Roboterarmmaschine der schweren Automatisierung in der intelligenten Fabrik industriell, Industrie 4.0-Konzeptbild
Pugun & Photo Studio / stock.adobe.com
13.08.2019 Fachinformation 4704 0

IEC 62443: Die internationale Normenreihe für Cybersecurity in der Industrieautomatisierung

Die internationale Normenreihe IEC 62443 befasst sich mit der Cybersecurity von „Industrial Automation and Control Systems" (IACS) und verfolgt dabei einen ganzheitlichen Ansatz für Betreiber, Integratoren und Hersteller.

Die Anfänge der internationalen Normenreihe IEC 62443 sind etwa 20 Jahre alt und gehen auf die International Society for Automation (ISA) zurück. Die zugehörigen Standards, Technischen Reports sowie verwandten Informationen definieren Verfahren zur Implementierung sicherer industrieller Automatisierungs- und Steuerungssysteme (IACS).

Ursprünglich wurden diese Dokumente als ANSI/ISA-99 oder ISA99-Standards veröffentlicht. Aufgrund der Kooperation mit IEC erfolgte die Anpassung der Dokumentnummerierung (ANSI/ISA-62443) an die entsprechenden Normen der IEC.

International erfolgt die Arbeit im Expertengremiums IEC/TC 65 in der AG 10 (IEC/TC 65/WG 10). National wird die Arbeit im Spiegelgremium DKE/UK 931.1 unterstützt.

Kontakt

Christian Seipel
Zuständiges Gremium

Welches Ziel verfolgt die Normenreihe IEC 62443?

Die IEC-Normenreihe 62443 hat ihren Ursprung in der Automatisierungstechnik der Prozessindustrie, deckt mit ihrem Anwendungsbereich aber alle Industriebereiche und die kritischen Infrastrukturen (KRITIS) ab. Sie befasst sich mit der Cybersecurity sogenannter ,,Industrial Automation and Control Systems“ (IACS). Der Begriff IACS beschreibt alle Bestandteile, die für den zuverlässigen und sicheren Betrieb einer automatisierten Produktionsanlage erforderlich sind. Dazu gehören sowohl Hardware- als auch Softwarekomponenten. Des Weiteren schließen IACS die organisatorischen Prozesse für die Errichtung und den Betrieb mit ein.

Ziel ist es, Normen, Verfahren, technische Reports und zusätzliche Informationen zur Verfügung zu stellen, die Prozesse für eine sichere Implementierung von IACS definieren. Dies soll eine Hilfestellung für alle darstellen, die für Design, Implementierung, Management, Herstellung und Betrieb von IACS verantwortlich sind. Auch sollen Anwender, Integratoren, Hersteller und Verkäufer adressiert werden.

Im Fokus der IEC 62443 steht die Verbesserung der Integrität und Verfügbarkeit von Komponenten und Systemen und das zur Verfügung stellen von Kriterien zur sicheren Bereitstellung und Implementierung von IACS. Die Einhaltung dieser Leitfäden soll die Sicherheit in der Produktion und der Komponenten sowie Systeme verbessern und dabei helfen, Schwachstellen zu identifizieren und zu adressieren. Damit kann das Risiko von kompromittierten Informationen oder Produktionsausfällen stark reduziert werden.


Cybersecurity: Normen und Standards für sichere & innovative Informationssysteme

Die Welt von morgen ist vernetzt: Unterschiedlichste Anwendungen und Branchen erfordern eine Infrastruktur, die immer weiter zusammenwächst. Die erforderlichen Kommunikationsschnittstellen sind allerdings häufig nur proprietär – es mangelt dabei an Interoperabilität und Schutzmaßnahmen.

Cyberangriffe auf Unternehmen, Energieversorger und Behörden gehören mittlerweile zum Alltag. Hacker nutzen Schwachstellen im System aus und setzen damit ganze industrielle Anlagen außer Betrieb oder gefährden im schlimmsten Fall sogar die flächendeckende Energieversorgung.

