CyberCompare

Grundlagen der IEC 62443, die Sie als Betreiber einer Automationslösung kennen sollten

Grundlagen

Über die IEC 62443

Die internationale Normenreihe ISA/IEC 62443 betrachtet Industrial Security im Produktions- und Automatisierungsbereich aus einer ganzheitlichen Perspektive. Dazu gehören technische und prozessuale Faktoren sowie die Definition der Beteiligten und deren Rollen.

Die einzelnen Dokumente der Norm sind teilweise noch in Ausarbeitung, aber bereits jetzt ergibt sich ein komplexer Umfang. Verschaffen Sie sich einen Überblick, um einen Einstieg in die IEC 62443 zu finden!

Im Fokus der IEC 62443 ist die IT-Sicherheit von Industrial Automation and Control Systems (IACS). IACS bezeichnet alle Bestandteile, die für den sicheren Betrieb einer automatisierten Produktionsanlage erforderlich sind, also Systeme, Komponenten und Prozesse, ebenso wie Softwarekomponenten, Anwendungen und organisatorische Elemente. Damit grenzt sich die IEC 62443 von der ISO 27001 ab, in deren Mittelpunkt die klassischen IT-Systeme stehen.

Das Sicherheitskonzept der IEC 62443 basiert auf dem Defense-in-Depth-Ansatz. Dieser setzt auf Schutzmaßnahmen, die mehrstufig in einem Netz oder in einem System implementiert werden.

Im Rahmen eines ganzheitlichen Ansatzes für mehr Sicherheit werden in der Norm drei Instanzen betrachtet, die bei industriellen Betriebsprozessen involviert sind: Geräte- und Maschinenhersteller, Systemintegratoren und Betreiber von Anlagen. Diesen Instanzen weist die Norm in verschiedenen Abschnitten bestimmte Rollen zu.

Mit der Umsetzung der Inhalte aus den Dokumenten der IEC 62443 lassen sich potenzielle Schwachstellen in der Steuerungs- und Leittechnik in Unternehmen überprüfen und basierend auf den Ergebnissen sinnvolle Schutzmaßnahmen konzipieren.

Aufbau

Der Aufbau der IEC 62443

Vier zusammenhängende Abschnitte gliedern die Norm. Jeder Abschnitt enthält Dokumente, die für einzelne Schwerpunktthemen relevant sind. Die Namensgebung eines Dokuments folgt dem strukturellen Aufbau der Norm:

62443 – [Abschnitt-Nr.] – [Dokument-Nr. im Abschnitt]

Folglich handelt es sich beim Beispiel 62443-2-1 um das erste Dokument aus dem zweiten Abschnitt. Aktuell weist die Norm eine gewisse Dynamik auf, weil noch nicht alle Dokumente in ihrer finalen Form erstellt und verabschiedet sind. Für einige Dokumente liegen bislang nur Entwürfe vor.

Bei direkten Verweisen auf die Norm sollte man jeweils auf ISA.org referenzieren, dort finden sich Informationen zum aktuellen Stand der einzelnen Dokumente. (verlinken mit: https://www.isa.org/intech-home/2018/september-october/departments/new-standard-specifies-security-capabilities-for-c)

Quelle: iacs-security.de | TÜV Hessen | bluecept GmbH

General

Dieser Abschnitt befasst sich mit grundsätzlichen Begriffen, Konzepten und Modellen.

Policies & Procedures

In diesem Bereich finden sich technische Vorgaben für die IT-Sicherheit von Steuerungsanlagen. Außerdem beschreibt der Abschnitt ein System für das Management industrieller IT-Sicherheit. Hier gibt es einen engen Bezug zur ISO 27000-Reihe, weil noch einige Dokumente für die ISO 62443 in Arbeit sind. Die Zielsetzung liegt in einer kontinuierlichen Verbesserung der IT-Security als Folge einer Bewertung der Risiken und entsprechenden prozessualen und organisatorischen Vorgaben.

