VDA ISA Katalog: Der Fragenkatalog

Was ist der VDA ISA Katalog?

Der VDA ISA (Information Security Assessment) ist der offizielle Fragenkatalog, der jedem TISAX-Assessment zugrunde liegt. Er wird vom Verband der Automobilindustrie (VDA) herausgegeben und regelmäßig aktualisiert. Die aktuelle Version 6.x umfasst über 40 Prüfziele in 9 Kapiteln, ergänzt durch spezifische Module für Prototypenschutz, Datenschutz und Verfügbarkeit.

Der ISA-Katalog ist kein allgemeines Sicherheitsframework, sondern ein Automotive-spezifisches Prüfinstrument. Er berücksichtigt die besonderen Anforderungen der Automobilindustrie: Prototypenschutz, Just-in-Time-Lieferketten, enge Zuliefererbeziehungen und die Notwendigkeit, Informationen über das ENX-Portal transparent zu teilen.

Kapitel 1-9 im Detail

Kapitel 1: IS-Policies und Organisation

Schwerpunkt: Existenz und Qualität der Informationssicherheitspolitik. Der Katalog fragt nach der Genehmigung durch die Geschäftsleitung, der regelmäßigen Überprüfung, der Kommunikation an Mitarbeiter und der Integration in die Unternehmensstrategie. Typische Fragen: "Existiert eine IS-Policy, die von der Geschäftsleitung genehmigt wurde?", "Wird die Policy regelmäßig (min. jährlich) überprüft?"

Kapitel 2: Organisatorische Sicherheit

Schwerpunkt: Aufbauorganisation der Informationssicherheit. Gefragt wird nach dem IS-Beauftragten (CISO oder gleichwertig), seiner Einbindung in die Geschäftsleitung, der Trennung von Zuständigkeiten und dem Umgang mit externen Parteien (Lieferanten, Dienstleister, Cloud-Provider). Der Auditor erwartet ein dokumentiertes Organigramm mit klar definierten Sicherheitsrollen.

Kapitel 3: Personelle Sicherheit

Schwerpunkt: Sicherheitsmaßnahmen im Personalwesen. Der Katalog unterscheidet zwischen Maßnahmen vor der Einstellung (Hintergrundprüfungen, Vertraulichkeitsvereinbarungen), während der Beschäftigung (Schulungen, Awareness-Programm, disziplinarische Maßnahmen) und nach dem Ausscheiden (Zugriffsrechte-Entzug, Rückgabe von Arbeitsmitteln, Exit-Interviews). Nachweisbare Schulungsprogramme sind ein Pflichtnachweis.

Kapitel 4: Physische und umgebungsbezogene Sicherheit

Schwerpunkt: Schutz von Gebäuden, Räumen und Einrichtungen. Hier geht es um Sicherheitszonen (öffentlich, intern, gesperrt), Zutrittskontrollen, Besuchermanagement, Schutz von Serverräumen und Netzwerkinfrastruktur, Clean-Desk-Policy und den Umgang mit Wechseldatenträgern. Bei AL3-Assessments wird dieses Kapitel durch die physische Begehung besonders intensiv geprüft.

Kapitel 5: Identitäts- und Zugriffsmanagement

Schwerpunkt: Logische Zugriffskontrolle und Kryptografie. Gefragt wird nach Berechtigungskonzepten (Least-Privilege-Prinzip), Passwort-Policies, Multi-Faktor-Authentifizierung, Privileged Access Management, regelmäßigen Access Reviews, Verschlüsselungsstandards und Schlüsselmanagement. Dieser Bereich ist technisch anspruchsvoll und erfordert detaillierte Nachweise über implementierte Kontrollmaßnahmen.

Kapitel 6: IT-Sicherheit und Operations

Schwerpunkt: Technischer Betrieb der IT-Infrastruktur. Change Management, Patch Management, Malware-Schutz, Logging und Monitoring, Netzwerksegmentierung, Backup-Strategien und Schwachstellen-Management werden geprüft. Der Auditor erwartet dokumentierte Prozesse und Nachweise über deren Umsetzung — z. B. Patch-Berichte, Scan-Ergebnisse und Change-Logs.

Kapitel 7: Erkennung und Reaktion auf Sicherheitsvorfälle

Schwerpunkt: Incident Management und Response. Der Katalog fragt nach definierten Prozessen zur Erkennung, Meldung, Eskalation und Behebung von Sicherheitsvorfällen. Auch Lessons Learned und die kontinuierliche Verbesserung des Incident-Management-Prozesses werden bewertet. Nachweise: Incident-Response-Plan, Eskalationsmatrix, Übungsprotokolle, Vorfallberichte.

