Die Anfänge der internationalen Normenreihe IEC 62443 sind etwa 20 Jahre alt und gehen auf die International Society for Automation (ISA) zurück. Die zugehörigen Standards, Technischen Reports sowie verwandten Informationen definieren Verfahren zur Implementierung sicherer industrieller Automatisierungs- und Steuerungssysteme (IACS).
IEC 62443: Die internationale Normenreihe für Cybersecurity in der Industrieautomatisierung
Ursprünglich wurden diese Dokumente als ANSI/ISA-99 oder ISA99-Standards veröffentlicht. Aufgrund der Kooperation mit IEC erfolgte die Anpassung der Dokumentnummerierung (ANSI/ISA-62443) an die entsprechenden Normen der IEC.
International erfolgt die Arbeit im Expertengremiums IEC/TC 65 in der AG 10 (IEC/TC 65/WG 10). National wird die Arbeit im Spiegelgremium DKE/UK 931.1 unterstützt.
VDE DKE Tagung Industrial Security 2023
Eine vernetzte und digitalisierte Industrie und Infrastruktur sind anfällig gegenüber Cyber-Attacken. Die Normenreihe IEC 62443 gilt als weltweiter Goldstandard für eine ganzheitliche Sicherheitsbetrachtung.
Vom 12.06. bis 13.06. diskutieren wir in Mannheim unter anderem über den Lebenszyklus einer Anlage, Konformitätsbewertung und Zertifizierung sowie zu erwartende regulatorische Rahmenbedingungen.
Welches Ziel verfolgt die Normenreihe IEC 62443?
Die IEC-Normenreihe 62443 hat ihren Ursprung in der Automatisierungstechnik der Prozessindustrie, deckt mit ihrem Anwendungsbereich aber alle Industriebereiche und die kritischen Infrastrukturen (KRITIS) ab. Sie befasst sich mit der Cybersecurity sogenannter ,,Industrial Automation and Control Systems“ (IACS). Der Begriff IACS beschreibt alle Bestandteile, die für den zuverlässigen und sicheren Betrieb einer automatisierten Produktionsanlage erforderlich sind. Dazu gehören sowohl Hardware- als auch Softwarekomponenten. Des Weiteren schließen IACS die organisatorischen Prozesse für die Errichtung und den Betrieb mit ein.
Ziel ist es, Normen, Verfahren, technische Reports und zusätzliche Informationen zur Verfügung zu stellen, die Prozesse für eine sichere Implementierung von IACS definieren. Dies soll eine Hilfestellung für alle darstellen, die für Design, Implementierung, Management, Herstellung und Betrieb von IACS verantwortlich sind. Auch sollen Anwender, Integratoren, Hersteller und Verkäufer adressiert werden.
Im Fokus der IEC 62443 steht die Verbesserung der Integrität und Verfügbarkeit von Komponenten und Systemen und das zur Verfügung stellen von Kriterien zur sicheren Bereitstellung und Implementierung von IACS. Die Einhaltung dieser Leitfäden soll die Sicherheit in der Produktion und der Komponenten sowie Systeme verbessern und dabei helfen, Schwachstellen zu identifizieren und zu adressieren. Damit kann das Risiko von kompromittierten Informationen oder Produktionsausfällen stark reduziert werden.
Normen und Standards für sichere & innovative Informationssysteme
Die Welt von morgen ist vernetzt: Unterschiedlichste Anwendungen und Branchen erfordern eine Infrastruktur, die immer weiter zusammenwächst. Die erforderlichen Kommunikationsschnittstellen sind allerdings häufig nur proprietär – es mangelt dabei an Interoperabilität und Schutzmaßnahmen.
Cyberangriffe auf Unternehmen, Energieversorger und Behörden gehören mittlerweile zum Alltag. Hacker nutzen Schwachstellen im System aus und setzen damit ganze industrielle Anlagen außer Betrieb oder gefährden im schlimmsten Fall sogar die flächendeckende Energieversorgung.
Die DKE bietet eine gemeinsame Expertise aus Industrie, Wissenschaft und Politik. Setzen Sie auf weltweit einheitliche Sicherheitsstandards durch die Anwendung internationaler Normen. Vertrauen Sie auf CERT@VDE – die erste IT-Sicherheitsplattform in Deutschland für Industrieunternehmen.
Wie ist die Normenreihe IEC 62443 aufgebaut?
Die IEC-Normenreihe 62443 kann grundsätzlich in vier Bereiche eingeteilt werden, die jeweils mehrere Dokumente beinhalten:
- Der erste Bereich beschreibt beispielsweise Grundkonzepte wie Defense-in-Depth oder auch grundlegende Anforderungen und verweist für die konkrete Umsetzung auf weitere Normteile.
