Neuer ISA Katalog 6.0 gilt ab 1. April 2024

INHALT

Steigende Bedrohungen erfordern Anpassungen im ISA Katalog

Label "Verfügbarkeit": Ausweitung auf Produktionsanlagen

Label „Vertraulichkeit“: Schutz sensibler Informationen

Was bedeuten die neuen Anforderungen für ein künftiges TISAX^®-Audit?

ISO 27001 und IEC 62443 als tragfähiges Fundament

ISA Katalog 6.0 Änderungen 2024: Fazit

TISAX 6.0 – zum Hintergrund

Steigende Bedrohungen erfordern Anpassungen im ISA Katalog

Angesichts der hohen Bedeutung und der Komplexität der Lieferketten kommt der durchgängigen Informations- und Cybersicherheit in der Automobilindustrie eine Schlüsselrolle zu. Immerhin sind die Lieferanten eng in die Entwicklungs- und Produktionsprozesse eingebunden. Damit haben sie häufig Zugang zu hochsensiblen, schützenswerten Informationen – und müssen über ein hohes Resilienzniveau verfügen. Geopolitische Spannungen sowie die zunehmende Digitalisierung und Vernetzung der Lieferkette führen zu steigenden Risiken für die Informationssicherheit.

Als Konsequenz aus dieser Dynamik wurde der bestehende VDA ISA Katalog 5.1 aktualisiert. Die Version 6.0 wurde am 16. Oktober 2023 in englischer Sprache veröffentlicht und als Download zur Verfügung gestellt.

Der neue ISA Fragenkatalog 6.0 markiert einen bedeutenden Meilenstein für TISAX^®. Dies führt zu Anpassungen in den Anforderungen für Audit Provider, die im Rahmen der TISAX^® ACAR 2.2-Verordnungen festgelegt wurden. Die Umstellung des ISA Katalogs 6.0 auf Englisch als Hauptsprache unterstreicht die globale Perspektive und die gemeinsamen Bemühungen für eine Weiterentwicklung des Anforderungskatalogs in weltweiten Arbeitsgruppen.

Neue Label ersetzen bekanntes Label „Informationssicherheit“

Die wesentlichen Änderungen im Information Security Assessment (ISA) Katalog 6.0 betreffen das Modul "Informationssicherheit" und das zugehörige Labelsystem von TISAX^®. Zukünftig wird das bekannte Label „Informationssicherheit“ komplett ersetzt durch die beiden Label „Verfügbarkeit“ und „Vertraulichkeit“.

Label "Verfügbarkeit" im ISA Katalog 6.0: Ausweitung auf Produktionsanlagen

Im neuen ISA Katalog findet eine Konkretisierung für die Label „Verfügbarkeit hoch“ (Availability high) und „Verfügbarkeit sehr hoch“ (Availability very high) statt. Dadurch geraten OT-Systeme (Operational Technology) mehr in den Fokus künftiger Auditierungen.

Die zunehmende Vernetzung von Produktionsumgebungen, also Industrial Automation Control Systems (IACS) und deren Netzwerken, resultiert in einer Reihe neuer Herausforderungen für die Informationssicherheit. Produktionsanlagen spannen äußerst weiträumige Netze mit einer Vielzahl von spezialisierten Technologien und Protokollen.

In vielen Aspekten unterscheiden sie sich grundlegend von IT-Systemen: Produktionsumgebungen sind in der Regel auf langjährige Laufzeiten ausgelegt und wenn sie erst einmal reibungslos laufen, werden sie bis auf reguläre Wartungs- und Reparatureinsätze möglichst ungestört gelassen. Das führt dazu, dass auf vielen Komponenten beispielsweise noch veraltete Betriebssysteme, Kommunikationsprotokolle oder Verschlüsselungsalgorithmen eingesetzt werden.

Automatische Patch- und Update-Prozesse waren lange Zeit unerwünscht oder wurden zumindest kritisch beäugt. Viel zu groß war die Angst, der komplexe Produktionsprozess könnte außer Takt geraten und erhebliche wirtschaftliche Einbußen verursachen. Und auch physisch bieten die großflächigen und verteilten Anlagen und Kommunikationsnetzwerke, zu denen sich viele Mitarbeiter Zutritt verschaffen können, multiple Angriffspunkte.

