Roboterarmmaschine der schweren Automatisierung in der intelligenten Fabrik industriell, Industrie 4.0-Konzeptbild
Pugun & Photo Studio / stock.adobe.com
13.08.2019 Fachinformation 3573 0

IEC 62443: Eine internationale Normenreihe für Cybersecurity in der Industrie(automation)

Die Internationale Normenreihe IEC 62443 befasst sich mit der Cybersecurity von „Industrial Automation and Control Systems (IACS) und verfolgt dabei einen ganzheitlichen Ansatz für Betreiber, Integratoren und Hersteller.

Die Europäische Normungsorganisation CENELEC übernimmt die Normen der Reihe IEC 62443 zur Cybersecurity in industriellen Automatisierungssystemen und kritischen Infrastrukturen als EN IEC 62443.

Das UK 931.1 der DKE "IT-Sicherheit in der Automatisierungstechnik" spiegelt sowohl die europäischen Aktivitäten in CENELEC als auch die internationalen Aktivitäten in IEC zur IEC 62443 und ist damit verantwortlich für die Herausgabe von deutschen Normen der Reihe DIN EN IEC 62443 (VDE 0802).“

Kontakt

Christian Seipel
Zuständiges Gremium

Welches Ziel verfolgt die Normenreihe IEC 62443?

Die IEC-Normenreihe 62443 hat ihren Ursprung in der Automatisierungstechnik der Prozessindustrie, deckt mit ihrem Anwendungsbereich aber alle Industriebereiche und die kritischen Infrastrukturen (KRITIS) ab. Sie befasst sich mit der Cybersecurity sogenannter ,,Industrial Automation and Control Systems“ (IACS). Der Begriff IACS beschreibt alle Bestandteile, die für den zuverlässigen und sicheren Betrieb einer automatisierten Produktionsanlage erforderlich sind. Dazu gehören sowohl Hardware- als auch Softwarekomponenten. Des Weiteren schließen IACS die organisatorischen Prozesse für die Errichtung und den Betrieb mit ein.

Ziel ist es, Normen, Verfahren, technische Reports und zusätzliche Informationen zur Verfügung zu stellen, die Prozesse für eine sichere Implementierung von IACS definieren. Dies soll eine Hilfestellung für alle darstellen, die für Design, Implementierung, Management, Herstellung und Betrieb von IACS verantwortlich sind. Auch sollen Anwender, Integratoren, Hersteller und Verkäufer adressiert werden.

Im Fokus der IEC 62443 steht die Verbesserung der Integrität und Verfügbarkeit von Komponenten und Systemen und das zur Verfügung stellen von Kriterien zur sicheren Bereitstellung und Implementierung von IACS. Die Einhaltung dieser Leitfäden soll die Sicherheit in der Produktion und der Komponenten sowie Systeme verbessern und dabei helfen, Schwachstellen zu identifizieren und zu adressieren. Damit kann das Risiko von kompromittierten Informationen oder Produktionsausfällen stark reduziert werden.


Digitale Sicherheit: Ihre Herausforderungen sind unsere Kompetenz!

Vor allem in Zeiten der Informationsüberflutung verlagern sich kriminelle Handlungen zunehmend in den digitalen Raum. Immer häufiger haben es Angreifer auf die Informationssysteme von Unternehmen, Behörden und Individuen abgesehen – und gefährden so auch deren Geschäftstätigkeit.

Um Daten sowie TK- & IT-Systeme zu schützen, müssen technische und organisatorische Maßnahmen getroffen werden – unter Betrachtung aller Teilsysteme, mit denen Informationen verarbeitet, genutzt und gespeichert werden.

Stehen Sie vor ähnlichen Herausforderungen? Wir unterstützen Sie gerne! Mit CERT@VDE in der Industrie. Mit Normen im Bereich Cybersecurity. Mit Prüfungen und Zertifizierungen von Produkten in der Informationstechnik.

Dienstleistungen des VDE Kompetenzcenters „Digitale Sicherheit“

Wie ist die Normenreihe IEC 62443 aufgebaut?

