ISA Version 6 Nun Verfügbar

Mit TISAX hat die Automobilindustrie ihren Standard für die Prüfung der Informations- und Cybersicherheit gesetzt. Er ist auf den Bedarf der Automobilindustrie zur Skalierung auf große, mehrstufige Wertschöpfungsnetzwerke optimiert und bietet gegenseitige Anerkennung der Prüfungsergebnisse.

TISAX als risikobasierter und prozessorientierter Managementsystemansatz für die Lieferkette wurde 2017 eingeführt. Mit weit mehr als 10.000 geprüften Standorten in über 75 Ländern hat sich TISAX zu einem der erfolgreichsten Sicherheitsprüfstandards weltweit entwickelt.

Grundlage der Prüfungen der Informations- und Cybersicherheit von Organisationen durch TISAX ist der ISA-Katalog. Heute wurde durch den Verband der Automobilindustrie (VDA) die neue Version 6 von ISA veröffentlicht und steht ab sofort zum Download bereit. ISA 6 wurde von unserer internationalen Expertengruppe ENX Working Group ISA entwickelt und ist die neueste große Überarbeitung des ISA-Katalogs. Er definiert die Grundlagen und den Stand der Technik für die Informations- und Cybersicherheit von Organisationen aus Sicht der Automobilindustrie.

Bevor wir die inhaltlichen Änderungen des ISA 6 genauer beleuchten, kurz ein paar Worte zur Umstellung auf ISA 6:

Natürlich können neue Controls und Änderungen nicht ohne hinreichende Frist in Kraft gesetzt werden. Prüfer und Geprüfte müssen sich gleichermaßen mit den Änderungen vertraut machen. Deswegen stellen wir eine Version des ISA zur Verfügung, die eine detaillierte Liste aller wesentlichen Änderungen enthält und zudem alle Änderungen in Rot markiert hat. Sie können diese Version hier herunterladen.

Durch die beständig hohe Zahl von Ransomware-Angriffen ist die Verfügbarkeit von Informationen und IT Assets (incl. OT) in den Fokus geraten. Die Verfügbarkeit ist für die eng integrierte Produktion und Just-in-Time Prozesse unabdingbar.

Entsprechend ist das Kernanliegen der Arbeitsgruppe für die neue Version gewesen zu verbessern, wie die Industrie diesbezüglich aufgestellt ist. Weil es blauäugig wäre anzunehmen, dass erfolgreiche Angriffe durch die Definition von Sicherheits-Controls und Anforderungen vollständig verhindert werden können, hat sich die Gruppe nicht nur auf das Verhindern von Angriffen konzentriert, sondern auch darauf die Auswirkungen eines Angriffes zu reduzieren und eine effektive und schnelle Wiederherstellung der Arbeitsfähigkeit zu ermöglichen.

Resilienz

Um den Schutz gegen solche Angriffe zu stärken, hat die Arbeitsgruppe sichergestellt, dass alle relevanten Anforderungen von ISA/IEC 62443-2-1 (“Security for industrial automation and control systems: Security program requirements for IACS asset owners”) durch den ISA abgedeckt sind. Zur Harmonisierung mit diesem Standard wurden einige Anforderungen hinzugefügt oder verändert. Im ISA 6 referenzieren jetzt alle relevanten Kontrollfragen zusätzlich auf ISA/IEC 62443-2-1.

Darüber hinaus hat die Arbeitsgruppe ISA Schlüsselbereiche zum Verhindern von Ransomware-Angriffen überarbeitet. Dazu gehört ein komplett neues Control 1.3.4, zum sicheren Management von Software auf Clients sowie neue Anforderungen in den Controls 5.2.6 und 5.3.1.