Die DKE bietet eine gemeinsame Expertise aus Industrie, Wissenschaft und Politik. Setzen Sie auf weltweit einheitliche Sicherheitsstandards durch die Anwendung internationaler Normen. Vertrauen Sie auf CERT@VDE – die erste IT-Sicherheitsplattform in Deutschland für Industrieunternehmen.


Wie ist die Normenreihe IEC 62443 aufgebaut?

Die IEC-Normenreihe 62443 kann grundsätzlich in vier Bereiche eingeteilt werden, die jeweils mehrere Dokumente beinhalten:

  • Der erste Bereich beschreibt beispielsweise Grundkonzepte wie Defense-in-Depth oder auch grundlegende Anforderungen und verweist für die konkrete Umsetzung auf die weiteren Teile der Norm.
  • Der zweite Bereich definiert Leitlinien und Leitfäden für die Umsetzung von organisatorischen Maßnahmen und gibt beispielsweise Empfehlungen für ein Patch-Management.
  • Der dritte Bereich behandelt technische Aspekt wie Securitylevel und Sicherheitsanforderungen.
  • Der vierte Bereich zielt speziell auf die Produkt- und Komponentensicht (Sensoren, Schnittstellen, Chips etc.) ab und richtet sich aus diesem Grund eher an Hersteller.

Die nachfolgende Abbildung zeigt die verschiedenen Bereiche mit den dazugehörigen Normenteilen und Spezifikationen.

Aufbau der IEC-Normenreihe 62443

Aufbau der IEC-Normenreihe 62443

| DKE

Aktueller Bearbeitungsstand der einzelnen Normteile

IEC 62443-1: Allgemeine Grundlagen

IEC/TS 62443-1-1

Teil 1-1 der Normenreihe definiert die Terminologie sowie die Konzepte und Modelle für Cybersecurity von industriellen Automatisierungs- und Steuerungssystemen (en: Industrial Automation und Control Systems, kurz IACS). Teil 1 bildet die Grundlage für die weiteren Teile der Normenreihe.

IEC 62443-1-2

  • Titel IEC: Master glossary of terms and abbreviations
  • Bearbeitungsstand IEC: geplant

IEC 62443-1-3

  • Titel IEC: System security conformance metrics
  • Bearbeitungsstand IEC: geplant

IEC 62443-1-4

  • Titel IEC: IACS security lifecycle and use-cases
  • Bearbeitungsstand IEC: geplant

IEC 62443-2: Sicherheitsanforderungen für Betreiber und Dienstleister

IEC 62443-2-1

  • Titel IEC: Security program requirements for IACS asset owners
  • Bearbeitungsstand IEC: veröffentlicht

Teil 2-1 der Normenreihe definiert die Elemente, die für den Aufbau eines Informationssicherheits-Managementsystems (ISMS) für industrielle Automatisierungs- und Steuerungssysteme (IACS) notwendig sind, und gibt einen Leitfaden für die Entwicklung dieser Elemente. Dieses Dokument verwendet die breit angelegte Definition und den Anwendungsbereich für ein IACS nach IEC 62443-1-1.

Die Elemente eines ISMS nach dieser Norm beziehen sich in erster Linie auf die zugehörigen Leitlinien, Verfahren, Funktionen und das Personal. Zudem wird beschrieben, was in das endgültige ISMS für die Organisation aufgenommen werden sollte oder muss.

IEC 62443-2-2

  • Titel IEC: Security Protection Rating
  • Bearbeitungsstand IEC: in Planung

Teil 2-2 der Normenreihe spezifiziert ein Rahmenwerk für die Evaluation des Schutzes eines IACS. Es beinhaltet ein Verfahren zur Kombination der Evaluation von sowohl organisatorischen als auch von technischen Sicherheitsmaßnahmen in Zahlenwerten, den sogenannten „Schutzlevel“.