Die Zuverlässigkeit und Verfügbarkeit automatisierter Produktionsanlagen sind nicht nur aus betriebswirtschaftlicher Perspektive von höchster Bedeutung, sondern auch deshalb, weil Abweichungen im Prozess erhebliche Schäden und finanzielle Verluste verursachen können.

Um all diese OT-spezifischen Aspekte in den ISA Katalog 6.0 zu integrieren, haben sich ENX und VDA an der international gültigen Normenreihe IEC 62443 und insbesondere am Teilbereich 2-1 orientiert.

Label „Vertraulichkeit“: Schutz sensibler Informationen

Wenn ein Unternehmen mit sensiblen Informationen betraut ist, muss es den Nachweis erbringen, dass es diese Informationen angemessen schützen kann. Mit den Labeln "Vertraulichkeit hoch" (Confidentiality high) oder "Vertraulichkeit strikt" (Confidentiality strict) erfolgt eine Selektion derjenigen Anforderungen des ISA Katalogs 6.0, die auf dieses Schutzziel einzahlen.

Was bedeutet das für ein künftiges TISAX^®-Audit?

Die neuen Label erlauben eine Auditierung gemäß der möglichen Rollen, die ein Lieferant in der Lieferkette einnimmt. Wurde ein Lieferant als besonders wichtig für die Lieferkette erkannt, so kann er mittels des Labels „Verfügbarkeit“ seine Ausfallsicherheit nachweisen. Ist ein Lieferant mit besonders sensiblen Informationen betraut, so kann er über das Label „Vertraulichkeit“ nachweisen, dass er über angemessene Vorkehrungen zu deren Schutz verfügt. Übernimmt ein Lieferant für beide Rollen Verantwortung, so kann er sich für beide Label auditieren lassen.

Für beide Label gilt, dass die gleiche Menge von Basisanforderungen zu erfüllen sind. Darüber hinaus gibt es für jedes Label spezifische Anforderungen für hohen und sehr hohen Schutzbedarf. Somit findet eine von den Labeln abhängige Durchführung des Audits statt.

Auch in der TISAX^® Datenbank wird ein Übergang des Labelsystems vorgenommen. Zukünftig wird das Label "Informationssicherheit hoch" durch die beiden kombinierten Label "Verfügbarkeit hoch" und "Vertraulichkeit hoch" ersetzt. Gleiches gilt für das Label "Informationssicherheit sehr hoch", das zukünftig durch die Label "Verfügbarkeit sehr hoch" und "Vertraulichkeit strikt" abgelöst wird. Dies geschieht automatisch für alle Teilnehmer, die in der TISAX^®-Plattform bereits ein Label für „Informationssicherheit“ besitzen.

Die beschriebene selektive Durchführung der Audits dient hauptsächlich dazu, dass Unternehmen nur die für sie relevanten Anforderungen des ISA Fragenkatalogs 6.0 erfüllen müssen. Gleichzeitig ergeben sich für produzierende Unternehmen neue Herausforderungen, da OT-Systeme nun in ähnlicher Weise einem Management unterzogen werden müssen, wie es bereits allgemein für die IT-Systeme von TISAX^® eingefordert wird.

Dadurch müssen Unternehmen je nach Einzelfall mit zusätzlichen Anforderungen rechnen, die im Informationssicherheits-Managementsystem (ISMS) nachzuschärfen sind und zu einem größeren Aufwand führen können.

