Mann berührt Sperrschlüsselikone auf virtuellem Bildschirm
wladimir1804 / stock.adobe.com
23.05.2022 Kurzinformation

Nationale und internationale Motivation zur Verankerung von Cybersecurity im industriellen Umfeld

In der Normung wird international intensiv am Thema Cybersicherheit in der Industrie gearbeitet. Hinsichtlich des Zugangs zu Informationen oder der Anwendung von Normen wie der IEC 62443 in Unternehmen besteht aber noch Handlungsbedarf.

Im Interview erläutert Dr. Pierre Kobes unter anderem wichtige Schritte und Anforderungen an Unternehmen zur Integration von Cybersicherheit und der Norm IEC 62443.

Kontakt

Christian Seipel
Zuständiges Gremium

Interview mit Dr. Pierre Kobes

DKE: Wie haben sich Ihre Verbindung zu Industrial Security und der IEC 62443 sowie Ihr Normungsumfeld entwickelt?

Kobes: In meiner langjährigen Karriere bei Siemens war ich den letzten zehn Jahren für Standards, Regulierungen und Zertifizierungen der Automatisierungsbranche zuständig. In dieser Funktion habe ich als Mitglied der ISA99 (International Society for Automation) die heute wohl wesentlichen Teile der 62443-Serie mit entwickelt.

Nach wie vor bin ich an der Weiterentwicklung dieses Standards involviert. Ich leite beispielsweise die ISA99 Arbeitsgruppe, die für den Teil 2-2 „IACS Security Protection“ zuständig ist und bin in vielen anderen Gremien Mitglied.

Da wir uns bei Siemens früh auf die IEC 62443 als führender Standard für die Security im industriellen Umfeld festgelegt haben, gestaltete ich auch mehrere Projekte zur Umsetzung dieses Standards und der Integration von Security in der Firma mit.

DKE: Sie haben die ISA99 als das treibende Gremium des Standards genannt. Gilt das auch für die nationale, deutsche Seite bei DKE?

Kobes: Ja, denn zwischen der IEC – in dem Fall dem TC 65 – und der ISA99 wurde zum Thema Security vereinbart, dass die Dokumente in den ISA99 Standardisierungsgremien entwickelt und international abgestimmt werden. In der ISA99 besteht somit eine internationale Teilnahme.

In diesem Sinne ist die ISA99 nicht nur ein amerikanisches Nationalkomitee, sondern auch international für die TC 65 tätig. Die Teile des Standards werden parallel in der ISA und der IEC zur Abstimmung gegeben und hier kommt die DKE ins Spiel. Das DKE/UK 931.1 ist bekanntlich das Spiegelkomitee der TC 65 in diesem Umfeld.


Roboterarmmaschine der schweren Automatisierung in der intelligenten Fabrik industriell, Industrie 4.0-Konzeptbild
Pugun & Photo Studio / stock.adobe.com

IEC 62443: Die internationale Normenreihe für Cybersecurity in der Industrieautomatisierung

Die internationale Normenreihe IEC 62443 befasst sich mit der Cybersecurity von „Industrial Automation and Control Systems" (IACS) und verfolgt dabei einen ganzheitlichen Ansatz für Betreiber, Integratoren und Hersteller.

Mehr erfahren

Wie Industrial Security ganzheitlich im industriellen Umfeld integriert werden kann

DKE: Insbesondere in den letzten Jahren wurde die verstärkte Notwendigkeit von Industrial Security bemerkbar. Die Thematik ist durch die zunehmende Digitalisierung und das damit verbundene erhöhte Risiko vor Cyberangriffen weltweit zu einer Grundvoraussetzung geworden. Wie können es Unternehmen schaffen, diese Anforderung in den Kern ihres Geschäftes zu integrieren?