Erkennung

Wenn man ankerkennt, dass Angriffe nicht vollumfänglich verhindert werden können, ist ein Ansatz um die Auswirkungen eines erfolgreichen Angriffes zu reduzieren notwendig. Priorität hat hier, möglichst früh zu erkennen, dass ein Angriff stattgefunden hat. Schlüssel hierzu ist, ein funktionierendes Meldesystem für Sicherheitsereignisse umzusetzen. Das neue Control 1.6.1 soll sicherstellen, dass klar ist was reportet werden muss und das geeignete Meldewege etabliert sind.

Reaktion

Sobald ein erfolgreicher Angriff erkannt wurde, geht es um schnelle und koordinierte Reaktion. Das neue Control 1.6.2 soll sicherstellen, dass Sicherheitsvorfälle in einer geordneten, zeitnahen und professionellen Art und Weise gehandhabt werden. Zudem soll die Organisation in die Lage versetzt werden, Muster von komplexen ausgefeilten Angriffen zu erkennen, die zunächst als isolierte Vorfälle auftreten. Ein wesentlicher Aspekt der Reaktion auf Vorfällen liegt in zeitiger Kommunikation zu betroffenen Kunden und Lieferanten in einer angemessenen und professionellen Art und Weise.

Eine gute IT-Service-Continuity Planung kann die Auswirkungen von Angriffen erheblich reduzieren. Deswegen geht es im neuen Control 5.2.8 um eine solche Planung. Dies beinhaltet nicht nur Redundanz und Unabhängigkeit von Schlüsselsystemen, sondern auch Rückfall auf manuellen Betrieb, um wesentliche Geschäftsprozesse am Laufen zu halten, falls relevante IT-Infrastruktur nicht verfügbar ist.

Im schlimmsten Fall führt ein Angriff zu einer derartig starken Störung der geschäftlichen Abläufe, dass die regulären Unternehmensprozesse nicht ausreichend sind, um die Situation wieder unter Kontrolle zu bekommen. Im ISA wird dieser Fall als Krise bezeichnet. Das neue Control 1.6.3 soll sicherstellen, dass die Organisation hinreichend darauf vorbereitet ist, mit solchen Krisensituationen umzugehen.

Wiederherstellung

Unabhängig davon, ob ein Angriff bis zur Krise eskaliert ist, oder nur isolierte IT-Systeme und Geschäftsprozesse betroffen hat, wird eine Wiederherstellung notwendig sein, um den Schaden eines erfolgreichen Angriffes zu limitieren. Das neue Control 5.2.9 soll eine Organisation bestmöglich darauf vorbereiten, die Wiederherstellung durch ein solides Backup und Restore-Konzept ideal zu ermöglichen.

Insgesamt sind sechs komplett neue Kontrollfragen und zudem neue Anforderungen zu bestehenden Kontrollfragen in den ISA 6 eingeflossen. Dafür sind die beiden ursprünglichen Kontrollfragen aus ISA 5 für Incident-Management (1.6.1) und Kriesen (3.1.2) obsolet geworden und daher in ISA 6 weggefallen.

ISA Version 6 ist die erste Version, die von einem internationalen Expertenteam aus Europa und Nord Amerika entwickelt wurde. Dies hat uns ermöglich, verschiedene Sichtweisen auf Information- und Cybersicherheit in die ISA-Version 6 einzubeziehen, hat aber auch eine Umstellung der Arbeitssprache auf Englisch notwendig gemacht.

Dies führt dazu, dass die alleinige führende Sprache im ISA 6 englisch ist. Falls Unterschiede oder Mehrdeutigkeit zwischen Übersetzungen in anderen Sprachen bestehen, kann im Zweifel immer auf die englische Version zurückgegriffen werden. Dadurch gehört Unklarheit bei inakkuraten Übersetzungen der Vergangenheit an.

Da die englische Version jetzt als universelle Originalversion zur Verfügung steht, muss nicht mehr jede Übersetzung durch die Expertengruppe persönlich qualitätsgesichert und freigegeben werden. Dies hat in der Vergangenheit die Auswahl der möglichen Sprachen auf jene eingeschränkt, bei denen die Experten eine hinreichende Sprachkompetenz hatten. Dies bedeutete effektiv das deutsch und englisch die einzigen unterstützten Sprachen waren.

