IEC 62443 entwickelt sich zum Horizontalstandard

DKE: Herr Weber, stellen Sie sich unseren Leserinnen und Lesern bitte kurz vor: Wer sind Sie und was machen Sie?

Weber: Mein Name ist Ingo Weber und ich arbeite bei Siemens in Karlsruhe im Bereich Digital Industries. Über die internationalen Normen IEC 61131-3 PLC Programmierung und IEC 61804 Electronic Device Description Language (EDDL) bin ich zur Normung und Standardisierung gekommen. Von 2011 bis 2016 war ich deutscher Sprecher für das internationale Gremium IEC/TC 65 Industrial-process measurement, control and automation. Seit 2016 bin ich Vorsitzender von IEC/TC 65.

Security spielt innerhalb von IEC/TC 65 mittlerweile eine Hauptrolle. Das sehen wir insbesondere auch am internationalen Interesse an diesem Thema. Die Hauptarbeitsgruppe besteht aus ca. 150 Mitgliedern, verteilt auf etwa 25 Länder.

JAG 26 sammelt Anforderungen zur Weiterentwicklung der Normenreihe IEC 62443

DKE: Sie arbeiten bereits seit vielen Jahren in der Normung und sind unter anderem Vorsitzender einer neu gegründeten Arbeitsgruppe im internationalen Gremium IEC/TC 65. Welche Aufgabe hat diese Gruppe und welche Ziele verfolgt sie?

Weber: Sie meinen die Arbeitsgruppe JAG 26 Horizontal OT Security. JAG steht hier für Joint Advisory Group. Die Gruppe besteht aus 25 Vertreterinnen und Vertretern anderer Komitees und aus IEC/TC 65.

Um die Aufgabe zu beschreiben, muss ich etwas weiter ausholen. Für den Industriesektor hat IEC/TC 65 in Zusammenarbeit mit ISA-99 eine Normenreihe für Security entwickelt die heute aus zehn veröffentlichten Teilen besteht. Fünf weitere Normteile sind bereits in Arbeit. Die ersten Teile dieser Normenreihe wurden bereits 2009 publiziert.

Sektoren außerhalb der Industrie haben im Laufe der Zeit ebenfalls Interesse an der Normenreihe gezeigt und die Entwicklung durch ihre Mitarbeit unterstützt. Da aber in den unterschiedlichen Sektoren, z. B. im Bahnbereich oder in der Medizintechnik, spezifische Begriffe und Anforderungen existieren, haben einige dieser Sektoren eigene Security Standards entwickelt, die auf die Normenreihe IEC 62443 als Basis verweisen.

Mit der im Jahr 2022 gegründeten JAG 26 arbeiten wir seitdem daran, die Anforderungen der Komitees zu sammeln und sie zu einer Grundlage für die Weiterentwicklung der Normenreihe IEC 62443 zu machen. Stand heute sind in der JAG 26 die Sektoren Industrie, Medizin, Energy, Wind, Solar, Building, Beleuchtung, Wearable Devices, Mobility und Transport vertreten.

Daran lässt sich erkennen, wie hoch der Bedarf an einer Weiterentwicklung der IEC 62443 ist und welchen Stellenwert die Normenreihe weltweit einnimmt.

Mit unserem DKE Newsletter sind Sie immer top informiert! Monatlich ...

• fassen wir die wichtigsten Entwicklungen in der Normung kurz zusammen
• berichten wir über aktuelle Arbeitsergebnisse, Publikationen und Entwürfe
• informieren wir Sie bereits frühzeitig über zukünftige Veranstaltungen

Normenreihe IEC 62443 ermöglicht spezifische Security nach dem Baukasten-Prinzip

DKE: Industrieautomatisierung, Bahnsektor, Kernenergie, Medizintechnik – die Normenreihe IEC 62443 findet eine breite Anwendung und scheint in der Praxis bereits als „Horizontaler Standard“ akzeptiert zu ein. Auf dem Papier ist das allerdings noch nicht der Fall. Was macht eine Horizontalnorm formal zu einer Horizontalnorm?

Weber: Wir haben mit der IEC 62443 die Idee verfolgt, einen Baukasten für Security zu entwickeln. Das Baukasten-Prinzip soll abhängig vom Sektor bzw. Anwendungsgebiet genutzt werden können. Das Zusammenstellen der erforderlichen Security-Anforderungen erfolgt dann individuell und unter Berücksichtigung des jeweiligen Einsatzgebiets.

Genau das haben die Komitees gemacht: Sie haben nur die Teile aus der Normreihe referenziert, die sie auch gebraucht haben. In ihren eigenen Standards haben sie inhaltlich noch das ergänzt, was ihnen in der IEC 62443 fehlte.

