Startseite » Management »

Update des ISA-Katalogs 6.0 enthält Änderungen für das Tisax-Verfahren

OT-Netzwerke
Cybersicherheit im Fokus

Cybersicherheit im Fokus
Das Tisax-Prüfverfahren enthält mit dem Update des VDA ISA-Katalogs 6.0 wichtige Änderungen und ‧Modifikationen. Bild: DQS
Firmen im Artikel
Der ISA-Katalog des Verbands der Automobilindustrie beschreibt die Anforderungen der Branche an die Informationssicherheit. Für das Prüf- und Austauschverfahren Tisax gibt es seit letztem Herbst dabei einige Änderungen. Diese adressieren die Herausforderungen, die mit der voranschreitenden Digitalisierung und gestiegenen Cyber-Bedrohungen einhergehen.

» Holger Schmeken, Produktmanager und Experte für Informationssicherheit und Softwareentwicklung bei der DQS

Das am 6.10.2023 vom Verband der Automobilindustrie (VDA) veröffentlichte Update des ISA-Prüfkatalogs 6.0 (Information Security Assessment) hält einige Modifikationen und ‧Änderungen für das Testverfahren Tisax bereit. ‧Welche Neuerungen enthält die aktualisierte ‧Fassung konkret, was ‧bedeutet dies für Unternehmen und welche Fristen müssen sie beachten?

In den komplexen Lieferketten der Automobilindustrie ist eine starke und systematische Informations- und ‧Cybersicherheit äußerst wichtig. Da Dienstleister und Lieferanten eng in die Produktentwicklungs- und Produktionsprozesse ‧eingebunden sind, erhalten sie nahezu zwangsläufig Zugriff auf sensible Informationen und müssen daher über eine angemessene Resilienz verfügen – zumal geopolitische Spannungen und gestörte Lieferketten die Cyber-‧Risiken ‧zusätzlich erhöhen. Als Konsequenz aus ‧dieser Dynamik wurde der ISA-Katalog des VDA ‧aktualisiert und in Version 6.0 veröffentlicht.

Flankiert wird der neue Prüfkatalog durch einige wichtige Neuregelungen für Tisax: So wurden die Qualifikationspfade für Lead Auditoren konkretisiert. Künftig ‧müssen diese für jedes Assessment Level einen eigenen Qualifikationspfad durchlaufen und erhalten abhängig vom Level den Titel ‧„Tisax Lead Auditor AL2“ oder „Tisax Lead Auditor AL3“. Die Hauptsprache von Tisax ist jetzt außerdem Englisch. Dies unterstreicht die globale Perspektive des Standards und die internationale ‧Zusammenarbeit der Automobilhersteller bei der Weiterentwicklung des ISA-Prüfkatalogs.

Mit dem neuen Katalog geht zudem eine Anpassung der Tisax Label einher: Das bekannte Label ‧Informationssicherheit wird durch die neuen Label „Vertraulichkeit“ und „Verfügbarkeit“ abgelöst. Dies ‧ermöglicht es, den Prüfprozess eines Tisax Assessments auf die Rollen des auditierten Unternehmens auszurichten. Nimmt das inspizierte Unternehmen die ‧Rolle eines mit sensiblen Informationen betrauten Partners ein, erlaubt das Label Vertraulichkeit in den Stufen „hoch“ oder „strikt“ den Nachweis, dass sein Managementsystem dieser Rolle Rechnung trägt und einen angemessenen Schutz der sensiblen Informationen sicherstellt.

Das Label Verfügbarkeit ist ausgerichtet auf Unternehmen, die in der Lieferkette eine wichtige Funktion innehaben. Abhängig von der Wichtigkeit erlauben die Stufen „hoch“ oder „sehr hoch“ den Nachweis, dass das Managementsystem geeignet ist, um die angemessene Verfügbarkeit von Diensten, Produkten und IT-Systemen sicherzustellen. Nimmt ein Unternehmen beide Rollen ein, muss es die Anforderungen für beide Label erfüllen.

Kunden, denen in der Vergangenheit das für beide Rollen ausgelegte Label Informationssicherheit ‧zugeteilt wurde, erhalten übergangsweise beide neuen Label. Das Label „Informationssicherheit hoch“ ‧bekommt automatisch „Vertraulichkeit hoch“ und „Verfügbarkeit hoch“ zugeteilt. Gleiches gilt für das Label „Informationssicherheit sehr hoch“, dem ‧„Vertraulichkeit strikt“ und „Verfügbarkeit sehr hoch“ zugeteilt werden. So ist ein nahtloser Übergang vom alten zum neuen Labelsystem möglich.

