Datenschutz Compliance nach VDA ISA – Hürde oder Chance?

Ein Gastbeitrag von Veronika Röthel, Produktmanagerin Applied Security GmbH

Hersteller und Zulieferer in der Autobranche müssen Anforderungen an die Sicherheit von IT-Systemen nach dem ISA-Katalog des VDA erfüllen. Mit einer entsprechenden Technik können zusätzlich Synergieeffekte wie Kosteneinsparungen oder Workflow-Optimierungen entstehen.

Firmen zum Thema

Symbolbild
Symbolbild
(Bild: Secure Data - Cyber Security / Blue Coat Photos / CC BY-SA 2.0)

Der Erfolg der Automobilbranche beruht seit jeher auf Innovationskraft – Erfindungen und Neuerungen treiben das Wachstum an. Und genau das ist die Stärke der deutschen Automobilhersteller und -zulieferer. Seit vielen Jahrzehnten tun sie das, was sie am besten können – qualitativ hochwertige Produkte herstellen und kontinuierlich weiterentwickeln, verbessern und erneuern.

Dass dies von den Wettbewerbern aufmerksam beobachtet wird, ist nichts Neues. Radikal verändert haben sich aber die Möglichkeiten, über die Industriespione heute verfügen. Die Digitalisierung und weltweite Vernetzung ermöglicht es Angreifern, von überall her und auf vielfältige Art und Weise auf vertrauliche Daten zuzugreifen – sofern diese nicht geschützt sind. 2020 waren laut einer Studie des Branchenverbandes Bitkom e. V. bereits neun von zehn Unternehmen in Deutschland von einem derartigen Cyberangriff betroffen.

ISA-Katalog des Autoverbandes VDA

Die Branche will daher durch eigene Standards und Regularien geheime Unterlagen und Dokumente schützen, wie zum Beispiel Entwürfe von Prototypen. Der Verband der Automobilindustrie (VDA) hat hierfür den „Information Security Assessment“-Katalog entwickelt, kurz ISA-Katalog. Er soll durch standardisierte Schutzmaßnahmen ein gleichbleibendes Informationssicherheitsniveau entlang der gesamten Wertschöpfungskette gewährleisten. Als Nachweis für die Erfüllung der dort definierten Anforderungen dient die Tisax-Zertifizierung (Trusted Information Security Assessment Exchange). Unternehmen, die an der Wertschöpfungskette teilhaben möchten, benötigen in der Regel eine solche Zertifizierung.

Ein integraler Teil der Maßnahmen aus dem ISA-Katalog ist es, sämtliche im Unternehmen verarbeiteten Daten gemäß ihres Schutzbedarfs zu klassifizieren. Der Katalog sieht dabei drei Schutzklassen vor: „normal“, „hoch“ und „sehr hoch“. Die Einstufung in die Kategorie „normal“ beschränkt sich auf Daten, deren Verlust oder Kompromittierung nur geringfügigen Schaden verursachen kann. Bei Daten mit „sehr hohem“ Schutzbedarf können die Auswirkungen existenzbedrohend sein oder auf andere Unternehmen übergreifen.

Schutzmaßnahmen für Daten

Für alle Daten mit hohem bis sehr hohem Schutzbedarf sieht der ISA-Katalog eine Reihe von Schutzmaßnahmen vor.

Daten mit hohem Schutzbedarf müssen beispielsweise generell verschlüsselt übertragen werden. Die Schlüsselhoheit – also die Kontrolle über die Schlüssel, die für die Verschlüsselung verwendet wurden – bzw. die Hoheit über die Verwaltung des Schlüsselmaterials muss dabei bei dem verantwortlichen Unternehmen selbst liegen.

An die Sicherheit von Daten mit sehr hohem Schutzbedarf stellt der Katalog darüber hinaus weitere Anforderungen. So müssen solche Daten generell verschlüsselt sein, nicht nur bei der Übertragung, sondern auch an ihrem Ablageort. Darüber hinaus müssen jegliche Zugriffe auf entsprechende Systeme mit einer 2-Faktor-Authentisierung versehen sein. Das bedeutet: Will ein Anwender ein solches System nutzen, muss er sich mit zwei separaten Faktoren anmelden, egal es eine Dateiablage ist oder eine Anwendung, die mit Daten mit sehr hohem Schutzbedarf arbeitet.

Das kann zum Beispiel ein Passwort in Verbindung mit einer Smartcard sein oder auch eine Handy-TAN als zweiter Faktor neben dem üblichen Login über Benutzername und Passwort. Zusätzlich dazu fordert der ISA-Katalog für Daten mit sehr hohem Schutzbedarf eine besondere Absicherung vor dem Zugriff Unberechtigter. Dazu zählen in diesem Fall explizit auch die Systemadministratoren des eigenen Unternehmens.

Verschlüsselung als Kernstück der Sicherheit

Die Lösung für viele der oben genannten Anforderungen an den Schutz von Daten mit hohem bis sehr hohem Schutzbedarf ist ein gutes Verschlüsselungskonzept. Ein solches ermöglicht es dem Unternehmen, Daten bedarfsgerecht abzusichern, also ihrem Schutzbedarf entsprechend. Dabei sollte darauf geachtet werden, dass die Verschlüsselung für den Anwender transparent ist, um ihn nicht in seiner Arbeit zu behindern.

Zur größtmöglichen Abdeckung der Anforderungen des ISA-Katalogs über eine einzige Lösung sollte die Verschlüsselung plattformübergreifend und unabhängig vom Ablageort und der genutzten Anwendung sein. Darüber hinaus ist ein umfassendes Berechtigungsmanagement von Vorteil, da dies die Abdeckung von gleich zwei Anforderungen des Katalogs ermöglicht. Bei entsprechendem Funktionsumfang kann damit zum einen die geforderte 2-Faktor-Authentisierung umgesetzt werden. Zum anderen kann durch gezielte Vergabe von Berechtigungen nach dem Prinzip der geringsten Privilegien der Zugriff Unberechtigter, insbesondere von innerhalb des Unternehmens, verhindert werden.

Compliance als Chance

Angesichts dieser vielfältigen Anforderungen scheint die Antwort auf die unausgesprochene Frage im Titel des Beitrags klar. Compliance nach VDA ISA ist eine Hürde, die es zu überwinden gilt, um an der Wertschöpfungskette im automobilen Umfeld teilhaben zu können.

Der Titel deutet es aber bereits an – Compliance kann als Chance begriffen werden. Als Chance, durch die geschickte Auswahl von Lösungen einen echten Mehrwert zu generieren. Als Chance, mit Hilfe der eingesetzten Lösungen Prozesse zu optimieren. Eine Verschlüsselungslösung, die einen Anwender nicht in seiner Arbeit behindert, sondern durch sinnvolle Zusatz-Features für ein besseres Arbeiten sorgt, bietet eine solche Chance. Sie ermöglicht es dem Anwender, sich auf seine Arbeit zu konzentrieren. Er muss nicht darüber nachdenken, mit wem er die bearbeiteten Dokumente teilen darf, wie er diese an die Empfänger übermitteln kann und wer die Dokumente besser nicht sehen sollte. Compliance nach VDA ISA spart Zeit und Geld, da Dokumente nicht ausgedruckt und verschickt werden müssen, sondern plattform- und anwendungsübergreifend geteilt werden können – ohne Medienbruch und innerhalb von Sekunden. Damit bleiben mehr Zeit und Freiraum für Wachstum und Innovationen.

(ID:47717024)