Kobes: Hier möchte ich zunächst auf die Organisation hinweisen. Es ist wichtig, dass bei den Firmen neben einem IT-Verantwortlichen auch für die industrielle Security – die Security im OT-Bereich – ein Verantwortlicher benannt wird. Des Weiteren ist es sehr sinnvoll, dass beide Organisationen unter einem Dach beziehungsweise einer Führung geleitet werden. Denn es gilt: IT und OT Security müssen Hand in Hand gehen.

Wenn es um die Inhalte geht, ist die erste Vorgabe, die Security im Bewusstsein der Mitarbeiter zu verankern. Sie müssen in ihrem täglichen Handeln die Security immer im Hinterkopf haben. Man sagt oft, dass mit diesem Bewusstsein bereits 50 Prozent der Security-Belange abgedeckt wird. Es geht zudem darum, die Security in allen wichtigen Geschäftsprozessen verbindlich zu integrieren. Bei Siemens haben wir beispielsweise ein wesentliches Projekt namens „Holistic Security Concept“ eingeführt. Holistic Security Concept ist ein ganzheitlicher Ansatz zur Verbesserung der Security in den Produkten.

Zum einen handelt es sich hierbei um die Integration der Security in den Entwicklungsprozess. Es geht darum, Security nicht nur in den klassischen Entwicklungsphasen, sondern im gesamten Lebenszyklus des Produktes zu verankern – auch wenn das Produkt auf dem Markt ist. Die Integration der Security in diesen Prozessen ist daher sehr wichtig, um die richtigen Security-Fähigkeiten in den Produkten anzubieten, aber auch um Angriffsmöglichkeiten in den Produkten durch Schwachstellen in der Software zu vermeiden.

Die andere Seite des Holistic Security Concept ist der Schutz des Entwicklungsumfeldes und der Produktionsumgebung gegen Manipulation. Hier setzen wir die gleichen Maßnahmen um, wie diejenigen, die wir unseren Kunden zum Schutz der industriellen Anlagen empfehlen. Ein solcher Ansatz ist aus meiner Sicht zielführend.

Umsetzung und Förderung der IEC 62443 – Deutschland im internationalen Vergleich

DKE: Als Leiter eines nationalen DKE Arbeitskreises zur IEC 62443 wissen Sie, dass es vermehrt zu Anfragen bezüglich einer Mitarbeit sowie zu aktuellen Informationen zum Stand der Normenreihe kommt. Ist das prinzipiell ein gutes Zeichen? Wie sehen Sie die weitere Mitarbeit in den Gremien?

Kobes: Ja, das ist natürlich ein gutes Zeichen, denn es zeigt, dass das Bewusstsein und der Wille, die Security im industriellen Umfeld zu verbessern, da ist und steigt. Die steigenden Zahlen zeigen aber auch, dass trotz der guten Arbeit von Organisationen wie der DKE nach wie vor auch ein größerer Wissensbedarf da ist. Und im Hinblick auf die in Zukunft sicherlich weiter steigenden Zahlen, müssen wir dann sehen, wie damit in Organisationen wie der DKE umgegangen wird.

DKE: Das ist ein wichtiger Punkt, dem wir als Normungsorganisation bereits nachgehen. Wir planen in DKE/UK 931.1 gewisse Umstrukturierungen, um der steigenden Anzahl an Anfragen besser nachkommen zu können.

Nun haben Sie Siemens bereits als Beispiel genannt. Gibt es noch weitere Beispiele in einem größeren, allgemeineren Kontext, die die Anwendung beziehungsweise Umsetzung der Norm in Deutschland verdeutlichen?

Kobes: Nach meinem Empfinden ist der Bekanntheitsgrad der IEC 62443 in Deutschland nicht zuletzt dank der DKE gut. Er ist bei Weitem nicht so weit, wie ich mir das wünsche, aber ich denke, dass wir uns in Deutschland bereits intensiv mit diesem Standard auseinandersetzen. Man beachte zum Beispiel die Beteiligung und das Interesse des DKE/UK 931.1 oder die Tatsache, dass Firmenverbände wie ZVEI oder VDMA den Standard seit Jahren fördern, indem sie Hilfestellungen für dessen Umsetzung erarbeiten. Auch Endanwender-Verbände wie die NAMUR behandeln dieses Thema in ihren Arbeitsgremien.

