Der VDA ISA TISAX Katalog Version 6

Informationssicherheit ist ein fortlaufender Prozess und kein einmal erreichter Zustand. Sie erfordert kontinuierliche Anpassungen und Verbesserungen. Unternehmen und Organisationen müssen ihre Informationssicherheitsmaßnahmen ständig weiterentwickeln und an neue Bedrohungen und technologische Fortschritte anpassen.

Die Digitalisierung und neue Technologien, sich ändernde Bedrohungen und Angriffsmethoden beeinflussen die Informationssicherheit. Sie wird zunehmend ein wichtiger Erfolgsfaktor für Unternehmen und Organisationen.

Technologischer Fortschritt bringt Vorteile, aber auch neue Sicherheitsrisiken. Gesetzliche Anforderungen ändern sich ständig. Es ist wichtig, sich auf Bedrohungen vorzubereiten und Sicherheitsstrategien kontinuierlich anzupassen.

Informationssicherheit in der Automobilindustrie

Die globale Automobilproduktion, digitale Lieferketten, vernetzte Fahrzeuge und das Internet der Dinge sowie autonome Fahrzeuge und regulatorische Anforderungen erhöhen die Bedeutung der Informationssicherheit. Die Automobilindustrie ist im Zuge der zunehmenden Digitalisierung verstärkt auf Cyberbedrohungen und Informationssicherheitsrisiken aufmerksam geworden. Aus diesem Grund sind nachweisbare Informations- und Cybersicherheit oft wichtige Faktoren für den Marktzugang – insbesondere für Zulieferer.

Der Verband der Automobilindustrie (VDA) hat als Branchenstandard für die Datensicherheit und den Prototypenschutz den Information Security Assessment (ISA)-Katalog erarbeitet. Der VDA ISA-Katalog bildet die Grundlage für das Prüf- und Austauschverfahren TISAX, die Abkürzung für Trusted Information Security Assessment Exchange. Ziel ist es, Systeme, Prozesse und Technologien kontinuierlich zu verbessern, um mit den sich ständig weiterentwickelnden Bedrohungen Schritt zu halten. 

TISAX, entwickelt von der ENX Association, ist ein etabliertes Bewertungs- und Austauschverfahren für Informationssicherheit in der Automobilindustrie. Es basiert auf dem VDA ISA-Katalog, der regelmäßig aktualisiert wird. Version 6 ist bereits verfügbar und enthält wesentliche Überarbeitungen durch Experten des VDA und der ENX Working Group ISA. Im nächsten Abschnitt werden die wichtigsten Neuerungen vorgestellt.

VDA ISA Version 6 – die wichtigsten Änderungen

Die ENX Working Group ISA legt die Standards für Informations- und Cybersicherheit in der Automobilindustrie fest. Hier sind einige zentrale Änderungen im ISA-Katalog für die Version 6:

Fokus auf Verfügbarkeit

Die neue Version 6 legt größeren Wert auf die Verfügbarkeit Ressourcen. Besonders die OT-Systeme stehen im Mittelpunkt, da steigende Cyberbedrohungen wie Ransomware eine erweiterte Prüfung erfordern, um Geschäftsprozesse durch die Integrität der Produktionsketten zu schützen. Die Verfügbarkeit in „Just-in-Time“-Prozessen ist entscheidend für eine unterbrechungsfreie Lieferkette.

Implementierungsanleitung und Verweise

Die neue Version bietet zusätzliche Anleitungen und Hilfestellungen zur Umsetzung der Sicherheitskontrollen. Die Spalte „Referenz zu Umsetzungshilfen“ verweist auf Standards wie den IT-Grundschutz des BSI, das NIST Cyber Security Framework und die ISO/IEC 27001:2022.

Überarbeiteter Datenschutzkatalog

Der ISA-Katalog hilft Organisationen, ihre regulatorischen Anforderungen zu erfüllen und die DSGVO-Einhaltung bei ihren Auftragsdatenverarbeitern sicherzustellen. Version 6 enthält einen überarbeiteten Datenschutzkatalog mit zwölf statt vier Controls.

Neue Anforderungen und Controls

Die neuen Kontrollfragen und Änderungen konzentrieren sich auf Resilienz gegen Cyberangriffe, insbesondere Ransomware. Sie zielen darauf ab, Sicherheitsvorfälle zu erkennen, darauf zu reagieren und sich danach zu erholen. Neben der Prävention soll auch die Schadensbegrenzung verbessert werden. Die neue Version legt zudem Wert auf kontinuierliche Verbesserung und Pflege der Sicherheitsprüfungen.

Einige Anforderungen wurden angepasst und sechs neue hinzugefügt

  • Neu 1.3.4 Ziel ist die sichere Verwaltung von Software auf Client-Systemen.
  • Neu 1.6.1: Ein System zur Meldung von Sicherheitsvorfällen wird eingerichtet.
  • Neu 1.6.2: Es sollten Prozesse implementiert werden, die einen effektiven Umgang mit Sicherheitsvorfällen gewährleisten.
  • Neu 1.6.3: Frage zu BCM, Krisenmanagement und Notfallplänen.
  • Neu 5.2.8: IT-Service-Kontinuitätsplanung zur Minimierung von Angriffsfolgen wie Redundanz und manuelle Betriebsrückfälle.
  • Neu 5.2.9: Frage zur Wiederherstellung von Systemen und Daten durch ein Backup- und Restore-Konzept.

Änderungen Prüfziele und -Labels

In der Version 6 gibt es vier neue Labels für Informationssicherheit: „Availability“ und „Confidential“, die die alten Labels „Info High“ und „Info Very High“ ersetzen. Es wird zwischen „Vertraulichkeit“ und „Verfügbarkeit“ unterschieden, während die Schutzniveaus „hoch“ und „sehr hoch“ beibehalten werden.

Fazit

Die neuen und geänderten Anforderungen müssen geprüft und implementiert werden. Die Informationssicherheit muss sich den immer wachsenden Anforderungen und Risiken stellen. Ohne eine Anpassung von Verschärfung der Maßnahmen ist ein erreichen der neuen Prüfziele nicht möglich.

Wir bieten für die folgenden Managementsysteme Dienstleistungen im Bereich der Beratung und Auditierung an.

Informationssicherheit: → ISO 27001, TISAX

Qualitätsmanagement: → ISO 9001

Compliance Management: → ISO 37301

Datenschutz: → DSGVO, ISO 27701

Business Continuity Management: → ISO 22301

Unser Partner  ↗ IT-Richtlinien.de bietet Vorlagen für Managementsysteme an.

Diese Vorlagen sind für die Zertifizierung geeignet. 

 
Vorheriger Beitrag 3 Lines of Defence
Datenschutz-Übersicht

Diese Website verwendet Cookies, damit wir dir die bestmögliche Benutzererfahrung bieten können. Cookie-Informationen werden in deinem Browser gespeichert und führen Funktionen aus, wie das Wiedererkennen von Dir, wenn du auf unsere Website zurückkehrst, und hilft unserem Team zu verstehen, welche Abschnitte der Website für dich am interessantesten und nützlichsten sind.

Die Einwilligung zum setzen der Cookies wird nach dem Ablaufen der Session erneut angefragt.