Kapitel 8: Betriebskontinuität

Schwerpunkt: Business Continuity und Disaster Recovery. Business-Impact-Analysen, Notfallpläne, Wiederherstellungsprozeduren, RTO/RPO-Definitionen und regelmäßige Notfallübungen werden geprüft. Seit der Einführung der Verfügbarkeits-Labels hat dieses Kapitel zusätzliche Bedeutung gewonnen.

Kapitel 9: Compliance und Datenschutz

Schwerpunkt: Einhaltung gesetzlicher und vertraglicher Anforderungen. DSGVO-Konformität, Lizenzmanagement, interne Audits und die Einhaltung vertraglicher Sicherheitsanforderungen werden geprüft. Bei Datenschutz-Labels kommen zusätzliche Module hinzu, die Auftragsverarbeitung, Betroffenenrechte und Datenschutz-Folgenabschätzungen abdecken.

Neue Module in ISA 6.x

Die Version 6.x des VDA ISA hat gegenüber früheren Versionen wesentliche Erweiterungen gebracht:

• Erweiterter Datenschutz: Eigene Prüfziele für Auftragsverarbeitung und besondere Kategorien personenbezogener Daten, die über die DSGVO-Grundlagen hinausgehen.
• Verfügbarkeits-Module: Neue Labels "Verfügbarkeit hoch" und "Verfügbarkeit sehr hoch" mit eigenen Prüfzielen für Business Continuity und Disaster Recovery.
• Aktualisierte Kryptografie-Anforderungen: Anpassung an aktuelle Standards (TLS 1.2+, AES-256, SHA-256+).
• Cloud-Sicherheit: Erweiterte Anforderungen an Cloud-basierte Dienste und Multi-Tenant-Architekturen.

Fragentypen: Muss vs. Soll

Der VDA ISA unterscheidet zwischen zwei Typen von Anforderungen:

Muss-Anforderungen (MUST): Diese sind verpflichtend. Jede Muss-Anforderung muss mindestens Reifegrad 3 erreichen, damit das Assessment bestanden wird. Ein Reifegrad unter 3 bei einer Muss-Anforderung führt zu einer Major Non-Conformity, die eine Nachbesserung innerhalb von 9 Monaten erfordert.

Soll-Anforderungen (SHOULD): Diese sind empfohlen, aber nicht zwingend. Ein Reifegrad unter 3 bei einer Soll-Anforderung führt zu einer Minor Non-Conformity, die dokumentiert wird, aber das Assessment nicht blockiert. Allerdings: Wenn zu viele Soll-Anforderungen nicht erfüllt sind, kann der Auditor den Gesamtreifegrad in Frage stellen.

Den Katalog in der Praxis durcharbeiten

Der ISA-Katalog umfasst über 40 Prüfziele mit jeweils mehreren Fragen. Ein systematischer Ansatz ist entscheidend:

• Scope festlegen: Nicht alle Prüfziele sind für jedes Label relevant. Definiere deinen Scope und arbeite nur die relevanten Module durch.
• Ist-Reifegrad bewerten: Für jedes Prüfziel den aktuellen Reifegrad ehrlich einschätzen. Selbstüberschätzung rächt sich im Audit.
• Evidence sammeln: Für jeden Reifegrad-Anspruch Nachweise sammeln — Dokumente, Screenshots, Prozessbeschreibungen, Audit-Logs.
• Gaps identifizieren: Prüfziele mit Reifegrad unter 3 als Lücken markieren und Maßnahmen planen.
• Maßnahmen umsetzen: Lücken priorisiert schließen, Muss-Anforderungen zuerst.
• Re-Assessment: Nach Umsetzung der Maßnahmen den Reifegrad erneut bewerten und Nachweise aktualisieren.

Reifegrad-Dokumentation pro Frage

Für jede Frage im ISA-Katalog musst du dokumentieren: den aktuellen Reifegrad, die zugehörigen Nachweise, den Verantwortlichen und ggf. geplante Verbesserungsmaßnahmen. Diese Dokumentation ist gleichzeitig deine Audit-Vorbereitung — der Auditor arbeitet denselben Katalog durch und prüft deine Einschätzungen.

Kopexa hat den ISA-Katalog vorgeladen: Du musst den Katalog nicht manuell in Excel übertragen. In Kopexa sind alle Prüfziele bereits strukturiert hinterlegt, ergänzt durch einen Maßnahmenkatalog mit konkreten Umsetzungshilfen für jedes Prüfziel. Du dokumentierst Reifegrade direkt in der Plattform, lädst Nachweise hoch und trackst deinen Fortschritt in Echtzeit. Die vollständige TISAX-Checkliste zeigt dir den gesamten Ablauf von Scope bis Audit.