Kategorien
Cybersecurity

Cybersecurity: Risikobeurteilung nach EN IEC 62443

Die Normenreihe IEC 62443 bietet Orientierung für den sicheren Betrieb von industriellen Automatisierungs- und Steuerungssystemen (Industrial Automation and Control Systems, IACS). Um dem Risiko angemessene Schutzmaßnahmen definieren und ergreifen zu können, müssen die IACS-Risiken bestimmt werden. Auch hierzu liefert die Normenreihe IEC 62443 Hilfestellung.

Der Weg zu passenden Sicherheitsanforderungen und -maßnahmen

Risikoanalyse als Basis der industriellen Cybersecurity

Bevor ein Konzept für Cybersicherheit entworfen werden kann, müssen die zu schützenden Systeme nach IEC 62443 (https://www.weka-manager-ce.de/cybersecurity-maschinen-anlagen/normenreihe-iec-62443-sicherheit-fuer-industrielle-automatisierungs-und-steuerungssysteme/) einer genauen Analyse entworfen werden.

Dazu gehört im ersten Schritt, das System und die Umgebung, in der es betrieben wird, umfassend zu definieren. Man spricht auch von „system under consideration“ (SUC), also von dem System, das betrachtet werden soll.

Das SUC wird dann in Zonen und Übergänge (https://www.weka-manager-ce.de/cybersecurity-maschinen-anlagen/normenreihe-iec-62443-sicherheitskonzepte-fuer-industrielle-automatisierungssysteme/) unterteilt, man strukturiert also die Architektur der zu schützenden IACS.

Für jede Zone (Bereiche mit unterschiedlichen Sicherheitsanforderungen) und jeden Übergang (Verbindung zwischen zwei Zonen) gilt es dann, die konkreten Risiken zu bestimmen und zu bewerten.

Auf Basis der ermittelten und bewerteten Risiken wird dann jede Zone und jeder Übergang einem Security Level (geplante Schutzziele basierend auf Bedrohungen) (https://www.weka-manager-ce.de/cybersecurity-maschinen-anlagen/normenreihe-iec-62443-sicherheitsmodelle/) zugeordnet. Die entsprechenden Sicherheitsanforderungen werden dokumentiert. Sie bilden so die Basis für die Definition der erforderlichen Schutzmaßnahmen und damit für das Security-Konzept.

Hinweise zur Risikoanalyse

Die IEC 62443 beschreibt Methoden und Prozesse, um die Schwachstellen (https://www.weka-manager-ce.de/cybersecurity-maschinen-anlagen/schwachstellen-in-ot-und-it/) und möglichen Bedrohungen eines IACS zu ermitteln und passende Gegenmaßnahmen zu bestimmen.

Die Risikoanalyse als Basis der notwendigen IACS-Sicherheitsmaßnahmen stellt sich oftmals als anspruchsvoll dar. Bereits die Ermittlung und Beschreibung des zu schützenden Systems stellt Unternehmen vor Herausforderungen.

In der Praxis empfiehlt sich die Darstellung der Systemarchitektur mit Hilfe von möglichst intuitiven Diagrammen, in denen man die Zonen und Übergänge einträgt. Zu jeder Zone und jedem Übergang gehört dann das Security-Level (SL), das den Sollzustand bildet, sowie das Security-Level, das den Ist-Zustand beschreibt.

Mit dem Soll-Security-Level sind Sicherheitsanforderungen verbunden. Werden diese nicht erfüllt, stellt dies ein mögliches Risiko dar. Das Risiko hängt ab von vorhandenen Schwachstellen, von bereits ergriffenen Gegenmaßnahmen und der Wahrscheinlichkeit einer konkreten Bedrohung.

Beispiele für Bedrohungen sind der Verlust der Verfügbarkeit bestimmter Funktionen wie Eingriffe in die Steuerung, Blockierung sicherheitsrelevanter Einrichtungen, Unterdrückung von Warnmeldungen, aber auch der Verlust der Integrität durch unerlaubte Veränderungen an Messwerten und Betriebsparametern, nicht zuletzt auch der Verlust der Vertraulichkeit durch Ausspähung von Passwörtern.

Es gilt, die besonders gefährdeten Zone und Übergänge zu bestimmen, um die Maßnahmen zur Risikominderungen entsprechend priorisieren zu können. Dies sollte einfließen in einen Bericht zur Risikobewertung, der neben der Risikodarstellung auch eine Reihe von Empfehlungen liefern sollte, um darzulegen, wie sich die erkannten Risiken mindern lassen.

ISA Standards and Publications / ISA Standards: ISA/IEC 62443 Series of Standards
(https://www.isa.org/standards-and-publications/isa-standards/isa-iec-62443-series-of-standards)

IEC 62443-3-2:2020 Security for industrial automation and control systems – Part 3-2: Security risk assessment for system design
(https://www.vde-verlag.de/iec-normen/248927/iec-62443-3-2-2020.html)

EN IEC 62443-Reihe
(https://www.vde-verlag.de/iec-normen/suchen/?publikationsnummer=62443)

Zur Newsletter-Anmeldung

Unser kostenloser Newsletter informiert Sie monatlich über aktuelle Entwicklungen, Produktneuheiten und Veranstaltungen im Bereich Produktsicherheit.

Zum Demo-Download

Während des Testzeitraums können Sie die Software vollumfänglich nutzen. Mit Ihren Testdaten können Sie nach dem Kauf und der Lizenzierung auch direkt weiterarbeiten.

Webinare WEKA Manager CE

Zur Anmeldung

Jeweils 10-11 Uhr, online

  • 13. Mai 2024
  • 8. Juli 2024
  • 16. September 2024
  • 2. Dezember 2024

Roadshows WEKA Manager CE

Zur Anmeldung

Von 14:30 Uhr bis 17:30 Uhr vor Ort

  • 11.11.2024 in Stuttgart, Dienstag

Webinar CE-Update für
Praktiker 2023/2024

Zur Anmeldung

1-tägig, von 9 Uhr bis 12:30 Uhr und von 13 Uhr bis 16:30 Uhr

  • 21.05.2024, Dienstag
  • 10.09.2024 Dienstag

Anwenderschulung WEKA Manager CE

Zur Anmeldung

2-tägig, jeweils 9 Uhr bis 17 Uhr, jeweils Dienstag und Mittwoch

  • 09.-10.04.2024 online
  • 04.-05.06.2024 online
  • 09.-10.07.2024 Karlsruhe
  • 17.-18.09.2024 online
  • 29.-30.10.2024 online
  • 19.-20.11.2024 Stuttgart
  • 10.-11.12.2024 online

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Die Website speichert die von Ihnen gemachten Angaben sowie die IP-Adresse und einen Zeitstempel. Diese Daten können Sie jederzeit löschen lassen. Es gelten die Datenschutzbestimmungen der WEKA MEDIA GmbH & Co. KG, denen Sie hiermit ausdrücklich zustimmen.