ISA-Katalog 6 für TISAX: Fokus auf Verfügbarkeit von Informationen

Am 1. April 2024 tritt die neue Version 6.0 des ISA-Katalogs als Basis für das TISAX®-Label in Kraft, den Standard für Informationssicherheit in der Automobilindustrie. ISA 6 erhöht die Anforderungen an die Verfügbarkeit von Informationen mit neuen Controls für Incident- und Business Continuity Management – und reagiert damit auf die zunehmende Zahl von Ransomware-Attacken auf Lieferanten und Dienstleister der Automobilhersteller. Neu sind auch das Prüfziel „Verfügbarkeit“ oder die Integration von Operational Technology (OT) zur Steuerung industrieller Anlagen. ISA 6 wird für alle neuen TISAX-Assessments verbindlich, die nach dem 1. April 2024 beauftragt werden. Bestehende TISAX-Labels behalten in vollem Umfang ihre Gültigkeit.

„Die Bedrohung im Cyberraum ist so hoch wie nie zuvor“ – so lautet das Fazit des aktuellen BSI-Berichts zur Lage der IT-Sicherheit in Deutschland. Dem BSI zufolge stellt Ransomware weiter die größte Gefahr für Unternehmen und Behörden dar. Auch Automobilzulieferer sind/waren betroffen. Im Oktober 2021 beispielsweise setzte ein Ransomware-Angriff Teile der Produktion und die Verwaltung des Automobilzulieferers Eberspächer für fast zwei Wochen außer Gefecht, indem Daten verschlüsselt wurden. Auch Continental wurde 2022 Opfer einer Ransomware-Gruppe. 

Entsprechend wichtig ist daher die Verfügbarkeit von Informationen in der Automobilindustrie mit ihren Just-in-Time-Prozessen, sei es in der Office-IT, Produktions-IT und OT. Mit der neuen Version ISA 6 (Information Security Assessment) reagieren der Verband der Automobilindustrie (VDA) und die ENX (European Network Exchange Association) auf diese Entwicklung. Sie führen mit ISA 6 nicht nur das neue Label „Verfügbarkeit“ ein, sondern auch 5 neue Controls im Modul Informationssicherheit, um die Resilienz/Widerstandkraft ihrer Zulieferer und Dienstleister gegen Ransomware-Angriffe zu erhöhen. 

Der ISA-Katalog definiert den Stand der Technik für die Informations- und Cybersicherheit von Firmen aus Sicht der Automobilindustrie. Er bildet die Grundlage für das TISAX®-Label, mit dem Lieferanten und Dienstleister der OEMs regelmäßig nachweisen müssen, dass sie die Informationssicherheits-Anforderungen erfüllen. 

Zentrales Ziel des neuen ISA-Katalogs ist es, (Ransomware-)Angriffe nicht nur zu verhindern, sondern auch deren Auswirkungen zu reduzieren und den Betrieb möglichst effektiv und schnell wiederherstellen zu können. Entsprechend wurden neue Controls zum Incident Management und für BCM eingeführt (vor allem unter 1.6 und 5.2.8 und 5.2.9).

Neu ist auch der zusätzliche Fokus auf vernetzte Produktionsumgebungen (Industrial Automation Control Systems IACS) und OT, für die ebenfalls Anforderungen an Informationssicherheit gelten. Um diese OT-spezifischen Punkte zu berücksichtigen, deckt der ISA-Katalog 6 jetzt alle relevanten Anforderungen der internationalen Norm ISA/IEC 62443-2-1 („Security for industrial automation and control systems: Security program requirements for IACS asset owners“) ab. So sind jetzt auch OT-Systeme im Risikomanagement zu betrachten, mit Sicherheitslösungen wie Antivirensoftware oder Firewalls zu schützen oder mit technischen Audits zu überprüfen. Auch Notfallpläne, Zugangskontrolle oder Netzwerksegmentierung sind notwendig.

Insgesamt hat die ISA-Arbeitsgruppe von VDA und ENX fünf komplett neue Controls speziell zum Incident und Business Continuity Management eingeführt sowie den bisherigen Control 1.6.1 zum Incident Management überarbeitet. Control 1.6 wurde umbenannt in „Incident und Crisis Management“. Der bisherige Control 3.1.2 zur Aufrechterhaltung der Informationssicherheit in Ausnahmefällen (Business Continuity) fällt dafür weg. Zudem gibt es in einigen Controls erweiterte Anforderungen (u. a. OT im Scope bei Risikomanagement, Systemaudits etc.). 

Hier eine Übersicht der neuen bzw. komplett überarbeiteten Controls:

• Control 1.3.4 - “Software approval“: Ziel = Sicheres Management von Software auf Clients
• Control 1.6.1 - “Reporting of security events”: Funktionierendes Meldesystem für Sicherheitsvorfälle (Erkennung von Angriffen, Meldewege: Wer meldet wem was?)
• Control 1.6.2 - “Managing of security events”: Prozesse zum effektiven Umgang mit Sicherheitsvorfällen, Angriffsmuster erkennen, Kommunikation zu betroffenen Kunden und Lieferanten
• Control 1.6.3 - “Handling crisis situations”: BCM, Umgang mit Krisensituationen, Notfallpläne etc. (ersetzt im Prinzip den alten Control 3.1.2) 
• Control 5.2.8 - "IT service continuity planning": Planung des Weiterbetriebs von IT Services, um die Auswirkungen von Angriffen zu reduzieren (z. B. Redundanz; Rückfall auf manuellen Betrieb, falls relevante IT-Infrastruktur nicht verfügbar ist)
• Control 5.2.9 - "Backup and recovery": Wiederherstellung von Systemen und Daten durch ein Backup- und Restore-Konzept

Der neue ISA-Katalog 6 ist ab dem 1. April 2024 gültig. Das heißt: Firmen, die bis einschließlich 31. März ein TISAX-Assessment beauftragen, können noch nach dem alten ISA-Katalog 5.1 geprüft werden. Ab dem 1. April 2024 beauftragte Assessments erfolgen nach der neuen ISA-Version 6. Bestehende TISAX-Labels nach älteren Versionen bleiben gültig bis zu ihrem Ablaufdatum, es besteht kein Grund für eine Neuprüfung. 

Nach dem 1. April 2024 beauftragte TISAX-Prüfungen können nicht mehr die oben beschriebenen Prüfziele „Info High“ oder „Info Very High“ verwenden. Alle bisherigen „Info High“- und „Info Very High“-Ziele in bereits registrierten TISAX-Scopes werden automatisch in „Vertraulich“ und „Hohe Verfügbarkeit“ bzw. „Streng vertraulich“ und „Sehr hohe Verfügbarkeit“ umgewandelt.

fernao security force unterstützt Sie beim Thema ISA/TISAX mit folgenden Dienstleistungen:

• Konzeption von Sicherheitsmaßnahmen
• Beratung beim Aufbau und Implementierung eines Informationssicherheits-Managementsystems nach ISA 6 (inklusive Migration von ISA 5.1 oder älteren Versionen)