Die IEC-Normenreihe 62443 kann grundsätzlich in vier Bereiche eingeteilt werden, die jeweils mehrere Dokumente beinhalten. Die Abbildung zeigt die verschiedenen Bereiche mit den dazugehörigen Normenteilen und Spezifikationen.

Aufbau der IEC-Normenreihe 62443

Aufbau der IEC-Normenreihe 62443

| DKE

Aktueller Bearbeitungsstand der einzelnen Normteile

IEC 62443-1: Allgemeine Grundlagen

IEC/TS 62443-1-1

  • Titel: Terminology, concepts and models
  • Bearbeitungsstand IEC: veröffentlicht

Dieser Teil der Normenreihe IEC 62443 definiert die Terminologie, die Konzepte und Modelle für Cybersecurity von industriellen Automatisierungs- und Steuerungssystemen (en: Industrial Automation und Control Systems, kurz IACS). Teil 1 bildet die Grundlage für die weiteren Teile der Normenreihe.

IEC 62443-1-2

  • Titel IEC: Glossary
  • Bearbeitungsstand IEC: geplant

IEC 62443-1-3

  • Titel IEC: System security compliance metrics
  • Bearbeitungsstand IEC: geplant

IEC 62443-1-4

  • Titel IEC: IACS security lifecycle and use-cases
  • Bearbeitungsstand IEC: geplant

IEC 62443-2: Sicherheitsanforderungen für Betreiber und Dienstleister

IEC 62443-2-1

  • Titel IEC: Establishing an industrial automation and control system security program
  • Bearbeitungsstand IEC: veröffentlicht

Dieser Teil der Normenreihe definiert die Elemente, die für den Aufbau eines Informationssicherheits-Managementsystems (ISMS) für industrielle Automatisierungs- und Steuerungssysteme (IACS) notwendig sind, und gibt einen Leitfaden für die Entwicklung dieser Elemente. Dieses Dokument verwendet die breit angelegte Definition und den Anwendungsbereich für ein IACS nach IEC 62443-1-1.

Die Elemente eines ISMS nach dieser Norm beziehen sich in erster Linie auf die zugehörigen Leitlinien, Verfahren, Funktionen und das Personal. Zudem wird beschrieben, was in das endgültige ISMS für die Organisation aufgenommen werden sollte oder muss.

IEC 62443-2-2

  • Titel IEC: IACS protection levels
  • Bearbeitungsstand IEC: in Bearbeitung

Dieser Teil der Normenreihe spezifiziert ein Rahmenwerk für die Evaluation des Schutzes eines IACS. Es beinhaltet ein Verfahren zur Kombination der Evaluation von sowohl organisatorischen als auch von technischen Sicherheitsmaßnahmen in Zahlenwerten, den sogenannten „Schutzlevel“.

Das Rahmenwerk bildet die Struktur für die Evaluation der Defense-in-Depth-Strategie des IACS im Betrieb auf der Grundlage der technischen und organisatorischen Anforderungen, die in anderen Dokumenten der IEC-Normenreihe 62443 spezifiziert sind.

IEC/TR 62443-2-3

  • Titel IEC: Patch management in the IACS environment
  • Bearbeitungsstand IEC: veröffentlicht

Dieser Teil der Normenreihe beschreibt Anforderungen an Betreiber und Hersteller von IACS, die ein IACS-Patch-Managementprogramm aufgestellt haben und pflegen.

Es wird ein festgelegtes Format für die Weitergabe von Informationen über Sicherheits-Patches von Betreibern an Hersteller, eine Definition bestimmter Aktivitäten im Zusammenhang mit der Herausbildung der Patch-Informationen durch Hersteller und den Einsatz und die Installation der Patches durch Betreiber empfohlen.

