Kategorien
Cybersecurity

Cybersecurity: Risikobeurteilung nach EN IEC 62443

Die Normenreihe IEC 62443 bietet Orientierung für den sicheren Betrieb von industriellen Automatisierungs- und Steuerungssystemen (Industrial Automation and Control Systems, IACS). Um dem Risiko angemessene Schutzmaßnahmen definieren und ergreifen zu können, müssen die IACS-Risiken bestimmt werden. Auch hierzu liefert die Normenreihe IEC 62443 Hilfestellung.

Der Weg zu passenden Sicherheitsanforderungen und -maßnahmen

Risikoanalyse als Basis der industriellen Cybersecurity

Bevor ein Konzept für Cybersicherheit entworfen werden kann, müssen die zu schützenden Systeme nach IEC 62443 (https://www.weka-manager-ce.de/cybersecurity-maschinen-anlagen/normenreihe-iec-62443-sicherheit-fuer-industrielle-automatisierungs-und-steuerungssysteme/) einer genauen Analyse entworfen werden.

Dazu gehört im ersten Schritt, das System und die Umgebung, in der es betrieben wird, umfassend zu definieren. Man spricht auch von „system under consideration“ (SUC), also von dem System, das betrachtet werden soll.

Das SUC wird dann in Zonen und Übergänge (https://www.weka-manager-ce.de/cybersecurity-maschinen-anlagen/normenreihe-iec-62443-sicherheitskonzepte-fuer-industrielle-automatisierungssysteme/) unterteilt, man strukturiert also die Architektur der zu schützenden IACS.

Für jede Zone (Bereiche mit unterschiedlichen Sicherheitsanforderungen) und jeden Übergang (Verbindung zwischen zwei Zonen) gilt es dann, die konkreten Risiken zu bestimmen und zu bewerten.

Auf Basis der ermittelten und bewerteten Risiken wird dann jede Zone und jeder Übergang einem Security Level (geplante Schutzziele basierend auf Bedrohungen) (https://www.weka-manager-ce.de/cybersecurity-maschinen-anlagen/normenreihe-iec-62443-sicherheitsmodelle/) zugeordnet. Die entsprechenden Sicherheitsanforderungen werden dokumentiert. Sie bilden so die Basis für die Definition der erforderlichen Schutzmaßnahmen und damit für das Security-Konzept.

Hinweise zur Risikoanalyse

Die IEC 62443 beschreibt Methoden und Prozesse, um die Schwachstellen (https://www.weka-manager-ce.de/cybersecurity-maschinen-anlagen/schwachstellen-in-ot-und-it/) und möglichen Bedrohungen eines IACS zu ermitteln und passende Gegenmaßnahmen zu bestimmen.

Die Risikoanalyse als Basis der notwendigen IACS-Sicherheitsmaßnahmen stellt sich oftmals als anspruchsvoll dar. Bereits die Ermittlung und Beschreibung des zu schützenden Systems stellt Unternehmen vor Herausforderungen.

In der Praxis empfiehlt sich die Darstellung der Systemarchitektur mit Hilfe von möglichst intuitiven Diagrammen, in denen man die Zonen und Übergänge einträgt. Zu jeder Zone und jedem Übergang gehört dann das Security-Level (SL), das den Sollzustand bildet, sowie das Security-Level, das den Ist-Zustand beschreibt.

Mit dem Soll-Security-Level sind Sicherheitsanforderungen verbunden. Werden diese nicht erfüllt, stellt dies ein mögliches Risiko dar. Das Risiko hängt ab von vorhandenen Schwachstellen, von bereits ergriffenen Gegenmaßnahmen und der Wahrscheinlichkeit einer konkreten Bedrohung.

Beispiele für Bedrohungen sind der Verlust der Verfügbarkeit bestimmter Funktionen wie Eingriffe in die Steuerung, Blockierung sicherheitsrelevanter Einrichtungen, Unterdrückung von Warnmeldungen, aber auch der Verlust der Integrität durch unerlaubte Veränderungen an Messwerten und Betriebsparametern, nicht zuletzt auch der Verlust der Vertraulichkeit durch Ausspähung von Passwörtern.

Es gilt, die besonders gefährdeten Zone und Übergänge zu bestimmen, um die Maßnahmen zur Risikominderungen entsprechend priorisieren zu können. Dies sollte einfließen in einen Bericht zur Risikobewertung, der neben der Risikodarstellung auch eine Reihe von Empfehlungen liefern sollte, um darzulegen, wie sich die erkannten Risiken mindern lassen.

ISA Standards and Publications / ISA Standards: ISA/IEC 62443 Series of Standards
(https://www.isa.org/standards-and-publications/isa-standards/isa-iec-62443-series-of-standards)

IEC 62443-3-2:2020 Security for industrial automation and control systems – Part 3-2: Security risk assessment for system design
(https://www.vde-verlag.de/iec-normen/248927/iec-62443-3-2-2020.html)

EN IEC 62443-Reihe
(https://www.vde-verlag.de/iec-normen/suchen/?publikationsnummer=62443)

Sie haben eine Frage an einen erfahrenen CE-Berater?

Senden Sie uns Ihre Anfrage. Im Gespräch mit Ihnen finden wir den für Sie optimalen Berater. Die Vereinbarungen mit Ihnen sind individuell auf Ihre Aufgabenstellung zugeschnitten und können von einem beratenden Telefongespräch bis hin zu einer mehrtägigen Begleitung in Ihrem Unternehmen und der vollständigen Durchführung der CE-Kennzeichnung reichen. Die Beratungskosten richten sich nach Art und Umfang Ihrer Anforderung.

Individuelle Beratung anfordern