IT Sicherheitsrichtlinie

1 Allgemeine Anforderungen an die Informationssicherheit

Das Verwenden von Daten oder Software, die zur Elektronischen Fahrwerksysteme GmbH gehören, auf IT-Systemen oder Speichergeräten die durch die Elektronischen Fahrwerksysteme GmbH bereitgestellt oder freigegeben sind, ist zulässig.

Das Verwenden von Daten oder Software auf nicht durch die Elektronischen Fahrwerksysteme GmbH freigegebenen Fileservices oder Internet Cloud-Diensten ist nicht zulässig.

Die Weitergabe von Daten an Dritte ist nur mit schriftlicher Freigabe durch den Dateneigentümer bei Elektronischen Fahrwerksysteme GmbH gestattet.

Regelungen der Elektronischen Fahrwerksysteme GmbH und alle gesetzlichen Bedingungen zur Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten und anderen vertraulichen Daten müssen eingehalten werden. Die Erhebung, die Verarbeitung oder Verwendung personenbezogener Daten (z. B. Name, Telefonnummer, Emailadresse, Geburtsdatum,…) ist nur mittels ausdrücklicher Zustimmung der betroffenen Person oder aufgrund gesetzlicher Zulassung erlaubt. Personenbezogene Daten dürfen nur im Rahmen der Ausführung der beruflichen Aufgaben bei der Elektronischen Fahrwerksysteme GmbH genutzt werden. Das Weiterleiten derartiger Daten an unbefugte Dritte (z. B. Kunden, Arbeitnehmer, externe Mitarbeiter,…) ist nicht zugelassen. IT-Geräte und Medien zur Speicherung personenbezogener, vertraulicher oder geheimer Daten, dürfen das Gelände von der Elektronischen Fahrwerksysteme GmbH nicht unverschlüsselt verlassen.

Mitarbeiter des Dienstleisters müssen von ihrem Arbeitgeber zur Geheimhaltung im Sinne der bestehenden Vertraulichkeitsvereinbarung zwischen Elektronischen Fahrwerksysteme GmbH und Dienstleister verpflichtet werden. Elektronischen Fahrwerksysteme GmbH ist jederzeit Einsicht in diese Vereinbarungen zu gewähren.

Falls Daten von Elektronischen Fahrwerksysteme GmbH auf mobilen Systemen oder IT-Geräten gespeichert werden, sind diese mit dem aktuellen Stand der Technik entsprechender Hardware oder Software zu verschlüsseln.

Nach Vertragsende müssen Daten von Elektronischen Fahrwerksysteme GmbH an Elektronischen Fahrwerksysteme GmbH übergeben werden und sind auf Geräten und Speichermedien des Dienstleisters zu löschen. Rechtliche Anforderungen (z. B. Aufbewahrungspflichten) sind zu beachten.

 

1.1 User ID und Datenträger

Nicht mehr benötigte Nutzerkonten oder Zugriffsberechtigungen sind umgehend der verantwortlichen Abteilung, d.h. der Abteilung für die der Dienstleister seine Tätigkeit ausgeübt hat zu melden, damit diese entsprechend gelöscht bzw. gesperrt werden können.

Nicht mehr benötigte Identifikationsmittel sind an die Elektronischen Fahrwerksysteme GmbH unverzüglich zurückzugeben.

Der Verlust von IT-Geräten oder Datenträgern, die Authentifizierungszwecken dienen, ist durch den entsprechenden Nutzer unverzüglich beim IT-Service (Tel.: +49 8458 39730-150) anzuzeigen.

 

1.2 Umgang mit Daten und Informationen

IT-Geräte, auf denen Daten von Elektronischen Fahrwerksysteme GmbH gespeichert oder verarbeitet werden, müssen so verwendet werden, dass unbefugte Dritte keine Einsicht und keinen Zugriff auf diese Daten haben können. Es gilt besondere Vorsicht im Umgang mit Mobilen-Geräten walten zu lassen.

Vertrauliche und geheime Dokumente dürfen nicht unbeaufsichtigt gelassen werden, um zu vermeiden, dass unautorisierte Personen diese einsehen können.

 

1.3 Datenklassifizierung

Eine Klassifizierung findet anhand der drei Schutzziele statt und muss für alle Informationen und alle informationsverarbeitenden IT-Systeme durchgeführt werden.