Das neue Labelsystem hat für Unternehmen den großen Vorteil, dass sie gemäß ihrer Rolle selektiv bewertet werden und nur die für sie relevanten ‧Anforderungen erfüllen müssen. Die Selektion der ‧relevanten Anforderungen des ISA-Katalogs erfolgt anhand der Markierungen C, I und A (für Vertraulichkeit, Integrität und Verfügbarkeit). Dies erlaubt es, die Anforderungen eindeutig zu identifizieren. Mit einem klaren Verständnis des neuen Klassifizierungssystems können Auditoren die Wirksamkeit von Maßnahmen in Bezug auf jedes Schutzziel genauer und effizienter beurteilen und bewerten.

Der modifizierte ISA-Katalog 6.0 nimmt außerdem Bezug auf die Norm ISO/IEC 62443–2–1: Diese rückt IT-Systeme in den Mittelpunkt der Auditierung, die zu den industriellen Automatisierungs- und Steuerungssystemen (IACS) – und somit allgemein zu den OT-Komponenten (Operational Technology) – gezählt werden.

Der auf diese Weise verstärkte Fokus bedeutet zwar einen Mehraufwand für die Auditierung; die Einbeziehung der OT-Systeme stärkt aber auch die Sicherheit und das Vertrauen in das Label Verfügbarkeit. Immerhin müssen nun alle aus Tisax bekannten Managementpraktiken auch auf den Bereich der OT angewandt werden: Asset-Verwaltung, Risikomanagement und Risikoverantwortliche, Systemaudits und Schwachstellenbewertung, Segmentierung und Absicherung von OT-Netzwerken, betriebliche Kontinuität, Lifecycle Management, Wartung von OT ‧einschließlich vertraglicher Regelungen zur Einhaltung des ISMS.

Da sich der ISA-Fragenkatalog an der ISO/IEC 27001 orientiert, bildet ein danach zertifiziertes ISMS eine gute Basis für ein auf Tisax ausgerichtetes ISMS. Die ISO/IEC 27001 deckt von Haus aus viele Anforderungen ab und muss lediglich gemäß den ‧Tisax-Anforderungen implementiert werden. Ergänzend dazu verweist die ISO/IEC 62443 auf sinnvolle Maßnahmen, die die OT robust absichern. So ‧beschreibt Teilbereich 2–1 des Standards den Aufbau eines Managementsystems für industrielle Cyber‧sicherheit und die Einrichtung eines Sicherheitsprogramms für IACS, ergänzend zum ISMS nach ISO/IEC 27001.

Fazit und Fristen

Die Anforderungen der neuen Label sind nicht völlig neu, werden Produktionsunternehmen aber vor ‧Herausforderungen stellen, da OT-Systeme nun ‧ähnlichen Managementpraktiken wie im IT-Bereich unterworfen sind. Der Umfang der Produktionsumgebungen und die zahlreichen Zugangspunkte zu den Netzwerkinfrastrukturen erfordern, sich mit der ‧Materie intensiv auseinanderzusetzen. Wer bis zum 31.3.2024 ein Tisax-Assessment in Auftrag gibt, kann noch nach ISA-Katalog 5.1 auditiert werden. Ab dem 1.4.2024 ist nur ein Audit nach Katalog 6.0 möglich.

Die Prüfung für das Label Verfügbarkeit wird dann möglicherweise aufwändiger. Andererseits zahlen die neuen Anforderungen aber deutlich in die Schutzziele ein und erhöhen das Sicherheitsniveau und die Vertrauensstellung der Tisax-Label.

Unsere Whitepaper-Empfehlung
Firmen im Artikel
Industrieanzeiger
Titelbild Industrieanzeiger 15
Ausgabe
15.2024
LESEN
ABO
Newsletter

Jetzt unseren Newsletter abonnieren

Webinare & Webcasts

Technisches Wissen aus erster Hand

Whitepaper

Aktuelle Whitepaper aus der Industrie

Unsere Partner

Starke Zeitschrift – starke Partner


Industrie.de Infoservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de