Kategorien
Cybersecurity

Normenreihe IEC 62443: Sicherheitsmodelle

Die Normenreihe IEC 62443 beschreibt, wie Betreiber, Integratoren und Hersteller angemessene Cybersicherheitsmaßnahmen für industrielle Automatisierungssysteme (Industrial Automation and Control Systems, IACS) auswählen und einsetzen. Dabei ist das Modell Defense-in-Depth von besonderer Bedeutung.

Schutz für IACS mit Defense-in-Depth

Ganzheitlicher Schutz für industrielle Automatisierungssysteme

Defense-in-Depth als umfassender Ansatz zum Schutz vor Cyberangriffen gilt als Basis der Sicherheitsmodelle, die zur Umsetzung der EN IEC 62443-Reihe entwickelt und ausgewählt werden.

Dabei versteht zum Beispiel NIST (https://www.nist.gov/) unter Defense-in-Depth eine „Informationssicherheitsstrategie, die Menschen, Technologie und betriebliche Fähigkeiten integriert, um variable Barrieren über mehrere Ebenen und Aufgaben der Organisation hinweg zu schaffen.“

Gemeint ist damit eine Sicherheitsstrategie, die die Erkennung und Abwehr von Angriffen auf mehreren Ebenen vorsieht, ein Sicherheitsmodell aus mehreren Schichten, das man sich wie ein „Zwiebel“-Modell vorstellen kann.

Angriffe müssen danach nicht nur einen Schutzwall, sondern eine Reihe von Schutzfunktionen überwinden, um zu dem Kern und damit zu der zu schützenden Verfügbarkeit und Integrität der IACS zu gelangen.

Gefordert sind hier alle beteiligten Rollen, also Betreiber, aber auch Integratoren und Hersteller.

Die Schutzebenen für IACS

Betreiber

Je nach Rolle können die Beteiligten unterschiedliche Schwerpunkte bei der Erkennung und Abwehr von Cyberangriffen wahrnehmen. Bei dem Betreiber sind es insbesondere die Mitarbeiterinnen und Mitarbeiter, die für die Cyberrisiken sensibilisiert werden müssen. Schulungen und eine strukturierte Organisation, die Security als Aufgabe versteht, gehören dazu. Zudem müssen Betreiber für den physischen Schutz der Anlagen sorgen, also unerlaubte Zutritte zu den Anlagen erkennen und verhindern.

Ebenso legt der Betreiber das Security-Level einer Anlage fest. Folgende Security-Level sind vorgesehen:

  • Securitylevel 1: Schutz gegen ungewollte, zufällige Angriffe
  • Securitylevel 2: Schutz gegen gewollte Angriffe mit einfachen Mitteln, niedrigem Aufwand, allgemeiner Expertise und niedriger Motivation
  • Securitylevel 3: Schutz gegen gewollte Angriffe mit fortgeschrittenen Mitteln, mittlerem Aufwand, spezifischer Expertise und mittlerer Motivation
  • Securitylevel 4: Schutz gegen gewollte Angriffe mit fortgeschrittenen Mitteln, erheblichem Aufwand, spezifischer Expertise und hoher Motivation

Integratoren

Die Integratoren im IACS-Umfeld haben „verbindende“ und „trennende“ Aufgaben, denn sie befinden sich auf der Ebene der Netzwerke und Systeme. Sie sind es, die die Zonen und Übergänge schaffen und absichern müssen, also Maßnahmen ergreifen müssen, die zur Segmentierung, aber auch zu geschützten Verbindungen führen.

Hersteller

Die einzelnen Geräte und Komponenten müssen ebenfalls Sicherheitsfunktionen in sich tragen. Hier sind die Hersteller gefragt, die für sichere Entwicklung, Tests, Code-Analysen, Richtlinien und integrierten Schutzfunktionen wie eine Datenverschlüsselung in den Geräten sorgen müssen.

Entsprechend sieht die Normenreihe verschiedene Aufgaben für die Security-Rollen der Hersteller, Integratoren und Betreiber vor:

  • IEC 62443-2 „Sicherheitsanforderungen für Betreiber und Dienstleister“ beschreibt insbesondere auch die Maßnahmen im Bereich Personal wie die Schulung der Mitarbeiterinnen und Mitarbeiter.
  • IEC 62443-3-2 „Sicherheitsanforderungen an Automatisierungssysteme – Security risk assessment and system design“ beschreibt, wie risikobasiert die Zonen und Übergänge bestimmt werden, eine Aufgabe, die gerade den Integratoren, aber auch den Herstellern obliegt.
  • IEC 62443-4 „Sicherheitsanforderungen an Automatisierungskomponenten“ enthält die Vorgaben an eine sichere Produktentwicklung, behandelt den sicheren Entwurf (Securtiy-by-Design), die sichere Implementierung (Programmierrichtlinien), das Schwachstellenmanagement, das Patch-Management und den kompletten Produktlebenszyklus bis zur Außerbetriebnahme.

ISA Standards and Publications / ISA Standards: ISA/IEC 62443 Series of Standards (https://www.isa.org/standards-and-publications/isa-standards/isa-iec-62443-series-of-standards)

DIN EN IEC 62443-3-3 ; VDE 0802-3-3:2020-01

Industrielle Kommunikationsnetze – IT-Sicherheit für Netze und Systeme – Teil 3-3: Systemanforderungen zur IT-Sicherheit und Security-Level (https://www.din.de/de/mitwirken/normenausschuesse/dke/veroeffentlichungen/wdc-beuth:din21:311519620)

EN IEC 62443-Reihe (https://www.vde-verlag.de/iec-normen/suchen/?publikationsnummer=62443)

Zur Newsletter-Anmeldung

Unser kostenloser Newsletter informiert Sie monatlich über aktuelle Entwicklungen, Produktneuheiten und Veranstaltungen im Bereich Produktsicherheit.

Zum Demo-Download

Während des Testzeitraums können Sie die Software vollumfänglich nutzen. Mit Ihren Testdaten können Sie nach dem Kauf und der Lizenzierung auch direkt weiterarbeiten.

Webinare WEKA Manager CE

Zur Anmeldung

Jeweils 10-11 Uhr, online

  • 13. Mai 2024
  • 8. Juli 2024
  • 16. September 2024
  • 2. Dezember 2024

Roadshows WEKA Manager CE

Zur Anmeldung

Von 14:30 Uhr bis 17:30 Uhr vor Ort

  • 11.11.2024 in Stuttgart, Dienstag

Webinar CE-Update für
Praktiker 2023/2024

Zur Anmeldung

1-tägig, von 9 Uhr bis 12:30 Uhr und von 13 Uhr bis 16:30 Uhr

  • 21.05.2024, Dienstag
  • 10.09.2024 Dienstag

Anwenderschulung WEKA Manager CE

Zur Anmeldung

2-tägig, jeweils 9 Uhr bis 17 Uhr, jeweils Dienstag und Mittwoch

  • 09.-10.04.2024 online
  • 04.-05.06.2024 online
  • 09.-10.07.2024 Karlsruhe
  • 17.-18.09.2024 online
  • 29.-30.10.2024 online
  • 19.-20.11.2024 Stuttgart
  • 10.-11.12.2024 online

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Die Website speichert die von Ihnen gemachten Angaben sowie die IP-Adresse und einen Zeitstempel. Diese Daten können Sie jederzeit löschen lassen. Es gelten die Datenschutzbestimmungen der WEKA MEDIA GmbH & Co. KG, denen Sie hiermit ausdrücklich zustimmen.