Die Klassifizierung hat den Zweck, Informationen abhängig von deren Schutzbedürftigkeit in Stufen einzuordnen. Abhängig von der Einordnung sind unterschiedliche Schutzmaßnahmen erforderlich.

Informationen sind über ihre gesamte Lebensdauer hinweg gemäß der Maßnahmen, die ihrer Vertraulichkeitsstufung entsprechen, vor unbefugten Zugriff zu schützen. Vertraulichkeitsstufungen können mit einem Ablaufdatum versehen werden.

Diese Klassifizierung ist regelmäßig, unter Einbeziehung des Dokumenten Verantwortlichen, zu evaluieren und gegebenenfalls anzupassen.

Die Klassifizierungsstufen gliedern sich in:

  • Öffentlich
  • Intern
  • Vertraulich
  • Geheim

Informationen (z.B. Dokumente, Formulare) müssen nach den Klassifizierungsstufen gekennzeichnet werden die jeweils folgende verbindliche Schutzmaßnahmen erfordern.

 

Klassifizierungsstufen

Öffentlich

Intern

Vertraulich

Geheim

Merkmale

Informationen, die keinen Einschränkungen unterliegen, können für alle zugänglich gemacht werden.

 

Informationen, deren Kenntnis durch Unbefugte oder deren missbräuchliche Weitergabe nur geringen Einfluss auf den Geschäftsprozess haben, dürfen nur einem berechtigten Personenkreis zugänglich gemacht werden.

 

Informationen, deren Kenntnis durch Unbefugte oder deren missbräuchliche Weitergabe den Geschäftsprozess gefährden können, dürfen ausschließlich einer begrenzten Gruppe von Berechtigten zugänglich gemacht werden.

 

Informationen, deren Kenntnis durch Unbefugte oder deren missbräuchliche Weitergabe den Geschäftsprozess in hohem Maße gefährden kann, dürfen nur einer äußerst restriktiven Verteilerliste zugänglich gemacht werden und müssen strengen Kontrollen unterliegen.

Beispiele

Öffentliche Stellenanzeigen, Unternehmenskommunikation (www.efs-auto.com)

geschäftliche Kommunikationsdaten, betriebliche Vorgaben zur Arbeitssicherheit

 

Gehaltsdaten, Budgetplanungen, Revisionsberichte, Personenbezogene Daten, Entwicklungsdaten

Sensible personenbezogene Daten (z.B. Gesundheitsdaten) ,strategische Unternehmenspläne

Weitergabe

Uneingeschränkt

Nur an Unternehmens-mitarbeiter

Nur an berechtigte Personen. Durch Informationseigener definiert.

Auf eine geringe und namentlich festgelegte Anzahl von Personen begrenzt

Nur nach ausdrücklicher Genehmigung des Informationseigners

Kennzeichnung

Keine Vorgabe

 
  1. Auf jeder Seite
  2. Gesamtseitenzahl muss erkennbar sein
  3. Dateiname

 

 
  1. Auf jeder Seite
  2. Gesamtseitenzahl muss erkennbar sein
  3. Dateiname

 

 

 
  1. Auf jeder Seite
  2. Gesamtseitenzahl muss erkennbar sein
  3. Dateiname
 

Entsorgung

Papierkorb, Hausmüll

Sicherheitsbehälter oder Aktenvernichter

 

Sicherheitsbehälter oder Aktenvernichter

Sicherheitsbehälter oder Aktenvernichter

Datenspeicherung

Keine Vorgabe

Keine Vorgabe

Zugriffbeschränkte Laufwerkablage

Zugriffbeschränke Laufwerkablage+ Passwortgeschützte Dokumente

Datenübertragung

(Mail, USB-Stick)

 

Keine Vorgabe

Verschlüsselung

Verschlüsselung

Verschlüsselung

Ausdruck

 

Keine Vorgabe

Keine Vorgabe

Sicherer Ausdruck[1]

Sicherer Ausdruck

Aufbewahrung

Keine Vorgabe

Für externe unzugänglich[2]

Bei Nichtgebrauch oder Abwesenheit zu versperren

Bei Nichtgebrauch oder Abwesenheit zu versperren


[1] Betätigung der Funktion „Vertraulich Drucken“ bzw. „Drucken und Zurückhalten“ oder „Follow my Print“.
[2] Kunden, Besucher, Lieferanten, Fremdarbeitskräfte, Reinigungs- und Handwerkspersonal

 

Die Vorgaben zum Umgang mit Informationen (Kennzeichnung, Vervielfältigung, Verteilung, Speicherung, Löschung und Entsorgung) gelten ebenfalls für IT-Systeme (z.B. Datenbanken und Sicherungsmedien).