Neue Anforderungen in Version 6.0

• Sicherheit und betriebliche Kontinuität: OT spielt in Produktionsanlagen, in denen automatisierte Systeme wie IACS von zentraler Bedeutung sind, eine entscheidende Rolle. Bei der Gewährleistung der Verfügbarkeit dieser Systeme geht es nicht nur um Produktivität, sondern auch um Sicherheit. Die Mitarbeiter arbeiten oft in unmittelbarer Nähe zu diesen automatisierten Systemen, und jede Art von Fehlfunktion könnte ein ernsthaftes Sicherheitsrisiko darstellen. So können beispielsweise falsch kalibrierte OT-Sensoren oder -Steuerungen Menschen und wertvolle Anlagen gefährden.
• Risikomanagement: Mit der Aufnahme von OT in den Scope müssen Unternehmen die mit diesen Systemen verbundenen spezifischen Risiken berücksichtigen. OT-Systeme sollten so geregelt, klassifiziert und überwacht werden, dass neu aufkommenden Risiken wirksam begegnet werden kann. Für diese Aufgaben müssen verantwortliche Personen benannt werden.
• Zugangskontrolle: Der Zugang von Dienstleistern zu OT-Netzen zu Wartungszwecken ist ein kritisches Thema. Ordnungsgemäße Zugangskontrollen und detaillierte Protokolle sind für die Aufrechterhaltung der Sicherheit und Integrität von OT-Systemen unerlässlich.
• Kompetenz des Personals: Mitarbeiter, die für den Betrieb von OT-Systemen verantwortlich sind, müssen angemessen geschult, kompetent und über die potenziellen Risiken des Betriebs informiert sein. Personalbezogene Überlegungen, einschließlich Hintergrundüberprüfungen für sensible Positionen, sind aufgrund der Kritikalität dieser Systeme von entscheidender Bedeutung.
• Lifecycle Management: Ein effektives Management von OT-Systemen während ihres gesamten Lebenszyklus, einschließlich Reparatur, Transport und Entsorgung, ist von entscheidender Bedeutung, um die mit lokalen Gerätedaten und -zugriffen verbundenen Risiken zu minimieren.
• Sicherheitsmaßnahmen: OT muss durch robuste Sicherheitslösungen, wie Antivirensoftware, Firewalls oder der Reduzierung offener Schnittstellen und Dienste, vor potenziellen Angriffen geschützt werden.
• Audits und Schwachstellenbewertung: Regelmäßige technische Systemaudits sind erforderlich, um die Härtung der OT-Systeme gemäß den Herstellervorgaben zu überprüfen und bekannte Schwachstellen zu ermitteln.
• Netzwerksegmentierung: Die Netze sollten je nach Zweck und Risiko angemessen segmentiert werden – auch um IT- und OT-Umgebungen voreinander zu schützen.
• Sicherung und Wiederherstellung: Umfassende Sicherungs- und Wiederherstellungspläne sind für die Gewährleistung der Betriebskontinuität in OT-Systemen unerlässlich.
• Service-Levels und Überwachung: Für OT-Netzwerkdienste müssen angemessene Service-Levels und Verfügbarkeitsdefinitionen vorhanden sein und kontinuierlich überwacht werden.
• Externe Anbieter: Wenn externe Dienstleister OT-Geräte verwenden, muss das Informationssicherheitsniveau in Bezug auf den Zugang und andere auf dem Gerät gespeicherte Informationen für den externen Anbieter geregelt werden.

ISO 27001 und IEC 62443 als tragfähiges Fundament

Ein ISMS gemäß ISO 27001 ist in KRITIS-regulierten Branchen bereits gesetzlich verpflichtend. Und auch darüber hinaus gehört es in vielen Branchen offiziell oder inoffiziell zur Compliance-Grundvoraussetzung für die Schließung von Dienstleistungs- oder ähnlichen Vereinbarungen.

Da sich auch der ISA Fragenkatalog 6.0 an dieser Norm orientiert, bildet ein zertifiziertes Informationssicherheits-Managementsystem bereits eine gute Basis für ein TISAX^® Audit. Allerdings fordert TISAX^® eine spezifische Implementierung des ISMS mit detaillierten Muss- und Sollte-Anforderungen plus Zusatzanforderungen für ein hohes oder sehr hohes Schutzniveau.

Ergänzend zum ISMS liefert die Norm IEC 62443 und die daraus resultierenden neuen Anforderungen im ISA Katalog eine robuste Basis. Der Teilbereich 2 des Standards beschreibt den Aufbau eines Managementsystems für industrielle Cyber-Sicherheit. Der Unterpunkt 2-1 umfasst unter anderem die Einrichtung eines Sicherheitsprogramms für industrielle Automatisierungs- und Steuerungssysteme.

Beim Verfassen der genannten Bereiche orientierte sich die IEC (International Electrotechnical Comission) wiederum an der Norm ISO 27001, von der viele Prozesse und Mechanismen auch auf Steuerungssysteme übertragbar sind. Dadurch werden industrielle Kommunikationsnetze sowie Automatisierungs- und Steuerungssysteme (IACS) in das Audit einbezogen.

ISA Katalog 6.0: Welche Fristen gelten für Anwender?

