Das TeleTrust-Prüfschema beachtet sowohl die Vorgehensweise eines Integrators oder Anlagenplaners, als auch natürlich die eines Herstellers. Grundsätzlich ist die IEC 62443 system- oder anlagen-zentrisch angelegt, da der sichere Betrieb der Anlagen das zentrale Ziel ist. Dies bedeutet aber auch, dass die jeweiligen Komponenten in den Anlagen entsprechende technische Fähigkeiten benötigen und diese resistent (z. B. gegenüber Angriffen oder Fehlkonfiguration) implementiert werden müssen. Dies ist allerdings Stand heute nicht selbstverständlich.

Wenn man diese Komponentenanforderungen bereits bei der Anlagenplanung beachten möchte, steht man vor der Herausforderung, dass diese Punkte nur sehr heterogen und unterschiedlich in den Ausschreibungen der Komponenten berücksichtigt werden. Manchmal wird dies nur sehr rudimentär abgefragt, in anderen Fällen sind komplexe Fragebögen zu beantworten. Zum Teil wird heute schon eine Ausrichtung nach Standards wie der IEC 62443 genannt, was zwar eine positive Entwicklung ist, aktuell jedoch nur die Ausnahme darstellt. Wie kann man aber mittelfristig sicherstellen, dass man bei Referenz auf die Norm vergleichbare Antworten von den Anbietern erhält?

Zertifizierung

Eine Möglichkeit ist eine Zertifizierung durch dritte Stellen durchführen zu lassen. Dadurch kann man nur auf die Zertifikate schauen und weiß dadurch, welche Sicherheitsleistungen ein Produkt bietet. Aber auch in diesen Fällen müssen bei den Prüfungen, die der Zertifizierung zugrunde liegen, vergleichbare Prüfmodelle angewendet werden.

Die bisherige Erfahrung bei Zertifizierung nach IEC 62443 zeigte allerdings, dass dies nicht der Fall ist. Dies lässt sich darauf zurückführen, dass die Norm zwar funktionale (d.h. technische Sicherheitsfähigkeiten) und prozedurale (d.h. geforderte Praktiken im Entwicklungsprozess) Anforderungen beinhaltet, aber keine Anforderungen an Bewertungsmethoden oder Prüfmodelle stellt.

Auch das private Zertifizierungsschema IECEE, welches ein Cybersecurity Programm auf Basis der IEC 62443 anbietet, liefert diese fehlenden Details nicht. Daher ist heutzutage eine Zertifizierung mit IECEE ebenfalls keine Lösung für die Gefahr von nicht vergleichbaren Zertifikaten.

Selbsterklärung und Lieferantenaudit

Eine Zertifizierung ist natürlich nicht das einzige Mittel, wenn es darum geht die geforderten technischen Fähigkeiten eines Herstellers nachgewiesen zu bekommen. Auch die Selbsterklärung des Herstellers oder ein (technisches) Lieferantenaudit kann helfen herauszufinden, welche Security-Qualität ein Produkt effektiv besitzt. In diesen Fällen ist es natürlich umso wichtiger, dass diese Erklärungen oder Audits nach sinnvollen und effektiven Überprüfungsmethoden stattgefunden haben.

Sowohl nicht vergleichbare Zertifizierung als auch Selbererklärungen und Lieferantenaudits (first, second & third party assessments) waren bei der Entwicklung des nachfolgend vorgestellten TeleTrusT-Prüfschema relevant.

Grundüberlegung des Prüfschemas

Um die technischen Fähigkeiten (capabilities) nachzuweisen ist ein vom Hersteller behauptetes Zielniveau der Einstieg in die Überprüfung. Dies ist entweder ein „Security Level“, welches sich aus technischen Anforderungen (z. B. rollen-basierte Authentisierung mit Nutzung bei Berechtigungsstufen) und einer Resistenzaussage (z. B. resistent gegenüber Angriffen mit geringem Aufwand, Ressourcen und Fähigkeiten) zusammensetzt. Allerdings kann es auch sinnvoll sein, die technischen Anforderungen nicht aus den fest in der IEC 62443-4-2 beschriebenen Security Level abzuleiten (da dort eine Art Vor-Selektion von Anforderungen zum jeweiligen Security Level vorgenommen wurde), sondern stattdessen spezifische Anforderungen auszuwählen, die sich z. B. aus einer ganz konkreten Anlagenplanung ergeben.