Das Rahmenwerk bildet die Struktur für die Evaluation der Defense-in-Depth-Strategie des IACS im Betrieb auf der Grundlage der technischen und organisatorischen Anforderungen, die in anderen Dokumenten der IEC-Normenreihe 62443 spezifiziert sind.

IEC/TR 62443-2-3

  • Titel IEC: Patch management in the IACS environment
  • Bearbeitungsstand IEC: veröffentlicht

Teil 2-3 der Normenreihe beschreibt Anforderungen an Betreiber und Hersteller von IACS, die ein IACS-Patch-Managementprogramm aufgestellt haben und pflegen.

Es wird ein festgelegtes Format für die Weitergabe von Informationen über Sicherheits-Patches von Betreibern an Hersteller, eine Definition bestimmter Aktivitäten im Zusammenhang mit der Herausbildung der Patch-Informationen durch Hersteller und den Einsatz und die Installation der Patches durch Betreiber empfohlen.

IEC 62443-2-4

  • Titel IEC: Requirements for IACS service providers
  • Bearbeitungsstand IEC: veröffentlicht

Teil 2-4 der IEC 62443 spezifiziert einen umfassenden Satz von Anforderungen an die Sicherheitsfähigkeiten für IACS-Dienstleister, die sie dem Betreiber während der Integrations- und Wartungsaktivitäten einer Automatisierungslösung anbieten können. Da nicht alle Anforderungen für alle Industriebranchen und Organisationen gelten, sieht Teil 2-4 die Entwicklung von Profilen vor, die die Bildung von Untergruppen mit diesen Anforderungen ermöglichen. Über Profile wird dieses Dokument an spezifische Umgebungen angepasst, einschließlich Umgebungen, die nicht auf einem IACS basieren.

IEC 62443-2-5

  • Titel IEC: Implementation guidedance for IACS asset owners
  • Bearbeitungsstand IEC: geplant

IEC 62443-3: Sicherheitsanforderungen an Automatisierungssysteme

IEC/TR 62443-3-1

  • Titel IEC: Security technologies for IAC
  • Bearbeitungsstand IEC: veröffentlicht

Teil 3-1 der Normenreihe bietet eine Bewertung verschiedener Cybersicherheits-Tools, Gegenmaßnahmen und Technologien, die effektiv auf die modernen IACSs in zahlreichen Branchen und kritischen Infrastrukturen angewendet werden können.

Es werden Kategorien von Cybersicherheitstechnologien beschrieben, die in diesen Kategorien verfügbaren Produkttypen sowie die Vor- und Nachteile der Verwendung dieser Produkte in IACS-Umgebungen im Verhältnis zu den erwarteten Bedrohungen und bekannten Schwachstellen. Darüber hinaus ebenfalls die vorläufigen Empfehlungen und Leitlinien für die Verwendung dieser Cybersicherheitstechnologieprodukte und/oder Gegenmaßnahmen.

IEC 62443-3-2

  • Titel IEC: Security risk assessment and system design
  • Bearbeitungsstand IEC: in Planung

Teil 3-2 der Normenreihe legt fest, wie mittels Risikoanalyse auf die Definition des betrachteten Systems und auf dessen Aufteilung in Zones & Conduits geschlossen werden kann. Ferner wird beschrieben, wie den Zones & Conduits die zu erreichenden Security-Level (Target) SL-T zugeordnet werden können.

Im Einzelnen schreibt die Norm auf Systemebene die Abarbeitung folgender Anforderungen zur Aufstellung der Zones & Conduits vor:

  • Feststellung des betrachteten Systems
  • Durchführung einer übergeordneten Risikobeurteilung zur IT-Sicherheit
  • Aufteilung des betrachteten Systems in Zonen und Conduits
  • Dokumentation der Anforderungen, Annahmen und Randbedingungen“

IEC 62443-3-3

  • Titel IEC: System security requirements and security levels
  • Bearbeitungsstand IEC: veröffentlicht

Teil 3-3 der Normreihe legt anhand der sieben grundlegenden Anforderungen (FR) nach IEC 62443-1-1 detaillierte technische Systemanforderungen (SR) an IACS fest, einschließlich der Anforderungen an die erreichbaren Security Level (Capability), SL-C (System).

