Neue Label ersetzen bekanntes Label „Informationssicherheit“
Die wesentlichen Änderungen im Information Security Assessment (ISA) Katalog 6.0 betreffen das Modul "Informationssicherheit" und das zugehörige Labelsystem von TISAX®. Zukünftig wird das bekannte Label „Informationssicherheit“ komplett ersetzt durch die beiden Label „Verfügbarkeit“ und „Vertraulichkeit“.
Label "Verfügbarkeit" im ISA Katalog 6.0: Ausweitung auf Produktionsanlagen
Im neuen ISA Katalog findet eine Konkretisierung für die Label „Verfügbarkeit hoch“ (Availability high) und „Verfügbarkeit sehr hoch“ (Availability very high) statt. Dadurch geraten OT-Systeme (Operational Technology) mehr in den Fokus künftiger Auditierungen.
Die zunehmende Vernetzung von Produktionsumgebungen, also Industrial Automation Control Systems (IACS) und deren Netzwerken, resultiert in einer Reihe neuer Herausforderungen für die Informationssicherheit. Produktionsanlagen spannen äußerst weiträumige Netze mit einer Vielzahl von spezialisierten Technologien und Protokollen.
In vielen Aspekten unterscheiden sie sich grundlegend von IT-Systemen: Produktionsumgebungen sind in der Regel auf langjährige Laufzeiten ausgelegt und wenn sie erst einmal reibungslos laufen, werden sie bis auf reguläre Wartungs- und Reparatureinsätze möglichst ungestört gelassen. Das führt dazu, dass auf vielen Komponenten beispielsweise noch veraltete Betriebssysteme, Kommunikationsprotokolle oder Verschlüsselungsalgorithmen eingesetzt werden.
Automatische Patch- und Update-Prozesse waren lange Zeit unerwünscht oder wurden zumindest kritisch beäugt. Viel zu groß war die Angst, der komplexe Produktionsprozess könnte außer Takt geraten und erhebliche wirtschaftliche Einbußen verursachen. Und auch physisch bieten die großflächigen und verteilten Anlagen und Kommunikationsnetzwerke, zu denen sich viele Mitarbeiter Zutritt verschaffen können, multiple Angriffspunkte.
Die Zuverlässigkeit und Verfügbarkeit automatisierter Produktionsanlagen sind nicht nur aus betriebswirtschaftlicher Perspektive von höchster Bedeutung, sondern auch deshalb, weil Abweichungen im Prozess erhebliche Schäden und finanzielle Verluste verursachen können.
Um all diese OT-spezifischen Aspekte in den ISA Katalog 6.0 zu integrieren, haben sich ENX und VDA an der international gültigen Normenreihe IEC 62443 und insbesondere am Teilbereich 2-1 orientiert.