Security Normenreihe IEC 62443

Die internationale Normenreihe IEC 62443 „Industrielle Kommunikationsnetze - IT-Sicherheit für Netze und Systeme“ zeigt, wie IT-Sicherheit in der Automatisierung hergestellt werden kann. Das Themenspektrum reicht von der Risikoanalyse über Anforderungen für den sicheren Betrieb bis hin zur sicheren Entwicklung von Produkten (Security by Design). Damit ist die IEC 62443 für Anlagenbetreiber, Maschinenbauer und Gerätehersteller die derzeit beste Orientierungshilfe, um Industrial Security effektiv umzusetzen.

Die IEC 62443 betrachtet fünf Bereiche: die grundlegenden Anforderungen an Industrial Security, das Prinzip der zones and conduits, die Security Level, den Security-Lebenszyklus sowie die Risikoanalyse.

Zentral ist dabei das Vorgehen für ein Security Risk Assessment, das als Grundlage für die Definition von maßgeschneiderten Security Maßnahmen dienen kann. Betont wird auch das Zusammenspiel aus organisatorischen und technischen Maßnahmen. Technische Lösungen allein führen im schlimmsten Fall zu einer Scheinsicherheit, da technische Maßnahmen leicht durch das Verhalten von Menschen ausgehebelt werden können. Ein Passwort zum Beispiel schützt nur dann, wenn es auch geändert, nicht geteilt und nicht sichtbar am Gerät angebracht wird.

Industrielle Automatisierungssysteme benötigen einen Defense-in-Depth-Ansatz, um den OT-Security Anforderungen gerecht zu werden. Pilz unterstützt mit Experten Know-how Maschinenhersteller und -betreiber bei der Umsetzung der organisatorischen und technischen Anforderungen speziell zur IEC 62443.

Mit einem Industrial Security Konzept und Einhaltung der Normen sowie gesetzlichen Anforderungen wird die Cyber-Sicherheit eines Unternehmens auch auf Maschinenebene signifikant erhöht. 

ISO/IEC TS 63074:2023

"Safety of machinery - Security aspects related to functional safety of safety-related control systems"

Diese Norm bezieht sich zentral auf den Schnittpunkt zwischen Sicherheit im Sinne von Safety und von Security. Sie berührt damit den Kern dessen, was die Maschinenverordnung fordert. Bei der Identifizierung von Sicherheitsbedrohungen und Schwachstellen bedient sie sich aus der IEC-62443-Serie. Sie berücksichtigt Schwachstellen der Safety-Steuerung, die von Security-Bedrohungen (wie unbefugtem Zugriff, Malware oder Cyberangriffen) ausgenutzt werden könnten. Ziel ist es, die Safety-Funktionen so zu schützen, dass diese ihre schützende Wirkung auch tatsächlich entfalten können. Insbesondere für die Safety empfiehlt sich ein Defense-in-Depth Prinzip.

Das Dokument definiert Anwendungsfälle und wendet entsprechende Bedrohungsmodelle auf diese an. Das hilft dabei zu verstehen, wie sich Security Bedrohungen auf die Safety auswirken können. Andere Auswirkungen eines Cyberangriffs werden explizit nicht betrachtet.

ISO 27001 - Managementsysteme für Informationssicherheit (ISMS)

Die NIS 2 führt zum Thema Management für Informationssicherheitssysteme. Ein besonderes Augenmerk fällt dabei auf die ISO/IEC 27001, weil sie weltweit als der de facto Standard für Informationssicherheit anerkannt wird und zertifizierbar ist. Sie gibt die Anforderungen an ein Informationssicherheitsmanagementsystem vor.

Man spricht von Informationssicherheit und nicht IT-Sicherheit, weil alle Informationen geschützt werden müssen, ob sie digital oder analog (handschriftlich, mündlich, bildlich) sind, ob sie auf einem Zettel stehen oder in der Cloud gespeichert werden. Da heutzutage viele Informationen IT-gestützt verarbeitet werden, spielt die IT-Security eine entsprechend große Rolle.

Im Wesentlichen geht es darum, Informationssicherheitsrisiken in allen Bereichen innerhalb einer Organisation zu minimieren. Damit sind die Produktionsmittel wie Maschinen und die OT-Netzwerke auch betroffen.

Wenn eine Organisation, durch äußere Anforderungen (z.B. gesetzliche Vorgaben oder vertragliche Vereinbarungen mit dem Kunden) ein ISMS nach ISO/IEC 27001 benötigt, oder dieses aus eigenem Antrieb umsetzen will (z.B. um sich selbst zu schützen oder einen Qualitätsstandard als Außenwirkung nutzen zu können), kann diese das Thema industrielle Cybersecurity nicht ausklammern.