- Der zweite Bereich definiert Leitlinien und Leitfäden für die Umsetzung von organisatorischen Maßnahmen und gibt beispielsweise Empfehlungen für ein Patch-Management.
- Der dritte Bereich behandelt technische Aspekt wie Securitylevel und Sicherheitsanforderungen.
- Der vierte Bereich zielt speziell auf die Produkt- und Komponentensicht (Sensoren, Schnittstellen, Chips etc.) ab und richtet sich aus diesem Grund eher an Hersteller.
- Der fünfte Bereich beschreibt Profile, die die Anwendung der Norm in verschiedenen Domänen, beispielsweise Industrieautomation, Prozessindustrie, Medizin- oder Bahntechnik, unterstützen.
- Der sechste Bereich spezifiziert Konformitätskriterien sowie mögliche Konformitätsnachweise. Es werden keine neuen Anforderungen aufgestellt, sondern beschrieben, wie Konformität gegenüber Anforderungen aus der Norm IEC 62443 evaluiert werden kann.
Die nachfolgende Abbildung zeigt die verschiedenen Bereiche mit den dazugehörigen Normenteilen und Spezifikationen.
Aktueller Bearbeitungsstand der einzelnen Normteile
Vor allem in Zeiten der Informationsüberflutung verlagern sich kriminelle Handlungen zunehmend in den digitalen Raum. Immer häufiger haben es Angreifer auf die Informationssysteme von Unternehmen, Behörden und Individuen abgesehen – und gefährden so auch deren Geschäftstätigkeit.
Um Daten sowie TK- & IT-Systeme zu schützen, müssen technische und organisatorische Maßnahmen getroffen werden – unter Betrachtung aller Teilsysteme zur Informationsverarbeitung, -nutzung und -speicherung.
Stehen Sie vor ähnlichen Herausforderungen? Wir unterstützen Sie gerne! Mit CERT@VDE in der Industrie. Mit Normen im Bereich Cybersecurity. Mit Prüfungen und Zertifizierungen von Produkten in der Informationstechnik.
Das Spannungsfeld von Information Technology und Operational Technology
Information Technology (IT) kommt aus dem klassischen Geschäftsumfeld und beschreibt das Verwalten von Informationen. Hierzu gehören sowohl verschiedene Server-Arten (Web- und Mail-Server) als auch Managementsysteme wie beispielweise ein Informationssicherheitsmanagementsystem (ISMS). Das oberste Schutzziel in der IT ist die Vertraulichkeit.
Im Gegensatz zur IT befasst sich die Operational Technology (OT) mit dem Verwalten von physikalischen Prozessen wie industriellen Kontrollsystemen, Steuerungen, Sensoren und Embedded Systems. Höchste Priorität bei den Schutzzielen ist es, die Verfügbarkeit und Integrität der Anlage zu sicherzustellen. Damit soll einerseits ein Stillstand der Anlage – und ein möglicher Verlust in Millionenhöhe für den Betreiber – vermieden und zum anderen die funktionale Sicherheit der Anlage sichergestellt werden.
Ein weiterer Unterschied zwischen IT und OT ist unter anderem der Ursprung in der Forschung und Entwicklung: Während sich die IT eher auf die Informatik und Computerwissenschaft stützt, lehnt sich die OT hingegen weitestgehend an die Ingenieurswissenschaften an. Auch im Lebenszyklus der eingesetzten Hardware gibt es wesentliche Unterschiede: Die Lebensdauer von IT-Hardware beträgt in etwa drei Jahre – in der OT sind 30 Jahre jedoch keine Seltenheit.
Häufig kommt in diesem Kontext die Frage auf, ob und wie die beiden Normenreihen ISO/IEC 27000 und IEC 62443 im Zusammenhang stehen. ISO/IEC 27000 beschreibt organisatorische Anforderungen an Managementsysteme im IT-Umfeld. Dabei dreht sich alles um die Frage, wie ein Unternehmen aufgebaut werden muss, um die IT-Sicherheit in der Kommunikation sicherzustellen. Beide Normenreihen unterscheiden sich hinsichtlich ihres individuellen Anwendungsbereichs, schließen sich jedoch nicht aus. Industrieunternehmen können und sollten daher beide Bereiche abdecken – die IT für das Verwalten von Informationen und die OT für das Verwalten von physikalischen Prozessen in Anlagen.
Guideline Industrial Security: IEC 62443 is easy (Englisch; eBook)
Die Bedeutung von Schutzkonzepten wächst mit zunehmenden Angriffen von außen. Betreiber kritischer Infrastrukturen müssen Mindeststandards der IT-Sicherheit einhalten und ihre Anlagen vor Cyberangriffen schützen. Wirksame Schutzkonzepte lassen sich jedoch nur mit einer Reihe von organisatorischen und technischen Maßnahmen umsetzen.