In Branchen außerhalb der Automatisierung wie zum Beispiel im Energiesektor, bei der Gebäudeautomation, im Bahnbereich oder in der Medizintechnik existieren ebenfalls Communities, die sich mit dem Standard auseinandersetzen.

In dieser Hinsicht denke ich durchaus, dass wir in Deutschland verglichen mit anderen Ländern eine große Aufmerksamkeit für den Standard haben. Auch wenn wir, wohl gemerkt, noch nicht am Ende sind.

DKE: Und das ist auch ein Grund, weshalb wir die VDE DKE Tagung Industrial Security durchführen wollen. Um, wie Sie sagen, das Thema zu puschen, hervorzuheben und die Anwendung der IEC 62443 zu stärken.


Newsletter in Tablet liegt auf einer Tastatur
Coloures-Pic / stock.adobe.com

Mit dem DKE Newsletter sind Sie immer am Puls der Zeit!

In unserem monatlich erscheinenden Newsletter ...

  • fassen wir die wichtigsten Entwicklungen in der Normung kurz zusammen
  • berichten wir über aktuelle Arbeitsergebnisse, Publikationen und Entwürfe
  • informieren wir Sie bereits frühzeitig über zukünftige Veranstaltungen
Ich möchte den DKE Newsletter erhalten!

Die IEC 62443 richtig umsetzen – Normung als Kochrezept?

DKE: Wie würden Sie im Hinblick auf das hohe Normungsinteresse die Normungsarbeit im Bereich Industrial Security und IEC 62443 aus Sicht von Unternehmen einordnen? Welche Möglichkeiten ergeben sich?

Kobes: Zum einen ist es prinzipiell für jedes industrielle Unternehmen gut, die Inhalte der IEC 62443 zu kennen. Die Benennung eines Experten oder einer Expertin, der oder die die Inhalte verinnerlicht, ist in jeder Firma sinnvoll. Die veröffentlichten Standards sind schließlich bei IEC oder ISA zugänglich.

Zum anderen eröffnet eine Mitarbeit in der DKE oder in den Standardisierungsgremien den Zugang zu Vorabversionen, was ebenfalls sehr wichtig ist, da Standardisierungsprozesse langwierig sein können. Die Inhalte der Dokumente, die am Ende veröffentlicht werden, stehen hingegen mit hoher Wahrscheinlichkeit mehrere Jahre vorher zu einem Großteil fest. Und je früher man diese Inhalte kennt, desto besser, denn es braucht Zeit, bis die entsprechende Security in der Firma integriert ist.

Der Standard ist eine Sache. Er liefert den Rahmen und eine Struktur, an der man sich orientieren kann. Aber es sollte nicht erwartet werden, dass er eins zu eins umgesetzt werden kann. Das wäre ein Kochrezept und dieses gibt es nicht.

Wichtig ist, nicht abzuwarten, bis alle Teile des Standards veröffentlicht sind, denn eine stabile Version einer Security-Normenreihe wird es nie geben. Unternehmen sollten daher so früh wie möglich die Integration der Security im industriellen Umfeld vorantreiben.

DKE: Sie haben Hilfestellungen und ein „Kochrezept“ für die Umsetzung des Standards erwähnt. Immer wieder gibt es Rufe nach einem solchen Rezept für die Anwendung der IEC 62443. Wird es sowas in Zukunft geben oder denken Sie, dass das nicht zielführend ist?

Kobes: Ich glaube, es wird nie ein Kochrezept für Schutzmaßnahmen gegen Cyberbedrohungen geben. Das wäre eine Vorlage für Angreifer, die überlegen können, wo sie ansetzen müssen, um ein solches Kochrezept zu umgehen.