Die Abbildung zeigt, mit welchen Standards verschiedene Sektoren auf IEC 62443 referenzieren. Dabei werden in der Regel nur einzelne Teile referenziert. Profile gemäß IEC 62443-1-5 können in Zukunft helfen, eine klare Struktur zu erzeugen.

Derzeit wird mit dem IEC-Sekretariat geklärt, wie die Normenreihe IEC 62443 als Horizontalstandard klassifiziert werden kann.

Kommentierungen kosten wertvolle Zeit, verbessern aber auch die Qualität und Vollständigkeit

DKE: Aus unseren Vorgesprächen wurde deutlich: Es gibt noch Diskussionspotenzial in der Arbeitsgruppe. Wo liegen die Diskussionspunkte und welchen Standpunkt vertritt das nationale Gremium DKE/UK 931.1 hierbei?

Weber: Die Entwicklung der Normenreihe IEC 62443 ist ein aufwendiger Prozess, bei dem Dokumente mehrfach zur Kommentierung und Abstimmung verteilt werden. Dabei erhalten wir in der Regel jeweils mehrere Hundert Kommentare. Die Kommentare werden zunächst den Themengebieten zugeordnet. Dann wird einzeln beschlossen, ob und welche Änderungen daraus abgeleitet werden. Es kostet viele Monate Arbeit, bevor ein Folgedokument erstellt ist. Hierbei besteht die große Gefahr, dass Dokumente schon gebraucht werden, bevor sie überhaupt fertig sind.

Durch die Einbeziehung der interessierten Komitees entstehen potenziell weitere Kommentare. Sie ahnen es bereits: Die weitere Bearbeitung könnte erneut verlangsamt werden. Auf der anderen Seite müssen wir klar sagen: Kommentare sind unglaublich wertvoll, um die Qualität und Vollständigkeit zu verbessern.

Das nationale Spiegelgremium, DKE/UK 931.1, sieht die anhaltenden Verzögerungen bei der weiteren Entwicklung sehr kritisch, da wir gleichzeitig auch die Anforderungen der EU-Regulierung noch nicht abdecken. Zur Entkopplung der Arbeiten wird für die EU-Regulierungsanforderungen zunächst ein eigener EU-Standard entwickelt. Inhalte dieses EU-Standards werden dann zu einem späteren Zeitpunkt wieder in die Normenreihe IEC 62443 integriert.

VDE DKE Tagung Industrial Security 2023

Vom 12. bis 13. Juni 2023 fand die erste VDE DKE Tagung Industrial Security statt. Mehr als 100 interessierte Teilnehmende kamen zur Veranstaltung in die Manufaktur in Mannheim. Diskutiert wurde unter anderem der aktuelle Stand zur internationalen Normenreihe IEC 62443 sowie der anstehende EU Cyber Resilience Act und seine Auswirkungen auf betroffene Unternehmen.

Agenda für 2024: Joint Teams für übergreifende Themen und zwei neue Veröffentlichungen

DKE: Die Normenreihe IEC 62443 als horizontalen Standard zu etablieren ist ein herausforderndes Verlangen. Wie sieht der aktuelle Zeitplan für das Projekt aus? Welche Aufgaben stehen 2024 an?

Weber: Wir haben einige Maßnahmen beschlossen, um unsere Entwicklungsprozesse zu verbessern und die die Effizienz insgesamt zu steigern. Mit unserem Liaison-Partner ISA-99 haben wir vereinbart, dass wir für alle Normteile der IEC 62443 separate Joint Teams etablieren. Das ist weitgehend umgesetzt. Durch eine bessere Aufgabenverteilung soll eine weitere Verbesserung erreicht werden. Übergreifende Themen sollen in eigenen Joint Teams geklärt werden.

Wir wollen dieses Jahr die Arbeiten priorisieren und weniger wichtige Themen auf spätere Editionen verschieben. Zudem arbeiten wir an einer Synchronisation der Veröffentlichungszeiten der wichtigsten Normteile, um Inkonsistenzen zu vermeiden. In diesem Jahr sollen noch zwei neue Normteile veröffentlicht werden, IEC 62443-6-1 und IEC 62443-6-2, die Evaluierungsmethoden enthalten für die die Normteile IEC 62443-2-4 und IEC 62443-4-2.

DKE: Vielen Dank für das Interview.

Redaktioneller Hinweis:

Die im Text aufgeführten Normen und Standards können Sie beim VDE VERLAG erwerben.

Industry befasst sich mit Systemen und Produkten aus dem industriellen Bereich. Zentrales Thema ist beispielsweise zunehmend die Automation, da es in Zukunft verstärkt zu einem intelligenten Austausch zwischen Maschinen und Objekten kommt. Weitere Inhalte zu diesem und anderen industriellen Fachgebieten finden Sie im