VDE DKE Tagung Industrial Security 2023

Zum ersten Mal trafen sich Expertinnen und Experten aus den Bereichen Cybersecurity bzw. Industrial Security, um über den aktuellen Stand und die Anwendung der internationalen Normenreihe IEC 62443 zu diskutieren. Die Teilnehmenden nutzten während der beiden Veranstaltungstage nicht nur die Möglichkeit des persönlichen Austauschs, sondern auch für die verschiedenen Deep Dive Workshops, um von den gegenseitigen Erfahrungen zu profitieren.

Tagungsleiter Dr. Pierre Kobes (Berater und langjähriger Mitarbeiter bei Siemens) eröffnete die Veranstaltung und zeigte sich sehr erfreut über die zahlreichen Teilnehmerinnen und Teilnehmer sowie das damit verbundene Interesse und die Bedeutung an der IEC 62443.

Im Anschluss an die einführenden Worte fanden insgesamt drei Deep Dive Workshops statt, bei denen die Teilnehmenden ihre Erfahrungen mitteilten und sich über das Verbesserungspotenzial und die weiteren Entwicklungen der Normenreihe austauschen konnten.

Workshop 1: IT- und OT-Einheiten unter einem Dach zusammenführen

Im Workshop Zusammenwirken von IT (ISO/IEC 27000) und OT (IEC 62443) stellten Prof. Dr. Karl-Heinz Niemann (Professor für Prozessinformatik Automatisierungstechnik an der Hochschule Hannover) und Dr. Pierre Kobes zunächst die Schnittstellen der beiden Normenreihen vor und zeigten die Neuerungen anhand der neuen Edition der IEC 62443-2-1, die in Kürze veröffentlicht wird.

Insbesondere das in der ISO/IEC 27000-Reihe beschriebene Informationssicherheits-Management-System (ISMS) wird durch die IEC 62443-2-1 um OT-spezifische Anforderungen ergänzt. In der Vergangenheit hat dies immer wieder zu Schwierigkeiten geführt. Die Teilnehmenden diskutierten diese Änderung und zeigten auf, wie bereits heute ein Zusammenwirken sinnvoll umgesetzt werden kann. Eine wesentliche Bedingung, die sich in der Diskussion herausstellte, ist das Zusammenführen der IT- und OT-Einheiten in einem Unternehmen „unter einem Dach“.

Mit unserem DKE Newsletter sind Sie immer top informiert! Monatlich ...

• fassen wir die wichtigsten Entwicklungen in der Normung kurz zusammen
• berichten wir über aktuelle Arbeitsergebnisse, Publikationen und Entwürfe
• informieren wir Sie bereits frühzeitig über zukünftige Veranstaltungen

Workshop 2: Bewertung der Lieferanten in der Supply Chain

Dr. Lutz Jänicke (Corporate Product & Solution Security Officer bei Phoenix Contact) und Dr. Kai Wollenweber (Principal Key Expert Cybersecurity bei Siemens) diskutierten im Workshop Industrial Security in der Supply Chain mit den Teilnehmenden über die Herausforderungen durch eine wachsende Digitalisierung.

Der Schwerpunkt lag dabei auf der Bewertung von Lieferanten. Zwei Bereiche sollte die Bewertung beinhalten: Prozesse/Organisation sowie technische Anforderungen/Funktionalitäten. Für beides bietet die IEC 62443 Konzepte an. Ebenso wurde die Einführung einer Software Bill of Materials (SBOM) diskutiert, die Hersteller erstellen und pflegen müssen. 

Workshop 3: Evaluationsmethodik als wichtiges Projekt für die IEC 62443

Im Workshop Evaluationsmethoden & Konformität lud Sebastian Fritsch (Leiter Prüfstelle für IT-Sicherheit bei secuvera) die Teilnehmenden ein, gemeinsam zu diskutieren, welche Herausforderungen Unternehmen bei der Umsetzung der IEC 62443 haben.

Es zeigte sich, dass vor allem kleine- und mittlere Unternehmen (KMU) Unterstützung benötigen, damit diese überhaupt in der Lage sind, Security-Maßnahmen umzusetzen. Hierbei kann die IEC 62443 als gemeinsame Sprache dienen und mit ihren definierten Prozessen eine große Hilfestellung sein. 

