VDA-ISA Katalog 6.0

Der VDA-ISA (Verband der Automobilhersteller – Information Security Assessment) Katalog definiert den Branchenstandard für Unternehmen und Lieferanten der Automobilindustrie sowie für deren gesamte Lieferkette. Er bündelt alle relevanten Anforderungen an die Informationssicherheit und unterstützt Unternehmen aktiv dabei, ihre Sicherheitsmaßnahmen zu überprüfen, zu verbessern und so sensible Daten, insbesondere in der Produktentwicklung, zuverlässig zu schützen.

Ursprünglich entwickelte die Branche den Katalog, um die Informationssicherheit und den Prototypenschutz in der Automobilindustrie sicherzustellen. Seine Grundlage bilden die Inhalte der Norm ISO/IEC 27001. Später veröffentlichte man ihn als eigeneständiges Rahmenwerk. Im Jahr 2012 erschien die Version 1.0 des Katalogs. Seitdem bringt jede neue Version präzisere sowie verschärfte Anforderungen mit sich.

Im Oktober 2023 veröffentlichte der VDA die Version 6.0. Im April 2024 traten die überarbeiteten Richtlinien und Anforderungen in Kraft. Die Neuerungen führten zu signifikanten Änderungen und wichtigen Erweiterungen.

Der neue VDA-ISA Katalog 6.0 bringt zahlreiche Anpassungen mit, die die Sicherheitslandschaft im Automotive-Sektor nachhaltig verändert. Einer der Hauptaspekte sind die neuen Anforderungen der besseren Verfügbarkeit, deren Nachweis künftig über ein spezielles Label möglich ist.

Besonders deutlich werden die Neuerungen in den fünf Controls (Anforderungen), die seit Version 6.0 im Vordergrund stehen:

• Softwaregenehmigung: Unternehmen nutzen spezielle Software, um Informationen zu verarbeiten. Da Schwachstellen in dieser Software ein erhebliches Risiko darstellen, müssen Verantwortliche jede eingesetzte Software genehmigen und sorgfältig verwalten.

• Management von Sicherheitsvorfällen: Den Mitarbeitern eines Unternehmens ist zu vermitteln, wie und wann Sicherheitsereignisse und -beobachtungen zu melden sind. Eingegangene Meldungen sind schnellstmöglich nach Art und Kritikalität zu bewerten und die verantwortlichen Personen zu identifizieren. Gleichzeitig stellt eine koordinierte Kommunikation sicher, dass auch externe Meldepflichten professionell erfüllt werden.

• Umgang mit Krisensituationen: Wenn Naturkatastrophen, physische Angriffe, Pandemien, soziale Unruhen oder Cyberangriffe die Geschäftsabläufe massiv stören, bewältigt ein Unternehmen diese Herausforderungen so effektiv wie möglich. Gleichzeitig sorgt das Business Continuity Management (BCM) dafür, dass Strategien und Verantwortlichkeiten klar geregelt sind. Auf diese Weise bleibt das Unternehmen im Krisenmodus handlungsfähig und stellt seine Stabilität rasch wieder her.

• Planung der Kontinuität von IT-Diensten: Die Kontinuitätsplanung, einschließlich der Kontingenzplanung für IT-Dienste, ist ein integraler Bestandteil eines umfassenden Programms zur Sicherstellung der Betriebsfortführung von unternehmenskritischen und geschäftsrelevanten Funktionen eines Unternehmens. Diese beinhalten beispielsweise die kontrollierte Leistungsreduzierung, das Herunterfahren von Systemen, den Wechsel in den manuellen Betrieb oder den Einsatz alternativer Informationswege. Zusätzlich legen sie Verfahren für spezielle Situationen fest, die den Umgang mit Sicherheitsvorfällen betreffen.

• Sicherung und Wiederherstellung: Daten und IT-Dienste können durch Ereignisse wie Hardwaredefekte, Softwareprobleme, Bedienfehler oder gezielte Angriffe beeinträchtigt oder unzugänglich werden. Durch effektive Sicherungs- und Wiederherstellungsmaßnahmen können Unternehmen solche Vorfälle bewältigen und potenzielle Schäden auf ein akzeptables Niveau reduzieren.

Besonders wichtig ist eine Weiterentwicklung des Katalogs im Hinblick auf die Anwendungsbereiche: Die aufkommenden Technologien, wie vernetzte Fahrzeuge oder autonome Systeme sorgen dafür, dass immer höhere Anforderungen an die Informationssicherheit bestehen.

Damit Unternehmen ihre Sicherheitsstrategien noch effektiver gestalten können, enthält der VDA-ISA Katalog 6.0 zahlreiche Best Practices und Empfehlungen. Sie basieren auf den Erfahrungen und Lessons Learned aus Audits und Projekten der Automobilindustrie.

Bei der anstehenden Erstprüfung oder des nächsten Re-Labelings (Re-Zertifizierung) kommt der Katalog 6.0 zur Anwendung, ältere Versionen werden nicht mehr abgeprüft. Unternehmen, die sich auf eine solche Prüfung vorbereiten, sollten frühzeitig die neuen Controls mit ihren bestehenden Sicherheitsmaßnahmen abgleichen und bei Bedarf entsprechende Anpassungen vornehmen.

Um als Lieferant oder Dienstleister in der Automobilindustrie aktiv zu sein, benötigt man ein Label (Zertifizierung) nach TISAX®*. Als Grundlage der Informationssicherheit nach TISAX®* dienen die Anforderungen der VDA-ISA Kataloge. Mit einem TISAX®*-Label zeigen Unternehmen ihren Geschäftspartnern – etwa OEMs, Zulieferern oder Dienstleistern, dass sie sensible Daten verantwortungsvoll schützen. Darüber hinaus belegen sie, dass ihre Informationssicherheit entlang der gesamten Lieferkette gewährleistet ist. So schaffen sie Vertrauen in die Zusammenarbeit und tragen gleichzeitig dazu bei, die Datensicherheit in der Wertschöpfungskette zu stärken.

Die Einführung des VDA-ISA Katalogs 6.0 macht deutlich, dass die Automobilindustrie die Bedeutung der Informationssicherheit erkannt hat. Zudem beweist sie ihre Bereitschaft, Maßnahmen umzusetzen, um die Verfügbarkeit von Zulieferern zu sichern und gleichzeitig die Datensicherheit zu erhöhen. Und dies auch in Krisensituationen. Für Dienstleister und Lieferanten bietet die Umstellung daher eine große Chance: Sie verbessern ihre eigene Informationssicherheit und bereiten sich gleichzeitig wirksam auf zunehmende Cyber-Bedrohungen vor.

Unsere Informationssicherheitsexperten unterstützen Sie gezielt bei der Umsetzung der Anforderungen des VDA-ISA Katalogs 6.0 und begleiten Sie auf dem Weg zur (Re-)Zertifizierung nach TISAX®*.

Wir weisen darauf hin, dass die DOS Software-Systeme GmbH keine TISAX®*-Assessments durchführt sowie keine TISAX®*-Labels ausstellt. Die angebotenen Dienstleistungen dienen der Vorbereitung und Informationsgabe zum Thema TISAX®*.

*TISAX® ist eine eingetragene Marke der ENX Association. Die DOS Software-Systeme GmbH steht in keiner geschäftlichen Beziehung zu ENX. Mit der Nennung der Marke TISAX® ist keine Aussage des Markeninhabers zur Geeignetheit der hier beworbenen Leistungen verbunden.