Die Norm IEC 62443 (Industrial Communication Networks – Networks and System Security) ist ein international anerkannter Standard im Bereich Industrial Security der Prozess- und Automatisierungsindustrie. Unternehmen können unter Anwendung der Norm mögliche Sicherheitsschwachstellen ihrer Steuerungs- und Leittechnik identifizieren und beheben. Auf Basis der Normenreihe IEC 62443 lässt sich nachweisen, dass Hersteller, Betreiber und Integratoren angemessene Cybersicherheitsmaßnahmen für industrielle Automatisierungssysteme (Industrial Automation and Control Systems, IACS) nutzen.
Die EN IEC 62443-Reihe
Einordnung und Unterschiede zu anderen Normen
Die noch nicht abgeschlossene Normenreihe IEC 62443 befasst sich mit der Sicherheit in „Industrial Automation and Control Systems“, kurz IACS. Ziel der Norm ist es, Betreiber, Hersteller und Integratoren dabei zu unterstützen, die Sicherheitsziele der Verfügbarkeit, Integrität und Vertraulichkeit bei Komponenten und Systemen im Industrieumfeld zu erhöhen. Dazu bildet die Normen-Reihe einen Rahmen an Empfehlungen, wie sich Schwachstellen in IACS erkennen und beheben lassen.
Im Vergleich zu Standards wie ISO/IEC 27000 Reihe behandelt die Normenreihe konkret die Sicherheit im OT (Operational Technology, https://www.weka-manager-ce.de/cybersecurity-maschinen-anlagen/security-loesungen-fuer-ot-und-unterschiede-bei-it-ot/) Bereich, sie stellt deshalb an Schutzziele wie Verfügbarkeit besondere Anforderungen und hat auch Bedeutung für den Schutz vor Gefahren für Leib, Leben und Umwelt.
Aufbau der Normenreihe
Gegenwärtig besteht die Normenreihe EN IEC 62443 aus vier Teilen:
- Teil 1: Allgemeines: Im ersten Teil von EN IEC 62443 gibt es eine Einführung und Basisinformationen sowie die Definition von Begriffen und Abkürzungen.
- Teil 2: Richtlinien und Verfahrensweise: Im zweiten Teil finden sich die technischen Beschreibungen zu Sicherheitsmaßnahmen für Anlagenbetreiber und Service-Provider. Das Ziel ist dabei eine fortlaufende Verbesserung des Sicherheitsniveaus. Weiterhin bietet dieser Teil Hinweise zu den Anforderungen an ein Managementsystem für die industrielle Sicherheit, mit Querverweisen zur ISO 27000 Reihe. Unter Teil 2 gibt es auch eine besondere und explizite Erwähnung von Patchmanagement bei IACS-Umgebungen zur Beseitigung von Schwachstellen (https://www.weka-manager-ce.de/cybersecurity-maschinen-anlagen/schwachstellen-in-ot-und-it/).
- Teil 3: System: Der dritte Teil enthält Vorgaben an die Sicherheitsfunktionen von Steuerung und Automatisierung von Systemen. Weiterhin leitet der Teil zu einer Kategorisierung von Anlagen hinsichtlich ihres Security-Level an, mit dem Ziel, daraus angemessene Maßnahmen zur Absicherung abzuleiten. Zudem sind in dem Teil Hinweise für eine Risikoanalyse (https://www.weka-manager-ce.de/cybersecurity-maschinen-anlagen/risikoanalyse-nach-it-grundschutz/) und -bewertung im Bereich Systemdesign von IACS. Schließlich finden sich hier Empfehlungen zur Strukturierung der Architektur in Zonen und Leitungen und zur Segmentierung der IACS in Zonen.
- Teil 4: Komponenten: Im vierten Teil finden sich die Anforderungen an eine sichere Produktentwicklung von Komponenten und Automatisierungstechnik (Secure Product Development Lifecycle Requirements) sowie konkrete Hinweise zu technischen Sicherheitsanforderungen bei IACS-Komponenten.
Weiterführende Links
ISA Standards and Publications / ISA Standards: ISA/IEC 62443 Series of Standards (https://www.isa.org/standards-and-publications/isa-standards/isa-iec-62443-series-of-standards)
DIN EN IEC 62443-3-3 ; VDE 0802-3-3:2020-01
Industrielle Kommunikationsnetze – IT-Sicherheit für Netze und Systeme – Teil 3-3: Systemanforderungen zur IT-Sicherheit und Security-Level (https://www.din.de/de/mitwirken/normenausschuesse/dke/veroeffentlichungen/wdc-beuth:din21:311519620)
EN IEC 62443-Reihe (https://www.vde-verlag.de/iec-normen/suchen/?publikationsnummer=62443)