Man kann hingegen aber die Vorgehensweise bei der Erstellung von Schutzkonzepten und Schutzmaßnahmen beschreiben. Genauer gesagt, die Beschreibung der Phasen in dieser Vorgehensweise, der Aktivitäten in diesen Phasen und der Beiträge und Verantwortungen der verschiedenen Akteure, seien es Hersteller, Integratoren oder Betreiber. Das ist das Thema der Arbeitsgruppe der ISA99, die ich aktuell leite. Aus meiner Sicht könnte das als ein Kochrezept angesehen werden.

Gutes Ingenieurwissen steht über allem

DKE: Wir haben nun viel über den Inhalt und die aktive Weiterentwicklung des Standards gesprochen. Ist nicht auch ein weiterer wichtiger Aspekt, sich mit anderen Fachleuten zu vernetzen und eine Art Austauschplattform zu haben? Wenn wir an die verschiedenen Rollen von Herstellern, Integratoren und Betreibern denken, haben sie alle schlussendlich ähnliche Probleme. Wie sehen Sie das? Hilft hier der Plattform-Gedanke, sei es in Form der ISA99, dem TC 65 oder der DKE, um ein besseres Bewusstsein und Verständnis zu erreichen?

Kobes: Auf jeden Fall. Bei der DKE setzen wir uns sehr intensiv mit Standardisierungsthemen auseinander. Auch haben wir die Arbeitskreise, in denen wir uns über die Inhalte austauschen. Die bereits genannten Gremienverbände bieten ebenfalls eine Plattform, um sich gegenseitig in der Vorgehensweise zu motivieren oder zu beratschlagen. Das ist mit Sicherheit eine wesentliche Möglichkeit, um weiterzukommen.

DKE: Wie bewerten Sie Normen und Standards im Vergleich zu anderen Mitteln, um Industrial Security in einem Unternehmen umzusetzen? Gibt es Alternativen?

Kobes: Es gibt eine ganze Reihe von Normen oder Standards, die die Umsetzungsprojekte in einem Unternehmen unterstützen. Grundsätzlich gilt aber ein Kürzel, das mein ehemaliger Chef oft verwendet hat: GMV – Gesunder Menschenverstand.

Schutzkonzepte basieren auf der Einschätzung von möglichen Bedrohungsszenarien und der Entwicklung von Gegenmaßnahmen, um diese Bedrohungsszenarien zu verhindern oder, wenn nicht möglich, eine negative Auswirkung zu unterbinden. Hier ist ein gutes Wissen über die aktuelle Bedrohungslage der sogenannten „threat intelligence“ wichtig. Im Internet gibt es genügend Möglichkeiten, sich darüber zu informieren und es gibt auch Firmen, die sich dafür spezialisiert haben.

Dann gilt es, Gegenmaßnahmen zu entwickeln. Diese müssen nicht immer komplex sein. Gutes Ingenieurwissen ist hier gefragt. Zum Beispiel, um sich gegen sogenannten „Brute Force“ Attacken zum Erraten von Passwörtern zu schützen. Hier kann eine immer länger werdende Verzögerung zwischen zwei nacheinander fehlgeschlagenen Anmeldungen schon ausreichen.

VDE DKE Tagung Industrial Security – ein Beitrag zur Akzeptanz der IEC 62443 in Europa und weltweit

DKE: Wir hatten eingangs bezüglich der Sichtbarkeit des Standards bereits die VDE DKE Fachtagung erwähnt, die vom 21. bis 22. September 2022 stattfindet und das Thema Industrial Security und IEC 62443 behandelt. Was können Sie uns als Tagungsleiter zur Motivation dieser Veranstaltung sagen?

Kobes: Es liegt in Deutschland bei den deutschen Security-Experten viel Wissen über den Standard sowie allgemein über die Cybersecurity im industriellen Umfeld vor. Die Teilnehmer der Tagung werden viele Impulse und Ideen zur Erstellung von Schutzkonzepten mitnehmen. Der Lernfaktor wird hoch sein.