Diese Anforderungen werden von Integratoren und Herstellern im Bereich der industriellen Automatisierungstechnik angewendet, in dem sie, anhand der festgelegten Zonen und Conduits eines betrachteten Systems, einen angemessenen und zu erreichenden Security-Level (Target) SL-T (System) für ein Schutzobjekt entwickeln.

IEC 62443-4: Sicherheitsanforderungen an Automatisierungskomponenten

IEC 62443-4-1

  • Titel IEC: Secure product development lifecycle requirements
  • Bearbeitungsstand IEC: veröffentlicht
  • Deutscher Titel: Anforderungen an den Lebenszyklus für eine sichere Produktentwicklung
  • Deutscher Bearbeitungsstand: veröffentlicht als DIN EN IEC 62443-4-1 (VDE 0802-4-1)

Teil 4-1 der Normenreihe legt Anforderungen an einen sicheren Entwicklungsprozess für Produkte fest, die in IACS eingesetzt werden. Er definiert einen sicheren Entwicklungslebenszyklus (SDL) zur Entwicklung und Instandhaltung sicherer Produkte.

Der Lebenszyklus umfasst die Definition von IT-Sicherheitsanforderungen, einen sicheren Entwurf („Securtiy-by-Design“), eine sichere Implementierung (einschließlich Programmierrichtlinien), Verifikation und Validierung, eine Schwachstellenbehandlung, ein Patch-Management und das Ende des Produktlebenszyklus.

Die Anforderungen können für neue oder vorhandene Prozesse der Entwicklung, der Instandhaltung und Pflege sowie der Zurückziehung von Hardware, Software oder Firmware für neue oder vorhandene Produkte angewendet werden.

IEC 62443-4-2

  • Titel IEC: Technical security requirements for IACS components
  • Bearbeitungsstand IEC: veröffentlicht

Teil 4-2 der Normenreihe legt anhand der sieben grundlegenden Anforderungen (FR) nach IEC 62443-1-1 detaillierte  Komponentenanforderungen (CR) an Komponenten in IACS fest, einschließlich der Anforderungen an die erreichbaren Security-Level (Capability) SL-C (Komponente).

Diese Anforderungen werden von Herstellern im Bereich der industriellen Automatisierungstechnik angewendet, indem sie, anhand der festgelegten Zones & Conduits des betrachteten Systems, einen angemessenen, zu erreichenden Security-Level (Target) SL-T (Komponente) für ein Schutzobjekt entwickeln.


Digitale Sicherheit: Ihre Herausforderungen sind unsere Kompetenz!

Vor allem in Zeiten der Informationsüberflutung verlagern sich kriminelle Handlungen zunehmend in den digitalen Raum. Immer häufiger haben es Angreifer auf die Informationssysteme von Unternehmen, Behörden und Individuen abgesehen – und gefährden so auch deren Geschäftstätigkeit.

Um Daten sowie TK- & IT-Systeme zu schützen, müssen technische und organisatorische Maßnahmen getroffen werden – unter Betrachtung aller Teilsysteme, mit denen Informationen verarbeitet, genutzt und gespeichert werden.

Stehen Sie vor ähnlichen Herausforderungen? Wir unterstützen Sie gerne! Mit CERT@VDE in der Industrie. Mit Normen im Bereich Cybersecurity. Mit Prüfungen und Zertifizierungen von Produkten in der Informationstechnik.

Dienstleistungen des VDE Kompetenzcenters „Digitale Sicherheit“

Defense-in-Depth: Ein ganzheitlicher Ansatz zum Schutz vor Cyberangriffen

Die Normenreihe IEC 62443 beschreibt im Teil 1-1 allgemeine Grundkonzepte, die die Schutzziele Verfügbarkeit und Integrität berücksichtigen.