(Definition - Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.)

 

1.4 Handhaben von Speicher- und Aufzeichnungsdaten

Datenträger (wie z. B. CDs, DVDs, USB-Sticks, Festplatten, ..) sind vor Verlust, Zerstörung und Verwechslung sowie vor unbefugtem Zugriff zu schützen.

Speicher- und Aufzeichnungsmedien, die nicht mehr benötigt werden, müssen auf sichere Art und Weise zerstört werden. Personenbezogene Daten, vertrauliche und geheime Dokumente in Papierform müssen in spezifisch dafür vorgesehene Abfalleimer entsorgt werden. Veraltete Medien müssen auf zuverlässige Art gelöscht werden entweder durch Überschreibung oder materielle Vernichtung.

 

1.5 Austausch von Informationen

Bei allen Gesprächen, die vertrauliche oder geheime Informationen betreffen oder enthalten, ist sicherzustellen, dass diese nicht unberechtigt mitgehört werden können.

Für den Transport von IT-Geräten und Datenträgern außerhalb der Werksgrenzen sind die Regelungen und Betriebsvereinbarungen der Elektronischen Fahrwerksysteme GmbH zu befolgen. Im Prinzip dürfen IT-Geräte und Datenträger, die personenbezogene, vertrauliche oder geheime Daten enthalten, die Gebäude von Elektronischen Fahrwerksysteme GmbH lediglich verschlüsselt verlassen.

Der Absender, in seiner Zuständigkeit als Emailersteller, ist verantwortlich für den Inhalt, die Verteilung und Einstufung der E-Mail bzgl. Vertraulichkeit. Der Empfänger ist verantwortlich für die weitere Verarbeitung und Verteilung.

Es ist nicht gestattet, Ketten-E-Mails zu erstellen oder zu versenden.

 

1.6 Umgang mit Informationssicherheitsvorfällen

Informations-Sicherheitsereignisse (z. B. Funktionsstörungen oder Verstöße gegen das IT-Sicherheitsregelwerk) bzgl. der Daten oder Systeme von Elektronischen Fahrwerksysteme GmbH sind unverzüglich dem IT-Service (Tel.: +49 8458 39730-150) zu melden.

Wird in einem IT-System eine Verwundbarkeit oder eine Schwachstelle vermutet, ist dies ebenso dem IT-Helpdesk der Elektronischen Fahrwerksysteme GmbH zu melden.

Vermuteter Datenverlust oder Datenlecks vertraulicher oder geheimer Informationen sind ebenso umgehend zu melden.

 

1.7 Verpflichtungen des Externen

Durch den Dienstleister ist ein Compliance Management unter Beachtung rechtlicher und betrieblicher Anforderungen (inklusive Ressourcenmanagement, internes Kontrollsystem, IT-Continuity-Management und Schutz von Informationen) einzurichten. Dies muss alle Informationen, Hard- und Software der Elektronischen Fahrwerksysteme GmbH umfassen.

Das Compliance Management muss die folgenden Punkte beinhalten:

  • Risikofrüherkennung
  • Lizenzmanagement/ Geistiges Eigentum
  • Datenschutz
  • Vertragliches Compliance
  • Internes Regelwerk

 

1.8 Verstöße

Verstöße gegen die IT-Sicherheitshandlungsleitlinien werden individuell geprüft und geahndet.

 

2 Nutzung IT-Equipment

Dienstleister dürfen die Bereitstellung oder Installation von Hardware und Software nur über den für sie zuständigen Fachbereich von Elektronischen Fahrwerksysteme GmbH durchführen oder initiieren.

Bezüglich der Nutzung der zur Verfügung gestellten Hard- und Software gelten die IT-Sicherheitshandlungsrichtlinien.

Das Öffnen des IT-Gerätes und das Durchführen von Veränderungen an der Hardware (z. B. Ein- /Ausbau von Festplatten, Speicherbausteinen…) sowie manuelle Veränderungen der Sicherheitseinstellungen (z. B. Browsereinstellungen) ist nur den zuständigen Stellen von Elektronischen Fahrwerksysteme GmbH (IT-Abteilung) gestattet.

