>>IEC 62443 – Eine kurze Vorstellung

IEC 62443 – Eine kurze Vorstellung

Die Norm ISA/IEC 62443 stellt einen ganzheitlichen Ansatz für Industrial Security im Produktions- und Automatisierungsbereich dar. Wir geben Ihnen einen kurzen Überblick als Einstieg in die Norm.

Gesetze & Normen 2018-07-07T16:31:15+00:00 7. Februar 20180 Kommentare

Aus unserer Normen- und Standards-Kiste habe ich diesmal die IEC 62443 herausgekramt. Diese Norm ist zwar teilweise noch in Ausarbeitung, dafür aber bereits sehr umfangreich. Daher gibt es für den schnellen Einstieg hier einen kurzen Überblick. Die IEC 62443 ist eine Serie von Dokumenten und befasst sich mit der IT-Sicherheit sogenannter „Industrial Automation and Control Systems (IACS)“. Der Begriff IACS steht dabei für alle Bestandteile, wie Systeme, Komponenten und Prozesse, die für den sicheren Betrieb einer automatisierten Produktionsanlagen erforderlich sind. Neben den erwähnten Bestandteilen zählen ebenso Softwarekomponenten, Anwendungen und organisatorische Teile dazu. Durch ihre spezifische Ausrichtung auf den Industriebereich setzt sich die IEC 62443 auch markant von der ISO 27001 ab, welche sich eher mit klassischen IT-Systemen beschäftigt.

Die IEC 62443 setzt hierzu ein IT-Sicherheitskonzept auf, das auf dem Defense-in-depth-Ansatz basiert. Dadurch werden Schutzmaßnahmen beschrieben, die auf verschiedenen Ebenen eines Netzes oder auch Systems implementiert werden.

Weiterhin identifiziert die Norm drei Instanzen, die im Rahmen industrieller Betriebsprozesse Einfluss nehmen. Dies sind die Geräte- und Maschinenhersteller, die Systemintegratoren und die Betreiber der Anlagen. Diesen Instanzen haben nach der Norm verschiedene Rollen inne und werden in eigenen Abschnitten behandelt. Insbesondere wird dort auch die Zusammenarbeit der Instanzen untereinander behandelt. Damit liefert die IEC 62443 einen ganzheitlichen Ansatz für mehr Sicherheit und berücksichtigt gleichzeitig die verschiedenen Player.

Mit der IEC 62443 können Unternehmen die potenziellen Schwachstellen ihrer Steuerungs- und Leittechnik überprüfen und sinnvolle Schutzmaßnahmen entwickeln.

Struktur der IEC 62443

Die Norm ist in vier zusammenhängende Abschnitte untergliedert. Diese beinhalten wiederum Dokumente zu einzelnen Schwerpunktthemen. Die Nummerierung setzt sich wie folgt zusammen:

62443 – [Abschnitt-Nr.] – [Dokument-Nr in Abschnitt ]

Damit handelt es sich bei 62443-2-1 um das erste Dokument aus dem zweiten Abschnitt. Wichtiger als die Nummerierung ist jedoch, dass die Norm noch in ständiger Bewegung ist. Somit sind aktuell noch nicht alle Dokumente final verabschiedet und andere liegen nur als Entwurf vor oder sind noch in Planung. Wenn es um direkte Verweise geht, dann sollte immer auf ISA.org referenziert werden. Dort ist der aktuelle Zustand der einzelnen Dokumente ersichtlich.

Die vier Abschnitte beinhalten die folgenden Themen:

  1. General
    Hier werden die grundsätzlichen Begriffe, Konzepte und Modelle beschrieben.
  2. Policies und Procedures
    Beschreibt neben technischen Vorgaben für die IT-Sicherheit von Steuerungsanlagen vor allem ein System zum Management industrieller IT-Sicherheit. Hier existiert ein enger Bezug zur ISO 27000-Reihe, denn z.B. das Dokument ISA-62443-2-2 ist noch nicht vollständig abgeschlossen. Das Grundziel ist hier die kontinuierliche Verbesserung der IT-Security durch Bewertung der Risiken und Vorgaben für Prozesse und Organisation.
  3. System
    Hier werden verschiedene Vorgaben für Sicherheitsfunktionen von Steuerungs- und Automatisierungssystemen beschrieben. Vor allem werden die Schwerpunkte um die Fertigungs- und Prozessautomatisierung behandelt, somit auch Themen wie Steuerung und Überwachung von kontinuierlichen oder diskreten Herstellungsprozessen.
  4. Component
    Hier werden die Anforderungen an Prozesse der Produktentwicklung von Komponenten einer Automatisierungslösung beschrieben.