Defense-in-Depth – im deutschsprachigen Raum auch als „Verteidigung in der Tiefe“ oder auch „gestaffelte Verteidigung“ bezeichnet – ist ein übergeordnetes Grundkonzept, das man sich als Mehrschichten-Modell (wie bei einer Zwiebel) gegen Cyberangriffe vorstellen kann. Es beschreibt die Tatsache, dass Angreifer also nicht nur eine, sondern mehrere Sicherheitsmaßnahmen überwinden müssen, um an ihr Ziel zu gelangen. Ein umfassender Schutz ist aber nur möglich, wenn alle Beteiligten ihren Beitrag dazu liefern.

Die Normenreihe IEC 62443 beschreibt dazu drei Basisrollen:

  1. Hersteller
  2. Integrator
  3. Betreiber

Die Normenreihe erläutert, wie die gemeinsame Strategie aller beteiligten Akteure im Bereich von industriellen Anlagen angewendet werden kann. Abb. 6 zeigt die genannten Rollen mit ihren Aufgaben im Bereich der IACS und den entsprechenden relevanten Normenteilen.

Als erste Schale und Grundvoraussetzung für alle nachfolgenden Schalen gilt, die Mitarbeiter für die Gefahren von Cyberangriffen zu sensibilisieren. Dazu gehören entsprechende Schulungen, aber auch klare Strukturen in der Organisation mit Rollen und Rechten. Neben diesen organisatorischen Maßnahmen, zählen auch der physische Schutz der Anlage sowie eine Zugangskontrolle zu den Grundvoraussetzungen für eine gestaffelte Verteidigung. Grundsätzlich ist es die Aufgabe des Betreibers, diese Maßnahmen umzusetzen.

Verteidigungsschalen, die der Integrator umsetzt, befinden sich auf der Netzwerk- oder Systemebene. Dazu zählen Maßnahmen, wie beispielsweise die Auslegung von „Zones und Conduits“, um geschützte Bereiche zu schaffen oder einen Zugriffsschutz mit Passwörtern zu installieren.

In der inneren Verteidigungsschale sind die Geräte und Komponenten von Bedeutung. Sicherheitsfunktionen gehören zu den Maßnahmen ebenso der kritische Blick auf den Entwicklungsprozess, in dem zum Beispiel Risikoanalysen, Programmierrichtlinien und Codeanalysen durchgeführt werden. Diese Verteidigungsschale ist dem Hersteller zuzuordnen.

Bei Defense-in-Depth handelt es sich jedoch weder um ein vollkommen neues Konzept noch um eines, welches speziell im Rahmen der Normenreihe IEC 62443 erarbeitet wurde. Als anschauliches Beispiel dient hierfür häufig das Bild einer mittelalterlichen Burg: Sie besteht aus einem tiefen Burggraben, einem schweren Burgtor und massiven Burgmauern. Ein Angreifer müsste also mehrere Schutzmaßnahmen überwinden, um die Burg einnehmen zu können.

Für eine industrielle Anlage gilt das analog: Auch hier sollte ein mehrschichtiges Konzept mit physischen und physikalischen Möglichkeiten erarbeitet werden, um die Anlage vor Angriffen zu schützen.


Newsletter in Tablet liegt auf einer Tastatur
Coloures-Pic / stock.adobe.com

Mit dem DKE-Newsletter sind Sie immer am Puls der Zeit!

In unserem monatlich erscheinenden Newsletter ...

  • fassen wir die wichtigsten Entwicklungen in der Normung kurz zusammen
  • berichten wir über aktuelle Arbeitsergebnisse, Publikationen und Entwürfe
  • informieren wir Sie bereits frühzeitig über kommende Veranstaltungen
Ich möchte den DKE-Newsletter erhalten!

