Der Beitrag widmet sich den Informationssicherheitsstandards in der Automobil- und Zulieferindustrie sowie deren Überprüfung. Dabei gibt er einen historischen Überblick zur Entwicklung des im VDA entstandenen Anforderungskatalogs ISA (Information Security Assessment) und stellt die daraus hervorgegangenen Prüfmechanismen vor.[1]
IT-Sicherheit, Informationssicherheit, Cybersicherheit, Ransomware – man könnte diese Aufzählung beliebig fortsetzen. Allen Begriffen ist gemein, dass sie permanent in den einschlägigen Sicherheitsforen einerseits, andererseits aber auch in den täglichen Nachrichten Einzug gehalten haben. Es vergeht kaum ein Tag, an dem nicht eine Hiobsbotschaft zum Thema „Sicherheit“ die Runde macht. Dies betrifft Unternehmen und Konzerne jeder Größe, aber auch die private Umgebung und ihr Umfeld.
Schutzniveau sehr unterschiedlich ausgeprägt
Verschiedene Studien zeigen, dass das vorhandene Sicherheitsniveau zur Sicherstellung der Schutzziele Vertraulichkeit („confidentiality“), Integrität („integrity“) und Verfügbarkeit („availability“) im Allgemeinen auch heute noch trotz massiver Aufklärung in den einschlägigen Medien sehr unterschiedlich ausgeprägt ist.
Unterscheidung Informations- und Cybersicherheit
An dieser Stelle muss es nochmals eine Abgrenzung zwischen Informationssicherheit und Cybersicherheit geben:
- Informationssicherheit: Schutz von Informationen in jeglicher Form (digital, physisch, verbal) hinsichtlich ihrer Vertraulichkeit, Integrität und Verfügbarkeit,
- Cybersicherheit: Schutz von Systemen, Netzwerken und digital verfügbaren Daten, die über das Internet, Intranets oder andere digitale Kommunikationswege erhoben, verarbeitet, übertragen oder gespeichert werden.
Allgemein: Cybersicherheit ist ein Teilbereich der Informationssicherheit. Informationssicherheit ist weiter gefasst und bezieht sich auf alle Schutzmaßnahmen zur Sicherung von Informationen. Cybersicherheit konzentriert sich spezifisch auf Bedrohungen aus dem digitalen Raum.
Informationssicherheit im VDA
Bereits im Laufe des Jahres 2003 haben verschiedene Automobilhersteller und ihre wesentlichen Zulieferer/Lieferanten unter dem Dach „Verband der Automobilindustrie (VDA)“ den Arbeitskreis „Informationssicherheit“ ins Leben gerufen, der aus der vorherigen Initiative „Prototypenschutz in der Automobilindustrie“ entstanden ist. Bereits in diesen Jahren wurde im VDA der Begriff „Informationssicherheit“ holistisch verstanden, digitale und physische Informationswerte beinhaltend.
Der Arbeitskreis gelangte nach intensiven Diskussionen zu der Überzeugung, dass für die Automobil- und Zulieferindustrie ein Standard in dem oben genannten holistischen Ansatz zu schaffen war, der für die zusammengeschlossen Mitgliedsunternehmen im VDA bindenden Charakter besitzen sollte.
Dieser Standard sollte allgemein verständlich sein, alle wesentlichen Gesichtspunkte der Informationssicherheit umfassen, kompatibel zu existierenden Standards – wie z. B. BS7799, ISO 27001/ISO 27002 (Nachfolger des BS 7799), dem BSI-Grundschutz und dem amerikanischen NIST –, jedoch auch kompakt sein, ohne die grundlegenden Sicherheitsparadigmen einzuschränken.
VDA-ISA Katalog
In der Folge entstand basierend aus den Anforderungen der o. g. Standards der sog. VDA-ISA (VDA Information Security Assessment) Katalog. Er enthielt in der ersten Version neben einem Basismodul auch das zusätzliche Modul „Prototypenschutz“. Damit wurden die Controls zu den physischen Assets aus der ISO-Norm auf die Bedarfe der Automobilindustrie zugeschnitten. Der VDA-ISA in seiner Ursprungsform wurde vom zuständigen VDA-Gremium auf Vorstandsebene verabschiedet und den Mitgliedsunternehmen zur Verfügung gestellt.
Damit waren die Automobilhersteller in der Lage, ihre Lieferanten und Zulieferer nach einem verabschiedeten Standard des VDA zu überprüfen und entsprechende Assessments durchzuführen. Nach anfänglichem Zögern wurden diese Prüfungen entweder auf Dokumentenlage oder on-site durchgeführt, was jedoch immer der Fall war, sobald Prototypen betroffen waren.
Der VDA-ISA Katalog hat dann im Laufe der vergangenen beiden Jahrzehnte immer wieder Verbesserungen erfahren, was zum einen aus der praktischen Anwendung, aber auch mit den Änderungen der Normen und Regelungen zusammenhing.