Der Leitfaden hat das Ziel, den Ansatz für den Einsatz von Schutzkonzepten zu vereinfachen, indem er einen Überblick über die Normenreihe IEC 62443 gibt, die Ideen und Konzepte zusammenfasst sowie praktische Lösungen aufzeigt.
Defense-in-Depth: Ein ganzheitlicher Ansatz zum Schutz vor Cyberangriffen
Die Normenreihe IEC 62443 beschreibt im Teil 1-1 allgemeine Grundkonzepte, die die Schutzziele Verfügbarkeit und Integrität berücksichtigen.
Defense-in-Depth – im deutschsprachigen Raum auch als „Verteidigung in der Tiefe“ oder auch „gestaffelte Verteidigung“ bezeichnet – ist ein übergeordnetes Grundkonzept, das man sich als Mehrschichten-Modell (wie bei einer Zwiebel) gegen Cyberangriffe vorstellen kann.
Es beschreibt die Tatsache, dass Angreifer also nicht nur eine, sondern mehrere Sicherheitsmaßnahmen überwinden müssen, um an ihr Ziel zu gelangen. Ein umfassender Schutz ist aber nur möglich, wenn alle Beteiligten ihren Beitrag dazu liefern.
IEC 62443 beschreibt dazu drei Basisrollen: Hersteller, Integrator und Betreiber. Sie erläutert, wie die gemeinsame Strategie aller beteiligten Akteure im Bereich von industriellen Anlagen angewendet werden kann.
Als erste Schale und Grundvoraussetzung für alle nachfolgenden Schalen gilt, die Mitarbeiter für die Gefahren von Cyberangriffen zu sensibilisieren. Dazu gehören entsprechende Schulungen, aber auch klare Strukturen in der Organisation mit Rollen und Rechten. Neben diesen organisatorischen Maßnahmen, zählen auch der physische Schutz der Anlage sowie eine Zugangskontrolle zu den Grundvoraussetzungen für eine gestaffelte Verteidigung. Grundsätzlich ist es die Aufgabe des Betreibers, diese Maßnahmen umzusetzen.
Verteidigungsschalen, die der Integrator umsetzt, befinden sich auf der Netzwerk- oder Systemebene. Dazu zählen Maßnahmen, wie beispielsweise die Auslegung von „Zones und Conduits“, um geschützte Bereiche zu schaffen oder einen Zugriffsschutz mit Passwörtern zu installieren.
In der inneren Verteidigungsschale sind die Geräte und Komponenten von Bedeutung. Sicherheitsfunktionen gehören zu den Maßnahmen ebenso der kritische Blick auf den Entwicklungsprozess, in dem zum Beispiel Risikoanalysen, Programmierrichtlinien und Codeanalysen durchgeführt werden. Diese Verteidigungsschale ist dem Hersteller zuzuordnen.
Bei Defense-in-Depth handelt es sich jedoch weder um ein vollkommen neues Konzept noch um eines, welches speziell im Rahmen der Normenreihe IEC 62443 erarbeitet wurde. Als anschauliches Beispiel dient hierfür häufig das Bild einer mittelalterlichen Burg: Sie besteht aus einem tiefen Burggraben, einem schweren Burgtor und massiven Burgmauern. Ein Angreifer müsste also mehrere Schutzmaßnahmen überwinden, um die Burg einnehmen zu können.
Für eine industrielle Anlage gilt das analog: Auch hier sollte ein mehrschichtiges Konzept mit physischen und physikalischen Möglichkeiten erarbeitet werden, um die Anlage vor Angriffen zu schützen.
Mit dem DKE Newsletter sind Sie immer am Puls der Zeit! Monatlich ...
- fassen wir die wichtigsten Entwicklungen in der Normung kurz zusammen
- berichten wir über aktuelle Arbeitsergebnisse, Publikationen und Entwürfe
- informieren wir Sie bereits frühzeitig über zukünftige Veranstaltungen
Zones & Conduits ermöglichen einen individuellen Schutzbedarf
Für große oder komplexe Systeme ist es oft nicht angebracht, den gleichen Schutzbedarf für alle Komponenten zu verwenden, da diese unterschiedliche Bedrohungen und Risiken aufweisen. Unterschiede können durch das Konzept der „Sicherheitszone“ dargestellt werden. Eine Sicherheitszone ist eine logische Gruppierung von physikalischen Betrachtungsgegenständen, die den gleichen Schutzbedarf haben. Die Grenze der Sicherheitszone definiert, welche Komponenten innerhalb und welche außerhalb der Zone liegen.