Der Einsatz oder das nachträgliche Verändern von Programmen der Elektronischen Fahrwerksysteme GmbH ist nur zulässig, wenn diese von den zuständigen Stellen genehmigt wird.

Auf den zur Verfügung gestellten IT-Geräten sind keine Daten von weiteren Kunden, die nicht zum Audi-Konzern gehören, zu verarbeiten.

Das Verwenden von IT-Geräten oder Daten der Elektronischen Fahrwerksysteme GmbH durch Mitarbeiter des Dienstleisters erfordert die ausdrückliche Zustimmung von Elektronischen Fahrwerksysteme GmbH. Die Elektronischen Fahrwerksysteme GmbH ist ermächtigt, jederzeit den Zugriff oder die Benutzung zu untersagen (z. B. bei Missbrauch).

Bei Verdacht auf Befall durch Schadstoffsoftware dürfen betroffene IT-Geräte und Datenträger nicht weiter benutzt werden. Der Helpdesk ist sofort zu benachrichtigen.

 

2.1 Backup

Daten sollten nur auf den vorgesehenen Austauschplattformen/ Austauschnetzwerken gespeichert werden und nicht auf der lokalen Festplatte, da nur im vorgesehenen Bereich eine zentrale und automatische Datensicherung gewährleistet ist.

Für die Sicherung der Daten, die nicht auf zentralen Netzlaufwerken gespeichert sind (z. B. lokale Festplatte, mobile Datenträger,…) oder Systemen mit vergleichbarer Funktionalität (z. B. eRoom, SharePoint,…), ist der Anwender selbst verantwortlich.

Backupdaten und Medien zur Sicherung sind so zu behandeln, wie die originalen Daten.

 

3 Zugangskontrolle

3.1 Geschäftsanforderungen für Zugangskontrollen

Folgende Vorgaben sind durch alle Nutzer zu befolgen:

  • Die Verwendung der Benutzererkennung oder des Kontos einer anderen Person ist nicht gestattet.
  • Die Weitergabe von Identifikationsmitteln (z. B. SmartCards oder SecurID-Karten,…) ist nicht gestattet.
  • Passwörter oder PINs einer Benutzererkennung, die zur persönlichen Verwendung bestimmt ist, sind geheim zu halten und dürfen nicht weitergegeben werden.
  • Das Speichern oder das Aufschreiben von Passwörtern (z. B. auf Papier, über Mobilgeräte oder in Dateien) ist nicht zulässig, sofern dies nicht als sichere Methode festgelegt ist durch Elektronischen Fahrwerksysteme GmbH.
  • Sobald der Verdacht der Kompromittierung oder des Bekanntwerdens eines Passworts oder einer PIN besteht, ist dieses bzw. diese unverzüglich zu ändern.
  • Temporäre Passwörter (z. B. für neue Konten) sind bei der ersten Anmeldung zu ändern.
  • Alle Passwörter oder PINs sind bei der ersten Verwendung zu ändern sowie spätestens nach 90 Tagen (Letzteres gilt nur für Passwörter).
  • Das Ausspähen von Passwörtern ist nicht gestattet.
  • Passwörter sind mindestens als vertraulich zu klassifizieren.
  • Wenn Passwörter schriftlich aufbewahrt werden müssen, sind sie durch den Mitarbeiter in einem versiegelten Umschlag an einem geeigneten Ort zu verwahren, der vor unrechtmäßigem Zugriff geschützt ist (z. B. einem Tresor). Bei jeder Änderung ist das verwahrte Passwort entsprechend zu aktualisieren. Der versiegelte Umschlag ist durch den jeweiligen Mitarbeiter abzuzeichnen. Die Personen, die berechtigt sind, den Umschlag zu öffnen, müssen namentlich benannt werden, da es in Ausnahmefällen (z. B. bei Krankheit) nötig sein kann, das verwahrte Passwort zu verwenden. Dabei ist das sogenannte „Mehr-Augen-Prinzip“ zu befolgen. Jede Öffnung ist zu dokumentieren und dem Mitarbeiter zu berichten. Nach jeder Öffnung muss der Mitarbeiter das Passwort umgehend ändern und wieder sicher verwahren. Als Alternative sind IT-Systeme zulässig, die eine entsprechende Funktionalität gewährleisten (z. B. elektronische Passwort-Tresore).