Die IEC 62443 fordert bei der Entwicklung von Komponenten zudem, dass diese sich grundsätzlich nach einer Auswahl von Security Praktiken auszurichten hat, sodass sich später tatsächlich Security-by-Design nachhaltig im Produkt wiederfindet. Diese Anforderungen finden sich im Normteil IEC 62443-4-1. Im Prüfschema wird dies so aufgegriffen, dass die Ergebnisse dieser Praktiken (bezeichnet als deliverables) in den verschiedenen Prüfschritten verifiziert werden. Durch den Bezug zu den deliverables wird ein Hersteller dadurch motiviert einen effektiven Entwicklungsprozess zu realisieren.

Eine Praktik, die insbesondere im Prüfschema aufgegriffen wurde, sind die Vorgaben zur Unabhängigkeit bei funktionalen Tests und Penetrationstests. Konkret bedeutet dies, dass die Konformitätstests z. B. auch durch eine interne QS-Abteilung des Herstellers durchgeführt werden können. Natürlich kann dies auch durch externe und damit vollständig unabhängige Prüfer erfolgen. In der zugrunde liegenden Norm wird nur gefordert, dass Prüf- oder Testaktivitäten immer mindestens außerhalb des Entwicklungsteams durchgeführt werden müssen. Natürlich können auch externe Tester herangezogen werden. Im Prüfschema wurde dies so aufgegriffen, dass ein Prüfer, der nach TeleTrusT-Prüfschema ein Produkt bewertet, auch interne Tests zulassen kann. Es wird also keine maximal mögliche Unabhängigkeit gefordert.

Alle diese Details, welche sich implizit oder explizit aus den verschiedenen Normteilen entnehmen lassen, wurden bei der Entwicklung des Prüfschemas herangezogen und in eine Methodologie überführt.

Übersicht zum Prüfschema

Im Ergebnis beinhaltet das Prüfschema die folgenden fünf einzelnen Prüfschritte:

  1. Prüfung des Verwendungszwecks (Intended Use Verification)
  2. Dokumentation – Design/ Prüfung (Documentation – Design)
  3. Dokumentation – Anwender (Documentation – User)
  4. Konformitätsbewertung (Conformity Assessment – Testing)
  5. Schwachstellenanalyse (Vulnerability Analysis)

Die ersten drei Punkte betreffen dabei die Analyse der Dokumentation. In Schritt 1 und 2 werden interne Dokumente geprüft (z. B. dokumentiertes Threat-Model oder Schnittstellenbeschreibung und Kommunikationsmatrix) und in Schritt 3 die Dokumentation, welche an den Endbenutzer übergeben wird (z. B. Dokumentation der Vorgehensweise zum Update der Komponente).

Im vierten Schritt erfolgt das eigentliche funktionale Testen. Hierbei wird gegenüber den Akzeptanzkriterien, welche ebenfalls im Prüfschema explizit definierten sind, geprüft, ob die technischen Sicherheitsanforderungen erfüllt werden. Hierzu sind Tests zu entwickeln und durchzuführen. Wie genau dies erfolgen soll, wird im Prüfschema selbst beschrieben.

Im letzten Schritt muss vom Prüfer nachgewiesen werden, dass das Produkt ausreichend resistent gegenüber einer erfolgten Resistenzbehauptung ist. Hierbei hat der Prüfer auch die Freiheit selbst eine Methodik festzulegen oder die Methodik des Herstellers aus dem Entwicklungsprozess aufzugreifen. Das Prüfschema selbst hat allerdings auch eine beschriebene Methode, wie dies erfolgen kann.

