Nationale und internationale Motivation zur Verankerung von Cybersecurity im industriellen Umfeld

DKE: Wie haben sich Ihre Verbindung zu Industrial Security und der IEC 62443 sowie Ihr Normungsumfeld entwickelt?

Kobes: In meiner langjährigen Karriere bei Siemens war ich den letzten zehn Jahren für Standards, Regulierungen und Zertifizierungen der Automatisierungsbranche zuständig. In dieser Funktion habe ich als Mitglied der ISA99 (International Society for Automation) die heute wohl wesentlichen Teile der Normenreihe IEC 62443 mit entwickelt. Nach wie vor bin ich an der Weiterentwicklung dieses Standards involviert. Ich leite beispielsweise die ISA99 Arbeitsgruppe, die für den Teil 2-2 „IACS Security Protection“ zuständig ist und bin in vielen anderen Gremien Mitglied.

Da wir uns bei Siemens früh auf die IEC 62443 als führender Standard für die Security im industriellen Umfeld festgelegt haben, gestaltete ich auch mehrere Projekte zur Umsetzung dieses Standards und der Integration von Security in der Firma mit.

DKE: Sie haben die ISA99 als das treibende Gremium der Normenreihe genannt. Gilt das auch für die nationale Seite bei DKE?

Kobes: Ja, denn zwischen der IEC – in dem Fall dem IEC/TC 65 – und der ISA99 wurde zum Thema Security vereinbart, dass die Dokumente in den ISA99-Standardisierungsgremien erarbeitet und international abgestimmt werden. In der ISA99 besteht somit eine internationale Teilnahme.

In diesem Sinne ist die ISA99 nicht nur ein amerikanisches Nationalkomitee, sondern auch international für IEC/TC 65 tätig. Die Teile der IEC 62443 werden parallel in der ISA und der IEC zur Abstimmung gegeben. Und hier kommt die DKE ins Spiel, denn DKE/UK 931.1 ist bekanntlich das Spiegelkomitee von IEC/TC 65 in diesem Umfeld.

VDE DKE Tagung Industrial Security 2023

Vom 12. bis 13. Juni 2023 fand die erste VDE DKE Tagung Industrial Security statt. Mehr als 100 interessierte Teilnehmende kamen zur Veranstaltung in die Manufaktur in Mannheim. Diskutiert wurde unter anderem der aktuelle Stand zur internationalen Normenreihe IEC 62443 sowie der anstehende EU Cyber Resilience Act und seine Auswirkungen auf betroffene Unternehmen.

Wie Industrial Security ganzheitlich im industriellen Umfeld integriert werden kann

DKE: Insbesondere in den letzten Jahren wurde die verstärkte Notwendigkeit von Industrial Security bemerkbar. Die Thematik ist durch die zunehmende Digitalisierung und das damit verbundene erhöhte Risiko vor Cyberangriffen weltweit zu einer Grundvoraussetzung geworden. Wie können es Unternehmen schaffen, diese Anforderung in den Kern ihres Geschäftes zu integrieren?

Kobes: Hier möchte ich zunächst auf die Organisation hinweisen. Es ist wichtig, dass bei den Firmen neben einem IT-Verantwortlichen auch für die industrielle Security – die Security im OT-Bereich – ein Verantwortlicher benannt wird. Weiterhin ist es sehr sinnvoll, dass beide Organisationen unter einem Dach bzw. einer Führung geleitet werden. Denn es gilt: IT und OT Security müssen Hand in Hand gehen.

Wenn es um die Inhalte geht, ist die erste Vorgabe, die Security im Bewusstsein der Mitarbeiter zu verankern. Sie müssen in ihrem täglichen Handeln die Security immer im Hinterkopf haben. Man sagt oft, dass mit diesem Bewusstsein bereits 50 Prozent der Security-Belange abgedeckt wird. Es geht zudem darum, die Security in allen wichtigen Geschäftsprozessen verbindlich zu integrieren. Bei Siemens haben wir beispielsweise ein wesentliches Projekt namens „Holistic Security Concept“ eingeführt. Holistic Security Concept ist ein ganzheitlicher Ansatz zur Verbesserung der Security in den Produkten.