System

Relevante Vorgaben für Sicherheitsfunktionen von Steuerungs- und Automatisierungssystemen werden in diesem Abschnitt behandelt. Es geht vornehmlich um die Schwerpunkte im Bereich Fertigungs- und Prozessautomatisierung, was Themen wie Steuerung und Überwachung von kontinuierlichen oder diskreten Herstellungsprozessen beinhaltet.

Component / Product

Die beiden Dokumente dieses Abschnitts beschreiben die Anforderungen an sichere Prozesse der Produktentwicklung sowie die Anforderungen an Komponenten einer Automatisierungslösung.

Weitere Level der IEC 62443

Security-Level und Maturity-Level

Die IEC 62443 geht davon aus, dass einer wirksamen IT-Sicherheit mehr als nur technische Maßnahmen zugrunde liegen. Mitarbeiter und Betriebsprozesse können technische Maßnahmen umgehen und diese dadurch schwächen oder unwirksam machen.

Daher wird auf zwei Säulen aufgesetzt, nämlich einem funktional-technischen Security-Level und dem Reifegrad der Organisation, der Prozesse und der Mitarbeiter, dem Maturity-Level. Die Bewertung der IT-Security von Systemen, Netzen und Komponenten wird im Rahmen des Security-Levels durchgeführt. Ob organisatorische Richtlinien im Prozess eingehalten werden, bewerten die Maturity-Levels. Eine Kombination beider Betrachtungsweisen ergibt ein umfassendes Sicherheitskonzept, das in seiner Wirksamkeit über eine ausschließlich technische Betrachtung weit hinausreicht.

Defense in Depth

Die IEC 62443 legt für die Konzeption der Absicherung das Defense-in-Depth-Prinzip zugrunde. Militärs bedienen sich dieser Strategie, um die Dimension eines Angriffs, der eine einzelne Verteidigungsmaßnahme überwinden konnte, zu begrenzen. Bei IACS gibt es neben einem gezielten Angriff noch andere Ursachen für Störfälle, deren Auswirkungen mit dem Defense-in-Depth-Prinzip begrenzt werden können.

Ein wirksames Sicherheitskonzept berücksichtigt in seiner Umsetzung die Verbesserung der Sicherheitsfunktionen aller beteiligter Systeme, Produkte und Lösungen. Zusätzlich hat es Richtlinien und Prozesse im Fokus, ebenso wie den Faktor Mensch. Auf diese Weise kann die Wirksamkeit verschiedener Schutzschichten gewährleistet und die Stabilität des Konzepts auch im Falle des Ausfalls einer einzelnen Schicht sichergestellt werden.  

Industrielle Netze sind aufgrund fehlender Updates der vernetzten Systeme und Komponenten besonders vulnerabel, müssen aber die Anforderung der permanenten Anlagenverfügbarkeit erfüllen. Eine umfassende Absicherung ist daher unerlässlich.

Zusammenfassung

Die internationale Normenreihe IEC 62443 setzt auf bereits etablierte Standards (ISO 27001) auf. Dabei werden spezielle Voraussetzungen und Gegebenheiten im Produktions- und Automationsumfeld berücksichtigt. Die Norm befasst sich ausschließlich und umfassend mit der IT-Sicherheit in der Automation, sie beschreibt Vorgaben für ein umfassendes Konzept zur Absicherung.

Tipp: Machen Sie eine Ausrichtung nach der Norm zum Thema für ein Gespräch mit Ihrem Management. Zur Vorbereitung sollten Sie die resultierenden Vorteile zusammenfassen sowie einen Überblick über die benötigten Ressourcen vorbereiten.

Über unsere Partnerschaft

Dieser Artikel ist in Kooperation mit unserem Partner „sichere-industrie.de“ entstanden:

Disclaimer

Sie denken über OT- und IoT-Sicherheit nach? CyberCompare hat geprüfte Anbieter im Portfolio und liefert Ihnen als unabhängiger Marktteilnehmer kostenfreie und unverbindliche Vergleichsangebote. Sprechen Sie uns an (Mail an uns) oder testen Sie Ihr Cyberrisikoprofil mit unserer Diagnostik.

Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.

Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.