ISA-Katalog 6 für TISAX: Fokus auf Verfügbarkeit von Informationen

ISA-Katalog 6 für TISAX

Fokus auf Verfügbarkeit von Informationen

Am 1. April 2024 tritt die neue Version 6.0 des ISA-Katalogs als Basis für das TISAX®-Label in Kraft, den Standard für Informationssicherheit in der Automobilindustrie. ISA 6 erhöht die Anforderungen an die Verfügbarkeit von Informationen mit neuen Controls für Incident- und Business Continuity Management – und reagiert damit auf die zunehmende Zahl von Ransomware-Attacken auf Lieferanten und Dienstleister der Automobilhersteller. Neu sind auch das Prüfziel „Verfügbarkeit“ oder die Integration von Operational Technology (OT) zur Steuerung industrieller Anlagen. ISA 6 wird für alle neuen TISAX-Assessments verbindlich, die nach dem 1. April 2024 beauftragt werden. Bestehende TISAX-Labels behalten in vollem Umfang ihre Gültigkeit.

„Die Bedrohung im Cyberraum ist so hoch wie nie zuvor“ – so lautet das Fazit des aktuellen BSI-Berichts zur Lage der IT-Sicherheit in Deutschland. Dem BSI zufolge stellt Ransomware weiter die grösste Gefahr für Unternehmen und Behörden dar. Auch Automobilzulieferer sind/waren betroffen. Im Oktober 2021 beispielsweise setzte ein Ransomware-Angriff Teile der Produktion und die Verwaltung des Automobilzulieferers Eberspächer für fast zwei Wochen ausser Gefecht, indem Daten verschlüsselt wurden. Auch Continental wurde 2022 Opfer einer Ransomware-Gruppe. 

Entsprechend wichtig ist daher die Verfügbarkeit von Informationen in der Automobilindustrie mit ihren Just-in-Time-Prozessen, sei es in der Office-IT, Produktions-IT und OT. Mit der neuen Version ISA 6 (Information Security Assessment) reagieren der Verband der Automobilindustrie (VDA) und die ENX (European Network Exchange Association) auf diese Entwicklung. Sie führen mit ISA 6 nicht nur das neue Label „Verfügbarkeit“ ein, sondern auch 5 neue Controls im Modul Informationssicherheit, um die Resilienz/Widerstandkraft ihrer Zulieferer und Dienstleister gegen Ransomware-Angriffe zu erhöhen. 

Der ISA-Katalog definiert den Stand der Technik für die Informations- und Cybersicherheit von Firmen aus Sicht der Automobilindustrie. Er bildet die Grundlage für das TISAX®-Label, mit dem Lieferanten und Dienstleister der OEMs regelmässig nachweisen müssen, dass sie die Informationssicherheits-Anforderungen erfüllen. 

Neu: TISAX-Labels Verfügbarkeit und Vertraulichkeit

Mit ISA 6 werden die bisherigen TISAX-Labels bzw. Prüfziele „Info High“ und „Info Very High“ durch die beiden Label „Vertraulichkeit“ (Confidentiality) und „Verfügbarkeit“ (Availability) ersetzt. Damit ist eine Unterscheidung der Lieferanten nach ihrer Rolle in der Lieferkette möglich. 

Das Label „Verfügbarkeit“ ist für Zulieferer etwa von Produktionsteilen oder Infrastruktur gedacht, die für die Aufrechterhaltung der Automobil-Produktion erforderlich sind. Für Lieferanten, die besonders sensible Informationen verarbeiten oder auf kritische Geschäftsgeheimnisse zugreifen, gilt das Prüfziel „Vertraulichkeit“

Auch Audits für beide Prüfziele sind möglich. 
Hier eine kurze Übersicht der Anforderungen für den Erhalt der neuen Labels:

  • „Vertraulich“ umfasst alle Basisanforderungen und zudem alle Zusatzanforderungen für den hohen Schutzbedarf, die mit „C“ (für Confidentiality) gekennzeichnet sind.
  • „Streng Vertraulich“ umfasst alle Basisanforderungen und zudem alle Zusatzanforderungen für den hohen und sehr hohen Schutzbedarf, die mit „C“ gekennzeichnet sind.
  • „Hohe Verfügbarkeit“ umfasst alle Basisanforderungen und zudem alle Zusatzanforderungen für den hohen Schutzbedarf, die mit „A“ (für Availability) gekennzeichnet sind.
  • „Sehr hohe Verfügbarkeit“ umfasst alle Basisanforderungen und zudem alle Zusatzanforderungen für den hohen und sehr hohen Schutzbedarf, die mit „A“ gekennzeichnet sind.

Wichtig: Firmen, die bereits die Labels „Info High“ oder „Info Very High“ erworben haben, erhalten im ENX-Portal automatisch die neuen Verfügbarkeits- oder Vertraulichkeits-Labels zugeordnet. Es ist kein zusätzlicher Prüfungsaufwand notwendig. So ist beispielsweise die Prüfung für das Label „Info Very High“ identisch mit einem Audit für „Streng vertraulich“ und „Sehr hohe Verfügbarkeit“.

