VDA ISA Version 6 – was ändert sich beim TISAX®-Prüfverfahren?

Einmal Informationssicherheit, immer Informationssicherheit. Leider nein! Informationssicherheit ist kein Zustand, der einmal erreicht wird und dann bestehen bleibt. Es ist ein Prozess, der kontinuierlich angepasst werden muss. Die Informationssicherheit in Unternehmen und Organisationen ist einem ständigen Wandel und einer stetigen Entwicklung unterworfen.

Voranschreitende Digitalisierung und neue Technologien, sich ändernde Bedrohungslandschaften, neue Angriffsmethoden und Risiken sind Gründe, die den Wandel in der Informationssicherheit beeinflussen. Informationssicherheit rückt als entscheidender Faktor für den Erfolg von Unternehmen und Organisationen zunehmend in den Fokus.

Der technologische Fortschritt bringt zwar viele Vorteile, schafft jedoch auch neue Sicherheitsherausforderungen. Aber auch gesetzliche und regulatorische Anforderungen ändern sich fortlaufend. Deshalb ist es empfehlenswert, sich angemessen auf Bedrohungen vorzubereiten und kontinuierlich Sicherheitsstrategien anzupassen und zu verbessern.

Informationssicherheit in der Automobilindustrie

Die globale Automobilproduktion, digitale Lieferketten, vernetzte Fahrzeuge und das Internet der Dinge, autonome Fahrzeuge, aber auch regulatorische Anforderungen erhöhen die Wichtigkeit der Informationssicherheit. Die Automobilindustrie ist im Zuge der zunehmenden Digitalisierung verstärkt für Cyberbedrohungen und Informationssicherheitsrisiken sensibilisiert. Daher sind nachweisbare Informations- und Cybersicherheit oft Marktzugangsfaktoren – insbesondere für Zulieferer.

Der Verband der Automobilindustrie (VDA) hat als Branchenstandard für die Datensicherheit und den Prototypenschutz den Information Security Assessment(ISA)-Katalog erarbeitet. Der VDA ISA-Katalog ist wiederum die Grundlage für das Prüf- und Austauschverfahren TISAX®, die Abkürzung für Trusted Information Security Assessment Exchange. Ziel ist es, Systeme, Prozesse und Technologien kontinuierlich zu verbessern, um mit den immer neuen Bedrohungen Schritt zu halten.

TISAX® wurde von ENX Association entwickelt und hat sich als einheitliches und vertrauenswürdiges Bewertungs- und Austauschverfahren für die Informationssicherheit in der Lieferkette der Automobilindustrie fest etabliert. Es basiert auf den Informationssicherheitsanforderungen des VDA ISA-Katalogs. Um auf Veränderungen und fortgeschrittene Bedrohungen angemessen zu reagieren, wird der ISA-Katalog regelmäßig überarbeitet und aktualisiert. Derzeit gilt noch die Version 5 bzw. 5.1, doch die Version 6 ist bereits verfügbar. Bei der neuen Version haben Experten des VDA und der ENX Working Group ISA gemeinsam den Katalog wesentlich überarbeitet. Im nächsten Abschnitt werden die entscheidenden Neuerungen zusammenfassend vorgestellt.

VDA ISA Version 6 – die wichtigsten Änderungen

Die internationale Expertengruppe ENX Working Group ISA definiert die Grundlagen und den Stand der Technik für die Informations- und Cybersicherheit von Organisationen aus Sicht der Automobilindustrie und hat die neueste Überarbeitung des ISA-Katalogs vorgenommen. Im Folgenden werden die Änderungen von Version 5 zu Version 6 beschrieben:

Führende Sprache

Die führende Sprache im ISA-Katalog Version 6 ist jetzt Englisch, um Unterschiede und Mehrdeutigkeit zwischen Übersetzungen zu vermeiden. Weitere Übersetzungen sind jedoch in Planung.

Fokus auf die IT- und OT-Verfügbarkeit

Zudem liegt ein stärkerer Fokus auf die Verfügbarkeit von IT- und OT-Ressourcen. Insbesondere die OT-Systeme geraten in der neuen Version 6 stärker als bisher in den Mittelpunkt. Vor allem die steigenden Cyberbedrohungen, bspw. durch Ransomware, haben dazu veranlasst, eine erweiterte Prüfung in diesem Bereich durchzuführen, um die Aufrechterhaltung von Geschäftsprozessen durch die Integrität der Produktionsketten zu gewährleisten. Die Verfügbarkeit in „Just-in-Time“-Prozessen ist unabdingbar, damit eine unterbrechungsfreie Lieferkette gewährleistet wird.

Implementierungsanleitung und Verweise

Zur Vereinfachung der Implementierung enthält die neue Version weitere Anleitungen, Ratschläge und Hilfestellungen zur Umsetzung der Sicherheitskontrollen. In der neuen Spalte „Referenz zu Umsetzungshilfen“ werden auf relevante Standards, wie den IT-Grundschutz des BSI und das NIST Cyber Security Framework, verwiesen. Des Weiteren wird auch die neue ISO/IEC 27001:2022 referenziert.

Überarbeiteter Datenschutzkatalog

Ein weiteres Ziel des ISA-Katalogs ist es, Organisationen dabei zu helfen, ihre regulatorischen Anforderungen zu erfüllen und die DSGVO-Einhaltung bei ihren Auftragsdatenverarbeitern sicherzustellen. Zu diesem Zweck enthält die Version 6 einen komplett überarbeiteten Datenschutzkatalog. Aus vier Kontrollfragen wurden zwölf Controls.