Zones & Conduits ermöglichen einen individuellen Schutzbedarf

Für große oder komplexe Systeme ist es oft nicht angebracht, den gleichen Schutzbedarf für alle Komponenten zu verwenden, da diese unterschiedliche Bedrohungen und Risiken aufweisen. Unterschiede können durch das Konzept der „Sicherheitszone“ dargestellt werden. Eine Sicherheitszone ist eine logische Gruppierung von physikalischen Betrachtungsgegenständen, die den gleichen Schutzbedarf haben. Die Grenze der Sicherheitszone definiert, welche Komponenten innerhalb und welche außerhalb der Zone liegen.

In vernetzten Systemen können einzelne Komponenten meistens keine Funktionalität vollständig durchführen. Komponenten oder Teilsysteme sind auf Informationen von anderen angewiesen, die auch in unterschiedlichen Sicherheitszonen liegen können. Um den benötigten Informationsfluss in und aus einer Sicherheitszone zu gewährleisten, werden sogenannte Kommunikationsleitungen definiert. Diese Verbindungen zwischen Sicherheitszonen werden auch „Conduits“ genannt und haben die Aufgabe die Kommunikation zu sichern. Eine Kommunikation außerhalb von Conduits ist dabei nicht zulässig.

„Zones und Conduits“ am Beispiel der mittelalterlichen Burg:

Neben dem Burggraben, dem Burgtor und den Burgmauern werden Innerhalb der Burg weitere Zonen eingerichtet, die jeweils unterschiedliche Schutzbedarfe haben können. Gilt für das Burgtor beispielweise ein niedriger Schutzbedarf und für die königliche Behausung ein hoher Schutzbedarf, so muss auf Grundlage einer Bedrohungs- und Risikoanalyse auch der Weg vom Burgtor zur Behausung des Königs definiert werden – denn darüber könnte der Weg für Angriffe auf den König führen.

Die Conduits beziehen sich konkret auf die Kommunikationskanäle zwischen den Zonen. Informationen dürfen nur über die definierten Kanäle laufen. Am Beispiel der mittelalterlichen Burg wäre es dann so, dass nicht jeder Bewohner der Burg einfach mit dem König sprechen kann, weil das vom König nicht gewünscht und somit auch kein definierter Kanal ist.

Im "Leitfaden Industrial Security: IEC 62443 einfach erklärt" wird dieses Beispiel noch einmal im Detail dargestellt und ausführlicher erklärt.

Übertragen auf eine Anlage bedeutet das also, dass Sicherheitszonen und definierte Kommunikationskanäle nicht nur zwischen einzelnen OT-Infrastrukturen eingerichtet werden können, sondern auch innerhalb einzelner OT-Strukturen.


Leitfaden Industrial Security: IEC 62443 einfach erklärt

Leitfaden Industrial Security: IEC 62443 einfach erklärt

Leitfaden Industrial Security

| VDE VERLAG

► Zu wenig Sicherheit ist fahrlässig, zu viel Sicherheit ist unwirtschaftlich. ◄

Erstmals rückt die Angst vor Cyberangriffen bei einer aktuellen Umfrage unter die drei größten Unternehmensrisiken auf. Cloud, Datenschutz, Mobile oder das Internet der Dinge sind wichtige Faktoren für anstehende Veränderungen in IT-Sicherheitsfragen.

Ein IT-Experte formulierte es einmal so: „Ohne IT-Sicherheit wird Industrie 4.0 nicht akzeptiert."

Im Zuge der zunehmenden Zugriffe von außen, wächst die Bedeutung von Schutzkonzepten, was die deutsche Regierung durch die Verabschiedung des IT-Sicherheitsgesetzes erkannt hat. Betreiber kritischer Infrastrukturen müssen IT-Security-Mindeststandards einhalten und ihre Anlagen gegen Cyberangriffe schützen.