 

3.2 Generierung von Passwörtern

Bei der Generierung eines Passworts müssen folgende Mindestanforderungen erfüllt werden:

  • Das Passwort muss aus mindestens 7 Zeichen bestehen und mindestens 3 der folgenden 4 Zeichenarten enthalten:
    • Großbuchstaben
    • Kleinbuchstaben
    • Ziffern
    • Sonderzeichen
  • Insbesondere sind keine trivialen Passwörter zulässig (z.B.: „Test1234“) oder Passwörter mit persönlichem Bezug (z. B. Namen, Geburtsdatum,…).
  • Es ist nicht gestattet, ein identisches Passwort für berufliche und private Zwecke zu verwenden.
  • Es ist nicht gestattet, ein identisches Passwort für Systeme, die vom VW-Konzern bereitgestellt werden, und Systeme, die von Dritten bereitgestellt werden (z. B. Anwendungen, Registrierungsdienste im Internet, …), zu verwenden.
  • Erfordern bestimmte Systeme oder Anwendungen komplexere Passwörter (gemäß Definition in der Passwort-Regelung 4), dann sind diese Vorgaben zu erfüllen.

 

3.3 PINs zum Entsperren von Smartphones

Bei der Generierung von PINs für Smartphones müssen folgende Mindestanforderungen erfüllt werden:

  • Die PIN muss aus mindestens 6 Ziffern bestehen.
  • Es sind keine trivialen PINS zulässig (z.B. „111111“) oder PINs mit persönlichem Bezug (z. B. Geburtsdatum).
  • Darüber hinaus müssen die im Punkt 2.2.5.1. beschriebenen allgemeinen Anforderungen auch für PINs erfüllt werden.

 

3.4 Gruppenerkennungen

Die Verwendung von Gruppenkennungen durch mehrere Personen (z. B. Schulungsabteilung, Praktikanten, Hochschulabsolventen) ist unter Einhaltung der im Punkt 3 beschriebenen Anforderungen an Zugänge gestattet.

 

3.5 Netzwerk- und Zugriffskontrollen

Aufgrund der engen Anbindung an die Kunden (Audi und Volkwagen) arbeitet die Gesellschaft mit folgenden Netzwerken:

  • EFS Netzwerk (graues LAN Kabel) wird hauptsächlich für EFS-Rechner genutzt
  • AUDI Netzwerk (rotes LAN Kabel) wird grundsätzlich für AUDI-Rechner verwendet
  • efs-gast-Netzwerk
  • VPN

Die Verbindung von IT-Geräten mit dem Netzwerk ist nur zulässig, sofern diese durch den IT-Betrieb bereitgestellt oder genehmigt wurden.

Durch das Unternehmen bereitgestellte IT-Geräte dürfen nur dann und nur solange mit unternehmensfremden Netzwerken (z. B. Hot-Spot, privates WLAN; ausgenommen Mobilfunknetze) verbunden werden, wie dies zum Verbindungsaufbau mit dem Unternehmensnetzwerk (über Remote-Zugriff/VPN) notwendig ist. Direktes “Surfen” usw. ist nicht zulässig.

Um eine sichere Datenübertragung bei Verwendung öffentlicher Netze zu gewährleisten, ist der auf den Rechnern vorinstallierte VPN Client (Cisco AnyConnect Secure Mobility Client) zu nutzen.

 

4 Zusätzliche Anforderungen

Daten von Elektronischen Fahrwerksysteme GmbH müssen von Daten Dritter und besonders von den Daten anderer Kunden des Dienstleisters (z. B. über ein Rechtemanagement) getrennt sein. Daten dürfen nicht für Dritte zugreifbar sein (z. B. durch Verschlüsselung umzusetzen).

Die Datenklassifizierung muss auf das Klassifizierungsschema des Dienstleisters abgebildet werden um sicherzustellen, dass alle erforderlichen Sicherheitsmaßnahmen umgesetzt werden.

Dienstleister müssen die Informationssicherheits-Anforderungen aus dem ihnen zur Erfüllung der Aufgabe übergebenen Regelwerk durch angemessene Sicherheitsmaßnahmen in ihrem eigenen Unternehmen abbilden.

Zugriff auf Daten der Elektronischen Fahrwerksysteme GmbH darf Mitarbeitern des Dienstleisters nur nach dem Need-to-Know-Prinzip (Kenntnis nur bei Bedarf) gewährt werden.

Wir suchen innovative Typen mit eigenen Ideen und Leidenschaft für die Mobilität von morgen.