Durch das Wegfallen dieser Anforderung können wir nun mehr Übersetzungen des ISA anbieten. Zunächst sind Übersetzungen in den folgenden Sprachen geplant:

• Chinesisch
• Französisch
• Deutsch
• Italienisch
• Japanisch
• Koreanisch
• Portugiesisch
• Spanisch

Wir sind offen, Übersetzungen in weitere Sprachen bei Bedarf anzubieten.

Direkte Unterstützung: Weitere Informationen und Beispiele im ISA

Das Ziel von TISAX und dem ISA ist das allgemeine Niveau der Informationssicherheit in der Automobilindustrie zu verbessern. Sicherheitsprüfungen durchzuführen ist ein sehr mächtiges Werkzeug und hat über die Jahre zu weit mehr als 50.000 Verbesserungen (oder adressierte Abweichungen) geführt.

Tatsächlich entstehen die meisten Verbesserungen aber nicht im Anschluss der Prüfung, sondern in der Vorbereitung, denn hier werden die meisten Prozesse etabliert oder verbessert um die Anforderungen zu erfüllen. Personen die keine Informationssicherheitsexperten sind haben es oft schwer zu verstehen, was die abstrakten Kontrollfragen und Anforderungen für die Praxis bedeuten.

Gleichzeitig ist aber jede Organisation unterschiedlich und muss die Umsetzung finden, die ihr am besten gerecht wird. Spezifischere Anforderungen zur Umsetzung sind deswegen keine weiterführende Lösung. Um trotzdem mehr Hilfestellung zu geben, hat ISA 5 bereits für einige Controls unverbindliche Hinweise und Beispiele gegeben. Diese Texte sollen Organisationen helfen, gute und angemessene Lösungen zu finden. ISA 6 baut auf diese Grundlage auf und ergänzt solche Hilfestellungen für viele weitere Controls. Diese Hilfestellung wurde von erfahrenen TISAX Auditoren auf Basis von vielen Hundert TISAX Prüfungen geschrieben.

Weitere Hilfestellungen: Referenzen auf NIST SP 800-52 und BSI Grundschutz

ISA 6 ist natürlich nicht die einzige Quelle von guten Umsetzungshilfestellungen. Es gibt viele Veröffentlichungen, die Organisationen bei der Verbesserung ihrer Sicherheit unterstützen. Zwei nennenswerte Beispiele sind der BSI IT Grundschutz und der amerikanische NIST SP-800-52 Standard.

ISA 6 führt eine neue Spalte „Referenz zu Umsetzungshilfen“ ein und beinhaltet Referenzen auf beide der oben genannten Standards. Hinter diesen Referenzen finden Unternehmen viele detaillierte Anforderungen zur Umsetzung die – wenn man sie korrekt befolgt – signifikant dazu beitragen, ein höheres Sicherheitsniveau zu erreichen und gleichzeitig ISA zu erfüllen.

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Referenzen der ISA Controls auf das deutlich spezifischere Kompendium IT-Grundschutz entwickelt und zur Verfügung gestellt.

Analog haben die nordamerikanischen Experten der Arbeitsgruppe ISA ein Mapping auf NIST SP 800-52 entwickelt.

Jedes Unternehmen mit Sitz in Europa muss die europäische Datenschutzgrundverordnung DSG-VO einhalten. Diese beinhaltet die Anforderung, dass jede Organisation, die personenbezogene Daten im Auftrag verarbeitet (Auftragsdatenverarbeiter) auch die relevanten Anforderungen der DSG-VO einhalten muss.

Es ist nicht Ziel von ISA und TISAX, die Einhaltung von Gesetzen oder gesetzlicher Anforderungen durchzusetzen. Aber Ziel ist es durchaus, Organisationen dabei zu helfen, ihre regulatorischen Anforderungen zu erfüllen und den dadurch entstehenden Overhead zu reduzieren. Entsprechend ist das Ziel des Datenschutzkataloges Unternehmen dabei zu unterstützen, die notwendigen Voraussetzungen bei Auftragsdatenverarbeitern zu überprüfen.