IEC 62443-2-4

  • Titel IEC: Security program requirments for IACS service providers
  • Bearbeitungsstand IEC: veröffentlicht

Dieser Teil der IEC 62443 spezifiziert einen umfassenden Satz von Anforderungen an die Sicherheitsfähigkeiten für IACS-Dienstleister, die sie dem Betreiber während der Integrations- und Wartungsaktivitäten einer Automatisierungslösung anbieten können. Da nicht alle Anforderungen für alle Industriebranchen und Organisationen gelten, sieht Teil 2-4 die Entwicklung von Profilen vor, die die Bildung von Untergruppen mit diesen Anforderungen ermöglichen. Über Profile wird dieses Dokument an spezifische Umgebungen angepasst, einschließlich Umgebungen, die nicht auf einem IACS basieren.

IEC 62443-2-5

  • Titel IEC: Implementation guidedance for IACS asset owners
  • Bearbeitungsstand IEC: geplant

IEC 62443-3: Sicherheitsanforderungen an Automatisierungssysteme

IEC/TR 62443-3-1

  • Titel IEC: Security technologies for industrial automation and control systems
  • Bearbeitungsstand IEC: veröffentlicht

Dieser Teil der Normenreihe bietet eine Bewertung verschiedener Cybersicherheits-Tools, Gegenmaßnahmen und Technologien, die effektiv auf die modernen IACSs in zahlreichen Branchen und kritischen Infrastrukturen angewendet werden können.

Es werden Kategorien von Cybersicherheitstechnologien beschrieben, die in diesen Kategorien verfügbaren Produkttypen sowie die Vor- und Nachteile der Verwendung dieser Produkte in IACS-Umgebungen im Verhältnis zu den erwarteten Bedrohungen und bekannten Schwachstellen. Darüber hinaus ebenfalls die vorläufigen Empfehlungen und Leitlinien für die Verwendung dieser Cybersicherheitstechnologieprodukte und/oder Gegenmaßnahmen.

IEC 62443-3-2

  • Titel IEC: Security risk assessment and system design
  • Bearbeitungsstand IEC: in Bearbeitung

IEC 62443-3-3

  • Titel IEC: System security requirements and security levels
  • Bearbeitungsstand IEC: veröffentlicht

Dieser Teil der Normreihe legt anhand der sieben grundlegenden Anforderungen (FR) nach IEC 62443-1-1 detaillierte technische Systemanforderungen (SR) an IACS fest, einschließlich der Anforderungen an die erreichbaren Security Level (Capability), SL-C (System).

Diese Anforderungen werden von Integratoren und Herstellern im Bereich der industriellen Automatisierungstechnik angewendet, in dem sie, anhand der festgelegten Zonen und Conduits eines betrachteten Systems, einen angemessenen und zu erreichenden Security-Level (Target) SL-T (System) für ein Schutzobjekt entwickeln.

IEC 62443-4: Sicherheitsanforderungen an Automatisierungskomponenten

IEC 62443-4-1

  • Titel IEC: Secure product development lifecycle requirements
  • Bearbeitungsstand IEC: veröffentlicht
  • Deutscher Titel: Anforderungen an den Lebenszyklus für eine sichere Produktentwicklung
  • Deutscher Bearbeitungsstand: veröffentlicht als DIN EN IEC 62443-4-1 (VDE 0802-4-1)

Dieser Teil der Normenreihe legt Anforderungen an einen sicheren Entwicklungsprozess für Produkte fest, die in IACS eingesetzt werden. Er definiert einen sicheren Entwicklungslebenszyklus (SDL) zur Entwicklung und Instandhaltung sicherer Produkte. Der Lebenszyklus umfasst dabei die Definition von IT-Sicherheitsanforderungen, einen sicheren Entwurf („Securtiy-by-Design“), eine sichere Implementierung (einschließlich Programmierrichtlinien), Verifikation und Validierung, eine Schwachstellenbehandlung, ein Patch-Management und das Ende des Produktlebenszyklus.

Die Anforderungen können für neue oder vorhandene Prozesse der Entwicklung, der Instandhaltung und Pflege sowie der Zurückziehung von Hardware, Software oder Firmware für neue oder vorhandene Produkte angewendet werden.