Neue Anforderungen und Controls

Die neuen Kontrollfragen und Änderungen an bestehenden Controls sind auf die Resilienz gegen Cyberangriffe fokussiert, insbesondere Ransomware, auf das Erkennen und die Reaktion auf Sicherheitsvorfälle sowie auf die Wiederherstellung nach einem Angriff. Ein Angriff soll nicht nur verhindert, sondern dessen Auswirkungen sollen auch reduziert werden. Außerdem betont die neue Version die kontinuierliche Verbesserung und Pflege der Sicherheitsprüfungen.

Zu einigen Kontrollfragen wurden neue Anforderungen hinzugefügt (siehe Control 5.2.6 und 5.3.1), es sind aber auch sechs komplett neue Controls entstanden:

Neu im Bereich 1.3 „Asset Management“:
- Control 1.3.4 („To what extent is it ensured that only evaluated and approved software is used for processing the organization’s information assets?“). Es soll eine sichere Verwaltung von Software auf Clients erzielt werden.
Neu im Bereich 1.6 „Incident and Crisis Management“:
- Control 1.6.1 („To what extent are information security relevant events or observations reported?“). Ein funktionierendes Meldesystem für Sicherheitsvorfälle (Erkennung von Angriffen) soll etabliert werden.
- Control 1.6.2 („To what extent are reported security events managed?“). Prozesse zum effektiven Umgang mit Sicherheitsvorfällen sollen etabliert werden.
- Control 1.6.3 („To what extent is the organization prepared to handle crisis situations?“). Frage nach dem Business Continuity Management (BCM), dem Umgang mit Krisensituationen, Notfallplänen etc.
Neu im Bereich 5.2 „Operations Security“:
- Control 5.2.8 („To what extent is continuity planning for IT services in place?“). Kontinuitätsplanung für IT-Services, um die Auswirkungen von Angriffen zu reduzieren (z. B. Redundanz, Rückfall auf manuellen Betrieb).
- Control 5.2.9 („To what extent is the backup and recovery of data and IT services guaranteed?“). Frage nach der Wiederherstellung von Systemen und Daten durch ein Backup- und Restore-Konzept.

Laufende und neue Prüfverfahren

Ab dem 1. April 2024 gilt die neue Version 6 des VDA ISA-Katalogs und wird wichtige Änderungen für den TISAX®-Zertifizierungsprozess bringen. Wer bis einschließlich 31. März ein TISAX®-Assessment in Auftrag gibt, kann noch nach der Version 5.1 des VDA ISA auditiert werden. Falls die Beauftragung für ISA 5 durchgeführt ist, jedoch der Wunsch auf die ISA 6 umzustellen besteht, ist dieses im Einverständnis mit ihrem Prüfdienstleister ab dem 1. April 2024 möglich. Die Übergangsfrist ist bis zum 30. September 2024 für bereits laufende Assessment-Verfahren.

Änderungen der TISAX®-Prüfziele und -Labels

Die neue Version des ISA-Katalogs hat auch Einfluss auf die TISAX®-Prüfziele und -Labels. Bisher wurden für den Kriterienkatalog „Informationssicherheit“ zwei Label-Niveaus „Info High“ und „Info Very High“ unterschieden. In der Version 6 sind es nun vier Labels (siehe Abbildung). Die alten „Info“-Labels verschwinden und es werden die neuen Labels „Availability“ (Verfügbarkeit) und „Confidential“ (vertraulich) verwendet. Somit wird eine strengere Unterscheidung zwischen „Vertraulichkeit“ und „Verfügbarkeit“ vorgenommen. Die Unterscheidung in die Schutzniveaus „hoch“ und „sehr hoch“ wird hingegen beibehalten (weitere Informationen finden Sie hier).

Abbildung zu den Änderungen der TISAX® Labels nach der Umstellung von ISA Version 5 auf 6. — Abbildung in enger Anlehnung an ENX Association

Bei bereits bestehender Zertifizierung mit „Info High“- oder „Info Very High“-Label erhalten Unternehmen automatisch das neue „High Availability“- bzw. „Very High Availability“-Label im ENX-Portal.

Fazit

Zur Stärkung der Informations- und Cybersicherheit in der Automobilindustrie wurden entscheidende Erneuerungen und Erweiterungen in der VDA ISA Version 6 vorgenommen. Mit der Einführung neuer Labels für Vertraulichkeit und Verfügbarkeit und einer umfassenderen Betrachtung, welche nun auch OT-Systeme beinhaltet und deutlich mehr Kontrollfragen zum Datenschutz enthält, soll im Automobilsektor ein höherer Standard der Qualität und Informationssicherheit erzielt werden.

Änderungen und Aktualisierungen der Kontrollen, Verweise auf andere wichtige Sicherheitsstandards und die deutlichere Beschreibung der Anforderungen sowie die Basissprache Englisch sollen eine beständige Grundlage für die Weiterentwicklung der Informationssicherheit in der Branche sein.

Die neuen Anforderungen und Controls zielen hauptsächlich auf eine Verbesserung der Verfügbarkeit der kritischen Prozesse, Dienste und Systeme ab. Eine professionelle Beratung kann Unternehmen bei der Umsetzung der Anforderungen aus dem ISA-Katalog unterstützen und sicherstellen, dass auch die neuen Anforderungen effektiv realisiert und Informationssicherheitsstrategien optimiert werden.

Nagihan Emral | 23. Februar 2024 | Informationssicherheit | Anforderungen, Datenschutzkatalog, ENX Association, Informationssicherheit, ISA-Katalog, neue Controls, Prüfverfahren, TISAX®, VDA

Die neue VDA ISA Version 6 – was ändert sich beim TISAX®-Prüfverfahren?