Security- und Maturity-Levels

Die Verfasser der IEC 62443 folgen dem Ansatz, dass IT-Sicherheit mehr ist als rein technische Vorkehrungen. So können technische Vorkehrungen von den Mitarbeitern oder Betriebsprozessen umgangen und dadurch entkräftigt werden. Es findet daher eine Unterscheidung zwischen den funktional-technischen „Security-Levels“ und dem Reifegrad der organisatorischen Prozesse und Mitarbeiter, dem „Maturity-Level“, statt. Mit den Security-Levels können Systeme, Netze und Komponenten hinsichtlich ihrer IT-Security bewertet werden. Die Maturity-Levels behandeln hingegen die prozessuale Einhaltung organisatorischer Richtlinien. Durch die Kombination aus den beiden Betrachtungsweisen ergibt sich ein umfassendes Sicherheitskonzept, das weitaus mehr Schutzpotenzial bietet als die rein technische Betrachtung.

Defense-in-depth

In der Einleitung wurde erwähnt, dass der IEC 62443 das „Defense-in-depth“-Prinzip zugrunde liegt. Dieses im Militär verbreitete Prinzip soll sicherstellen, dass ein Angreifer, oder in unserem Fall auch ein anderweitig ausgelöster Störfall, sich nicht durch das Aushebeln einer einzigen Maßnahme ungehindert ausbreiten und Schaden anrichten kann. Für die durchdachte Umsetzung eines Sicherheitskonzepts ist eine Verbesserung der Sicherheitsfunktionen aller beteiligten Systeme, Produkte und Lösungen notwendig. Aber auch Richtlinien, Prozesse und letztendlich das Betriebspersonal müssen angemessen betrachtet werden, damit nach dem Zwiebelprinzip verschiedene Schutzschichten etabliert werden können. Wird dann eine Schicht umgangen, bietet die nächste Schicht weiterhin Schutz. Dies ist insbesondere bei industriellen Netzen sinnvoll! Denn oftmals sind die beteiligten Systeme und Komponenten zwangsläufig aufgrund von mangelnden Updates und permanenter Verfügbarkeit nicht auf einem aktuellen Sicherheitsstand.

Näheres finden Sie in unserem Blog-Artikel „Defense-in-depth“ – Brauch ich nicht.

Zusammenfassung

Die IEC 62443 ist eine Serie von Standards, die auf bereits etablierte Standards (ISO 27001) aufsetzt. Sie berücksichtigt die verschiedenen Gegebenheiten im Produktions- und Automatisierungsumfeld und richtet sich ausschließlich und umfassend an die IT-Sicherheit in der Automatisierung.

Für weitere Informationen können wir folgendes Buch empfehlen:

Leitfaden Industrial Security: IEC 62443 einfach erklärt – Pierre Kobes

Unser Tipp: Sprechen Sie mit Ihrem Management über eine Ausrichtung nach der Norm. Überlegen Sie sich hierzu, welche Vorteile dies hätte und welche Ressoucen man dazu braucht.

Über den Autor:

Max Weidele
Max vereint langjährige Erfahrung als Consultant für Industrial Security und ein erfolgreiches Dasein als Serial Entrepreneur. Auf sichere-industrie.de verfasst er ehrliche und praxisorientierte Beiträge abseits des Industrie 4.0-Marketing-Dickichts für Betreiber industrieller Anlagen.

Hinterlassen Sie einen Kommentar

* Die Checkbox für die Zustimmung zur Speicherung ist nach DSGVO zwingend.

Ich stimme zu.