Kategorien
Cybersecurity

Normenreihe IEC 62443: Sicherheitskonzepte für industrielle Automatisierungssysteme

Mit Hilfe der Norm IEC 62443 (Industrial Communication Networks – Networks and System Security) können Betreiber, Integratoren und Hersteller spezifische Sicherheitskonzepte für industrielle Automatisierungssysteme (Industrial Automation and Control Systems, IACS) entwickeln. Dabei hilft die Einführung von Security-Level sowie von Zonen und Übergängen in der Architektur der zu schützenden IACS.

Die Sicherheitsmaßnahmen nach EN IEC 62443-Reihe

Organisation und Technik

Die IEC 62443 beschreibt die Sicherheit bei IACS nicht als rein technische Aufgabe. Vielmehr müssen die technischen Sicherheitsmaßnahmen stets in Verbindung mit Maßnahmen in der Organisation gesehen und umgesetzt werden. IACS-Sicherheit erfordert also neben der sicheren Technik auch funktionierende Prozesse, eine lückenlose Dokumentation und die erforderliche Awareness (Bewusstsein für Sicherheit) bei den beteiligten Personen.

Ebenso dürfen die notwendigen Sicherheitsmaßnahmen nicht als einmalige Aufgaben missverstanden werden. Die Security für industrielle Automatisierungssysteme ist als fortlaufender Prozess zu verstehen, wobei die Anforderungen und deren Umsetzung kontinuierlich auf Angemessenheit und Wirksamkeit hin untersucht werden müssen. Bei erkanntem Bedarf müssen Anforderungen und die Umsetzung dann entsprechend angepasst werden.

Entscheidend ist, dass alle Security-Maßnahmen, ob technisch oder organisatorisch, aufeinander abgestimmt sind, also in sich greifen. Das definierte Ziel lautet dabei Defense-in-Depth, mit einer mehrstufiger, ineinander greifenden Sicherheit.

Jede Sicherheitsmaßnahme muss zwar für sich genommen stark, umfassend und wirksam genug sein, um einen möglichen Angriff auf die IACS abzuwehren. Doch das Sicherheitskonzept sollte einem Angriff mehrere Hürden entgegenstellen, so dass die Durchdringung einer Schutzfunktion noch nicht den Erfolg des Angreifenden bedeutet.

Die IEC 62443 sieht zudem ein Zusammenspiel der verschiedenen Rollen im IACS-Umfeld, also Security-Maßnahmen bei den Betreibern der Anlagen, bei den Systemintegratoren und bei den Herstellern der einzelnen IACS-Komponenten. Diese Maßnahmen müssen ebenfalls ineinander greifen und zu mehreren Schutzebenen führen.

Dazu sieht die Normenfamilie sogenannte Security Program Elements für Betreiber, Systemanforderungen (System Requirement, SR) für Integratoren und Komponentenanforderungen (Component Requirements, CR) für Hersteller vor.

Die Gesamtheit der verschiedenen Maßnahmen entscheidet dann über das erreichte Security-Level (SL), das regelmäßig zu überprüfen ist.

Sicherheitslevel, Zonen und Übergänge

Die IEC 62443-Standards kennen verschiedene Stufen der Sicherheit und der Reife:

  • Security Levels: Dies sind die geplanten Schutzziele basierend auf Bedrohungen von „keine besondere Anforderung“ bis „Angreifer mit Vorsatz, fortschrittliche Werkzeuge und Motivation“.
  • Maturity Level: Darunter versteht man die Reifegrade für die Umsetzung von Sicherheit von „initial und ad-hoc“ bis „kontinuierliche Verbesserung“.

Auf Basis der Definition der zu schützenden Anlage und einer Risikoanalyse wird das tragbare Risiko und das notwendige Sicherheitslevel festgelegt.

Dies liefert die Basis, um die zu schützende Anlage in sogenannte Zonen und Übergänge (Zones and Conduits) zu segmentieren. Die Idee dahinter ist, Netzwerkgeräte logisch oder physisch zu gruppieren und zu unterteilen.

Die Zonen stellen dann Bereiche mit unterschiedlichen Sicherheitsanforderungen dar. Ein Übergang hingegen ist eine Verbindung zwischen zwei Zonen. Dies bildet die Grundlage der Sicherheitsarchitektur für IACS.

ISA Standards and Publications / ISA Standards: ISA/IEC 62443 Series of Standards (https://www.isa.org/standards-and-publications/isa-standards/isa-iec-62443-series-of-standards)

DIN EN IEC 62443-3-3 ; VDE 0802-3-3:2020-01

Industrielle Kommunikationsnetze – IT-Sicherheit für Netze und Systeme – Teil 3-3: Systemanforderungen zur IT-Sicherheit und Security-Level (https://www.din.de/de/mitwirken/normenausschuesse/dke/veroeffentlichungen/wdc-beuth:din21:311519620)

EN IEC 62443-Reihe (https://www.vde-verlag.de/iec-normen/suchen/?publikationsnummer=62443)

Zur Newsletter-Anmeldung

Unser kostenloser Newsletter informiert Sie monatlich über aktuelle Entwicklungen, Produktneuheiten und Veranstaltungen im Bereich Produktsicherheit.

Zum Demo-Download

Während des Testzeitraums können Sie die Software vollumfänglich nutzen. Mit Ihren Testdaten können Sie nach dem Kauf und der Lizenzierung auch direkt weiterarbeiten.

Webinare WEKA Manager CE

Zur Anmeldung

Jeweils 10-11 Uhr, online

  • 13. Mai 2024
  • 8. Juli 2024
  • 16. September 2024
  • 2. Dezember 2024

Roadshows WEKA Manager CE

Zur Anmeldung

Von 14:30 Uhr bis 17:30 Uhr vor Ort

  • 11.11.2024 in Stuttgart, Dienstag

Webinar CE-Update für
Praktiker 2023/2024

Zur Anmeldung

1-tägig, von 9 Uhr bis 12:30 Uhr und von 13 Uhr bis 16:30 Uhr

  • 21.05.2024, Dienstag
  • 10.09.2024 Dienstag

Anwenderschulung WEKA Manager CE

Zur Anmeldung

2-tägig, jeweils 9 Uhr bis 17 Uhr, jeweils Dienstag und Mittwoch

  • 09.-10.04.2024 online
  • 04.-05.06.2024 online
  • 09.-10.07.2024 Karlsruhe
  • 17.-18.09.2024 online
  • 29.-30.10.2024 online
  • 19.-20.11.2024 Stuttgart
  • 10.-11.12.2024 online

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Die Website speichert die von Ihnen gemachten Angaben sowie die IP-Adresse und einen Zeitstempel. Diese Daten können Sie jederzeit löschen lassen. Es gelten die Datenschutzbestimmungen der WEKA MEDIA GmbH & Co. KG, denen Sie hiermit ausdrücklich zustimmen.