Damit schließt sich der Kreis zur Norm IEC 62443, die aktuell den besten Rahmen bietet, um das Thema Informationssicherheit im Bereich der Industrial Security zu betrachten.

Die rasant zunehmende Bedrohung durch Cyberangriffe mit dem Potenzial für immense wirtschaftliche Schäden führt weltweit zur Einführung von gesetzlichen Rahmenbedingungen, um Mindeststandards für Unternehmen, industrielle Anlagen, Maschinen und Maschinenkomponenten zu erfüllen. Cyber-Security ist eine neue Anforderung und speziell für kritische Infrastrukturen ein Muss.

Um die Gefährdungen zu reduzieren, hat der europäische Gesetzgeber neue Regelwerke geschaffen.

Maschinenverordnung

Die Maschinenverordnung 2023/1230 wurde im Juni 2023 verabschiedet und ist nach einer Übergangsfrist von 42 Monaten für alle EU-Staaten verbindlich. Die Maschinenverordnung betrifft die Hersteller von Maschinen oder von Baugruppen für Maschinen, also Produzenten (OEM = Original Equipment Manufacturer) und Systemintegratoren. Hersteller von Maschinen müssen zukünftig bestätigen, dass die Maschinen der Maschinenverordnung entsprechen, das beinhaltet dann auch Security-Aspekte. Dazu gehören Schutz vor Verfälschung und Maßnahmen, um böswilligen Versuchen Dritter, Gefährdungssituation zu schaffen, widerstehen zu können. Das Einhalten der Maschinenverordnung wird formal in der Konformitätserklärung bestätigt. Als sichtbares Zeichen wird die Maschine mit dem CE-Zeichen gekennzeichnet. Maschinen, die die Anforderungen der neuen Maschinenverordnung nicht erfüllen, dürfen nicht mehr in der EU verkauft werden.

Schon seit vielen Jahren unterstützt Pilz die Hersteller von Maschinen im Konformitätsprozess, und dies in fast allen Bereichen wie Sicherheitskonzept, Risikoanalyse und Risikobeurteilung, bis hin zur Konformitätserklärung. In Zukunft werden wir das auch für die Security-Aspekte übernehmen.

Zweite EU-Richtlinie zu Netzwerk- und Informationssicherheit (NIS 2) 2022/2555

Die neue EU-Richtlinie für Netzwerk und Informationssysteme (NIS 2) regelt ein einheitliches Schutzniveau in Bezug auf Cyberangriffe für „wesentliche und wichtige“ Einrichtungen innerhalb der EU. Im Gegensatz zur Maschinenverordnung beschreibt sie Cybersecurity Anforderungen an Unternehmen, nicht an Maschinen. Die Richtlinie enthält unterschiedliche Anforderungen für unterschiedliche Bereiche, je nach der Bedeutung eines Unternehmens für die Volkswirtschaft (Kritikalität). Eine hohe Kritikalität besitzen z.B. Unternehmen aus den Bereichen Energieversorgung oder Schienenverkehr. Von der NIS 2 betroffen sind zudem unter anderem Hersteller von Maschinen und Anlagen mit mehr als 50 Personen oder einem Jahresumsatz größer als 10 Mio. EUR, auch aus weniger kritischen Sektoren.

Die Unternehmen müssen technische, betriebliche und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit von Netz- und Informationssystemen zu beherrschen. Hierzu gehört unter anderem die Schulung von Führungskräften und Mitarbeitern. Es gilt dabei nicht nur an die klassische Office IT, sondern auch den OT-Bereich und damit die Industrial Security zu berücksichtigen.

Cyber Resilience Act (2024/2847)

Der Cyber Resilience Act (CRA) hat das Ziel, die Security Eigenschaften von Produkten mit digitalen Elementen zu verbessern. Er betrifft daher die Hersteller und Inverkehrbringer von Produkten. Dazu gehören auch Hersteller von Maschinen. Der CRA führt verbindliche Security Anforderungen in den gesamten Lebenszyklus der Produkte ein. Er fordert eine Sorgfaltspflicht für den gesamten Lebenszyklus ein, worunter sich auch die Pflicht der Hersteller befindet, Softwareupdates, für Patch Management des Betreibers, über einen Zeitraum von mindestens 5 Jahren zu liefern, falls eine Security Schwachstelle im Produkt bekannt wurde. Die CE-Kennzeichnung von Produkten setzt mit Inkrafttreten des CRA dessen Einhaltung voraus. Somit ergänzt der CRA die NIS 2 Richtlinie und die Maschinenverordnung um die Security Eigenschaften in den Produkten.