Jedoch, und das soll an dieser Stelle nicht unerwähnt bleiben, ist die IEC 62443 an einigen Stellen nicht konkret genug, wodurch die Vergleichbarkeit der Bewertung von Prüfung und Zertifizierung einer korrekten Umsetzung der normativen Anforderungen leidet. Die anwesenden Teilnehmerinnen und Teilnehmer berichten beispielsweise, dass verschiedene Prüfer bei ihrer Bewertung zu unterschiedlichen Ergebnissen kamen.

Um eine Vergleichbarkeit zu erreichen, wird aktuell an den Teilen IEC 62443-6-1 und 6-2 gearbeitet, die sich mit Evaluationsmethoden für die IEC 62443-2-4 und 4-2 befassen. Darüber hinaus wird am fünften Teil der Normenreihe gearbeitet, der sich mit Profilen befasst, die die Anwendung der Norm in verschiedenen Domänen unterstützen soll, beispielsweise die Industrieautomation, Prozessindustrie, Medizin- oder Bahntechnik. unterstützen soll. Das wird perspektivisch zu einer Erhöhung von Vergleichbarkeit und Transparenz in den jeweiligen Domänen führen.

Jens Wiesner (Referatsleiter Industrieautomation im BSI) eröffnete mit seiner Keynote den zweiten Tag der Veranstaltung und ging auf die bisher bekannten OT-Vorfälle ein. Zukünftige Bedrohungen werden vor Industrieanlagen nicht Halt machen. „Die Ransomware in der Produktion wird kommen“, prognostizierte Jens Wiesner. Aber es gibt auch Gegenmaßnahmen, die seiner Erfahrung nach bereits heute zielführend getroffen werden können: Die Anwendung von Normen und Standards!

Dr.-Ing. Markus Runde (Global Cyber Security Lead – OT Security bei BASF Digital Solutions GmbH) gab den Teilnehmenden einen Einblick, wie ein Betreiber OT-Security im eigenen Unternehmen umsetzt. Er ging unter anderem auf die Themen Prozessmanagement, Risikobewertung, technische Implementierung sowie den Asset- und Produktlebenszyklus ein. Dr. Markus Runde verdeutlichte, dass nicht die Security-Maßnahmen am teuersten sind, sondern ein zu spätes Security-Denken in der Entwicklung und ein nachgelagertes Implementieren der erforderlichen Security-Maßnahmen.

Weiterhin stellte er in seinem Vortrag klar, dass Hersteller, Integratoren und Betreiber sehr eng miteinander zusammenarbeiten müssen, um die notwendige Security im gesamten Produktlebenszyklus zu erzielen.

Thomas Schmidt (Referent für Industrieautomation im BSI) und Andreas Harner (Abteilungsleiter CERT@VDE und Cybersecurity in der DKE) stellten in ihrem Vortrag Geheimrezept Automatisierung: Mehr Ressourcen für IT/OT-Sicherheit durch CSAF das „Common Security Advisory Framework“ (CSAF) vor.

Mit dem neuen CSAF-Standard wird es in Zukunft möglich sein, die exorbitant steigende Anzahl von Sicherheitshinweisen (Advisories) entlang der gesamten Lieferketten zu bewältigen. CSAF beschreibt für diesen Zweck ein maschinenlesbares Format (json-basiert), sodass Sicherheitshinweise beim Empfänger maschinell und automatisiert mit der eigenen Asset-Liste abgeglichen werden können. Der zeitaufwendige und manuelle Abgleich kann somit entfallen. Gleichzeitig gewinnen die Empfänger wertvolle Zeit zu Bearbeitung der kritischen Sicherheitshinweise.

Die Industrievertreter wurden aufgerufen, sich am Common Security Advisory Framework zu beteiligen wie beispielsweise Siemens, CISCO, RedHat und weitere. „CERT@VDE befindet sich derzeit in der Umsetzung und Implementierung von CSAF, um unseren Kooperationspartnern einen möglichst einfachen Zugang zu CSAF zu ermöglichen“, betonte Andreas Harner.

Dr. Kai Wollenweber zeigte in seinem Vortrag auf, wie die Normenreihe IEC 62443 zu den Anforderungen der Radio Equipment Directive (RED) und des Cyber Resilience Act (CRA) passt. Eine 1:1-Übernahme, z. B. IEC 62443-4-2 für die harmonisierten Europäischen Normen (hEN) im Rahmen der RED, ist zwar nicht möglich, Ansätze und Konzepte aus der Norm werden allerdings in die Arbeiten an den harmonisierten Europäischen Normen eingebracht.

