Firmen im Artikel
Das am 6.10.2023 vom Verband der Automobilindustrie (VDA) veröffentlichte Update des ISA-Prüfkatalogs 6.0 (Information Security Assessment) hält einige Modifikationen und ‧Änderungen für das Testverfahren Tisax bereit. ‧Welche Neuerungen enthält die aktualisierte ‧Fassung konkret, was ‧bedeutet dies für Unternehmen und welche Fristen müssen sie beachten?
In den komplexen Lieferketten der Automobilindustrie ist eine starke und systematische Informations- und ‧Cybersicherheit äußerst wichtig. Da Dienstleister und Lieferanten eng in die Produktentwicklungs- und Produktionsprozesse ‧eingebunden sind, erhalten sie nahezu zwangsläufig Zugriff auf sensible Informationen und müssen daher über eine angemessene Resilienz verfügen – zumal geopolitische Spannungen und gestörte Lieferketten die Cyber-‧Risiken ‧zusätzlich erhöhen. Als Konsequenz aus ‧dieser Dynamik wurde der ISA-Katalog des VDA ‧aktualisiert und in Version 6.0 veröffentlicht.
Flankiert wird der neue Prüfkatalog durch einige wichtige Neuregelungen für Tisax: So wurden die Qualifikationspfade für Lead Auditoren konkretisiert. Künftig ‧müssen diese für jedes Assessment Level einen eigenen Qualifikationspfad durchlaufen und erhalten abhängig vom Level den Titel ‧„Tisax Lead Auditor AL2“ oder „Tisax Lead Auditor AL3“. Die Hauptsprache von Tisax ist jetzt außerdem Englisch. Dies unterstreicht die globale Perspektive des Standards und die internationale ‧Zusammenarbeit der Automobilhersteller bei der Weiterentwicklung des ISA-Prüfkatalogs.
Mit dem neuen Katalog geht zudem eine Anpassung der Tisax Label einher: Das bekannte Label ‧Informationssicherheit wird durch die neuen Label „Vertraulichkeit“ und „Verfügbarkeit“ abgelöst. Dies ‧ermöglicht es, den Prüfprozess eines Tisax Assessments auf die Rollen des auditierten Unternehmens auszurichten. Nimmt das inspizierte Unternehmen die ‧Rolle eines mit sensiblen Informationen betrauten Partners ein, erlaubt das Label Vertraulichkeit in den Stufen „hoch“ oder „strikt“ den Nachweis, dass sein Managementsystem dieser Rolle Rechnung trägt und einen angemessenen Schutz der sensiblen Informationen sicherstellt.
Das Label Verfügbarkeit ist ausgerichtet auf Unternehmen, die in der Lieferkette eine wichtige Funktion innehaben. Abhängig von der Wichtigkeit erlauben die Stufen „hoch“ oder „sehr hoch“ den Nachweis, dass das Managementsystem geeignet ist, um die angemessene Verfügbarkeit von Diensten, Produkten und IT-Systemen sicherzustellen. Nimmt ein Unternehmen beide Rollen ein, muss es die Anforderungen für beide Label erfüllen.
Kunden, denen in der Vergangenheit das für beide Rollen ausgelegte Label Informationssicherheit ‧zugeteilt wurde, erhalten übergangsweise beide neuen Label. Das Label „Informationssicherheit hoch“ ‧bekommt automatisch „Vertraulichkeit hoch“ und „Verfügbarkeit hoch“ zugeteilt. Gleiches gilt für das Label „Informationssicherheit sehr hoch“, dem ‧„Vertraulichkeit strikt“ und „Verfügbarkeit sehr hoch“ zugeteilt werden. So ist ein nahtloser Übergang vom alten zum neuen Labelsystem möglich.
Das neue Labelsystem hat für Unternehmen den großen Vorteil, dass sie gemäß ihrer Rolle selektiv bewertet werden und nur die für sie relevanten ‧Anforderungen erfüllen müssen. Die Selektion der ‧relevanten Anforderungen des ISA-Katalogs erfolgt anhand der Markierungen C, I und A (für Vertraulichkeit, Integrität und Verfügbarkeit). Dies erlaubt es, die Anforderungen eindeutig zu identifizieren. Mit einem klaren Verständnis des neuen Klassifizierungssystems können Auditoren die Wirksamkeit von Maßnahmen in Bezug auf jedes Schutzziel genauer und effizienter beurteilen und bewerten.
Der modifizierte ISA-Katalog 6.0 nimmt außerdem Bezug auf die Norm ISO/IEC 62443–2–1: Diese rückt IT-Systeme in den Mittelpunkt der Auditierung, die zu den industriellen Automatisierungs- und Steuerungssystemen (IACS) – und somit allgemein zu den OT-Komponenten (Operational Technology) – gezählt werden.
Der auf diese Weise verstärkte Fokus bedeutet zwar einen Mehraufwand für die Auditierung; die Einbeziehung der OT-Systeme stärkt aber auch die Sicherheit und das Vertrauen in das Label Verfügbarkeit. Immerhin müssen nun alle aus Tisax bekannten Managementpraktiken auch auf den Bereich der OT angewandt werden: Asset-Verwaltung, Risikomanagement und Risikoverantwortliche, Systemaudits und Schwachstellenbewertung, Segmentierung und Absicherung von OT-Netzwerken, betriebliche Kontinuität, Lifecycle Management, Wartung von OT ‧einschließlich vertraglicher Regelungen zur Einhaltung des ISMS.
Da sich der ISA-Fragenkatalog an der ISO/IEC 27001 orientiert, bildet ein danach zertifiziertes ISMS eine gute Basis für ein auf Tisax ausgerichtetes ISMS. Die ISO/IEC 27001 deckt von Haus aus viele Anforderungen ab und muss lediglich gemäß den ‧Tisax-Anforderungen implementiert werden. Ergänzend dazu verweist die ISO/IEC 62443 auf sinnvolle Maßnahmen, die die OT robust absichern. So ‧beschreibt Teilbereich 2–1 des Standards den Aufbau eines Managementsystems für industrielle Cyber‧sicherheit und die Einrichtung eines Sicherheitsprogramms für IACS, ergänzend zum ISMS nach ISO/IEC 27001.
Fazit und Fristen
Die Anforderungen der neuen Label sind nicht völlig neu, werden Produktionsunternehmen aber vor ‧Herausforderungen stellen, da OT-Systeme nun ‧ähnlichen Managementpraktiken wie im IT-Bereich unterworfen sind. Der Umfang der Produktionsumgebungen und die zahlreichen Zugangspunkte zu den Netzwerkinfrastrukturen erfordern, sich mit der ‧Materie intensiv auseinanderzusetzen. Wer bis zum 31.3.2024 ein Tisax-Assessment in Auftrag gibt, kann noch nach ISA-Katalog 5.1 auditiert werden. Ab dem 1.4.2024 ist nur ein Audit nach Katalog 6.0 möglich.
Die Prüfung für das Label Verfügbarkeit wird dann möglicherweise aufwändiger. Andererseits zahlen die neuen Anforderungen aber deutlich in die Schutzziele ein und erhöhen das Sicherheitsniveau und die Vertrauensstellung der Tisax-Label.