IEC 62443-4-2

  • Titel IEC: Technical security requirements for IACS components
  • Bearbeitungsstand IEC: veröffentlicht

Dieser Teil der Normenreihe legt anhand der sieben grundlegenden Anforderungen (FR) nach IEC 62443-1-1 detaillierte  Komponentenanforderungen (CR) an Komponenten in IACS fest, einschließlich der Anforderungen an die erreichbaren Security-Level (Capability) SL-C (Komponente).

Diese Anforderungen werden von Herstellern im Bereich der industriellen Automatisierungstechnik angewendet, indem sie, anhand der festgelegten Zonen und Conduits des betrachteten Systems, einen angemessenen, zu erreichenden Security-Level (Target) SL-T (Komponente) für ein Schutzobjekt entwickeln.


Newsletter in Tablet liegt auf einer Tastatur
Coloures-Pic / stock.adobe.com

Mit dem DKE-Newsletter sind Sie immer am Puls der Zeit!

In unserem monatlich erscheinenden Newsletter ...

  • fassen wir die wichtigsten Entwicklungen in der Normung kurz zusammen
  • berichten wir über aktuelle Arbeitsergebnisse, Publikationen und Entwürfe
  • informieren wir Sie bereits frühzeitig über kommende Veranstaltungen
Jetzt anmelden!

Leitfaden Industrial Security: IEC 62443 einfach erklärt

Leitfaden Industrial Security: IEC 62443 einfach erklärt

Leitfaden Industrial Security

| VDE VERLAG

► Zu wenig Sicherheit ist fahrlässig, zu viel Sicherheit ist unwirtschaftlich. ◄

Erstmals rückt die Angst vor Cyberangriffen bei einer aktuellen Umfrage unter die drei größten Unternehmensrisiken auf. Cloud, Datenschutz, Mobile oder das Internet der Dinge sind wichtige Faktoren für anstehende Veränderungen in IT-Sicherheitsfragen.

Ein IT-Experte formulierte es einmal so: „Ohne IT-Sicherheit wird Industrie 4.0 nicht akzeptiert."

Im Zuge der zunehmenden Zugriffe von außen, wächst die Bedeutung von Schutzkonzepten, was die deutsche Regierung durch die Verabschiedung des IT-Sicherheitsgesetzes erkannt hat. Betreiber kritischer Infrastrukturen müssen IT-Security-Mindeststandards einhalten und ihre Anlagen gegen Cyberangriffe schützen.

Wirksame Schutzkonzepte lassen sich nur mit einem Bündel abgestimmter organisatorischer und technischer Maßnahmen umsetzen. Dabei sind alle Beteiligten gefordert, die Produkthersteller, die Integratoren und die Betreiber müssen Hand in Hand ganzheitliche Lösungen erarbeiten.

Die Normenreihe IEC 62443 adressiert die Belange ganzheitlicher Lösungen zum Schutz von industriellen Anlagen und richtet sich an alle Akteure, die an deren Erstellung beteiligt sind. Sie ist dementsprechend umfangreich und komplex.

Dieser kurze Leitfaden gibt einen Überblick über die Normenreihe, fasst die wesentlichen Konzepte und Ideen zusammen und zeigt konkrete Umsetzungsmöglichkeiten auf.

Redaktioneller Hinweis:

Die im Text aufgeführten Normen und den vorgestellten Leitfaden können Sie im VDE VERLAG erwerben.

Zum VDE VERLAG

Interessiert an Cybersecurity?

Fokusbild Cybersecurity

Cybersecurity ist ein Prozess, der sich über die gesamte Laufzeit eines Systems bzw. einer Systemkomponente erstreckt. Auch innerhalb der DKE wird das Thema interdisziplinär bearbeitet. Ein Hauptziel aus Normungssicht ist dabei, Cybersecurity als Innovationsthema zu verstehen und in den relevanten Bereichen ganzheitlich zu adressieren. Weitere Inhalte zu diesem Fachgebiet finden Sie auf unserer

DKE-Themenseite Cybersecurity

Werden Sie aktiv!