Wir empfehlen: Laden Sie unser KOSTENLOSES Whitepaper "Best Practices zur Vermeidung von Datenverlusten" herunter. Download

Wie die Automobilbranche mit TISAX für Informationssicherheit sorgt

Daten gehören zu den wichtigsten Vermögenswerten von Unternehmen. Für die Automobilbranche hat der VDA ein Regelwerk entwickelt, das bei Herstellern und Zulieferern für gleichermaßen hohen Schutz von Systemen und Daten sorgen soll.

Die Automobilindustrie arbeitet hochgradig digitalisiert und hochgradig vernetzt. Das stellt die Hersteller vor Herausforderungen beim Schutz ihres geistigen Eigentums, insbesondere beim Schutz der Daten, die den Zulieferern beispielsweise für die Produktentwicklung zur Verfügung gestellt werden, sowie der Ergebnisse der Auftragsentwicklung. Daneben spielen zunehmend Daten eine Rolle, die von modernen Fahrzeugen an den Hersteller gesendet werden und bei denen es sich sowohl um geistiges Eigentum als auch um personenbezogene Daten handeln kann.

VDA ISA, TISAX, ENX

Infolge der Digitalisierung beschäftigt sich der Verband der Automobilindustrie (VDA), der Interessenverband der deutschen Automobilhersteller und -zulieferer, bereits seit Jahren mit Fragen der Informationssicherheit. Für deren Bewertung bei Lieferanten und Dienstleistern hat er den von ISO 27001 abgeleiteten Fragenkatalog „Information Security Assessment“ (ISA) entwickelt. Die aktuelle Version 4.1.1 ist seit Anfang 2019 gültig und steht auf der VDA-Webseite zum Download zur Verfügung.

Da es häufiger vorkam, dass Zulieferer, die für mehrere Hersteller arbeiten, von jedem einzelnen geprüft wurden, stellte der VDA im Jahr 2017 mit TISAX (Trusted Information Security Assessment Exchange) ein übergreifendes Prüfmodell für den VDA-Katalog vor. Es vermeidet redundante Prüfungen, da im Bedarfsfall die Ergebnisse von den Auftraggebern eingesehen werden können. Die Zulieferer werden, im Abstand von drei Jahren, nur einmal geprüft. Mit dem Betrieb von TISAX hat der VDA die ENX Association beauftragt, in der europäische Hersteller, Zulieferer und Verbände der Automobilbranche zusammengeschlossen sind. Sie bestellt die Prüfdienstleister und überwacht die Qualität von Assessments und Ergebnissen.

Der Fragenkatalog VDI ISA

Unternehmen können den Fragenkatalog zur Selbsteinschätzung ihrer Informationssicherheit im Rahmen verwenden; zugleich ist er Grundlage für die Prüfung nach TISAX. Kern des Katalogs sind vier Fragenkomplexe:

  1. Informationssicherheit. Dieser Komplex ist der Haupt- und Basis-Komplex und beruht auf den „Controls“ von ISO 27001. Hier werden alle grundlegenden Aspekte der Informationssicherheit abgefragt, von der Nutzung eines Information Security Management Systems über die Regelung von Verantwortlichkeiten für Informationssicherheit im Unternehmen bis zu den Anforderungen an die Informationssicherheit mit Lieferanten.
  2. Anbindung Dritter. Bei diesen Zusatzanforderungen geht es beispielsweise um die Schulung und Sensibilisierung interner und externer Mitarbeiter im Umgang mit Informationen, um Zugriffsrechte oder um Sicherheitszonen für sensible Informationen.
  3. Datenschutz. Hier finden sich Ergänzungsfragen, mit denen ermittelt werden soll, ob ein Dienstleister grundsätzlich als Auftragsverarbeiter im Sinn von Artikel 28 DSGVO geeignet ist.
  4. Prototypenschutz. Die Zusatzanforderungen für den Prototypenschutz beschäftigen sich im Hinblick auf das geistige Eigentum mit dem physischen und organisatorischen Schutz von noch nicht öffentlich vorgestellten Fahrzeugen, Komponenten und Bauteilen und dem Schutz von Erprobungsfahrzeugen.

Anforderungslevel und Reifegrade

Bei den einzelnen Kriterien, insbesondere in den Fragenkomplexen 1 und 2, wird gegebenenfalls auf entsprechende Controls von ISO 27001 verwiesen. Die Controls sind als Fragen formuliert, ihnen sind Anforderungen beigegeben, die erfüllt werden müssen, sollten oder können oder bei hohem oder sehr hohem Schutzbedarf zusätzlich zu erfüllen sind. Der Bewertung, in welchem Umfang ein Unternehmen den Anforderungen entspricht, liegt ein Reifegrad-Modell mit sechs Stufen von „unvollständig“ bis „optimierend“ zugrunde; für den höchsten Reifegrad müssen Unternehmen zu kontinuierlicher Optimierung ihres Schutzes in der Lage sein. Die Ergebnisse des Assessments werden, getrennt nach den Anforderungskomplexen, für jeden Aspekt in einer Spinnennetzgraphik veranschaulicht. Das Unternehmen sieht auf einen Blick, in welchem Umfang es die Anforderungen erfüllt.

 

In diesem Artikel:

    DEMO ANFRAGEN
    check mark

    Vielen Dank für Ihre Anfrage zu Endpoint Protector.
    Einer unserer Mitarbeiter wird Sie in Kürze kontaktieren.

    * Wir geben Ihre Daten nicht an Dritte weiter. Machen Sie sich mit unserer Datenschutz-Richtlinie vertraut.