Kategorien
Cybersecurity

Cybersecurity: Voraussetzungen für eine Risikobeurteilung nach EN IEC 62443

Die Risikobeurteilung für Industrial Automation and Control Systems (IACS) kann anspruchsvoll sein und bedarf geeigneter Ressourcen und Hilfestellungen. Bevor man also eine Risikobewertung angeht, sollten zuerst die Voraussetzungen geklärt und sichergestellt sein. Zentral sind Personen mit dem erforderlichen Know-how in industrieller Cybersicherheit sowie unterstützende Lösungen für ein Risikomanagement.

Eine spezielle Gefährdungsbeurteilung

Herausforderung Fachkräftemangel in der Cybersicherheit

Bereits seit Jahren herrscht ein tiefgreifender Mangel an Fachkräften in der Cybersecurity, das gilt für die industrielle Cybersicherheit und die OT-Sicherheit (https://www.weka.de/produktsicherheit/cybersecurity-maschinen-anlagen-ot-it-sicherheit/) ganz besonders.

Wie bei anderen Gefährdungsbeurteilungen auch bedarf es aber für Risikobeurteilungen im Bereich IACS „fachkundiger Personen“, die die gesetzlichen Vorgaben, die technischen Vorschriften und die Normen zur Cybersicherheit wie EN IEC 62443 (https://www.weka-manager-ce.de/cybersecurity-maschinen-anlagen/normenreihe-iec-62443-sicherheit-fuer-industrielle-automatisierungs-und-steuerungssysteme/) kennen.

Ebenso müssen diese Personen wissen, wie der Status der Cybersicherheit bewertet, verbessert oder aufrecht erhalten werden kann. Entsprechende Erfahrungen im Bereich des Informationssicherheitsmanagements und bei Risikobeurteilungen im IT-Umfeld können hilfreich sein.

Zur Bewertung der Schwachstellen und Cyberbedrohungen sollten mögliche Sicherheitslücken, Angriffe und die Folgen daraus mit Blick auf das betrachtete System bekannt sein. Eine erste Hilfe können Übersichten wie „Industrial Control System Security Top 10 Bedrohungen und Gegenmaßnahmen“ (https://www.allianz-fuer-cybersicherheit.de/SharedDocs/Downloads/Webs/ACS/DE/BSI-CS/BSI-CS_005.html) sein.

Neben den Kenntnissen über spezifische Begebenheiten bei dem jeweiligen Unternehmen und der betreffenden Anlage sollten auch Kenntnisse über zum erkannten Risiko passende Cybersicherheitsmaßnahmen vorhanden sein.

Sicherheitsanforderungen nach IEC 62443 betreffen insbesondere

  • Identification and Access Control (IAC) | Identifizierung und Authentifizierung,
  • Use Control (UC) | Nutzungskontrolle,
  • System Integrity (SI) | Systemintegrität,
  • Data Confidentiality (DC) | Vertraulichkeit der Daten,
  • Restricted Data Flow (RDF) | Eingeschränkter Datenfluss,
  • Timely Response to Events (TRE) | Rechtzeitige Reaktion auf Ereignisse sowie
  • Resource Availability (RA) | Verfügbarkeit der Ressourcen.

Aufgabenkatalog für die Risikobeurteilung

Die „fachkundigen Personen“ haben für die Risikobeurteilung diese Aufgaben zu übernehmen:

  • Struktur- und Ist-Analyse: Ermittlung der Komponenten der zu untersuchenden IT-Infrastruktur und ihrer Abhängigkeiten (mit OT-/IT-Umgebung https://www.weka-manager-ce.de/cybersecurity-maschinen-anlagen/ot-sicherheit-und-it-sicherheit-im-vergleich/) sowie der bereits umgesetzten Sicherheitsmaßnahmen
  • Identifikation der möglichen Bedrohung für Verfügbarkeit, Integrität und Vertraulichkeit: Nutzung eines Bedrohungskatalogs und Identifizierung der relevanten Bedrohungsszenarien
  • Schätzung möglicher Schäden und der Eintrittswahrscheinlichkeit: Ermittlung der möglichen Schäden auf Basis der identifizierten Bedrohung und der Eintrittswahrscheinlichkeiten
  • Definition geeigneter Security-Maßnahmen: Passend zur Risikoschätzung die Suche nach solchen Security-Maßnahmen, mit denen die Risiken auf ein akzeptables Maß reduziert werden können, sowie die Bestimmung der Fristen zur Umsetzung, unter Beachtung der Wirtschaftlichkeit der Maßnahmen
  • Kontrolle der Wirksamkeit: Nach Umsetzung der Security-Maßnahmen eine regelmäßige Feststellung der vorhandenen Risiken und Schwachstellen sowie Prüfung des Status der Cybersicherheit

ISA Standards and Publications / ISA Standards: ISA/IEC 62443 Series of Standards
https://www.isa.org/standards-and-publications/isa-standards/isa-iec-62443-series-of-standards

IEC 62443-3-2:2020 Security for industrial automation and control systems – Part 3-2: Security risk assessment for system design
https://www.vde-verlag.de/iec-normen/248927/iec-62443-3-2-2020.html

EN IEC 62443-Reihe
https://www.vde-verlag.de/iec-normen/suchen/?publikationsnummer=62443

Zur Newsletter-Anmeldung

Unser kostenloser Newsletter informiert Sie monatlich über aktuelle Entwicklungen, Produktneuheiten und Veranstaltungen im Bereich Produktsicherheit.

Zum Demo-Download

Während des Testzeitraums können Sie die Software vollumfänglich nutzen. Mit Ihren Testdaten können Sie nach dem Kauf und der Lizenzierung auch direkt weiterarbeiten.

Webinare WEKA Manager CE

Zur Anmeldung

Jeweils 10-11 Uhr, online

  • 13. Mai 2024
  • 8. Juli 2024
  • 16. September 2024
  • 2. Dezember 2024

Roadshows WEKA Manager CE

Zur Anmeldung

Von 14:30 Uhr bis 17:30 Uhr vor Ort

  • 11.11.2024 in Stuttgart, Dienstag

Webinar CE-Update für
Praktiker 2023/2024

Zur Anmeldung

1-tägig, von 9 Uhr bis 12:30 Uhr und von 13 Uhr bis 16:30 Uhr

  • 21.05.2024, Dienstag
  • 10.09.2024 Dienstag

Anwenderschulung WEKA Manager CE

Zur Anmeldung

2-tägig, jeweils 9 Uhr bis 17 Uhr, jeweils Dienstag und Mittwoch

  • 09.-10.04.2024 online
  • 04.-05.06.2024 online
  • 09.-10.07.2024 Karlsruhe
  • 17.-18.09.2024 online
  • 29.-30.10.2024 online
  • 19.-20.11.2024 Stuttgart
  • 10.-11.12.2024 online

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Die Website speichert die von Ihnen gemachten Angaben sowie die IP-Adresse und einen Zeitstempel. Diese Daten können Sie jederzeit löschen lassen. Es gelten die Datenschutzbestimmungen der WEKA MEDIA GmbH & Co. KG, denen Sie hiermit ausdrücklich zustimmen.