In der heutigen Geschäftswelt sind Informationssicherheit und Compliance nicht nur wichtig für die interne Sicherheit, sondern oft auch gesetzlich vorgeschrieben. Der VDA ISA (Verband der Automobilindustrie - Information Security Assessment) bietet Unternehmen in der Automobilbranche eine strukturierte Grundlage, um die erforderlichen Sicherheitsstandards zu erfüllen. Dabei wird im VDA ISA zwischen Muss- und Sollte Anforderungen unterschieden, die unterschiedliche Grade der Verbindlichkeit darstellen. Doch was bedeuten diese Kategorien genau, und wie sollten Unternehmen mit ihnen umgehen?

Muss-Anforderungen: Strikte Vorgaben

Muss-Anforderungen sind verbindlich und ohne Ausnahme umzusetzen. Sie definieren grundlegende Sicherheitsmaßnahmen, die erforderlich sind, um ein bestimmtes Sicherheitsniveau zu erreichen und aufrechtzuerhalten. Das Versäumnis, diese Anforderungen zu erfüllen, kann schwerwiegende Folgen haben, sowohl in Bezug auf Sicherheitsrisiken als auch auf die Einhaltung von Vorschriften und Verträgen.

Sollte-Anforderungen: Flexibilität mit Bedacht

Diese Maßnahmen sind grundsätzlich umzusetzen, es sei denn, es gibt stichhaltige Gründe für eine Ausnahme. Unternehmen müssen bei Ausnahmen die sich daraus ergebenden Risiken bewerten und falls erforderlich alternative Maßnahmen ergreifen, um die Informationssicherheit zu gewährleisten. Es ist wichtig, dass die Informationssicherheitsziele auch dann erreicht werden, wenn die im VDA ISA genannte Maßnahme nicht sprichwörtlich umgesetzt wird.

Neben muss und sollte, gibt es auch noch Zusatanforderungen bei hohem und sehr hohem Schutzbedarf. Bei beiden handelt es sich um Muss-Anforderungen.

Ein Beispiel aus der Praxis: Der Fotograf

Oft wird das TISAX®-Verfahren mit ISO 27001 Zertifizierungen verglichen. Beide haben Gemeinsamkeiten, aber auch wesentliche Unterschiede. Nach einer erfolgreichen ISO 27001 Prüfung wird ein Zertifikat für das Managementsystem ausgestellt, während bei TISAX®-Labels vergeben werden, die ein spezifisches Sicherheitsniveau attestieren. Dieses festgelegte Sicherheitsniveau kennt die ISO 27001 nicht und bei TISAX® spielen finanzielle Erwägungen im Kontext der Angemessenheit eine andere Rolle.

Stellen wir uns einen freiberuflichen Fotografen vor, der sich auf die Ablichtung von noch nicht veröffentlichten Fahrzeugen spezialisiert hat und deshalb von den Automobilherstellern als Dienstleister beauftragt werden soll. Plötzlich steht in der Anfrage das Wort TISAX® mit drin und der Fotograf muss sich mit der Umsetzung des VDA ISA auseinandersetzen. Aus seiner Sicht sind viele darin enthaltenen Forderungen finanziell nicht vertretbar, weshalb er sich dazu entscheidet, die kostspieligen Anforderungen zu streichen. Denn sein ISO 27001 Berater teilte ihm mit, dass er bei der Umsetzung besonders auf die Angemessenheit achten soll. Konkret bedeutet dies, dass die vom Hersteller gelieferten Fahrzeuge am Straßenrand geparkt und nur mit einer Plane abgedeckt werden, statt die vertraglichen sowie die im VDA ISA enthaltenen Vorgaben einzuhalten.

Hier macht der Fotograf gleich mehrere Fehler:

• Vertragsbrüchigkeit: Er darf nicht gegen vertraglich festgelegte Anforderungen verstoßen. Neben den allgemeinen Maßnahmen im VDA ISA, geben die Automobilhersteller auch konkrete Regeln zum Umgang mit solchen Fahrzeugen in ihren Verträgen vor.

• Risikoübernahme: Er darf nicht die Risiken für fremdes Eigentum aufgrund eigener Entscheidungen akzeptieren. Insbesondere wenn sich daraus ein erhebliches unmittelbares Risiko für die Informationssicherheit ergibt.

• Kostenargument: Finanzielle Überlegungen rechtfertigen nicht das Auslassen geforderter Sicherheitsmaßnahmen.

Auch wenn er sich dazu entscheiden würde, die Umsetzung der Maßnahmen aufzuschieben, bis der erster Auftrag eingegangen ist, wäre die Erlangung eines Labels nicht möglich. Denn in der Prüfung werden nur umgesetzte Maßnahmen sowie die Funktion der Prozesse geprüft. Maßnahmen, die noch nicht umgesetzt sind, können nur negativ bewertet und nicht gelebte Prozesse, im Reifegrad gemindert werden.

Testat statt Zertifikat

Das Label soll ein objektiver Nachweis sein, auf das sich alle TISAX®-Teilnehmer verlassen können. Wenn ein entsprechendes TISAX®-Label vorliegt, dann beutet dies, dass die damit verbundenen Sicherheitsanforderungen, Verfahen und Prozesse vollständig umgesetzt, vorhanden, trainiert und dokumentiert sind.