Reifegradmodell gem. CMMI
Ein wesentlicher Meilenstein war die Einführung eines Reifegradmodells gem. CMMI (Capability Maturity Model Integration), das erstmalig eine Abstufung der Erfüllung von Controls erlaubte. Dabei wurde auch im VDA festgelegt, dass der Reifegrad 3 eine Schwelle darstellt, um eine Sicherheitsprüfung zu bestehen (rechnerisch eine Range von 2,7 bis 3,0). Eine der Vorgaben war, dass ein Minderreifegrad in einem Control nicht durch eine Übererfüllung in einem anderen Control kompensiert werden kann und darf.
Diese Vorgabe gilt bis heute bei der Durchführung und Bewertung von Assessments. Dieses Merkmal, Controls mit einem Reifegrad zu verbinden, ist als einzigartig zu bezeichnen und hat sich in der Vergangenheit sehr gut bewährt. Ein weiteres Merkmal des VDA-ISA ist bis heute, dass Sicherheitsprozesse, die schlussendlich auf den Controls basieren, hinsichtlich ihrer Wirksamkeit beurteilt und dafür auch Nachweise eingefordert werden. Alles in allem können diese Anpassungen bzw. Erweiterungen als bahnbrechend für die Beurteilung eines Sicherheitsniveaus angesehen werden.
Modul-Konzept
Der VDA-ISA spielte im Laufe der Jahre nicht nur eine Rolle bei externen Bewertungen von Lieferanten und Zulieferern, sondern wurde auch unternehmensintern bei einer großen Zahl der Mitgliedsunternehmen des VDA mit großem Erfolg entweder in den Sicherheitsabteilungen oder den Internen Revisionen angewendet. Der VDA-ISA gestattet die Umsetzung der Anforderungen aus den jeweiligen Controls auf das betreffende Unternehmen und zeigt Lücken oder Mängel, die zu schließen bzw. zu beheben sind.
Neben dem ursprünglichen Modul „Prototypenschutz“ wurden weitere Module hinzugefügt, und zwar u. a. das Modul „Datenschutz“. Aktuell existieren lediglich die beiden Zusatzmodule „Prototypenschutz“ und „Datenschutz“. Der Datenschutz wurde mit dem Inkrafttreten der DSGVO (Datenschutzgrundverordnung) im Jahre 2016 in den VDA-ISA aufgenommen.
Hintergrund war, dass die technischen und organisatorischen Maßnahmen, die sog. TOMS, in höchstem Maße deckungsgleich mit den vorhandenen Controls des Basismoduls aus dem VDA-ISA sind. Das Zusatzmodul „Datenschutz“ weist nur Anforderungen aus, die nicht im Basismodul enthalten sind. Damit wird der Prüfprozess in diesem Kontext stark verschlankt.
Aufteilung in Muss- und Soll-Anforderungen
Eine der vielen Erweiterungen sind beispielhafte Umsetzungen der Controls, die Aufteilung in Muss- und Soll-Anforderungen, die Unterscheidung in die Schutzbedarfe „normal“, „hoch“ und „sehr hoch“ sowie die Referenz zu den o. g. wichtigen Standards und Regelungen zur Informations- und Cybersicherheit.
Schutzziel Verfügbarkeit
Neben der Fokussierung auf das Schutzziel „Vertraulichkeit“, das in den vergangenen Versionen im Vordergrund stand, wurde inzwischen das Schutzziel „Verfügbarkeit“ in hohem Maße berücksichtigt, um den gestiegenen Anforderungen hinsichtlich Resilienz (Widerstandsfähigkeit) in besonderem Maße Rechnung zu tragen.
Obgleich der ISA aus einem Arbeitskreis im VDA entstanden ist, so lässt er sich durch seinen modularen Aufbau für beliebige andere Branchen und Industriezweige ohne Anpassungen verwenden.
Seit April 2024 ist der VDA-ISA in der Version 6 veröffentlicht. Er ist in Deutsch und in Englisch auf der Webseite des VDA verfügbar.
Zwischenfazit
Als Zwischenfazit kann gezogen werden, dass diese Initiative in der Automobil- und Zulieferindustrie eine hohe Verbreitung gefunden hat, zumal viele Unternehmen den Anforderungskatalog ISA bzw. das Prüfmodell TISAX in ihren Einkaufsbedingungen verbindlich verankert haben.
Ausblick
Im nächsten Beitrag stellen wir ein Prüfmodell auf Basis des VDA-ISA vor, das Prüfungen durch ein einzelnes Unternehmen überflüssig macht und eine allgemeine Anerkennung als eine Form von „Zertifizierung“ bietet. Kurzum: Prüfungen werden nicht mehr durch einzelne Unternehmen selbstständig durchgeführt, sondern erfolgen zentral gesteuert über Prüfungsdienstleister. Sind Sie gespannt auf den nächsten Artikel und die praktische sowie pragmatische Umsetzung des VDA-ISA!
[1] Dr. Martin Unterberger hat gemeinsam mit den Vertretern weiterer Hersteller und Lieferanten das TISAX-Modell zusammen mit der ENX Association (gegr. im Jahr 2000 unter dem Dach des Verbandes der Automobilindustrie – VDA) entwickelt. Er war zudem bis 2018 als Vorsitzender des TISAX-Komitees tätig.
