Mit Hilfe der Norm IEC 62443 (Industrial Communication Networks – Networks and System Security) können Betreiber, Integratoren und Hersteller spezifische Sicherheitskonzepte für industrielle Automatisierungssysteme (Industrial Automation and Control Systems, IACS) entwickeln. Dabei hilft die Einführung von Security-Level sowie von Zonen und Übergängen in der Architektur der zu schützenden IACS.
Die Sicherheitsmaßnahmen nach EN IEC 62443-Reihe
Organisation und Technik
Die IEC 62443 beschreibt die Sicherheit bei IACS nicht als rein technische Aufgabe. Vielmehr müssen die technischen Sicherheitsmaßnahmen stets in Verbindung mit Maßnahmen in der Organisation gesehen und umgesetzt werden. IACS-Sicherheit erfordert also neben der sicheren Technik auch funktionierende Prozesse, eine lückenlose Dokumentation und die erforderliche Awareness (Bewusstsein für Sicherheit) bei den beteiligten Personen.
Ebenso dürfen die notwendigen Sicherheitsmaßnahmen nicht als einmalige Aufgaben missverstanden werden. Die Security für industrielle Automatisierungssysteme ist als fortlaufender Prozess zu verstehen, wobei die Anforderungen und deren Umsetzung kontinuierlich auf Angemessenheit und Wirksamkeit hin untersucht werden müssen. Bei erkanntem Bedarf müssen Anforderungen und die Umsetzung dann entsprechend angepasst werden.
Entscheidend ist, dass alle Security-Maßnahmen, ob technisch oder organisatorisch, aufeinander abgestimmt sind, also in sich greifen. Das definierte Ziel lautet dabei Defense-in-Depth, mit einer mehrstufiger, ineinander greifenden Sicherheit.
Jede Sicherheitsmaßnahme muss zwar für sich genommen stark, umfassend und wirksam genug sein, um einen möglichen Angriff auf die IACS abzuwehren. Doch das Sicherheitskonzept sollte einem Angriff mehrere Hürden entgegenstellen, so dass die Durchdringung einer Schutzfunktion noch nicht den Erfolg des Angreifenden bedeutet.
Die IEC 62443 sieht zudem ein Zusammenspiel der verschiedenen Rollen im IACS-Umfeld, also Security-Maßnahmen bei den Betreibern der Anlagen, bei den Systemintegratoren und bei den Herstellern der einzelnen IACS-Komponenten. Diese Maßnahmen müssen ebenfalls ineinander greifen und zu mehreren Schutzebenen führen.
Dazu sieht die Normenfamilie sogenannte Security Program Elements für Betreiber, Systemanforderungen (System Requirement, SR) für Integratoren und Komponentenanforderungen (Component Requirements, CR) für Hersteller vor.
Die Gesamtheit der verschiedenen Maßnahmen entscheidet dann über das erreichte Security-Level (SL), das regelmäßig zu überprüfen ist.
Sicherheitslevel, Zonen und Übergänge
Die IEC 62443-Standards kennen verschiedene Stufen der Sicherheit und der Reife:
- Security Levels: Dies sind die geplanten Schutzziele basierend auf Bedrohungen von „keine besondere Anforderung“ bis „Angreifer mit Vorsatz, fortschrittliche Werkzeuge und Motivation“.
- Maturity Level: Darunter versteht man die Reifegrade für die Umsetzung von Sicherheit von „initial und ad-hoc“ bis „kontinuierliche Verbesserung“.
Auf Basis der Definition der zu schützenden Anlage und einer Risikoanalyse wird das tragbare Risiko und das notwendige Sicherheitslevel festgelegt.
Dies liefert die Basis, um die zu schützende Anlage in sogenannte Zonen und Übergänge (Zones and Conduits) zu segmentieren. Die Idee dahinter ist, Netzwerkgeräte logisch oder physisch zu gruppieren und zu unterteilen.
Die Zonen stellen dann Bereiche mit unterschiedlichen Sicherheitsanforderungen dar. Ein Übergang hingegen ist eine Verbindung zwischen zwei Zonen. Dies bildet die Grundlage der Sicherheitsarchitektur für IACS.
Weiterführende Links
ISA Standards and Publications / ISA Standards: ISA/IEC 62443 Series of Standards (https://www.isa.org/standards-and-publications/isa-standards/isa-iec-62443-series-of-standards)
DIN EN IEC 62443-3-3 ; VDE 0802-3-3:2020-01
Industrielle Kommunikationsnetze – IT-Sicherheit für Netze und Systeme – Teil 3-3: Systemanforderungen zur IT-Sicherheit und Security-Level (https://www.din.de/de/mitwirken/normenausschuesse/dke/veroeffentlichungen/wdc-beuth:din21:311519620)
EN IEC 62443-Reihe (https://www.vde-verlag.de/iec-normen/suchen/?publikationsnummer=62443)