Zum einen handelt es sich um die Security-Integration in den Entwicklungsprozess. Es geht darum, Security nicht nur in den klassischen Entwicklungsphasen, sondern im gesamten Lebenszyklus des Produktes zu verankern – auch wenn das Produkt auf dem Markt ist. Die Integration der Security in diesen Prozessen ist daher sehr wichtig, um die richtigen Security-Fähigkeiten in den Produkten anzubieten, aber auch um Angriffsmöglichkeiten in den Produkten durch Schwachstellen in der Software zu vermeiden.

Die andere Seite des Holistic Security Concept ist der Schutz des Entwicklungsumfeldes und der Produktionsumgebung gegen Manipulation. Hier setzen wir die gleichen Maßnahmen um, wie diejenigen, die wir unseren Kunden zum Schutz der industriellen Anlagen empfehlen. Ein solcher Ansatz ist aus meiner Sicht zielführend.

Umsetzung und Förderung der IEC 62443 – Deutschland im internationalen Vergleich

DKE: Als Leiter eines nationalen DKE Arbeitskreises zur IEC 62443 wissen Sie, dass es vermehrt zu Anfragen bezüglich einer Mitarbeit sowie zu aktuellen Informationen zum Stand der Normenreihe kommt. Ist das prinzipiell ein gutes Zeichen? Wie sehen Sie die weitere Mitarbeit in den Gremien?

Kobes: Ja, das ist natürlich ein gutes Zeichen, denn es zeigt, dass das Bewusstsein und der Wille, die Security im industriellen Umfeld zu verbessern, da ist und steigt. Die steigenden Zahlen zeigen aber auch, dass trotz der guten Arbeit von Organisationen wie der DKE nach wie vor auch ein größerer Wissensbedarf da ist. Und im Hinblick auf die in Zukunft sicherlich weiter steigenden Zahlen, müssen wir sehen, wie damit in Organisationen wie der DKE umgegangen wird.

DKE: Nun haben Sie Siemens bereits als Beispiel genannt. Gibt es noch weitere Beispiele in einem größeren, allgemeineren Kontext, die die Anwendung bzw. Umsetzung der Norm in Deutschland verdeutlichen?

Kobes: Nach meinem Empfinden ist der Bekanntheitsgrad der IEC 62443 in Deutschland nicht zuletzt dank der DKE gut. Er ist bei Weitem nicht so weit, wie ich mir das wünschen würde, aber ich denke, dass wir uns in Deutschland bereits intensiv mit diesem Standard auseinandersetzen. Man beachte zum Beispiel die Beteiligung und das Interesse des DKE/UK 931.1 oder die Tatsache, dass Firmenverbände wie ZVEI oder VDMA den Standard seit Jahren fördern, indem sie Hilfestellungen für dessen Umsetzung erarbeiten. Auch Endanwender-Verbände wie die NAMUR behandeln dieses Thema in ihren Arbeitsgremien.

In Branchen außerhalb der Automatisierung, wie im Energiesektor, bei der Gebäudeautomation, im Bahnbereich oder in der Medizintechnik, existieren ebenfalls Communities, die sich mit dem Standard auseinandersetzen. In dieser Hinsicht denke ich durchaus, dass wir in Deutschland, verglichen mit anderen Ländern, eine große Aufmerksamkeit für den Standard haben. Auch wenn wir, wohl gemerkt, noch nicht am Ende sind.

Mit unserem DKE Newsletter sind Sie immer top informiert! Monatlich ...

• fassen wir die wichtigsten Entwicklungen in der Normung kurz zusammen
• berichten wir über aktuelle Arbeitsergebnisse, Publikationen und Entwürfe
• informieren wir Sie bereits frühzeitig über zukünftige Veranstaltungen

Die IEC 62443 richtig umsetzen – Normung als Kochrezept?

DKE: Wie würden Sie im Hinblick auf das hohe Normungsinteresse die Normungsarbeit im Bereich Industrial Security und IEC 62443 aus Sicht von Unternehmen einordnen? Welche Möglichkeiten ergeben sich?

Kobes: Zum einen ist es prinzipiell für jedes industrielle Unternehmen gut, die Inhalte der IEC 62443 zu kennen. Die Benennung eines Experten oder einer Expertin, der oder die die Inhalte verinnerlicht, ist in jeder Firma sinnvoll. Die veröffentlichten Standards sind schließlich bei IEC oder ISA zugänglich.