Die Umstellung auf den ISA Prüfkatalog 6.0 wird am 1. April 2024 erfolgen. Wer bis einschließlich 31. März ein TISAX^®-Assessment in Auftrag gibt, kann noch nach dem alten ISA Katalog 5.1 auditiert werden. Ab dem 1. April kommenden Jahres beauftragte Assessments dürfen nur noch nach der neuen Version 6.0 des ISA Katalogs durchgeführt werden.

Das bedeutet einerseits, dass die Begutachtung ab April 2024 aufwändiger wird, andererseits lohnt sich das erhöhte Sicherheitsniveau für Ihr Unternehmen. Wichtig ist, dass Sie sich bereits frühzeitig auf die neuen Anforderungen einstellen und diese gewissenhaft umsetzen, um von der Vertrauenssteigerung in die neuen TISAX^®-Label profitieren zu können.

Alle Audittätigkeiten, die von bestehenden Prüfungen abhängen, wie Corrective-Action-Plan Assessments, Follow-Ups, Scope-Extension Assessments oder Simplified Group Assessments, werden weiterhin gemäß der ISA Version durchgeführt, nach der das ursprüngliche Assessment erfolgt ist.

ISA Katalog 6.0 Änderungen 2024: Fazit

Die Veröffentlichung des ISA Katalogs 6.0 ist ein bedeutendes Ereignis in der sich weiterentwickelnden Welt der Automobilstandards und der Compliance. Diese Aktualisierung steht für ein kontinuierliches Engagement für Exzellenz, Präzision und die zunehmende Bedeutung von Informationssicherheit in der Automobilindustrie. Mit der Einführung der veränderten Label für Vertraulichkeit und Verfügbarkeit und einem breiteren Scope, der Operational Technology (OT)-Systeme umfasst, entwickelt sich der Automobilsektor weiter – hin zu höheren Standards in Qualität und Sicherheit.

Die DQS ist als Prüfdienstleister von der ENX zugelassen und kann somit weltweit TISAX^®-Assessments durchführen. Wir verfügen über TISAX^®-Auditoren, die zugleich auch für die internationale Norm für Informationssicherheit ISO 27001 zugelassen sind. Damit können beide Standards durch die DQS zeitgleich und mit einem geringeren zusätzlichen Aufwand begutachtet werden. Wir freuen uns auf das Gespräch mit Ihnen.

Hinweis: Der Zugang zu TISAX^® erfolgt über eine Teilnehmer-Registrierung, die auf dem ENX-Portal online vorzunehmen ist. Dies ist die Voraussetzung dafür, um einen zugelassenen Prüfdienstleister wie die DQS beauftragen zu können.

TISAX^® 6.0 – zum Hintergrund

TISAX^® basiert auf dem vom Verband der Automobilindustrie (VDA) entwickelten VDA ISA Katalog, einem umfassenden Fragebogen, der sich im Wesentlichen an den sog. „Controls“, den Referenzmaßnahmen aus dem Anhang A der Informationssicherheitsnorm ISO 27001, orientiert und an weitere automobilspezifische Belange angepasst ist.

Inzwischen wurde die Informationssicherheitsnorm überarbeitet und am 25. Oktober 2022 als neue ISO/IEC 27001:2022 veröffentlicht. Betroffen von der Revision ist vor allem der Anhang A. Eine entsprechende Anpassung an die neuen Controls ist mit der ISA Version 6.0 ebenfalls erfolgt.

TISAX^® richtet sich vorrangig an Unternehmen, die für eine Zusammenarbeit mit einem (teilnehmenden) Automobilhersteller ein bestimmtes Niveau an Informationssicherheit und Verfügbarkeit nachweisen wollen oder müssen. Mit der Durchführung und Überwachung des Verfahrens ist die ENX-Association mit Sitz in Frankfurt am Main und Paris betraut. ENX ist ein Zusammenschluss von europäischen Automobilherstellern, Zulieferern und vier nationalen Automobilverbänden, darunter der deutsche ENX-Gründer VDA.

Vertrauen und Expertise

Unsere Texte und Broschüren werden ausschließlich von unseren Normexperten oder langjährigen Auditoren verfasst. Sollten Sie Fragen zu den Textinhalten oder unseren Dienstleistungen an unseren Autor haben, senden Sie uns gerne eine E-Mail: willkommen@dqs.de

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.