VDE Anwendungsregel ergänzt die IEC 62443 mit branchenübergreifendem Cybersecurity-Konzept

DKE: Herr Jochem, erzählen Sie unseren Leser*innen bitte, wie Sie überhaupt zur Normung gekommen sind und wie Sie aktuell mit dem Thema „Industrial Security“ in Verbindung stehen.

Jochem: Sehr gerne. Vor ungefähr zehn Jahren habe ich mich erstmals mit den Konzepten der Norm IEC 62443 auseinandergesetzt und die Trennung der verschiedenen Rollen – Hersteller, Integrator und Betreiber – als sehr vorteilhaft erachtet.

Seit 2016 bin ich bei Bosch im Bereich Industrie für Cybersecurity Governance und Consulting zuständig und vertrete unter anderem die Interessen in Gremien bei der DKE (DKE/UK 931.1), dem SCI 4.0 (Steeringboard), dem ZVEI (u. a. als Leiter des AK Cybersicherheit), der Plattform Industrie 4.0 (u. a. als Leiter der Arbeitsgruppe „Sicherheit vernetzter Systeme“) und im „Board of Directors“ bei der Gaia-X AISBL. Überall dort spielt Industrial Security, und damit die IEC 62443, eine bedeutende Rolle. Als Organisation haben wir für die drei unterschiedlichen Rollen bzw. Perspektiven auch unterschiedliche Hüte auf.

Eine große Herausforderung besteht für uns immer darin, Anteile aus verschiedenen Domänen mit unterschiedlichen Security-Standards in Systemlösungen zu integrieren. Und dabei kommt zwangsläufig die Frage auf: In welcher Form können wir das tun und gleichzeitig die Expert*innen mit ihrem Wissen mitnehmen?

Kapazitäten aus den Bereichen Cybersecurity, Informationssicherheit und Datenschutz sinnvoll bündeln

DKE: War das für Sie auch die Motivation, das Projekt zur VDE-AR-E 2802-20 zu initiieren und an der inhaltlichen Erarbeitung mitzuwirken?

Jochem: Im Prinzip schon. Im Jahr 2018 wurde bei uns eine neue Geschäftseinheit gegründet, Bosch Connected Industry. Wir standen damit vor großen Herausforderungen. Die Kolleginnen und Kollegen kamen aus verschiedenen Bereichen mit völlig unterschiedlicher Expertise, zum Beispiel IT-Mitarbeitende, die vorher noch nie etwas von der IEC 62443 gehört haben und andere, die wiederum wussten, wie die Norm anzuwenden ist. Und da mussten wir uns der Frage stellen, wie wir damit umgehen wollen.

Die Maßgabe, die wir entwickelt haben, war: Im Kern müssen alle Systeme und Produkte so entwickelt, betrieben und gewartet werden, dass die Fähigkeiten über den kompletten Lebenszyklus gewährleistet sind. Hierzu gehört es, Themen wie Veränderung, Security-Updates und Vulnerability-Management zu berücksichtigen.

Dazu kam noch, dass wir vorher schon einen sogenannten „Security-Engineering-Prozess“ eingeführt haben, der verpflichtend ist für die Entwicklung neuer Produkte. Der Prozess adressiert aber keinen Standard, sondern richtet sich nach „State of the Art“. Dabei stellte sich uns die Frage: Wann sind wir eigentlich fertig bzw. vollständig? Und wie bewerten wir „Vollständigkeit“ überhaupt? Es stellten sich aber auch Fragen im Hinblick auf verfügbare Ressourcen, Datenschutz und die Anwendbarkeit in Projekten durch Personen ohne Security-Kenntnisse.

Als Fazit dieser Betrachtungen haben wir gesagt: Wir brauchen einen zentralen Anlaufpunkt und müssen die Kapazitäten aus den Bereichen Cybersecurity, Informationssicherheit und Datenschutz sinnvoll bündeln. Im Grunde genommen haben wir dann mit Expertinnen und Experten versucht, ein strukturiertes und standardisiertes Vorgehen zu entwickeln. Das Konzept der VDE Anwendungsregel ist angelehnt an das Konzept der ISO/IEC 27005 und dem Modell der primären und der unterstützenden Ressourcen, also „Primary Assets“ und „Supporting Assets“.

