IEC 62443 Die internationale Normenreihe IEC 62443 definiert Sicherheitsanforderungen für Hersteller, Integratoren und Betreiber, um Risiken zu vermeiden.
IEC 62443 – die Norm für industrielle Cyber Security
IEC 62443 und ISO 27001 im Überblick
Cyber Security in der IT und OT
Früher wurden die Bereiche Information Technology (IT) und Operation Technology (OT) getrennt betrachtet und verschiedenen Fachbereichen zugeordnet. Mit der zunehmenden Vernetzung und Digitalisierung von Systemen und Produktionen wachsen diese Bereiche jedoch zusammen. Cyber Security kann daher nicht mehr isoliert betrachtet werden. Nur durch ein abgestimmtes Vorgehen lässt sich ein wirksamer und effizienter Schutz vor Cyber-Attacken erreichen.
Die ISO 27000-Normenreihe definiert Schutzziele für die IT, wobei der Fokus auf der Vertraulichkeit liegt. Für den OT-Bereich ist die Verfügbarkeit von Systemen entscheidend, wie in der IEC 62443 beschrieben. Die Normenreihe IEC 62443 hat das Ziel, eine Hilfestellung für den sicheren Betrieb von industriellen Automatisierungssystemen (ICS-Systeme) zu leisten – vom Design über die Implementierung bis zum Management. Zu diesem Zweck beschreibt sie in mehreren Standards Regeln für Komponentenhersteller, Systemintegratoren und Betreiber: Die Komponentenhersteller haben für die Absicherung der Produkte zu sorgen, deren sicheres Zusammenwirken von den Maschinen- und Anlagenbauern beachtet werden muss. Der Betreiber verantwortet schließlich die sicheren Betriebsabläufe. Die IEC 62443 ergänzt somit die Norm ISO 27001. Eine Betrachtung beider Normen ist für einen ganzheitlichen Schutz vor Cyber-Attacken entscheidend.
Aufbau der IEC 62443
Ein besonderes Merkmal der IEC 62443 ist der ganzheitliche Security-by-Design-Ansatz. Dieser umfasst Anforderungen an Betriebsprozesse, Systemen und an Komponenten. Zusätzlich legt der Ansatz sowohl prozessuale als auch technische Maßnahmen fest.
Ein zentrales Security-Konzept der IEC 62443 ist „Defense in Depth“. Durch die Staffelung mehrerer Sicherheitsmechanismen hintereinander wird es Angreifern erschwert, in das System einzudringen.
Umsetzung der IEC 62443 als Betreiber
Vorgehen „Neun Schritte zur sicheren Anlage“.
Am Beginn einer sicheren Automatisierungslösung steht die Definition der zu schützenden Assets. Für diese werden eine Bedrohungs- und Risikoanalyse durchgeführt. Diese Analysen bilden die Basis für die Ableitung von Maßnahmen zur Risikominderung und daraus resultierenden Anforderungen an das System und die eingesetzten Komponenten.
Das Schutzniveau einer Anlage ergibt sich jedoch nicht nur aus den technischen Fähigkeiten, sondern auch aus den gelebten Prozessen sowie dem Know-how des Personals. Eine sichere Anlage bedingt deren permanente Überwachung und Pflege. Dazu gehört eine genaue Kenntnis der Installation und ihrer Eigenschaften – also ein Netzwerkplan und ein Inventar sämtlicher Komponenten – ebenso wie eine Verwaltung der Benutzenden, der Rechte sowie der Zugangsdaten.
Dabei gibt es nicht die Standardlösung für alle Anwendungsfälle. Eine sichere Automatisierungslösung ist immer individuell an die Gegebenheiten anzupassen. Die implementierten Maßnahmen müssen zudem zyklisch überprüft und entsprechend dem aktuellen Stand der Technik angepasst werden. Als Hilfestellung haben wir das Vorgehen „Neun Schritte zur sicheren Anlage“ definiert. Dieses Vorgehen ermöglicht es Betreibern und Systemintegratoren, Security-by-Design für ihre spezifische Lösung umzusetzen.
Umsetzung der IEC 62443 bei Phoenix Contact
Unser vollständiges 360°-Security-Konzept
360°-Security-Konzept
Bei Phoenix Contact haben wir im Jahr 2017 mit der Umsetzung der IEC 62443 begonnen. Der Schutz von Systemen oder Anlagen kann jedoch nur gewährleistet werden, wenn sie von allen Seiten abgesichert sind. Aus diesem Grund haben wir unser 360°-Security-Konzept entwickelt und implementiert – ein vollständiges Angebot ohne Kompromisse.
Unser Ansatz zur Cyber Security ist ganzheitlich. Jeder Bestandteil unseres 360°-Security-Konzepts ist deshalb nach IEC 62443 zertifiziert. Dies beginnt mit einem sicheren Entwicklungsprozess, der sicherstellt, dass unsere Produkte von Anfang an mit robusten Security-Funktionen ausgestattet sind. Diese Security-Funktionalitäten sind tief in unsere Produkte integriert, um einen umfassenden Schutz zu gewährleisten. Darüber hinaus bieten wir zertifizierte Services an, die darauf abzielen, die Sicherheit unserer Kunden kontinuierlich zu verbessern.