Zum anderen eröffnet eine Mitarbeit in der DKE oder in den Standardisierungsgremien den Zugang zu Vorabversionen, was ebenfalls sehr wichtig ist, da Standardisierungsprozesse langwierig sein können. Die Inhalte der Dokumente, die am Ende veröffentlicht werden, stehen hingegen mit einer sehr hohen Wahrscheinlichkeit mehrere Jahre vorher zu einem Großteil fest. Und je früher man diese Inhalte kennt, desto besser, denn es braucht einige Zeit, bis die entsprechende Security in der Firma integriert ist.

Der Standard ist eine Sache. Er liefert den Rahmen und eine Struktur, an der man sich orientieren kann. Aber es sollte nicht erwartet werden, dass er eins zu eins umgesetzt werden kann. Das wäre ein Kochrezept und dieses gibt es nicht. Wichtig ist, nicht abzuwarten, bis alle Teile des Standards veröffentlicht sind, denn eine stabile Version einer Security-Normenreihe wird es nie geben. Unternehmen sollten daher auch so früh wie möglich die Integration der Security im industriellen Umfeld vorantreiben.

DKE: Sie haben Hilfestellungen und ein „Kochrezept“ für die Umsetzung des Standards erwähnt. Immer wieder gibt es Rufe nach einem solchen Rezept für die Anwendung der IEC 62443. Wird es sowas in Zukunft geben oder denken Sie, dass das nicht zielführend ist?

Kobes: Ich glaube, es wird nie ein Kochrezept für Schutzmaßnahmen gegen Cyberbedrohungen geben. Das wäre eine Vorlage für Angreifer, die überlegen können, wo sie ansetzen müssen, um ein solches Kochrezept zu umgehen.

Man kann hingegen aber die Vorgehensweise bei der Erstellung von Schutzkonzepten und Schutzmaßnahmen beschreiben. Genauer gesagt, die Beschreibung der Phasen in dieser Vorgehensweise, der Aktivitäten in diesen Phasen und der Beiträge und Verantwortungen der verschiedenen Akteure, seien es Hersteller, Integratoren oder Betreiber. Das ist das Thema der Arbeitsgruppe der ISA99, die ich aktuell leite. Aus meiner Sicht könnte das als ein Kochrezept angesehen werden.

Gutes Ingenieurwissen steht über allem

DKE: Wir haben viel über den Inhalt und die aktive Weiterentwicklung des Standards gesprochen. Ist nicht auch ein weiterer wichtiger Aspekt, sich mit anderen Fachleuten zu vernetzen und eine Art Austauschplattform zu haben? Hilft der Plattform-Gedanke, sei es in Form der ISA99, dem IEC/TC 65 oder der DKE, um ein besseres Bewusstsein und Verständnis zu erreichen?

Kobes: Auf jeden Fall. Bei der DKE setzen wir uns intensiv mit Standardisierungsthemen auseinander. Auch haben wir die Arbeitskreise, in denen wir uns über die Inhalte austauschen. Die bereits genannten Gremienverbände bieten ebenfalls eine Plattform, um sich gegenseitig in der Vorgehensweise zu motivieren oder zu beratschlagen. Das ist mit Sicherheit eine wesentliche Möglichkeit, um weiterzukommen.

DKE: Wie bewerten Sie Normen und Standards im Vergleich zu anderen Mitteln, um Industrial Security in einem Unternehmen umzusetzen?

Kobes: Es gibt eine ganze Reihe von Normen oder Standards, die die Umsetzungsprojekte in einem Unternehmen unterstützen. Grundsätzlich gilt aber ein Kürzel, das mein ehemaliger Chef oft verwendet hat: GMV – Gesunder Menschenverstand.

Schutzkonzepte basieren auf der Einschätzung von möglichen Bedrohungsszenarien und der Entwicklung von Gegenmaßnahmen, um diese Bedrohungsszenarien zu verhindern oder, wenn nicht möglich, eine negative Auswirkung zu unterbinden. Hier ist ein gutes Wissen über die aktuelle Bedrohungslage der sogenannten „threat intelligence“ wichtig. Im Internet gibt es genügend Möglichkeiten, sich darüber zu informieren und es gibt auch Firmen, die sich dafür spezialisiert haben.

