Compliance nach VDA ISA: mehr Zeit, mehr Sicherheit, mehr Wachstum
Hersteller und Zulieferer der Automobilbranche müssen die Sicherheit ihrer IT-Systeme nach dem VDA-ISA-Katalog nachweisen. Eine ideale Verschlüsselungslösung erfüllt die Compliance nach VDA ISA und schafft darüber hinaus Synergieeffekte, spart Kosten und optimiert den Workflow.
Hybrid- und Elektroantriebe, selbstfahrende Fahrzeuge, die Vernetzung von Automobilen, Assistenzsysteme: Erfindungen sind seit je Treiber des Wachstums in der Automobilindustrie, aktuelle Neuerungen wecken Begehrlichkeiten in einem ohnehin umkämpften Markt. Dabei ist Innovation die Stärke der deutschen Automobilhersteller und -zulieferer. Sie stellen hochwertige Produkte her und entwickeln sie kontinuierlich weiter.
Mitbewerber beobachten diese Stärke aufmerksam, und die Industriespionage verfügt heute über mehr Möglichkeiten denn je. Die Vernetzung macht es möglich, rund um den Globus von einem beliebigen Ort vertrauliche Daten abzugreifen, sofern sie nicht ausreichend geschützt sind.
Genau deshalb hat der Verband der Automobilindustrie (VDA) den VDA-ISA-Katalog entwickelt. Dieser Branchenstandard soll den wirksamen Schutz von geheimen Unterlagen und Dokumenten wie Entwürfen von Prototypen und technischen Zeichnungen, resp. CAD-Dateien etablieren.
Standardisierte Schutzmaßnahmen sollen ein gleichbleibend hohes Sicherheitsniveau in der IT entlang der gesamten Wertschöpfungskette gewährleisten. Den Nachweis, dass ein Unternehmen den Anforderungskatalog nach VDA ISA erfüllt, liefert die TISAX®*-Zertifizierung. Bei TISAX®*, dem „Trusted Information Security Assessment Exchange“, handelt es sich um eine Marke der europäischen ENX Association. Wer immer als Teil der Wertschöpfungskette der Automobilindustrie tätig sein möchte, muss eine solche Zertifizierung durchlaufen.
Daten werden nach Schutzbedarf klassifiziert
Zum VDA-ISA-Katalog gehört die Einteilung aller Daten, die in einem Unternehmen verarbeitet werden, in drei Schutzklassen: „normal“, „hoch“ und „sehr hoch“. Daten, deren Verlust, Weitergabe oder Manipulation nur geringfügigen Schaden verursacht, fallen in die Kategorie „normal“. Gehen dagegen Daten mit „sehr hohem“ Schutzbedarf verloren oder werden kompromittiert, kann sich dies existenzbedrohend auf das eigene und/oder auf Drittunternehmen auswirken.
Sicherheit für Daten mit hohem bis sehr hohem Schutzbedarf
Der VDA-ISA-Katalog sieht deshalb Schutzmaßnahmen für alle Daten mit hohem bis sehr hohem Schutzbedarf vor. So müssen Daten mit hohem Schutzbedarf verschlüsselt werden. Die Kontrolle über die Verschlüsselung obliegt dabei dem jeweiligen Unternehmen selbst.
Um die TISAX®*-Compliance zu erfüllen, stellt der VDA-ISA-Katalog weitere Anforderungen an Daten mit sehr hohem Schutzbedarf. Diese müssen sogar an ihrem Ablageort verschlüsselt sein. Darauf zugreifen kann ein Anwender nur über eine 2-Faktor-Authentisierung: Will er solche Daten nutzen – ob in der Ablage oder der Anwendung –, muss er sich zwingend mit zwei unabhängigen Komponenten anmelden. Zum Beispiel mit einem Passwort in Verbindung mit einer Smartcard oder einen Token zusätzlich zum üblichen Login mit Benutzername und Passwort.
Weiter fordert der VDA-ISA-Katalog für Daten mit sehr hohem Schutzbedarf den speziellen Schutz vor dem Zugriff Unberechtigter. Dabei sind die Systemadministratoren des eigenen Unternehmens explizit mitgemeint.
Das Kernstück der Sicherheit: die Verschlüsselung
Um den strengen Anforderungskatalog von VDA ISA zu erfüllen, benötigt es eine gute Verschlüsselungslösung. Diese ermöglicht es, Daten abgestimmt auf ihren Schutzbedarf abzusichern. Die Verschlüsselung sollte aber transparent sein für den Anwender – sie darf ihn nicht bei seiner Arbeit behindern. Soll eine einzige Lösung die Verschlüsselung im ganzen Unternehmen gewährleisten, muss sie zudem plattformübergreifend funktionieren, unabhängig vom Ablageort und der Anwendung.
Die Verschlüsselungslösung sollte deshalb ein umfassendes Berechtigungsmanagement beinhalten. Dieses erfüllt gleich zwei Anforderungen des VDA-ISA-Katalogs: Einerseits lässt sich mit ihm die 2-Faktor-Authentisierung umsetzen. Andererseits verhindert die gezielte Vergabe von Berechtigungen nach dem Prinzip der geringsten Privilegien den Zugriff durch Unberechtigte – auch innerhalb des eigenen Unternehmens.
Compliance nach VDA ISA verschafft mehr Sicherheit und Freiraum
Compliance nach VDA ISA mag auf den ersten Blick als Hürde erscheinen, die es erschwert, an der Wertschöpfungskette in der Automobilindustrie teilzunehmen. Doch sie eröffnet vor allem Chancen: die Chance, mit Hilfe der eingesetzten Lösungen Prozesse zu optimieren. Die Chance, durch sinnvolle Zusatz-Features die Arbeit der Anwender zu erleichtern. Die Chance, sich auf die eigene Arbeit zu konzentrieren, ohne über die Sicherheit nachdenken zu müssen.
Mit wem darf ich meine Dokumente teilen? Wie übermittle ich sie an die richtigen Empfänger? Wer darf die Dokumente nicht sehen? Die richtige Verschlüsselungslösung erfüllt die TISAX®*-Zertifizierung und sie beantwortet all diese und viele weitere Fragen im Hintergrund. Das spart Zeit und Geld. Dokumente müssen nicht länger ausgedruckt, mit strengem Klassifizierungs-Regime versehen und verschickt werden, sondern können jederzeit geteilt werden – unabhängig von der Plattform und Anwendung, auf Knopfdruck und ohne Medienbruch. Das verschafft Ihnen als Hersteller, Zulieferer oder Dienstleister in der Automobilbranche mehr Zeit, mehr Sicherheit – und mehr Freiraum für Innovation und Wachstum.
Hinweis
*TISAX® ist eine eingetragene Marke der ENX Association.
**apsec steht in keiner Geschäftsbeziehung mit der ENX Association.