Wirksame Schutzkonzepte lassen sich nur mit einem Bündel abgestimmter organisatorischer und technischer Maßnahmen umsetzen. Dabei sind alle Beteiligten gefordert, die Produkthersteller, die Integratoren und die Betreiber müssen Hand in Hand ganzheitliche Lösungen erarbeiten.

Die Normenreihe IEC 62443 adressiert die Belange ganzheitlicher Lösungen zum Schutz von industriellen Anlagen und richtet sich an alle Akteure, die an deren Erstellung beteiligt sind. Sie ist dementsprechend umfangreich und komplex.

Dieser kurze Leitfaden gibt einen Überblick über die Normenreihe, fasst die wesentlichen Konzepte und Ideen zusammen und zeigt konkrete Umsetzungsmöglichkeiten auf.


Securitylevel als Tool zur Umsetzung des Defense-in-Depth-Ansatzes

Das Konzept der Securitylevel wurde entworfen, um einen qualitativen Ansatz zur Bestimmung des Schutzes einer Zone oder eines Conduits zur Verfügung zu haben. Im Rahmen des ganzheitlichen Defense-in-Depth-Ansatzes stellen Securitylevel somit ein Hilfsmittel dar, mit denen sich das Sicherheitskonzept der „gestaffelten Verteidigung“ umsetzen lässt. Herstellern von Komponenten und Anlagenbetreibern soll ein Tool mit an die Hand gegeben werden, das es ihm ermöglicht, einschätzen zu können, wie hoch die Sicherheitsanforderungen an die Komponenten der Anlage sein sollten – angefangen bei Level 1 und ganz rudimentären Anforderungen bis hin zu Level 4 mit Schutzmaßnahmen für beispielsweise staatliche Institutionen. Die Spannweite dazwischen ist sehr groß und hängt stark von den finanziellen Mitteln ab, die für eine Umsetzung der Sicherheitsmaßnahmen zur Verfügung stehen.

Folgende vier Einstufungen der Securitylevel werden vorgenommen:

  • Securitylevel 1: Schutz gegen ungewollte, zufällige Angriffe
  • Securitylevel 2: Schutz gegen gewollte Angriffe mit einfachen Mitteln, niedrigem Aufwand, allgemeiner Expertise und niedriger Motivation
  • Securitylevel 3: Schutz gegen gewollte Angriffe mit fortgeschrittenen Mitteln, mittlerem Aufwand, spezifischer Expertise und mittlerer Motivation
  • Securitylevel 4: Schutz gegen gewollte Angriffe mit fortgeschrittenen Mitteln, erheblichem Aufwand, spezifischer Expertise und hoher Motivation

Das Securitylevel einer Anlage legt der Betreiber fest. Die unspezifischen Begriffe „niedrig“, „mittel“ etc. müssen ebenfalls vom Betreiber für den jeweiligen Betrachtungsgegenstand definiert werden.

Dem vorgelagert ist ein weiteres Konzept, nämlich das der Risiko- und Bedrohungsanalyse und. Ein Betreiber muss sich mit den Fragen auseinandersetzen, welchen Bedrohungen seine Anlage ausgesetzt sein kann und auf welchem Security er sich auf Grundlage der Bedrohungs- und Risikoanalyse befindet.

Redaktioneller Hinweis:

Die im Text aufgeführten Normen und den vorgestellten Leitfaden können Sie im VDE VERLAG erwerben.

Zum VDE VERLAG

Interessiert an Cybersecurity?

Fokusbild Cybersecurity

Cybersecurity ist ein Prozess, der sich über die gesamte Laufzeit eines Systems bzw. einer Systemkomponente erstreckt. Auch innerhalb der DKE wird das Thema interdisziplinär bearbeitet. Ein Hauptziel aus Normungssicht ist dabei, Cybersecurity als Innovationsthema zu verstehen und in den relevanten Bereichen ganzheitlich zu adressieren. Weitere Inhalte zu diesem Fachgebiet finden Sie auf unserer

DKE-Themenseite Cybersecurity

Werden Sie aktiv!