Zu diesem Zweck ergänzt der Datenschutzkatalog den existierenden Informationssicherheitskatalog mit Anforderungen für Auftragsdatenverarbeiter. ISA Version 6 enthält einen komplett überarbeiteten Datenschutzkatalog der Organisationen besser dabei unterstützen sollte, die DSG-VO Einhaltung bei ihren Auftragsdatenverarbeitern sicherzustellen.

Nicht nur der ISA unterliegt kontinuierlicher Verbesserung, sondern auch andere Standards werden kontinuierlich weiterentwickelt. Deswegen ist es wichtig, auch ein Auge auf Entwicklungen anderer Standards zu halten. Da der ISA ein Prüfkatalog für die Umsetzung eines ISMS ist, schaut die Arbeitsgruppe stets auf den Standard, der die Umsetzung eines ISMS beschreibt, die ISO/IEC 27001. ISA 6 enthält bereits Referenzen auf die neue Version der ISO/IEC 27001, die im Jahr 2022 veröffentlicht wurde.

Zudem hat die Internationalisierung der Arbeitsgruppe den Blick auf das NIST Cyber Security Framework geleitet. ISA 6 passt sehr gut zu NIST CSF und enthält jetzt Referenzen auf das NIST CSF Version 1.1.

Aufräumarbeiten

Jede ISA-Version beinhaltet eine Menge kontinuierlicher Verbesserungen. Als ISA 5 eine neue Kapitelstruktur und Sortierung bekommen hat, haben wir uns dazu entschieden die alte Sortierung als Alternative für den Übergang weiterhin anzubieten. Da die Version 5 vor mehr als 3 Jahren in Kraft getreten ist und inzwischen auch die ISO 27001 eine neue Struktur erhalten hat, haben wir uns entschieden, die alte Sortierung vollständig zu entfernen.

Klarheit und Präzision der Anforderungen

Zudem verbessert unsere Arbeitsgruppe kontinuierlich die Klarheit und Präzision der Anforderungen. Dies sind in der Regel kleinere Änderungen, die keine wesentlichen Auswirkungen haben aber dennoch den Katalog klarer und einfacher Verständlich machen. In dieser Version sind Änderungen in im „Definitionen“-Tab besonders herauszuheben. Hier wurden nicht nur neue Begriffe definiert, sondern diese auch über den Katalog konsistent genutzt.

Anforderungen für die vereinfachte Gruppenprüfung direkt im ISA 6

Eine weitere Verbesserung bezieht sich auf die vereinfachte Gruppenprüfung (Simplified Group Assessment). Um eine Prüfung nach dem vereinfachten Gruppenprüfungsverfahren durchführen zu können, muss man nachweisen, das man über ein hinreichend zentralisiertes Managementsystem verfügt. Um die notwendige Zentralisierung zu prüfen, gehen die Auditoren eine Liste zusätzlicher Anforderungen für einige ISA Kontrollfragen durch. Diese Zusatzanforderungen waren bisher vom ISA getrennt im TISAX Specification of Assessments und dem Handbuch für die vereinfachte Gruppenprüfung zu finden. In ISA 6 sind diese Zusatzanforderungen nun in einer separaten neuen Spalte integriert und dadurch gleichermaßen für Auditoren wie für Geprüfte sehr viel einfacher aufzufinden.

Feedback and Support

Zu relevanten Aspekten wird es an dieser Stelle weiterführende Informationen geben. Sollten Sie fragen zur ISA-Veröffentlichung haben, melden Sie sich bitte bei tisax@enx.com. Falls sie Feedback zu ISA 6 haben, Fehler im Dokument gefunden haben oder Verbesserungsvorschläge für zukünftige Versionen haben, wenden Sie sich bitte direkt an die zuständige Arbeitsgruppe unter wg-isa@groups.enx.com.