Im Jahr 2017 hat der Verband der Automobilindustrie (VDA) den Trusted Information Security Assessment Exchange (TISAX) ins Leben gerufen, einen Mechanismus, über den sich Unternehmen Audits gemäß dem Information Security Assessment (ISA) des VDA unterziehen können.
TISAX wird von der ENX Association verwaltet, zu deren Mitgliedern Automobilhersteller, Zulieferer und vier nationale Automobilverbände gehören. TISAX soll ein einheitliches Niveau der Informationssicherheit gewährleisten und die Einhaltung der VDA ISA durch Standardisierung, Qualitätssicherung und gegenseitige Anerkennung von Audits unterstützen. TISAX gilt für Automobilhersteller und Erstausrüster (OEMs), aber auch für Partner und Unternehmen in der automobilen Lieferkette, unabhängig davon, ob sie in Deutschland ansässig sind oder nicht.
Die Notwendigkeit eines TISAX-Bewertungsberichts wird durch die Aufforderung eines Partners ausgelöst, die Einhaltung der VDA ISA nachzuweisen. TISAX hat acht Bewertungsziele, von denen jedes einem anderen Label entspricht, das ein Partner von einem Unternehmen verlangen kann. Die Unternehmen müssen die Ziele auswählen, die ihrem gewünschten Label entsprechen. Jedes TISAX-Bewertungsziel ist einem Kriterienkatalog der VDA ISA zugeordnet.
Datenschutz in TISAX-Anforderungen
Wie erwartet, spielt der Datenschutz bei TISAX-Anforderungen eine zentrale Rolle und macht die Hälfte der Ziele aus. Die übrigen Ziele, wie z. B. das Ziel „Schutz von Prototypenteilen und -komponenten“, verlangen von den Unternehmen automatisch auch die Erfüllung zusätzlicher Datenschutzanforderungen.
Die ersten beiden Ziele, die den Datenschutz einschließen, beziehen sich auf die Sicherheit von Informationen mit hohem Schutzbedarf und Informationen mit sehr hohem Schutzbedarf. Das erforderliche Sicherheitsniveau (d. h. hoch oder sehr hoch) muss aus der Dokumentenklassifizierung der Stelle abgeleitet werden, die eine Organisation zur TISAX-Prüfung auffordert. Diese Ziele decken Datenkategorien ab, die im Kontext der Automobilindustrie als sensibel gelten, wie z. B. geistiges Eigentum, Fahrzeugstatistiken und Prototypentestdaten.
Die letzten beiden Ziele sind mit der Einhaltung der EU-Datenschutzgrundverordnung (DSGVO) verbunden und betreffen den Schutz personenbezogener Daten, besondere Kategorien sensibler Daten gemäß Artikel 9 der DSGVO, den Umgang mit den Rechten der Betroffenen und die Sicherstellung, dass Unterauftragnehmer dieselben Kriterien erfüllen.
Der VDA ISA-Kriterienkatalog enthält zwei getrennte Abschnitte, einen für die Anforderungen an die Informationssicherheit und einen für den Datenschutz. Die Anforderungen an die Informationssicherheit sind in sieben Kategorien mit 41 Kontrollfragen unterteilt, die unter anderem Asset Management, Betriebssicherheit, Identitäts- und Zugriffsmanagement, Incident Management und Verschlüsselung abdecken.
Der Abschnitt über den Datenschutz enthält dagegen nur vier Kontrollfragen, die sich auf die Ernennung eines Datenschutzbeauftragten, die Verarbeitung personenbezogener Daten, die Gewährleistung, dass Prozesse und Datenflüsse mit den gesetzlichen Datenschutzverpflichtungen übereinstimmen, und die Dokumentation der Verarbeitungsverfahren zum Nachweis der Einhaltung der Vorschriften beziehen.
Die Rolle von Data Loss Prevention bei TISAX-Bewertungen
Data Loss Prevention (DLP)-Lösungen unterstützen die Einhaltung einer Reihe von Datenschutzvorschriften, darunter DSGVO und internationale Standards wie ISO/IEC 27001 und 27002, auf denen die VDA ISA weitgehend basiert. Je nach Produkt können DLP-Tools auch zum Schutz von geistigem Eigentum und Daten beitragen, die in der Automobilindustrie als sensibel gelten. Auf diese Weise kann DLP dazu beitragen, ein erfolgreiches TISAX-Audit in allen vier Zielen in Bezug auf Datenschutz und Informationssicherheit zu unterstützen.
Die DLP-Technologie schützt Daten mithilfe von Definitionen für sensible Informationen. Diese können auf der Grundlage von DSGVO-Anforderungen, PII oder geistigem Eigentum vordefiniert werden, oder es können benutzerdefinierte Definitionen entsprechend den Anforderungen eines Unternehmens erstellt werden. Richtlinien zur Kontrolle und Überwachung von Daten können dann auf alle Dateien und Informationen angewendet werden, die die Kriterien erfüllen. Ein wesentlicher Schritt zur Erfüllung der VDA ISA-Anforderung ist, Daten während der Übertragung zu sichern und die Übertragung von Daten nur auf bekannte und genehmigte Kanäle zu beschränken.
Mit leistungsstarken kontextbezogenen Scan- und Content-Inspektions-Tools können DLP-Lösungen wie Endpoint Protector sensible Daten in über hundert Dateitypen identifizieren und ihre Übertragung über unsichere Kanäle wie Messaging-Apps, persönliche E-Mails, Cloud- und File-Sharing-Dienste sowie die Nutzung von Funktionen wie Copy-Paste oder Print-Screen blockieren.
Unternehmen können auch nach persönlichen Informationen und geistigem Eigentum auf den Computern ihrer Mitarbeiter suchen, lokal gespeicherte sensible Daten identifizieren und es den Administratoren ermöglichen, sie aus der Ferne zu löschen oder zu verschlüsseln, wenn sie an nicht autorisierten Orten gefunden werden. Diese Funktionen sind auch bei der Durchsetzung von Anträgen auf Löschung von Informationen durch betroffene EU-Bürger nützlich. Damit können Unternehmen sicherstellen, dass keine Kopie der Informationen einer betroffenen Person auf den Computern des Unternehmens verbleibt.
Eine umfassende Dokumentation des Datenschutzes ist eine Voraussetzung für die Einhaltung von VDA ISA und damit wesentlich für eine erfolgreiche TISAX-Bewertung. DLP-Tools überwachen und kontrollieren nicht nur die Übertragung sensibler Daten, sondern protokollieren auch jeden versuchten Verstoß gegen die Richtlinien und erstellen entsprechende Berichte.
Fazit
DLP-Lösungen bieten ein hohes Maß an Flexibilität bei der Definition von sensiblen Daten und Richtlinien und ermöglichen es Unternehmen, Funktionen je nach Bedarf anzupassen und zu kombinieren. Als wesentliche Werkzeuge für die Überwachung, Kontrolle und Dokumentation geschützter Informationen auf Arbeitscomputern unterstützen DLP-Tools somit Unternehmen, die ein TISAX-Label erhalten müssen.