In vernetzten Systemen können einzelne Komponenten meistens keine Funktionalität vollständig durchführen. Komponenten oder Teilsysteme sind auf Informationen von anderen angewiesen, die auch in unterschiedlichen Sicherheitszonen liegen können. Um den benötigten Informationsfluss in und aus einer Sicherheitszone zu gewährleisten, werden sogenannte Kommunikationsleitungen definiert. Diese Verbindungen zwischen Sicherheitszonen werden auch „Conduits“ genannt und haben die Aufgabe die Kommunikation zu sichern. Eine Kommunikation außerhalb von Conduits ist dabei nicht zulässig.
„Zones und Conduits“ am Beispiel der mittelalterlichen Burg:
Neben dem Burggraben, dem Burgtor und den Burgmauern werden Innerhalb der Burg weitere Zonen eingerichtet, die jeweils unterschiedliche Schutzbedarfe haben können. Gilt für das Burgtor beispielweise ein niedriger Schutzbedarf und für die königliche Behausung ein hoher Schutzbedarf, so muss auf Grundlage einer Bedrohungs- und Risikoanalyse auch der Weg vom Burgtor zur Behausung des Königs definiert werden – denn darüber könnte der Weg für Angriffe auf den König führen.
Die Conduits beziehen sich konkret auf die Kommunikationskanäle zwischen den Zonen. Informationen dürfen nur über die definierten Kanäle laufen. Am Beispiel der mittelalterlichen Burg wäre es dann so, dass nicht jeder Bewohner der Burg einfach mit dem König sprechen kann, weil das vom König nicht gewünscht und somit auch kein definierter Kanal ist.
Im "Leitfaden Industrial Security: IEC 62443 einfach erklärt" wird dieses Beispiel noch einmal im Detail dargestellt und ausführlicher erklärt.
Übertragen auf eine Anlage bedeutet das also, dass Sicherheitszonen und definierte Kommunikationskanäle nicht nur zwischen einzelnen OT-Infrastrukturen eingerichtet werden können, sondern auch innerhalb einzelner OT-Strukturen.
Securitylevel als Tool zur Umsetzung des Defense-in-Depth-Ansatzes
Das Konzept der Securitylevel wurde entworfen, um einen qualitativen Ansatz zur Bestimmung des Schutzes einer Zone oder eines Conduits zur Verfügung zu haben. Im Rahmen des ganzheitlichen Defense-in-Depth-Ansatzes stellen Securitylevel somit ein Hilfsmittel dar, mit denen sich das Sicherheitskonzept der „gestaffelten Verteidigung“ umsetzen lässt. Herstellern von Komponenten und Anlagenbetreibern soll ein Tool mit an die Hand gegeben werden, das es ihm ermöglicht, einschätzen zu können, wie hoch die Sicherheitsanforderungen an die Komponenten der Anlage sein sollten – angefangen bei Level 1 und ganz rudimentären Anforderungen bis hin zu Level 4 mit Schutzmaßnahmen für beispielsweise staatliche Institutionen. Die Spannweite dazwischen ist sehr groß und hängt stark von den finanziellen Mitteln ab, die für eine Umsetzung der Sicherheitsmaßnahmen zur Verfügung stehen.
Folgende vier Einstufungen der Securitylevel werden vorgenommen:
- Securitylevel 1: Schutz gegen ungewollte, zufällige Angriffe
- Securitylevel 2: Schutz gegen gewollte Angriffe mit einfachen Mitteln, niedrigem Aufwand, allgemeiner Expertise und niedriger Motivation
- Securitylevel 3: Schutz gegen gewollte Angriffe mit fortgeschrittenen Mitteln, mittlerem Aufwand, spezifischer Expertise und mittlerer Motivation
- Securitylevel 4: Schutz gegen gewollte Angriffe mit fortgeschrittenen Mitteln, erheblichem Aufwand, spezifischer Expertise und hoher Motivation
Das Securitylevel einer Anlage legt der Betreiber fest. Die unspezifischen Begriffe „niedrig“, „mittel“ etc. müssen ebenfalls vom Betreiber für den jeweiligen Betrachtungsgegenstand definiert werden.
Dem vorgelagert ist ein weiteres Konzept, nämlich das der Risiko- und Bedrohungsanalyse und. Ein Betreiber muss sich mit den Fragen auseinandersetzen, welchen Bedrohungen seine Anlage ausgesetzt sein kann und auf welchem Security er sich auf Grundlage der Bedrohungs- und Risikoanalyse befindet.
Redaktioneller Hinweis:
Die im Text aufgeführten Normen und den vorgestellten Leitfaden können Sie im VDE VERLAG erwerben.
Interessiert an weiteren Inhalten zu Industry?
Industry befasst sich mit Systemen und Produkten aus dem industriellen Bereich. Zentrales Thema ist beispielsweise zunehmend die Automation, da es in Zukunft verstärkt zu einem intelligenten Austausch zwischen Maschinen und Objekten kommt. Weitere Inhalte zu diesem und anderen industriellen Fachgebieten finden Sie im