Mit unserem DKE Newsletter sind Sie immer top informiert! Monatlich ...

• fassen wir die wichtigsten Entwicklungen in der Normung kurz zusammen
• berichten wir über aktuelle Arbeitsergebnisse, Publikationen und Entwürfe
• informieren wir Sie bereits frühzeitig über zukünftige Veranstaltungen

Auf Grundlage der Primary Assets werden die anwendbaren Cybersecurity-Kataloge ausgewählt

DKE: Worum geht es im Wesentlichen in der VDE-AR-E 2802-20 bzw. was beschreibt die VDE Anwendungsregel?

Jochem: Die Anwendungsregel basiert auf der Norm ISO/IEC 27005 und die Primary / Supporting Assets. Wichtig ist es, zunächst den Kontext festzulegen inklusive dem Scope der Betrachtung – also in welcher Domäne bewegen wir uns?

Der zweite Schritt wäre die Identifizierung der Primary Assets. Dabei erfolgt zunächst die Identifikation und Klassifikation der an einem Wertschöpfungsnetzwerk beteiligten Primary Assets und dann die Bestimmung des Sensitivitätslevels der jeweiligen Primary Assets unter Berücksichtigung der Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit.

Im dritten Schritt erfolgt die Zuordnung der Primary Assets auf die Supporting Assets. Kurz gesagt: Ich muss in der gesamten Kette dafür Sorge tragen, dass ein Primary Asset an jeder Stelle immer den erforderlichen Schutz hat.

Basierend auf dem Sensitivitätslevel aller auf dem jeweiligen Supporting Asset verarbeiteten Primary Assets werden die anwendbaren Cybersecurity-Kataloge/Maßnahmen-Pakete ausgewählt. Ein Cybersecurity-Katalog ist beispielsweise eine Liste mit Anforderungen, die in einem Standard formuliert sind.

Neue VDE Anwendungsregel schließt Lücke und wird über Branchengrenzen hinweg anwendbar sein

DKE: Wie sieht ein typisches Cybersecurity-Problem aus und wie kann die VDE Anwendungsregel helfen?

Jochem: Nehmen wir exemplarisch eine Lösung aus dem Produktionsumfeld, die aus einem Windows-Server, einem Web-Server und Automationskomponenten besteht. Einen Windows-Server nach der Norm IEC 62443 zu bewerten, wird schwierig. Hier sind eher CIS – Hardening-Guidlines die Regel. Entwickler*innen von Web-Servern sind nicht vertraut mit der Norm, sondern eher mit ASVS, aber im Kontext von Automationskomponenten ist die Norm IEC 62443 State of the Art. Es wird nicht funktionieren, dem Entwicklungsumfeld zu sagen, es soll sich mit der Norm auseinandersetzen. Und daraus ergibt sich nun die spannende Frage: Wie bringe ich das alles trotzdem nach den bereits erwähnten Kriterien zusammen?

Die VDE-AR-E 2802-20 soll diese Lücke schließen, indem sie sicherstellt, dass im Zusammenspiel vergleichbare Security-Fähigkeiten bei den Bestandteilen aus den unterschiedlichen Domänen vorhanden sind – eine Art „Lego“, wo einzelne Bausteine zusammengesteckt werden. Der große Vorteil der VDE Anwendungsregel ist, dass sie universell und über Branchengrenzen hinweg anwendbar ist, unter der Voraussetzung einer passenden Informationsklassifizierung und eines passenden Mappings auf die Security-Kataloge (Anforderungskataloge) der jeweiligen Domänen.

IEC 62443: Die internationale Normenreihe für Cybersecurity in der Industrieautomatisierung

Die internationale Normenreihe IEC 62443 befasst sich mit der Cybersecurity von „Industrial Automation and Control Systems" (IACS) und verfolgt dabei einen ganzheitlichen Ansatz für Betreiber, Integratoren und Hersteller.