Wir haben uns drei Schwerpunkte gesetzt. Einerseits wird es um die Frage gehen, wo wir bei der Entwicklung der Cybersecurity stehen und wo wir hinmüssen. Wir werden einen Überblick über die Struktur, den Inhalt und den Nutzen des Standards geben und aufzeigen, welche Erwartungen an die IEC 62443 gestellt werden können und welche nicht. Andererseits werden wir die Umsetzung des Standards in verschiedenen Branchen und Industriesektoren beleuchten. Zum Schluss wird es dann außerdem um das politische Umfeld und Regulierungen bei der Industrial Security gehen.

DKE: Es handelt sich bei der Tagung um eine nationale Veranstaltung in Deutschland. Wie schätzen Sie ihren Nutzen auf internationaler Ebene ein? Gibt es ähnliche Tagungen aus anderen Ländern oder Regionen?

Kobes: Ja, zum Beispiel ist im Juni die 62443 Thema einer fünftägigen Veranstaltung des Smart Grid Forums in Edinburgh, der sogenannten „IEC 62443 Week 2022“. Deutschland ist in Europa neben Großbritannien und Frankreich ein gewichtiger Mitspieler bei den Standards und insbesondere bei Industrial Security. Die Stimme von Deutschland ist weltweit wichtig und gewichtig. In diesem Sinne trägt die VDE DKE Tagung Industrial Security zur Erhöhung der Akzeptanz der IEC 62443 in Europa und weltweit bei.

DKE: In diesem Sinne wird es höchste Zeit, dass wir die Tagung endlich stattfinden lassen. Wir freuen uns schon darauf! Herr Kobes, vielen Dank für das Gespräch!


VDE-Illustration zum Thema Cyber Security
VDE

VDE DKE Fachtagung Industrial Security

Industrial Security wird zunehmend wichtiger für ein erfolgreiches Industrieunternehmen – die VDE DKE-Fachtagung zeigt, wie es geht! Seit etwa 10 Jahren gibt es die ersten Teile der Normenreihe IEC 62443, die Konzepte und Anforderungen für eine ganzheitliche Betrachtung der Security in der Industrieautomation beschreiben. Doch wie geht es weiter?

Jetzt zur Fachtagung anmelden

Wir bedanken uns für dieses Interview bei

Dr. Pierre Kobes - Portrait

Dr. Pierre Kobes

Seit 2020 ist Pierre Kobes selbstständig als Consultant für Cybersecurity tätig. Er ist aktives Mitglied in der elektrotechnischen Normung und leitet beispielsweise die Arbeitsgruppe IACS Security Protection. In seiner Normungsfunktion hat er maßgeblich zur Erarbeitung der IEC 62443 beigetragen und ist bis heute an dessen Weiterentwicklung involviert.

Dr. Pierre Kobes - Portrait

Seit 2020 ist Pierre Kobes selbstständig als Consultant für Cybersecurity tätig. Er ist aktives Mitglied in der elektrotechnischen Normung und leitet beispielsweise die Arbeitsgruppe IACS Security Protection. In seiner Normungsfunktion hat er maßgeblich zur Erarbeitung der IEC 62443 beigetragen und ist bis heute an dessen Weiterentwicklung involviert.

Dieser Artikel ist in der englischen Original-Version zunächst auf LinkedIn erschienen.


Interessiert an weiteren Inhalten zu Industry?

Fokusbild Inudstry

Industry befasst sich mit Systemen und Produkten aus dem industriellen Bereich. Zentrales Thema ist beispielsweise zunehmend die Automation, da es in Zukunft verstärkt zu einem intelligenten Austausch zwischen Maschinen und Objekten kommt. Weitere Inhalte zu diesem und anderen industriellen Fachgebieten finden Sie im

DKE Arbeitsfeld Industry

Relevante News und Hinweise zu Normen