Nach positivem Abschluss aller fünf Prüfschritte ist es zulässig das Produkt, entsprechend der gewählten Eigenschaften (z. B. ausgewähltes Security Level), konform zur IEC 62443-4-2 zu erklären.

Neben den Abläufen zur Prüfung enthält das Prüfschema auch Hinweise für Hersteller, welche Informationen für eine Konformitätsbewertung zusammenstellen sollen. Diese Details werden im Anhang des Prüfschemas beschrieben (siehe Komponentenspezifikation).

Aktuell beschränkt sich das Prüfschema darauf, für Security Level SL-1 bis SL-3 die notwendigen Details zu beschreiben. Security Level Sl-4 wird aktuell noch ausgeklammert, da zunächst praktische Erfahrung in der Differenzierung von SL-1 bis SL-3 gesammelt werden müssen, ehe man sich noch einmal mit dem höchsten Level auseinandersetzt. Dies ist allerdings bereits in einer zukünftigen Fortsetzung des Prüfschemas geplant.

Abgrenzung zu anderen Prüfmethoden oder Zertifizierungen

Eventuell stellt man sich noch die Frage, wie sich das Prüfschema von einer etablierten Zertifizierung wie der Common Criteria unterscheidet. Die erfolgreichen Einsatzbereiche für Common Criteria, zumindest in Europa, sind zum einen Hochsicherheitsbereiche wie Smartcards, Firewalls, o.ä., sowie Komponenten in eGovernment-Projekten, wie das deutsche Smart-Meter-Gateway (SMGW) oder die Gesundheitskarte in der Gematik-Infrastruktur.

Industrie-Produkte haben einen anderen Hintergrund, welcher den Einsatz des Common Criteria Modells erschwert. Da Industrie-Produkte eine relativ geringe Stückzahl haben, lassen sich die Zertifizierungskosten nicht so gut verteilen. Zudem werden von einem Produkt oft verschiedene Varianten benötigt, wie beispielsweise unterschiedliche Schnittstellentypen oder verschiedene Funktionsumfänge, was sich mit Common Criteria auch relativ schwer abbilden lässt. Ein weiterer Unterschied ist, dass Komponenten in der Industrie oft nur gegen mittleres Angriffsniveau entwickelt werden.

Aus diesen Gründen war und ist es wichtig noch weitere Prüfmodelle zu finden, welche für andere Anwendungsgebieten besser passen. Das vorliegende Prüfschema ist ein solches Modell. Wie oben schon kurz angerissen, ermöglicht das Schema eine leichte und benötigt keine vollständige Unabhängigkeit bei der Durchführung der Prüfung vom Hersteller.

Ausblick

Durch das TeleTrusT-Prüfschema liegt seit Mai 2019 nun eine Prüfmethodologie für die IEC 62443-4-2 vor. Ziel muss es nun sein, eine verbindliche Prüfmethodologie zwischen allen Stakeholdern zu vereinbaren. Also zwischen denen, die Produkte beschaffen (durch technische Anforderungen), denen die Produkte herstellen (durch Nachweise zur Erfüllung der Anforderungen), und denen die Produkte prüfen und zertifizieren. Eine praktisch nutzbare Methodologie liegt nun vor.

Mittelfristig besteht zudem das Ziel das Prüfschema in die Standardisierung einzubringen und auf diesem Weg langfristig zu verankern.

Fazit

Zusammengefasst bietet das Prüfschema Anwendern ein fehlendes Bindeglied, um eine einheitliche Anwendung der IEC 62443 zu erreichen. Es werden Vorgaben für ein Komponenten-Prüfmodell gemacht, welche folgende Ziele von Anwendern unterstützt: höhere Produktqualität, Sicherstellung von Investitionsschutz und vor allem Vergleichbarkeit von Security bei verschiedenen Produkten.

Nutzen Sie das Prüfschema (oder auch nur Teile des Vorgehens), um bei Ihrer nächsten Komponenten-Beschaffung strukturiert Informationen Ihrer Anbieter abzufragen und diese zu bewerten.