IEC 62443: Die internationale Normreihe für Industrielle Kommunikationsnetze

Die Digitalisierung hat in der Produktion zu großen Veränderungen geführt. Vernetzte Produktionsanlagen bringen zahlreiche Vorteile mit sich, bergen aber auch ein gewisses Sicherheitsrisiko, das nicht unterschätzt werden sollte. Veraltete Komponenten und ausstehende Updates machen ganze Systeme angreifbar. Hier setzt die IEC 62443 an, die als zentrale Normreihe für die Industrie 4.0 gilt.

Die IEC 62443 Normserie

Bei den IEC Normen handelt es sich um Normen, die von der International Electronic Commission veröffentlicht wurden. Die IEC, mit Sitz in Genf, ist für Normen im gesamten Bereich der Elektrotechnik und Elektronik zuständig und setzt sich aus Mitgliedern aus mehr als 70 Ländern zusammen. Die IEC 62443 Normreihe bezieht sich speziell auf die IT-Sicherheit sogenannter „Industrial Automation and Control Systems“, kurz IACS. Diese Systeme werden für den Betrieb von automatisierten Anlagen benötigt, sind aber angreifbar und somit potenzielle Ziele von Cyber-Attacken. Seit 2015 werden die Betreiber in die Pflicht genommen und sind verantwortlich für den Schutz ihrer IT-Infrastruktur. Die IEC 62443 Cyber-Security-Normfamilie bildet einen Rahmen, der Orientierung schafft und einen Standard vorgibt.

Leserservice: Unsere BericPDF-Angebot Shopfloor Managementhte sind oft sehr ausführlich. Daher bieten wir mit der PDF „IEC 62443“ eine Zusendung des Artikels im PDF-Format zur späteren Sichtung an. Nutzen Sie das Angebot um sich die Praxis-Impulse in Ruhe durchzulesen, Sie können hierfür auch einfach auf das PDF-Symbol klicken.

Die vier Bestandteile der IEC 62443

Die Normreihe setzt sich aus den folgenden vier Teilen zusammen:

Teil 1: General Information

Der erste Teil ist hauptsächlich als erklärende Einführung zu verstehen. Begrifflichkeiten und Abkürzungen werden erläutert und grundlegende Informationen, die maßgeblich zum Verständnis der folgenden Normen beitragen, werden im Vorfeld vermittelt.

Teil 2: Policies & Procedures

Im zweiten Teil werden technische Richtlinien für die IT-Sicherheit von Steuerungssystemen in der Industrie beschrieben. An dieser Stelle ist ein besonders deutlicher Bezug zur ISO-2700 Reihe erkennbar, die bereits zuvor von der International Organization for Standardization herausgegeben wurde. Die Normreihen ergänzen sich und bauen aufeinander auf.

Teil 3: System

Vorgaben bezüglich der Sicherheitsfunktionen von IACS sind im dritten Abschnitt zu finden. Unter dem Unterpunkt „Zones and Conduits“ wird hier beispielsweise auf die Notwendigkeit einer schützenden Trennung von Anlagen, die zwecks Datenaustausch miteinander verbunden sein müssen, eingegangen. Die Lösung liegt in der Nutzung ausgewählter, sicherer und kontrollierbarer Kommunikationskanäle. Darüber hinaus wird das „Security-Level“ Konzept vorgestellt, mit dessen Hilfe die Schutzniveaus verschiedener Anlagen eingeordnet und transparent gemacht werden können. Anlagen, die SL1 entsprechen, sind so zum Beispiel nur gegen rein zufälligen Missbrauch abgesichert, während Anlagen auf SL4 auch vor gut geplanten kriminellen Missbräuchen geschützt sind.

Teil 4: Component

Im vierten und letzten Teil dreht sich alles um die Anforderungen, die an die Produktentwicklung von Automatisierungslösungskomponenten gestellt werden.

Leserservice: Unsere BericPDF-Angebot Shopfloor Managementhte sind oft sehr ausführlich. Daher bieten wir mit der PDF „IEC 62443“ eine Zusendung des Artikels im PDF-Format zur späteren Sichtung an. Nutzen Sie das Angebot um sich die Praxis-Impulse in Ruhe durchzulesen, Sie können hierfür auch einfach auf das PDF-Symbol klicken.

Defense-in-depth als grundlegende Prinzip

Das sogenannte „Defense-in-depth“ Prinzip wird häufig mit dem Militär in Verbindung gebracht und stellt den grundlegendsten Ansatz der IEC 62443 Normreihe dar. Dabei geht es darum, die Sicherheit immens zu erhöhen, indem Angriffserfolge durch Ausschaltung oder Umschiffung einzelner Sicherheitsmaßnahmen unmöglich gemacht werden. Sprich: Die IT-Sicherheit wird Schicht für Schicht, wie eine Zwiebel, aufgebaut, sodass sich unter jeder durchbrochenen Schutzschicht eine intakte weitere Schicht befindet, die Angreifer aufhält. Um ein solch vielschichtiges Sicherheitsnetz zu gestalten, müssen sämtliche Systeme und Komponenten bedacht und einzeln, aber auch im Bezug aufeinander, abgesichert werden. Ein ideales, tief durchdachtes Sicherheitssystem, wie es hier beschrieben wird, soll selbst sehr gut geplanten Angriffen standhalten. Wichtig: Quantität kann Qualität hierbei nicht ersetzen. Viele Schichten aufzubauen bedeutet also nicht, die einzelne Schicht nachlässiger absichern zu können. An jede einzelne Schicht sollte der Anspruch gestellt werden, so sicher wie möglich zu sein.

Zusammenspiel von Technik und Mensch: Security- und Maturity-Levels

Der IEC 62443 Normreihe ist ein weiterer ganz zentraler Ansatz zu entnehmen: Optimale Sicherheit kann nicht allein durch die technischen Voraussetzungen, die mit dem Security-Level gemeint sind, geschaffen werden. Auch das Maturity-Level, also der reibungslose Ablauf organisatorischer Prozesse und das Sicherheitsverständnis unter den Mitarbeitern, muss entsprechend hoch sein. Erst wenn Security- und Maturity-Level auf einem stabilen Niveau zusammenspielen, wird das volle Schutzpotenzial entfaltet. Eine wirklich verlässliche Sicherheit kann dementsprechend nur erreicht werden, wenn sowohl die technische als auch die menschliche und prozessinterne Seite berücksichtigt und deren Level ständig überprüft wird.

Fazit zur IEC 62443: Ein ganzheitlicher Ansatz für die IT-Security in Produktions- und Automatisierungsbereichen

Noch ist die Normreihe nicht vollständig fertiggestellt – einzelne Unterpunkte befinden sich derzeit noch in Arbeit – doch schon jetzt ist erkennbar, dass das Gesamtwerk IEC 62443 als ganzheitlicher Ansatz für die IT-Security in Produktions- und Automatisierungsbereichen einen dringend benötigten, sinnvoll strukturierten Standard schafft.

Kommentar hinterlassen zu "IEC 62443: Die internationale Normreihe für Industrielle Kommunikationsnetze"

Hinterlasse einen Kommentar

E-Mail Adresse wird nicht veröffentlicht.


*