05/11/2019

Alles, was man über den IEC 62443-Standard wissen muss

IEC 62443 ist die Security-Norm für Betreiber, Integratoren und Hersteller aus dem Bereich der Industrieanlagen. Es ist ein Regelwerk, das für jene, die es umsetzen angemessenen Schutz bieten soll. 

 

Warum ist der ISO/IEC-Standard 62443 so wichtig?

Warum, so kann man sich fragen, wird um den ISO/IEC-Standard soviel Aufhebens gemacht? Ganz einfach: es geht hier in den meisten Fällen um Industrieanlagen, die – wenn sie ausfallen – umgehend Auswirkungen auf die Bevölkerung haben. Dazu gehört allen voran natürlich die Energieversorgung, das Gesundheitswesen, Wasserversorger sowie die produzierende Industrie.

 

IEC 62443 besteht aus vier Teilbereichen

IEC 62443-1 beinhaltet allgemeine Konzepte, Terminologien und Methoden.
Dazu definiert der Standardteil zunächst einmal, was überhaupt ein Industriesystem ausmacht und geht dabei auf die beiden „generellen Voraussetzungen“ ein, welche zu jeder Zeit berücksichtigt werden müssen.

  • Unterstützung der wesentlichen Funktionen
    Sicherheitsmaßnahmen dürfen die Grundfunktionen des Industriesystems nicht beeinträchtigen.
  • Kompensation durch Gegenmaßnahmen
    Falls erforderlich, sind kompensierende Gegenmaßnahmen zu ergreifen. Diese werden vor allem dann tragend, wenn ein System (z. B. eine bereits in die Jahre gekommene Komponente) bestimmte Sicherheitsmechanismen nicht selbst umsetzen kann (z. B. Authentisierung) und deshalb durch die Funktion einer anderen Komponente (z. B. eine vorgeschaltete Firewall) geschützt wird.

Zusätzlich werden weitere wichtige Konzepte, die die Grundlage für das Thema Sicherheit im Industrieumfeld bilden, näher beschrieben:

  • Sicherheitsziele
  • Defense-in-Depth
  • Least Privilege
  • Risikoanalyse
  • Supply Chain Security

IEC 62443-2 richtet sich an Betreiber von Anlagen und beinhaltet organisatorische Maßnahmen und Prozesse, die als Bestandteil eines Defense-in-Depth-Konzeptes relevant sind. Die beschriebenen Maßnahmen richten sich dabei an die Betreiber selbst oder an die für den Betrieb und Wartung zuständige Organisation. Im Standardteil 2-1 und 2-2 werden Vorgaben sowie Umsetzungsempfehlungen für den Aufbau eines ISMS (Information Security Management System) für den OT-Bereich beschrieben. Der Standardteil 2-3 behandelt Themen im Bereich des Patch Management, Standardteil 2-4 ist als Bauchladen gedacht, in dem Service Provider Vorgaben für Prozesse finden, die zum Beispiel durch einen Betreiber gefordert werden können.

IEC 62443-3 spricht Integratoren an. Dabei geht es um sicherheitsrelevante Anforderungen an die funktionalen Fähigkeiten der Automatisierungssysteme. Diese finden sich im Standarteil 3-3 unter dem Begriff der „Foundational Requirements (FR)“ wieder und beinhalten Systemanforderungen zu den Themen Identifizierung und Authentifizierung, Systemintegrität eingeschränkter Datenfluss oder auch rechtzeitige Reaktion auf Ereignisse.
Unter anderem gehört in den Teil 3 auch ein technischer Bericht über aktuelle Schutztechniken, in dem unter anderem Themen wie Authentisierung und Autorisierung, Verschlüsselung, Fernzugriffe oder auch Monitoring und Logging aufgegriffen und in den Kontext von Industriesysteme gesetzt werden. Im Standardteil 3-2 findet sich eine Beschreibung eines Risikoanalyse- und Zonierungsprozesses. Das Dokument beschreibt dazu Vorgehensweisen, um ein Industriesystem in Zonen einzuteilen, Sicherheitsrisiken zu bewerten, geplante Security-Levels zu definieren sowie Security-Anforderungen festzuschreiben.

IEC 62443-4 richtet sich schließlich an Hersteller von Hard- und Softwareteilen einer Industrieanlage. Dabei wird IT-Sicherheit als integraler Bestandteil des Entwicklungsprozesses besagter Teile erörtert und die Anforderungen bzw. die funktionalen Fähigkeiten des Produktes im 4-1 Standardteil definiert, um etwaige Schwachstellen auszumerzen. Im Idealfall wird dieser Bereich schon in der Entwicklungsphase eines Produktes miteinbezogen, da umfangreich auf das Thema Secure Development Lifecycle mit allen angrenzenden Themen (im Standard „Practices“ genannt) behandelt wird. Zusätzlich findet sich im Standardteil 4-2 eine Erweiterung der Systemanforderungen aus der IEC 62443-3-3, die auf Besonderheiten der folgenden Komponentenklassen eingehen, die in Industrielösungen eingesetzt werden: Software Applikationen, Host Geräte, Embedded Geräte und Netzwerkkomponenten.
Innerhalb des Standards werden sogenannte Security-Levels (SL 1-4) vorgestellt, die einen Ansatz beschreiben, um den Schutz einer Zone, einer Lösung oder eines Systems anzugeben.
Der Level 1 gilt dabei als die Mindestanforderung, die eine Anlage zu erfüllen hat, um unabsichtliche und zufälligen Missbrauch zu verhindern. Im Level 4 hingegen befindet man sich sozusagen schon im Hochsicherheitsbereich, der nur mit erheblichem Aufwand erreicht werden kann, dann allerdings auch nur mit sehr hoher Motivation gehackt werden kann. Aus Erfahrung können wir sagen, dass das Erreichen von Level 3 schon ein ausgezeichnetes Sicherheitsniveau ist.

Limes Security ist Spezialist auf dem Gebiet der ISO/IEC 62443-Standards und unterstützt Sie gerne bei der Erreichung Ihres gewünschten Sicherheitsniveaus.
Lesen Sie mehr über unsere #Zusammenarbeit mit dem TÜV.
Eine übersichtliche Zusammenfassung der wichtigsten Elemente des IEC 62443 Standards bieten wir Ihnen gerne als Übersichtsplakat an – einfach ein kurzes E-Mail an office@limessecurity.com senden.