In letzter Zeit bekomme ich vermehrt Anfragen von Automobilzulieferern, bei denen auf Grund der engen Zusammenarbeit mit den Herstellern ein Audit zur Informationssicherheit ansteht. Zu diesem Zweck hat der Arbeitskreis Informationssicherheit im Verband der Automobilindustrie (VDA) ein Information Security Assessment entwickelt, das auf den Anforderungen der ISO 27002:2013 basiert und grundlegende Maßnahmen zur Informationssicherheit. Die Prüfungstiefe ist dabei davon abhängig, wie vertraulich bzw. kritisch die ausgetauschten Informationen sind. Hierbei wird in den Schutzbedarf normal, hoch und sehr hoch unterschieden.
Für den hohen Schutzbedarf gibt es nun den ersten Nachweis, dass die VdS-Richtlinien 3473 grundsätzlich dazu geeignet sind, die Anforderungen eines TISAX-Audits zu erfüllen. Hierzu fand in der letzten Woche ein erfolgreiches Audit bei einem Unternehmen in der Region statt, bei dem ich seit März 2018 ein Informationssicherheitsmanagementsystem (ISMS) nach VdS 3473 aufbaue. Grundsätzlich ist festzuhalten, dass die optionalen „SOLLTE“-Anforderungen der 3473 im VDA-Kontext zu einem „MUSS“ werden. Zudem fehlen einige Punkte, die entsprechend ergänzt werden müssen. Hier sind insbesondere die Bereiche Informationsklassifizierung, Kryptographie und physische Sicherheit zu nennen.
Letztendlich bleibt festzuhalten, dass es mit den VdS-Richtlinien 3473 möglich ist, mit überschaubarem Aufwand und in kürzester Zeit ein solides ISMS zu implementieren, was leicht höheren Anforderungen angepasst werden kann.