IEC 62443: IT-Sicherheit in Industrie und Automatisierung

Workshop

Für ein erstes Gespräch zur IEC 62443 bieten wir unseren kostenfreien 62443-Workshop an, welchen wir auf Sie zugeschnitten in unseren Räumlichkeiten anbieten. Hierzu vereinbaren wir gerne einen Termin, weiteres finden Sie unter Workshop.

Industrial Security mit IEC 62443

Vernetzung im Bereich der Sensorik und Aktorik ist in der Industrie seit Jahren unverzichtbar. Industriesysteme waren bisher allerdings Inseln und von den Office-Netzwerken getrennt. Dies hat sich den letzten Jahren komplett geändert: Industrielle Netzwerke wurden geöffnet und mit anderen IT-Komponenten verbunden. Es liegt im Trend, Cloud-Infrastrukturen anzubinden, um mit ihrer Hilfe neue Geschäftsmodelle zu erschließen.

Vernetzung führt aber umgekehrt zur Öffnung und bringt die Gefahr von Missbrauch durch unberechtigte Personen mit sich. Jedes Industrieunternehmen braucht daher neben einer Digitalisierungsstrategie auch eine Strategie zur Sicherung des Produktionsprozesses, sowie des eigenen Know-hows zur Sicherung des Geschäftsmodells. Für Industrielle Sicherheit wurde die Norm IEC 62443 definiert. Sie enthält ein etabliertes, umsetzbares Vorgehensmodell für eine industrielle Cybersicherheitsstrategie und ist damit unkoordinierten Einzelaktivitäten klar überlegen. Seit Anfang 2019 liegen die wesentlichen Teile der Norm veröffentlicht vor, dies gibt Anwendern der Norm eine ausreichende Planungssicherheit.

Bei Industrial Security ist neben dem Zusammenspiel von Safety und Security auch stets zu beachten, dass die Verfügbarkeit einer Anlage die obererste Priorität hat, direkt gefolgt von der Integrität des Fertigungsprozesses. Im Gegensatz zur klassischen IT nimmt Vertraulichkeit dagegen häufig einen geringeren Stellenwert ein und wird erst bei der Betrachtung von Eigentumsrechten (Intellectual Property Rights) relevant.

Nachweisbare Cybersicherheit: Initiierung und Zertifizierung

Eine Zertifizierung kann ein Ziel sein und wird zunehmend von verschiedenen Sektoren eingefordert werden. Um eine solche Zertifizierung erreichen zu können, muss eine Cybersicherheitsstrategie initiiert werden.

Hier kommen die verschiedenen Rollen der Industrie in den Fokus, welche in der IEC 62443 auch differenziert betrachtet werden: Betreiber, Integratoren und Hersteller. Aus jeder Rolle heraus leiten sich unterschiedliche Anforderungen ab.

Komponenten-Hersteller: Bewertung der Sicherheit der eigenen Produkte

Die Umsetzung von Sicherheit bei Produktentwicklungen ist für jeden Hersteller eine Herausforderung. secuvera bietet Herstellern von Automatisierungssystemen unabhängige Beratung, sowie – auch entwicklungsbegleitende – Prüfung von Produkten an. Um letzteres auch mit dem Ziel einer Zertifizierung durchführen zu können, ist secuvera beim TÜV Nord als Prüfstelle für IEC 62443 Security anerkannt.

Als Einstieg in das Thema Komponenten-Bewertung nach IEC 62443-4-2 bieten wir Ihnen ein standardisiertes Prüfpaket an. Bereits entwickelte Industrie-Komponenten unterziehen wir in unserem Labor einer GAP-Analyse und gleichen diese mit den Normanforderungen ab. Dies ist ohne große Projektvorbereitungszeit auf Ihrer Seite möglich, im Ergebnis erhalten Sie eine umfassende Einschätzung auf welchem sicherheitstechnischen Niveau sich die getestete Komponente befindet.

Einheitliche Prüfungen können heute bereits nach dem TeleTrusT-Prüfschema für IEC 62443-4-2 (Link: https://www.teletrust.de/publikationen/iec-62443-4-2-pruefschema/) durchgeführt werden. Das Prüfschema wurde maßgeblich von secuvera als TeleTrusT-Mitglied erstellt. Die Fortschreibung und Diskussion der Inhalte erfolgte in den Gremien des deutschen DKE ebenfalls unter Federführung von secuvera. Das entsprechende Know-how zur Anwendung der Norm ist bei secuvera damit aus erster Hand verfügbar.

Betreiber: Greenfield und Brownfield Ansätze

Im Fall der Planung einer neuen Anlage (Greenfield) beschreibt die IEC 62443 wie eine mehrstufige Risikoanalyse und die Aufteilung der Anlage in verschiedene Zonen zu erfolgen hat. Für jede Zone wird ein zu erreichendes Security Level (SL) festgelegt, welches primär die Bedrohungssituation beschreibt, also die Stärke des Angreifers. Gleichzeitig werden damit aber auch Maßnahmenpakete ausgewählt, welche ebenfalls in der Norm benannt sind. Neben den technischen Maßnahmen (Fähigkeiten) einer Automatisierungsanlage sind zudem auch prozedurale (IACS Security Management System) und personelle Maßnahmen (Anforderungen an das Security Program von Integratoren) zu definieren.

Häufig ist es aber gar nicht möglich eine sichere Anlage auf dem Reißbrett zu planen, da die Laufzeit bestehender Anlagen sehr lang ist. Im Fall einer Bestandsanlage (Brownfield) kann die Vorgehensweise mit Erstellung einer Risikoanalyse ebenfalls genutzt werden, um die Ist-Situation zu durchleuchten. Nach der Analyse liegt einem Betreiber eine detaillierte Auflistung aller konkreten Cybersicherheits-Bedrohungen für seinen Anlagenbetrieb vor. Häufig ist es dann allerdings nicht oder nur beschränkt möglich technische Änderungen an der Anlage vorzunehmen. In diesen Fällen liegt dann der Schwerpunkt darauf Prozesse zu etablieren und eventuell einzelne Sicherheitskomponenten (z. B. die nachträgliche Zonierung des Netzwerkverkehrs) durchzuführen. Auch in diesen Fällen ist es möglich das Sicherheitsniveau nachhaltig zu steigern.

Integratoren: ICS Quickcheck und Projektbegleitung

Integratoren sind das Bindeglied zwischen einzelnen Komponenten und den späteren Betreibern. Diesen kommt eine kritische Rolle für die Realisierung sicher Anlagen zu. Insbesondere die Cybersicherheits-Kompetenz von Integratoren wird dabei entscheidend sein.

Um bestehende Sicherheitskonzepte zu prüfen, bevor diese in die Umsetzung geben, kann die bei secuvera etablierte Methode des ICS Quickchecks genutzt werden. Hierbei wird auf die Inhalte der IEC 62443 zurückgegriffen allerdings stark Szenario- und Risiko-orientiert und damit sehr wirtschaftlich. Die Durchführung eines solchen ICS Quickchecks kann sowohl in der Konzeptphase, der Implementierungs- oder Pilotphase als auch in der späteren Wirkphase eines Projekts erfolgen.

Neben der kurzfristigen Einbindung unserer Berater kann alternativ auch eine kontinuierliche Projektbegleitung erfolgen. Hierbei setzen wir unsere Erfahrung auf Basis durchgeführter Projekte sowie unseres Austauschs in den Gremien mit anderen Unternehmen und Dienstleistern ein.