne Aussprache an. Am 24. Oktober 2024 wird die NIS-2-Richtlinie in nationales Recht überführt.

Der Anwendungsbereich der Richtlinie geht weit über die bisherigen regulierten kritischen Infrastrukturen hinaus und betrifft nun auch die Lieferkette in der Automobilindustrie. Das europäische Gesetz schreibt das Risikomanagement mit den entsprechenden Meldepflichten, die Registrierungspflicht beim BSI (und teilweise beim BBK), die Nachweispflichten zum entsprechenden, eingerichteten Management und die Unterrichtungspflichten bei Sicherheitsvorfällen vor. Eine bedeutende Maßnahme ist die automatisierte Bereitstellung relevanter Informationen durch staatliche Stellen für die betroffenen Unternehmen.

Ein Ordnungsrahmen zur Erhöhung der Sicherheit ist nach Ansicht des VDA gut, braucht aber einen ganzeinheitlichen Ansatz zur Erhöhung des Schutzes vor digitalen und analogen Bedrohungen, beispielsweise durch eine starke Kooperation zwischen Industrie und Staat und durch effizientere Prozesse. Zentrale Kommunikationsschnittstellen durch Organisationskonten und Meldungen im Konzernverbund knüpfen hier an, verringern den bürokratischen Aufwand (once-only-Prinzip) und bündeln alle relevanten Informationen an einer digitalen Stelle. Gerade mit Blick auf die überlasteten, wichtigen Mittelständler würde hier ein erheblicher Effizienzgewinn deutlich. Gleichzeitig sollte der Zugang staatlicher Akteure auf Informationen nur nach dem Need-to-know-Prinzip erfolgen. Die VDA-Stellungnahme „Verbändebeteiligung zur Umsetzung der NIS-2-Richtlinie“ von Mai 2024 geht auf den entsprechenden Referentenentwurf ein und gibt Handlungsempfehlungen an die Politik für eine wettbewerbsfähige, sichere Automobilindustrie.

VDA-ISA Katalog Version 6, gültig am 01.04.2024

Informations- und Cybersicherheit sind mehr denn je von großer Bedeutung. Das gilt ganz besonders für die Automobilindustrie, insbesondere im Hinblick auf die Bedeutung der Lieferkette. Lieferanten und Dienstleister sind sowohl stark in den Produktentwicklungsprozess eingebunden als auch in den Produktionsprozess. Im Rahmen der Produktentwicklung erhalten Lieferanten und Dienstleiter sensible und schützenswerte Informationen. Daher müssen sie nachweisen, dass sie die Anforderungen an die Informationssicherheit hinsichtlich Wahrung der Vertraulichkeit erfüllen. Als Lieferanten von Produktionsmaterial und Serienteilen hängt die störungsfreie Fahrzeugproduktion von Ihnen ab. Solche Lieferanten und Dienstleister müssen über das ein geeignetes Niveau an Resilienz gegenüber Störungen, sowohl im Cyber-Raum als auch in der physischen Sicherheit, verfügen.

Im VDA und bei ENX haben Experten der Fahrzeughersteller sowie der Lieferanten und Dienstleister zusammengearbeitet, um gemeinsam einen Standard mit angemessenen Schutzmaßnahmen zu erarbeiten. Zwei wesentliche Ergebnisse der Zusammenarbeit sind die Branchenstandard für Informationssicherheits-Assessments, der VDA Information Security Assessment (VDA ISA) Katalog sowie der ENX Prüf- und Austauschmechanismus Trusted Information Security Assessment Exchange (ENX TISAX).

Der VDA empfiehlt den Unternehmen, die an der Wertschöpfungskette der Automobilindustrie beteiligt sind, Informationssicherheit auf Basis des aktuellen VDA-ISA Katalogs aufzubauen. Um weiterhin einen hohen Sicherheitsstandard als Grundlage für das Information Security Management System (ISMS) in der Automobilindustrie zu gewährleisten, wurde der VDA-Katalog überarbeitet. In Zukunft können Lieferanten und Dienstleister in der Automobilindustrie ihre Erfüllung der Anforderungen an Cyber- und Informationssicherheit neben dem Label Vertraulichkeit nun auch erstmalig im Bereich Verfügbarkeit nachweisen. Das Label "Verfügbarkeit" wurde neu in dem VDA-ISA Katalog 6.0 eingearbeitet und dieser Katalog wird zum 01.04.2024 in Kraft treten. Mit diesen beiden Standards, dem VDA ISA sowie ENX TISAX, verfügt die Automobilbranche bereits heute über anerkannte Standards nach Stand der Technik.