Für den Cyber Resilience Act sieht dies anders aus. Prinzipiell decken die Teile 4-1, 4-2 und 3-3 der IEC 62443 sehr viele Anforderungen des CRA ab und können als Grundlage für harmonisierte Europäische Normen herangezogen werden. Dr. Kai Wollenweber gab jedoch zu bedenken, dass ein „one-fits-all“-Ansatz für den CRA nicht zielführend sei. Eine elektrische Zahnbürste sollte nicht mit einer Industriesteuerung gleichgesetzt werden. Vielmehr sollten branchenspezifische Rahmenbedingen durch unterschiedliche harmonisierte Europäische Normen abgedeckt werden.

Benjamin Bögel (Policy Officer on Cybersecurity bei der Europäischen Kommission, DG CONNECT) stellte die Sichtweise und Motivation der EU-Kommission zur Regulierung im Bereich Cybersecurity vor. Gemäß dem Leitsatz von Ursula von der Leyen „If everthing is connected, everthing can be hacked”, werden in den nächsten Monaten mit der Network and Information Security Directive 2 (NIS2) und dem CRA zwei Regulierungen veröffentlicht, die branchenübergreifend Anforderungen an Betreiber bzw. Hersteller formulieren.

In der anschließenden Podiumsdiskussion vertraten neben Benjamin Bögel auch Marcel Hug (Manager Cyber Security & Strategy im ZVEI), Steffen Zimmermann (Leiter des Competence Centers Industrial Security im VDMA) und Stefan Hessel (Rechtsanwalt für Informationstechnologie und Recht in der Kanzlei reuschlaw) ihre Meinungen und Standpunkte. In der Diskussion wurden insbesondere die Sichtweisen der betroffenen Verbände dargelegt und eine juristische Einschätzung vorgenommen.

Der CRA wird von den Beteiligten als „Gamechanger“ wahrgenommen, der grundsätzlich die richtige Richtung aufweist, bei dem aber noch viele Details zu klären sind. Unter anderem der Produktlebenszyklus im Zusammenhang mit einer Patch- und Updatefähigkeit und der Umgang mit Schwachstellen sind laut Marcel Hug und Steffen Zimmermann noch nicht hinreichend beschrieben.

Im Hinblick auf die Normung und Standardisierung wird der Zeitplan als sehr ambitioniert angesehen. Ausreichend Zeit für die Entwicklung von harmonisierten Europäischen Normen und deren Anwendung durch die Hersteller, sind ein nicht zu unterschätzender Faktor für die Akzeptanz der Normung und eine nachhaltige Ertüchtigung der europäischen und deutschen Industrie im Hinblick auf Cybersecurity.

Als Dr. Pierre Kobes die Teilnehmenden nach knapp zwei Tagen voller intensiver Diskussionen und spannender Vorträge entließ, war eine wichtige Erkenntnis: Viele Unternehmen aus unterschiedlichen Branchen beschäftigen sich bereits mit der internationalen Normenreihe IEC 62443 und wenden diese auch an. 

Erfreulich ist außerdem, dass sich betroffene Unternehmen schon frühzeitig im Hinblick auf die kommenden EU-Regulierungen vorbereiten, auch wenn die eine oder andere Hürde noch genommen werden muss. An diesem Punkt gilt es, die IEC 62443 weiterzuentwickeln und ihre Anwendung sowie Verbreitung weiter zu unterstützen.

Die VDE DKE Tagung Industrial Security 2023 hat gezeigt, dass großes Interesse an einem regelmäßigen gemeinsamen Austausch besteht. Wir bedanken uns bei allen Teilnehmenden und freuen uns bereits auf die Weiterführung dieser Veranstaltung.

Industry befasst sich mit Systemen und Produkten aus dem industriellen Bereich. Zentrales Thema ist beispielsweise zunehmend die Automation, da es in Zukunft verstärkt zu einem intelligenten Austausch zwischen Maschinen und Objekten kommt. Weitere Inhalte zu diesem und anderen industriellen Fachgebieten finden Sie im