Holistischer Ansatz deckt ein breiteres Spektrum ab und umfasst industrielle Automation als Domäne

DKE: Kann die VDE-Anwendungsregel als Ergänzung zur Norm IEC 62443 gesehen werden oder ist sie breiter aufgestellt?

Jochem: Die Norm IEC 62443 ist im Standarisierungs-Silo der industriellen Automation entwickelt worden. Das sind gute Modelle und Konzepte, die hierfür entwickelt wurden. Und man kann sicherlich weiter daran arbeiten, die IEC 62443 als horizontalen Standard zu etablieren, aber das stößt an Grenzen und ist auch nicht zielführend. Es stellt sich eher die Frage: Wie können andere Silos motiviert werden, dieses Vorgehen zu nutzen? Oder gibt es für die Silos ein gemeinsames Vorgehen, dass die Expertise zusammenfasst? Erschwerend kommt hinzu, dass die mit der Industrie 4.0 die Grenzen zwischen IT und OT verschwimmen und Cloud-Lösungen an Bedeutung gewinnen. Dazu bedarf es eines Ansatzes, der diesen neuen Herausforderungen gerecht wird.

Die VDE Anwendungsregel hat diesen Anspruch und deckt mit dem holistischen Ansatz ein breiteres Spektrum ab und umfasst industrielle Automation (IEC 62443) als eine Domäne. Ein wenig überspitzt könnte man deshalb formulieren: Die VDE-AR-E 2802-20 ist eine horizontale Erweiterung der Norm IEC 62443 – zumindest aufgesetzt auf diesem Konzept.

Keine langjährige Security-Erfahrung notwendig, um in das Thema einzusteigen und aktiv mitzuarbeiten

DKE: Wo sehen Sie die Vorteile dieses Vorgehensmodells?

Jochem: Im Grund genommen ist es die Vergleichbarkeit der Security-Fähigkeiten von Bestandteilen unterschiedlicher Domänen, die wie Legobausteine zu einem System zusammengebaut werden. Darüber hinaus die damit verbundene Zeitersparnis, denn wir müssen aufgrund der regulatorischen Vorgaben eine Bewertung der Daten vornehmen, ob diese beispielsweise personenbezogen sind, dafür sind technische organisatorische Maßnahmen erforderlich. Als „Add-on“ kommen die nicht bewerteten Daten hinzu, die wir durch ihren ggf. sensiblen Charakter, z. B. Rezeptdaten, Konfigurationen, Log-Dateien, mit dem gleichen Schema betrachten und bewerten können. Wir bringen somit Cybersecurity und Datenschutz zusammen – und dies vor dem Hintergrund der Vollständigkeit.

Ergänzend sehe ich hierbei noch die Anwenderfreundlichkeit, denn nicht jede*r ist Expert*in auf ihrem bzw. seinem Gebiet. Es ist daher keine langjährige Security-Erfahrung notwendig, um in das Thema einzusteigen und aktiv daran zu arbeiten. So gelingt es uns, alle Beteiligten „mitzunehmen“.

Und als letzten Punkt möchte ich noch eine gleichbleibende Qualität aufführen, denn standardisierte Maßnahmepakete liefern im Hinblick auf die Anforderungen genau das. Auf diese Weise lassen sich Einkaufsprozesse optimieren: Statt zu sagen: „Wir brauchen dies oder jenes – schau dir dazu einmal die Anforderungen der Norm IEC 62443 an.“ kann bei der Bestellung angegeben werden: „Wir brauchen einen Webserver nach ASVS Level 2 oder eine Automatisierungskomponente nach Level 1 oder 2.“ Das ist eine enorme Unterstützung.

Normenreihe IEC 62443 wird ergänzt

Cybersecurity in der Industrieautomatisierung ist für alle beteiligten Unternehmen ein zentrales Thema. Die internationale Normenreihe IEC 62443 liefert zahlreiche Anforderungen und bietet den jeweiligen Akteuren im industriellen Umfeld eine wichtige Orientierung.