Die beiden Standards bilden in der Branche auch eine wesentliche Grundlage zur Erfüllung von gesetzlichen Regulierungen nach NIS 2-Regulierung der Europäischen Union sowie weiterer EU-Richtlinien und deren nationalen Umsetzungen in den EU-Mitgliedsstaaten. Detaillierte und technische Informationen zu den Änderungen im VDA ISA 6 und den ENX TISAX Labels sowie den konkreten Auswirkungen auf TISAX Prüfungen finden sie unter https://enx.com/de-DE/news/.

Beim Umgang mit Prototypen sind zusätzliche Anforderungen zu erfüllen. Als Prototypen werden hierbei Fahrzeuge, Komponenten und Bauteile bezeichnet, welche als schutzbedürftig klassifiziert sind und noch nicht seitens eines Automobilherstellers der Öffentlichkeit vorgestellt und/oder in geeigneter Form veröffentlicht wurden.

Ziel des Prototypenschutzes ist es, angemessene Maßnahmen zum Schutz von Prototypen zu etablieren und die Wirksamkeit dieser Maßnahmen auch regelmäßig zu überprüfen.

Im folgenden Dokument sind die Mindestanforderungen zum Prototypenschutz aufgeführt. Diese sind Bestandteil des VDA ISA Katalogs.

Einen Katalog über die Mindestanforderungen zum Prototypenschutz finden Sie sowohl in deutscher als auch in englischer Sprache.

Eine Projektgruppe des VDA-Arbeitskreises Informationssicherheit hat ein Whitepaper zum Thema „Risikomanagement in der Informationssicherheit“ erarbeitet (englisch).

Ziel dieses Whitepapers ist es, Unternehmen in der Automobilindustrie hinsichtlich eines risikoorientierten Informationssicherheitsmanagements zu sensibilisieren und zu befähigen, ein effektives Informationssicherheitsrisikomanagement zu etablieren. Das Whitepaper soll darüber hinaus Unternehmen bei der Vorbereitung oder Durchführung eines TISAX-Assessments dabei unterstützen, die Anforderungen der entsprechenden Kontrollfrage des VDA ISA in der aktuellen Version 5.0 zu erfüllen.

Kompakt werden die wesentlichen Prozessschritte des Informationssicherheitsrisikomanagements dargestellt, und detailliert wird auf die konkreten Schritte der Beurteilung, Behandlung und Überwachung von Informationssicherheitsrisiken eingegangen.

Parallel werden alle Prozessschritte anhand von zwei durchgängigen Beispielen veranschaulicht. Dies soll zu einem besseren Verständnis des Themas beitragen.

Der VDA empfiehlt seinen Mitgliedsunternehmen, sich an dem Whitepaper zu orientieren.

Die Informationsklassifizierung stellt eine wesentliche Grundlage zur Erreichung eines bedarfsgerechten Informationssicherheitsniveaus dar. Ein Vergleich innerhalb der Automobilindustrie hat gezeigt, dass es sowohl hinsichtlich der Anzahl als auch hinsichtlich der Bezeichnung der Klassifizierungsstufen Unterschiede zwischen den Unternehmen gibt.

Der Arbeitskreis Informationssicherheit hat ein einheitliches Schema zur Informationsklassifizierung entwickelt und als Whitepaper veröffentlicht. Dieses trägt in Verbindung mit den Anforderungen des VDA ISA dazu bei, Missverständnissen und Risiken beim Informationsaustausch vorzubeugen und damit einen angemessenen Umgang mit Informationen zu ermöglichen.

Der VDA empfiehlt seinen Mitgliedsunternehmen, sich an dem Whitepaper (englisch) zu orientieren und das beschriebene Schema zur Informationsklassifizierung in den jeweiligen Unternehmen umzusetzen.