Kategorien
Cybersecurity

Cybersecurity: Voraussetzungen für eine Risikobeurteilung nach EN IEC 62443

Die Risikobeurteilung für Industrial Automation and Control Systems (IACS) kann anspruchsvoll sein und bedarf geeigneter Ressourcen und Hilfestellungen. Bevor man also eine Risikobewertung angeht, sollten zuerst die Voraussetzungen geklärt und sichergestellt sein. Zentral sind Personen mit dem erforderlichen Know-how in industrieller Cybersicherheit sowie unterstützende Lösungen für ein Risikomanagement.

Risikobeurteilung nach EN IEC 62443 zur Bewertung der Schwachstellen und Cyberbedrohungen

Eine spezielle Gefährdungsbeurteilung

Herausforderung Fachkräftemangel in der Cybersicherheit

Bereits seit Jahren herrscht ein tiefgreifender Mangel an Fachkräften in der Cybersecurity, das gilt für die industrielle Cybersicherheit und die OT-Sicherheit (https://www.weka.de/produktsicherheit/cybersecurity-maschinen-anlagen-ot-it-sicherheit/) ganz besonders.

Wie bei anderen Gefährdungsbeurteilungen auch bedarf es aber für Risikobeurteilungen im Bereich IACS „fachkundiger Personen“, die die gesetzlichen Vorgaben, die technischen Vorschriften und die Normen zur Cybersicherheit wie EN IEC 62443 (https://www.weka-manager-ce.de/cybersecurity-maschinen-anlagen/normenreihe-iec-62443-sicherheit-fuer-industrielle-automatisierungs-und-steuerungssysteme/) kennen.

Ebenso müssen diese Personen wissen, wie der Status der Cybersicherheit bewertet, verbessert oder aufrecht erhalten werden kann. Entsprechende Erfahrungen im Bereich des Informationssicherheitsmanagements und bei Risikobeurteilungen im IT-Umfeld können hilfreich sein.

Zur Bewertung der Schwachstellen und Cyberbedrohungen sollten mögliche Sicherheitslücken, Angriffe und die Folgen daraus mit Blick auf das betrachtete System bekannt sein. Eine erste Hilfe können Übersichten wie „Industrial Control System Security Top 10 Bedrohungen und Gegenmaßnahmen“ (https://www.allianz-fuer-cybersicherheit.de/SharedDocs/Downloads/Webs/ACS/DE/BSI-CS/BSI-CS_005.html) sein.

Neben den Kenntnissen über spezifische Begebenheiten bei dem jeweiligen Unternehmen und der betreffenden Anlage sollten auch Kenntnisse über zum erkannten Risiko passende Cybersicherheitsmaßnahmen vorhanden sein.

Sicherheitsanforderungen nach IEC 62443 betreffen insbesondere

  • Identification and Access Control (IAC) | Identifizierung und Authentifizierung,
  • Use Control (UC) | Nutzungskontrolle,
  • System Integrity (SI) | Systemintegrität,
  • Data Confidentiality (DC) | Vertraulichkeit der Daten,
  • Restricted Data Flow (RDF) | Eingeschränkter Datenfluss,
  • Timely Response to Events (TRE) | Rechtzeitige Reaktion auf Ereignisse sowie
  • Resource Availability (RA) | Verfügbarkeit der Ressourcen.

Aufgabenkatalog für die Risikobeurteilung

Die „fachkundigen Personen“ haben für die Risikobeurteilung diese Aufgaben zu übernehmen:

  • Struktur- und Ist-Analyse: Ermittlung der Komponenten der zu untersuchenden IT-Infrastruktur und ihrer Abhängigkeiten (mit OT-/IT-Umgebung https://www.weka-manager-ce.de/cybersecurity-maschinen-anlagen/ot-sicherheit-und-it-sicherheit-im-vergleich/) sowie der bereits umgesetzten Sicherheitsmaßnahmen
  • Identifikation der möglichen Bedrohung für Verfügbarkeit, Integrität und Vertraulichkeit: Nutzung eines Bedrohungskatalogs und Identifizierung der relevanten Bedrohungsszenarien
  • Schätzung möglicher Schäden und der Eintrittswahrscheinlichkeit: Ermittlung der möglichen Schäden auf Basis der identifizierten Bedrohung und der Eintrittswahrscheinlichkeiten
  • Definition geeigneter Security-Maßnahmen: Passend zur Risikoschätzung die Suche nach solchen Security-Maßnahmen, mit denen die Risiken auf ein akzeptables Maß reduziert werden können, sowie die Bestimmung der Fristen zur Umsetzung, unter Beachtung der Wirtschaftlichkeit der Maßnahmen
  • Kontrolle der Wirksamkeit: Nach Umsetzung der Security-Maßnahmen eine regelmäßige Feststellung der vorhandenen Risiken und Schwachstellen sowie Prüfung des Status der Cybersicherheit

ISA Standards and Publications / ISA Standards: ISA/IEC 62443 Series of Standards
https://www.isa.org/standards-and-publications/isa-standards/isa-iec-62443-series-of-standards

IEC 62443-3-2:2020 Security for industrial automation and control systems – Part 3-2: Security risk assessment for system design
https://www.vde-verlag.de/iec-normen/248927/iec-62443-3-2-2020.html

EN IEC 62443-Reihe
https://www.vde-verlag.de/iec-normen/suchen/?publikationsnummer=62443

Sie haben eine Frage an einen erfahrenen CE-Berater?

Senden Sie uns Ihre Anfrage. Im Gespräch mit Ihnen finden wir den für Sie optimalen Berater. Die Vereinbarungen mit Ihnen sind individuell auf Ihre Aufgabenstellung zugeschnitten und können von einem beratenden Telefongespräch bis hin zu einer mehrtägigen Begleitung in Ihrem Unternehmen und der vollständigen Durchführung der CE-Kennzeichnung reichen. Die Beratungskosten richten sich nach Art und Umfang Ihrer Anforderung.

Individuelle Beratung anfordern