Österreich | deutsch

Security Normenreihe IEC 62443

Die internationale Normenreihe IEC 62443 „Industrielle Kommunikationsnetze - IT-Sicherheit für Netze und Systeme“ befasst sich mit IT-Sicherheit in der Automatisierung. Das Themenspektrum reicht von der Risikoanalyse über Anforderungen für den sicheren Betrieb bis hin zur sicheren Entwicklung von Produkten (Security by Design). Damit ist die IEC 62443 die derzeit beste Orientierungshilfe für Anlagenbetreiber und Gerätehersteller, um Security effektiv umzusetzen.
Sie betrachtet fünf Bereiche: die grundlegenden Anforderungen an Security, das Prinzip der Zonen und Kommunikationskanäle (Zones and conduits), die Security Level, den Security-Lebenszyklus sowie die Risikoanalyse.

Security Normenreihe IEC 62443

Die wichtigsten Normenteile im Überblick:

Für Komponentenhersteller Für Systemintegratoren Für Betreiber
62443-4-1 Entwicklungsprozess 62443-2-4 Richtlinien und Vorgehensweisen 62443-2-4 Richtlinien und Vorgehensweisen
62443-4-2 Security-Funktionen für die Komponente 62443-3-2 Security-Funktionen für Automatisierungs- und Steuerungssysteme 62443-2-1 Betrieb und Service
62443-3-3 Security-Funktionen für das gesamte Automatisierungs- und Steuerungssystem

62443-3-3 Security-Funktionen für das gesamte Automatisierungs- und Steuerungssystem

 

 

Grundlegende Anforderungen an Security

Industrial Security

Zu den grundlegenden Anforderungen (Foundational requirements) an Security zählen:

  • Identifizierung und Authentifizierung
  • Nutzungskontrolle
  • Systemintegrität
  • Vertraulichkeit der Daten
  • Eingeschränkter Datenfluss
  • Rechtzeitige Reaktion auf Ereignisse
  • Verfügbarkeit der Ressourcen

Für jede dieser grundlegenden Anforderungen sind weitere Systemanforderungen definiert, auf Basis derer man Security-Maßnahmen umsetzen kann.

Security Level

Security Level

Security Level definieren das Sicherheitslevel, das Anlagenbetreiber oder Hersteller mithilfe von Sicherheitsmaßnahmen erreichen wollen. Aufschluss darüber gibt eine Risikobeurteilung im Vorfeld. Während dieser wird definiert, was geschützt werden soll und ermittelt wie hoch die Wahrscheinlichkeit ist, dass dieses Gut angegriffen wird. Dementsprechend wird das Security Level (SL) gewählt. SL-2, sprich Schutz vor „absichtlicher Beeinträchtigung/Manipulation mit einfachen Mitteln, wenig Ressourcen, normalen Fähigkeiten und ohne spezielle Motivation“ sollte heutzutage als Mindeststandard verstanden werden. Um diesen Mindeststandard zu halten, muss das Unternehmen einen gewissen Security-Reifegrad besitzen. Die beste Firewall bringt nichts, wenn die Mitarbeiter eines Unternehmens weiterhin Passwörter auf Post-its an den PC-Bildschirm kleben oder keine Updates ausführen. Je stärker sich daher das Unternehmen mit dem Thema Security befasst, desto höher fällt der Schutz insgesamt aus. Wichtig ist daher ein ganzheitliches Security-Konzept. So kann die Application Firewall SecurityBridge als Teil eines Gesamtkonzepts zu einem hohen Security Level beitragen.

Die Security Level im Überblick:
Security Level 1: Schutz gegen einfachen oder zufälligen Missbrauch
Security Level 2: Schutz gegen absichtlichen Missbrauch mit einfachen Mitteln.
Security Level 3: Schutz gegen absichtlichen Missbrauch mit fortgeschrittenen Mitteln
Security Level 4: Schutz gegen absichtlichen Missbrauch mit fortgeschrittenen Mitteln und umfangreichen Ressourcen

Security Risikobeurteilung

Der Security-Entwicklungsprozess ist eine Erweiterung des allgemeinen Produkt-Entwicklungsprozesses. Ein grundlegender Aspekt eines normgerechten Security-Entwicklungsprozesses (nach IEC 62443-4-1 – Secure product development lifecycle requirements) ist die Durchführung einer Risikobeurteilung. Sie deckt auf, welchen Gefahren und Risiken aus dem „Cyber-Raum“ ein Produkt ausgesetzt ist und welche Maßnahmen ergriffen werden müssen, um diese zu minimieren.

Die Security Risikobeurteilung sollte immer in den folgenden 6 Schritten durchgeführt werden:

  1. Assets identifizieren: Was möchte ich schützen?
  2. Bedrohungen analysieren: Welche Risiken bestehen bei dem zu schützenden Gut?
  3. Relevante Schutzziele ermitteln: Welche Ziele möchte ich erreichen?
  4. Risiken analysieren und bewerten: Wie hoch ist die Wahrscheinlichkeit, dass ein Risiko eintritt?
  5. Schutzmaßnahmen wählen und umsetzen: Wie kann ich vor möglichem Risiko schützen?
  6. Resilienzmanagement: Was ist nach einem Angriff zu tun? Wie kann ich Security stärker im Unternehmen verankern?
Security Risikobeurteilung

Security Lebenszyklus

Security Lebenszyklus

Security ist ein „moving target“ d.h. Security verändert sich während des Lebenszyklus eines Produkts. Angreifer entwickeln immer bessere Methoden, um Abwehrmaßnahmen zu überwinden. Daher müssen die Maßnahmen gegen Cyberbedrohungen kontinuierlich verbessert werden. Die Verantwortung dafür liegt in erster Linie bei den Anlagenbetreibern. Eine effektive Security-Strategie kann die Lebensdauer ihrer Anlagen erhöhen. Maschinenbauer und Komponentenhersteller sollten die Betreiber sofort über neue Sicherheitsprobleme informieren. Sie müssen Updates für die Software ihrer Geräte bereitstellen, damit ihre Kunden Schwachstellen beheben können. Sind auch Systemintegratoren in den Prozess eingebunden, fungieren sie als Mittler zwischen Hersteller und Betreiber. Wichtig ist, dass alle Beteiligten über den gesamten Lebenszyklus der Produkte hinweg eng zusammenarbeiten. Nur dann kann ein hoher Schutz das Ergebnis sein.

Mehr zu Security 4.0

Pilz Österreich

Pilz Ges.m.b.H. Sichere Automation
Modecenterstraße 14
1030 Wien
Österreich

Telefon: +43 1 7986263-0
E-Mail: pilz@pilz.at

Technischer Support

Telefon: +43 1 7986263-444
E-Mail: techsupport@pilz.at