Mit der Entwicklung von Regeln zu Profilen und einer Evaluationsmethodik laufen derzeit zwei relevante Projekte, um die Normenreihe weiter auszubauen, die Komplexität zu reduzieren und so einen leichteren Zugang zum Thema zu schaffen. Sebastian Fritsch leitet das Evaluationsmethodik-Projekt und spricht im Interview über die Motivation hinter dem Projekt, die laufenden Arbeiten und die zukünftige Umsetzung.

Umsetzung der VDE Anwendungsregel in die internationale Normung erfordert noch weitere Schritte

DKE: Ist eine Einbringung der VDE Anwendungsregel in die internationale Normung bei IEC oder ISO geplant?

Jochem: Die VDE-AR-E 2802-20 in die internationale Standardisierung einzubringen setzt voraus, dass eine englischsprachige Version vorliegt. Bei einigen Punkten, wie den Klassifikationsschemata, der Auswahl von Maßnahmenpaketen und der Zuordnung der beiden vorherigen Themen, wurden in dieser VDE Anwendungsregel Annahmen getroffen bzw. Themen exemplarisch beschrieben. Hier besteht aus meiner Sicht noch Handlungsbedarf.

Hinsichtlich einheitlicher Klassifikationsschemata für die Sensitivität von Daten oder der Zuordnung der Sensitivitätslevel auf die Maßnahmenpakete je Typ eines SAs gibt es noch keine abgestimmte bzw. standardisierte Meinung. Es gibt aktuell einen Vorschlag seitens des VDA, die Klassifikation hinsichtlich der Vertraulichkeit zu standardisieren, oder auch in der Automatisierungsbranche die Idee, ein Maßnahmenpaket der Norm DIN EN IEC 62443 (VDE 0802) (alle Teile) auf ein gewisses Angreiferniveau anzuwenden. Diese Bestrebungen sind aber nicht abgeschlossen und beziehen sich auf Produkte und Systeme in einzelnen Domänen und werden nicht von allen Herstellern in den Domänen einheitlich umgesetzt.

Bei der Vergleichbarkeit der Maßnahmenpakete unterschiedlicher Cybersecurity-Standards sollte es der Anspruch sein, dass sich die Expert*innen in den jeweiligen Domänen auf Maßnahmenpakete und Sensitivitätslevel einigen, sodass die definierten Maßnahmenpakete vergleichbar über mehrere Unternehmen hinweg zu einer gleichbleibenden Transparenz führen und als Qualitätsversprechen eingesetzt werden können. Diese Aspekte sollten als Aufgabe der Interessensgruppen und Normungsgremien gesehen werden.

Eine individuelle Bedrohungsanalyse auf der Basis anerkannter Methoden, wie zum Beispiel STRIDE, ist stark von der Expertise und Anwesenheit der Cybersecurity-Expert*innen abhängig. Hier ist in den nächsten Schritten notwendig, mit einer weiteren Formalisierung des Vorgehens zu experimentieren.

Ein notwendiger Schritt ist dabei eine maschinenlesbare Darstellung (semi-formal) der Cybersecurity-Maßnahmen einschließlich Abhängigkeiten und Versionierung oder Versionsverwaltung zur Erreichung eines höheren Reifegrades. Ziel sollte dabei sein, den an der Cybersecurity-Konzepterstellung beteiligen Personen weitere Werkzeuge an die Hand zu geben, um ohne Mehraufwand eine gleichbleibende Qualität sicherzustellen. Ebenfalls ist es wichtig, bei der Komposition von Komponenten in Systeme ein formalisiertes Vorgehen bezüglich der Analyse von Bedrohungen zu erhalten.

DKE: Herzlichen Dank für dieses Interview!

Redaktioneller Hinweis:

Die im Text aufgeführten Normen können Sie beim VDE VERLAG erwerben.

Industry befasst sich mit Systemen und Produkten aus dem industriellen Bereich. Zentrales Thema ist beispielsweise zunehmend die Automation, da es in Zukunft verstärkt zu einem intelligenten Austausch zwischen Maschinen und Objekten kommt. Weitere Inhalte zu diesem und anderen industriellen Fachgebieten finden Sie im