Resilienz gegen Angriffe auch für OT-Systeme

Zentrales Ziel des neuen ISA-Katalogs ist es, (Ransomware-)Angriffe nicht nur zu verhindern, sondern auch deren Auswirkungen zu reduzieren und den Betrieb möglichst effektiv und schnell wiederherstellen zu können. Entsprechend wurden neue Controls zum Incident Management und für BCM eingeführt (vor allem unter 1.6 und 5.2.8 und 5.2.9).

Neu ist auch der zusätzliche Fokus auf vernetzte Produktionsumgebungen (Industrial Automation Control Systems IACS) und OT, für die ebenfalls Anforderungen an Informationssicherheit gelten. Um diese OT-spezifischen Punkte zu berücksichtigen, deckt der ISA-Katalog 6 jetzt alle relevanten Anforderungen der internationalen Norm ISA/IEC 62443-2-1 („Security for industrial automation and control systems: Security program requirements for IACS asset owners“) ab. So sind jetzt auch OT-Systeme im Risikomanagement zu betrachten, mit Sicherheitslösungen wie Antivirensoftware oder Firewalls zu schützen oder mit technischen Audits zu überprüfen. Auch Notfallpläne, Zugangskontrolle oder Netzwerksegmentierung sind notwendig.

Neue Controls für besseren Schutz

Insgesamt hat die ISA-Arbeitsgruppe von VDA und ENX fünf komplett neue Controls speziell zum Incident und Business Continuity Management eingeführt sowie den bisherigen Control 1.6.1 zum Incident Management überarbeitet. Control 1.6 wurde umbenannt in „Incident und Crisis Management“. Der bisherige Control 3.1.2 zur Aufrechterhaltung der Informationssicherheit in Ausnahmefällen (Business Continuity) fällt dafür weg. Zudem gibt es in einigen Controls erweiterte Anforderungen (u. a. OT im Scope bei Risikomanagement, Systemaudits etc.). 

Hier eine Übersicht der neuen bzw. komplett überarbeiteten Controls:

  • Control 1.3.4 - “Software approval“: Ziel = Sicheres Management von Software auf Clients
  • Control 1.6.1 - “Reporting of security events”: Funktionierendes Meldesystem für Sicherheitsvorfälle (Erkennung von Angriffen, Meldewege: Wer meldet wem was?)
  • Control 1.6.2 - “Managing of security events”: Prozesse zum effektiven Umgang mit Sicherheitsvorfällen, Angriffsmuster erkennen, Kommunikation zu betroffenen Kunden und Lieferanten
  • Control 1.6.3 - “Handling crisis situations”: BCM, Umgang mit Krisensituationen, Notfallpläne etc. (ersetzt im Prinzip den alten Control 3.1.2) 
  • Control 5.2.8 - "IT service continuity planning": Planung des Weiterbetriebs von IT Services, um die Auswirkungen von Angriffen zu reduzieren (z. B. Redundanz; Rückfall auf manuellen Betrieb, falls relevante IT-Infrastruktur nicht verfügbar ist)
  • Control 5.2.9 - "Backup and recovery": Wiederherstellung von Systemen und Daten durch ein Backup- und Restore-Konzept

Fristen: Was bedeutet das für Unternehmen?

Der neue ISA-Katalog 6 ist ab dem 1. April 2024 gültig. Das heisst: Firmen, die bis einschliesslich 31. März ein TISAX-Assessment beauftragen, können noch nach dem alten ISA-Katalog 5.1 geprüft werden. Ab dem 1. April 2024 beauftragte Assessments erfolgen nach der neuen ISA-Version 6. Bestehende TISAX-Labels nach älteren Versionen bleiben gültig bis zu ihrem Ablaufdatum, es besteht kein Grund für eine Neuprüfung. 

Nach dem 1. April 2024 beauftragte TISAX-Prüfungen können nicht mehr die oben beschriebenen Prüfziele „Info High“ oder „Info Very High“ verwenden. Alle bisherigen „Info High“- und „Info Very High“-Ziele in bereits registrierten TISAX-Scopes werden automatisch in „Vertraulich“ und „Hohe Verfügbarkeit“ bzw. „Streng vertraulich“ und „Sehr hohe Verfügbarkeit“ umgewandelt.

fernao security force unterstützt Sie beim Thema ISA/TISAX mit folgenden Dienstleistungen:

  • Konzeption von Sicherheitsmassnahmen
  • Beratung beim Aufbau und Implementierung eines Informationssicherheits-Managementsystems nach ISA 6 (inklusive Migration von ISA 5.1 oder älteren Versionen)

Weitere Neuheiten bei ISA 6

< Zurück zur Übersicht
Home | Insights | Blog | ISA-Katalog 6 für TISAX: Fokus auf Verfügbarkeit von Informationen