Entwicklungsprozess zertifiziert nach IEC 62443-4-1
Bereits im Jahr 20218 haben wir den sicheren Entwicklungsprozess zertifiziert nach IEC 62443-4-1 für unsere Komponenten eingeführt. Dieser Prozess basiert auf den bewährten Cyber-Security-Prinzipien und Defense-in-Depth.
Ein wichtiger Teil ist seitdem die transparente und offene Kommunikation über potenzielle Sicherheitslücken. Das Product Security Incident Response Team (PSIRT) veröffentlicht deshalb Meldungen über mögliche Schwachstellen und stellt regelmäßig Security-Updates für unsere Produkte bereit.
Produkte zertifiziert nach IEC 62443-4-2
Sichere Produkte sind nach dem IEC 62443-4-1 Entwicklungsprozess entwickelt und erfüllen die funktionalen Security-Anforderungen der IEC 62443-4-2.
Als weltweit erste Steuerung wurde 2021 die PLCnext Control nach IEC 62443-4-1 ML3 /4-2 SL2 Feature Set zertifiziert. Weitere sichere Produkte befinden sich zurzeit in der Entwicklung oder werden zertifiziert. Erfahren Sie mehr über unsere sicheren Produkte:
Serviceleistungen zertifiziert nach IEC 62443-2-4
Dienstleistungen zertifiziert nach IEC 62443-2-4
Um gemeinsam mit Systemintegratoren und Betreibern effektive Security-Lösungen zu entwickeln, zu beraten, zu installieren und zu warten, müssen die beteiligten Teams über umfassende Cyber-Security-Fähigkeiten verfügen und diese nachweisen können. Dies stellt sicher, dass alle Sicherheitsmaßnahmen den höchsten Standards entsprechen und effektiv umgesetzt werden.
Bei Phoenix Contact sind die entsprechenden Teams, einschließlich derjenigen in ausgewählten Ländergesellschaften, nach der internationalen Norm IEC 62443-2-4 zertifiziert. Diese Zertifizierung bestätigt, dass unsere Teams die notwendigen Kompetenzen und Prozesse besitzen, um industrielle Automatisierungssysteme sicher zu integrieren und zu betreiben. Durch diese Qualifikation können wir unseren Kunden weltweit zuverlässige und sichere Lösungen bieten, die den aktuellen Cyber-Security-Anforderungen gerecht werden.
Lösungen zertifiziert nach IEC 62443-3-3
Eine allgemeine Lösung zur Umsetzung der Normen gibt es nicht. Vielmehr müssen die Regeln nach individuellen Wünschen und Gegebenheiten umgesetzt werden. Um die prozessualen Anforderungen sowie die funktionalen Systemanforderungen besser erklären und umsetzen zu können, entwickeln wir bei Phoenix Contact verschiedene Templates (Blueprints) für unterschiedliche Märkte und Lösungen.
Der Blueprint „Remote-Monitoring and -Control“ zeigt neben der mehrstufigen Absicherungsstrategie (Defense-in-Depth-Konzept) u. a. die Segmentierung in Zonen und Conduits, die Datenflusskontrolle, eine durchgängige Kommunikationsverschlüsselung, eine Härtung der Komponenten, Awareness-Schulungen für Mitarbeiter sowie Prozesse zum Patch- und Risikomanagement.
Diese Lösung wurde nach der IEC 62443-3-3 zertifiziert.
Unser vom TÜV Süd gemäß IEC 62443-3-3 zertifizierter Blueprint „Remote-Monitoring and -Control“
Cyber Security wird Gesetz
IEC 62443: Erfolgsfaktor für Cyber-Security-Richtlinien
Mit dem neuen Cyber Resilience Act (CRA), der neuen NIS 2-Richtlinie und der neuen Maschinenverordnung wird die Umsetzung von Cyber-Security-Maßnahmen in Europa gesetzlich verpflichtend. Und das nicht mehr nur für kritische Infrastrukturen.
Um die hohen Anforderungen der neuen Security-Richtlinien zu erfüllen, ist es hilfreich, sich an internationale Standards zu orientieren. Einer dieser Standards ist die Security-Norm IEC 62443. Z. B. deckt die IEC 62443 bereits viele der vom CRA geforderten Anforderungen ab. Sowohl für den sicheren Entwicklungsprozess als auch für technische Anforderungen an Produkte und Systeme. Die IEC 62443 ist deshalb ein aussichtsreicher Kandidat für eine zukünftige harmonisierte Norm des CRA.
Auch für die Erfüllung der neuen Security-Richtlinie NIS 2 oder für die neue Maschinenverordnung bietet die IEC 62443 eine umfangreiche Hilfestellung.
LinkedIn: Industrial Communication und Cyber Security Jetzt Teil unserer Community werden!
Industrielle Kommunikationsnetzwerke ermöglichen es uns, Daten vom Feld über die Steuerungsebene bis hin zur Cloud zuverlässig zu übertragen. Auf unserer LinkedIn-Seite Industrial Communication und Cyber Security finden Sie interessante Informationen rund um die Themen Netzwerkverfügbarkeit, Cyber Security, Fernwartung und vieles mehr. Werden Sie Teil unserer Community!