Kategorien
Cybersecurity

Normenreihe IEC 62443: Sicherheitsmodelle

Die Normenreihe IEC 62443 beschreibt, wie Betreiber, Integratoren und Hersteller angemessene Cybersicherheitsmaßnahmen für industrielle Automatisierungssysteme (Industrial Automation and Control Systems, IACS) auswählen und einsetzen. Dabei ist das Modell Defense-in-Depth von besonderer Bedeutung.

IEC 62443 Sicherheitsmodelle

Schutz für IACS mit Defense-in-Depth

Ganzheitlicher Schutz für industrielle Automatisierungssysteme

Defense-in-Depth als umfassender Ansatz zum Schutz vor Cyberangriffen gilt als Basis der Sicherheitsmodelle, die zur Umsetzung der EN IEC 62443-Reihe entwickelt und ausgewählt werden.

Dabei versteht zum Beispiel NIST (https://www.nist.gov/) unter Defense-in-Depth eine „Informationssicherheitsstrategie, die Menschen, Technologie und betriebliche Fähigkeiten integriert, um variable Barrieren über mehrere Ebenen und Aufgaben der Organisation hinweg zu schaffen.“

Gemeint ist damit eine Sicherheitsstrategie, die die Erkennung und Abwehr von Angriffen auf mehreren Ebenen vorsieht, ein Sicherheitsmodell aus mehreren Schichten, das man sich wie ein „Zwiebel“-Modell vorstellen kann.

Angriffe müssen danach nicht nur einen Schutzwall, sondern eine Reihe von Schutzfunktionen überwinden, um zu dem Kern und damit zu der zu schützenden Verfügbarkeit und Integrität der IACS zu gelangen.

Gefordert sind hier alle beteiligten Rollen, also Betreiber, aber auch Integratoren und Hersteller.

Die Schutzebenen für IACS

Betreiber

Je nach Rolle können die Beteiligten unterschiedliche Schwerpunkte bei der Erkennung und Abwehr von Cyberangriffen wahrnehmen. Bei dem Betreiber sind es insbesondere die Mitarbeiterinnen und Mitarbeiter, die für die Cyberrisiken sensibilisiert werden müssen. Schulungen und eine strukturierte Organisation, die Security als Aufgabe versteht, gehören dazu. Zudem müssen Betreiber für den physischen Schutz der Anlagen sorgen, also unerlaubte Zutritte zu den Anlagen erkennen und verhindern.

Ebenso legt der Betreiber das Security-Level einer Anlage fest. Folgende Security-Level sind vorgesehen:

  • Securitylevel 1: Schutz gegen ungewollte, zufällige Angriffe
  • Securitylevel 2: Schutz gegen gewollte Angriffe mit einfachen Mitteln, niedrigem Aufwand, allgemeiner Expertise und niedriger Motivation
  • Securitylevel 3: Schutz gegen gewollte Angriffe mit fortgeschrittenen Mitteln, mittlerem Aufwand, spezifischer Expertise und mittlerer Motivation
  • Securitylevel 4: Schutz gegen gewollte Angriffe mit fortgeschrittenen Mitteln, erheblichem Aufwand, spezifischer Expertise und hoher Motivation

Integratoren

Die Integratoren im IACS-Umfeld haben „verbindende“ und „trennende“ Aufgaben, denn sie befinden sich auf der Ebene der Netzwerke und Systeme. Sie sind es, die die Zonen und Übergänge schaffen und absichern müssen, also Maßnahmen ergreifen müssen, die zur Segmentierung, aber auch zu geschützten Verbindungen führen.

Hersteller

Die einzelnen Geräte und Komponenten müssen ebenfalls Sicherheitsfunktionen in sich tragen. Hier sind die Hersteller gefragt, die für sichere Entwicklung, Tests, Code-Analysen, Richtlinien und integrierten Schutzfunktionen wie eine Datenverschlüsselung in den Geräten sorgen müssen.

Entsprechend sieht die Normenreihe verschiedene Aufgaben für die Security-Rollen der Hersteller, Integratoren und Betreiber vor:

  • IEC 62443-2 „Sicherheitsanforderungen für Betreiber und Dienstleister“ beschreibt insbesondere auch die Maßnahmen im Bereich Personal wie die Schulung der Mitarbeiterinnen und Mitarbeiter.
  • IEC 62443-3-2 „Sicherheitsanforderungen an Automatisierungssysteme – Security risk assessment and system design“ beschreibt, wie risikobasiert die Zonen und Übergänge bestimmt werden, eine Aufgabe, die gerade den Integratoren, aber auch den Herstellern obliegt.
  • IEC 62443-4 „Sicherheitsanforderungen an Automatisierungskomponenten“ enthält die Vorgaben an eine sichere Produktentwicklung, behandelt den sicheren Entwurf (Securtiy-by-Design), die sichere Implementierung (Programmierrichtlinien), das Schwachstellenmanagement, das Patch-Management und den kompletten Produktlebenszyklus bis zur Außerbetriebnahme.

ISA Standards and Publications / ISA Standards: ISA/IEC 62443 Series of Standards (https://www.isa.org/standards-and-publications/isa-standards/isa-iec-62443-series-of-standards)

DIN EN IEC 62443-3-3 ; VDE 0802-3-3:2020-01

Industrielle Kommunikationsnetze – IT-Sicherheit für Netze und Systeme – Teil 3-3: Systemanforderungen zur IT-Sicherheit und Security-Level (https://www.din.de/de/mitwirken/normenausschuesse/dke/veroeffentlichungen/wdc-beuth:din21:311519620)

EN IEC 62443-Reihe (https://www.vde-verlag.de/iec-normen/suchen/?publikationsnummer=62443)

Sie haben eine Frage an einen erfahrenen CE-Berater?

Senden Sie uns Ihre Anfrage. Im Gespräch mit Ihnen finden wir den für Sie optimalen Berater. Die Vereinbarungen mit Ihnen sind individuell auf Ihre Aufgabenstellung zugeschnitten und können von einem beratenden Telefongespräch bis hin zu einer mehrtägigen Begleitung in Ihrem Unternehmen und der vollständigen Durchführung der CE-Kennzeichnung reichen. Die Beratungskosten richten sich nach Art und Umfang Ihrer Anforderung.

Individuelle Beratung anfordern