Dann gilt es, Gegenmaßnahmen zu entwickeln. Diese müssen nicht immer komplex sein. Gutes Ingenieurwissen ist hier gefragt. Zum Beispiel, um sich gegen sogenannten „Brute Force“-Attacken zu schützen. Hier kann schon eine immer länger werdende Verzögerung zwischen zwei nacheinander fehlgeschlagenen Anmeldungen ausreichen.

Guideline Industrial Security: IEC 62443 is easy (Englisch; eBook)

Die Bedeutung von Schutzkonzepten wächst mit zunehmenden Angriffen von außen. Betreiber kritischer Infrastrukturen müssen Mindeststandards der IT-Sicherheit einhalten und ihre Anlagen vor Cyberangriffen schützen. Wirksame Schutzkonzepte lassen sich jedoch nur mit einer Reihe von organisatorischen und technischen Maßnahmen umsetzen.

Der Leitfaden hat das Ziel, den Ansatz für den Einsatz von Schutzkonzepten zu vereinfachen, indem er einen Überblick über die Normenreihe IEC 62443 gibt, die Ideen und Konzepte zusammenfasst sowie praktische Lösungen aufzeigt.

VDE DKE Tagung Industrial Security – ein Beitrag zur Akzeptanz der IEC 62443 in Europa und weltweit

DKE: Wir hatten eingangs bezüglich der Sichtbarkeit des Standards bereits die VDE DKE Fachtagung Industrial Security erwähnt. Was können Sie uns als Tagungsleiter zur Motivation dieser Veranstaltung sagen?

Kobes: Es liegt in Deutschland bei den deutschen Security-Experten viel Wissen über den Standard sowie allgemein über die Cybersecurity im industriellen Umfeld vor. Die Teilnehmenden der Tagung werden viele Impulse und Ideen zur Erstellung von Schutzkonzepten mitnehmen. Der Lernfaktor wird hoch sein.

Wir haben uns drei Schwerpunkte gesetzt. Einerseits wird es um die Frage gehen, wo wir bei der Entwicklung der Cybersecurity stehen und wo wir hinmüssen. Wir werden einen Überblick über die Struktur, den Inhalt und den Nutzen des Standards geben und aufzeigen, welche Erwartungen an die IEC 62443 gestellt werden können und welche nicht. Andererseits werden wir die Umsetzung des Standards in verschiedenen Branchen und Industriesektoren beleuchten. Zum Schluss wird es dann außerdem um das politische Umfeld und Regulierungen bei der Industrial Security gehen.

DKE: Es handelt sich bei der Tagung um eine nationale Veranstaltung in Deutschland. Wie schätzen Sie ihren Nutzen auf internationaler Ebene ein? Gibt es ähnliche Tagungen aus anderen Ländern oder Regionen?

Kobes: Ja, zum Beispiel ist im Juni die 62443 Thema einer fünftägigen Veranstaltung des Smart Grid Forums in Edinburgh, der sogenannten „IEC 62443 Week 2022“. Deutschland ist in Europa neben Großbritannien und Frankreich ein gewichtiger Mitspieler bei den Standards und insbesondere bei Industrial Security. Die Stimme von Deutschland ist weltweit wichtig und gewichtig. In diesem Sinne trägt die VDE DKE Tagung Industrial Security zur Erhöhung der Akzeptanz der Normenreihe IEC 62443 in Europa und weltweit bei.

DKE: Herr Kobes, vielen Dank für das Gespräch!

Redaktioneller Hinweis:

Das Interview mit Dr. Pierre Kobes entstand im Rahmen der Planung für die ausgefallene VDE DKE Tagung Industrial Security 2022. Die Inhalte aus diesem Interview haben an Aktualität aber nicht verloren und werden bei der VDE DKE Tagung Industrial Security 2023 erneut aufgegriffen.

Dieser Interview ist in der englischen Original-Version zunächst auf dem LinkedIn-Kanal der DKE erschienen.

Die im Text aufgeführten Normen und Standards können Sie im VDE VERLAG erwerben.

Industry befasst sich mit Systemen und Produkten aus dem industriellen Bereich. Zentrales Thema ist beispielsweise zunehmend die Automation, da es in Zukunft verstärkt zu einem intelligenten Austausch zwischen Maschinen und Objekten kommt. Weitere Inhalte zu diesem und anderen industriellen Fachgebieten finden Sie im