Roboterarmmaschine der schweren Automatisierung in der intelligenten Fabrik industriell, Industrie 4.0-Konzeptbild

Pugun & Photo Studio / stock.adobe.com

02.07.2024 Fachinformation

IEC 62443: Die internationale Normenreihe für Cybersecurity in der Industrieautomatisierung

Die internationale Normenreihe IEC 62443 befasst sich mit der Cybersecurity von „Industrial Automation and Control Systems" (IACS) und verfolgt dabei einen ganzheitlichen Ansatz für Betreiber, Integratoren und Hersteller.

Die Anfänge der internationalen Normenreihe IEC 62443 sind etwa 20 Jahre alt und gehen auf die International Society for Automation (ISA) zurück. Die zugehörigen Standards, Technischen Reports sowie verwandten Informationen definieren Verfahren zur Implementierung sicherer industrieller Automatisierungs- und Steuerungssysteme (IACS).

Ursprünglich wurden diese Dokumente als ANSI/ISA-99 oder ISA99-Standards veröffentlicht. Aufgrund der Kooperation mit IEC erfolgte die Anpassung der Dokumentnummerierung (ANSI/ISA-62443) an die entsprechenden Normen der IEC. International erfolgt die Arbeit im Expertengremium IEC/TC 65 in der AG 10 (IEC/TC 65/WG 10). National wird die Arbeit im Spiegelgremium DKE/UK 931.1 unterstützt.

VDE DKE Tagung Industrial Security 2023

| VDE

VDE DKE Tagung Industrial Security 2023

Vom 12. bis 13. Juni 2023 fand die erste VDE DKE Tagung Industrial Security statt. Mehr als 100 interessierte Teilnehmende kamen zur Veranstaltung in die Manufaktur in Mannheim. Diskutiert wurde unter anderem der aktuelle Stand zur internationalen Normenreihe IEC 62443 sowie der anstehende EU Cyber Resilience Act und seine Auswirkungen auf betroffene Unternehmen.

Mehr erfahren

Welches Ziel verfolgt die Normenreihe IEC 62443?

Die IEC-Normenreihe 62443 hat ihren Ursprung in der Automatisierungstechnik der Prozessindustrie, deckt mit ihrem Anwendungsbereich aber alle Industriebereiche und die kritischen Infrastrukturen (KRITIS) ab. Sie befasst sich mit der Cybersecurity sogenannter ,,Industrial Automation and Control Systems“ (IACS). Der Begriff IACS beschreibt alle Bestandteile, die für den zuverlässigen und sicheren Betrieb einer automatisierten Produktionsanlage erforderlich sind. Dazu gehören sowohl Hardware- als auch Softwarekomponenten. Des Weiteren schließen IACS die organisatorischen Prozesse für die Errichtung und den Betrieb mit ein.

Ziel ist es, Normen, Verfahren, technische Reports und zusätzliche Informationen zur Verfügung zu stellen, die Prozesse für eine sichere Implementierung von IACS definieren. Dies soll eine Hilfestellung für alle darstellen, die für Design, Implementierung, Management, Herstellung und Betrieb von IACS verantwortlich sind. Auch sollen Anwender, Integratoren, Hersteller und Verkäufer adressiert werden.

Im Fokus der IEC 62443 steht die Verbesserung der Integrität und Verfügbarkeit von Komponenten und Systemen und das zur Verfügung stellen von Kriterien zur sicheren Bereitstellung und Implementierung von IACS. Die Einhaltung dieser Leitfäden soll die Sicherheit in der Produktion und der Komponenten sowie Systeme verbessern und dabei helfen, Schwachstellen zu identifizieren und zu adressieren. Damit kann das Risiko von kompromittierten Informationen oder Produktionsausfällen stark reduziert werden.

Normen und Standards für sichere & innovative Informationssysteme

Die Welt von morgen ist vernetzt: Unterschiedlichste Anwendungen und Branchen erfordern eine Infrastruktur, die immer weiter zusammenwächst. Die erforderlichen Kommunikationsschnittstellen sind allerdings häufig nur proprietär – es mangelt dabei an Interoperabilität und Schutzmaßnahmen.

Cyberangriffe auf Unternehmen, Energieversorger und Behörden gehören mittlerweile zum Alltag. Hacker nutzen Schwachstellen im System aus und setzen damit ganze industrielle Anlagen außer Betrieb oder gefährden im schlimmsten Fall sogar die flächendeckende Energieversorgung.

Die DKE bietet eine gemeinsame Expertise aus Industrie, Wissenschaft und Politik. Setzen Sie auf weltweit einheitliche Sicherheitsstandards durch die Anwendung internationaler Normen. Vertrauen Sie auf CERT@VDE – die erste IT-Sicherheitsplattform in Deutschland für Industrieunternehmen.

Wie ist die Normenreihe IEC 62443 aufgebaut?

Normenreihe IEC 62443

| DKE

Die IEC-Normenreihe 62443 kann grundsätzlich in vier Bereiche eingeteilt werden, die jeweils mehrere Dokumente beinhalten:

Der erste Bereich beschreibt beispielsweise Grundkonzepte wie Defense-in-Depth oder auch grundlegende Anforderungen und verweist für die konkrete Umsetzung auf weitere Normteile.
Der zweite Bereich definiert Leitlinien und Leitfäden für die Umsetzung von organisatorischen Maßnahmen und gibt beispielsweise Empfehlungen für ein Patch-Management.
Der dritte Bereich behandelt technische Aspekt wie Securitylevel und Sicherheitsanforderungen.
Der vierte Bereich zielt speziell auf die Produkt- und Komponentensicht (Sensoren, Schnittstellen, Chips etc.) ab und richtet sich aus diesem Grund eher an Hersteller.
Der fünfte Bereich beschreibt Profile, die die Anwendung der Norm in verschiedenen Domänen, beispielsweise Industrieautomation, Prozessindustrie, Medizin- oder Bahntechnik, unterstützen.
Der sechste Bereich spezifiziert Konformitätskriterien sowie mögliche Konformitätsnachweise. Es werden keine neuen Anforderungen aufgestellt, sondern beschrieben, wie Konformität gegenüber Anforderungen aus der Norm IEC 62443 evaluiert werden kann.

Die nachfolgende Abbildung zeigt die verschiedenen Bereiche mit den dazugehörigen Normenteilen und Spezifikationen.

Aktueller Bearbeitungsstand der einzelnen Normteile

IEC 62443-1: Allgemeine Grundlagen

IEC/TS 62443-1-1

Titel: Concepts and models
Bearbeitungsstand IEC: veröffentlicht

Teil 1-1 der Normenreihe definiert die Terminologie sowie die Konzepte und Modelle für Cybersecurity von industriellen Automatisierungs- und Steuerungssystemen (en: Industrial Automation und Control Systems, kurz IACS). Teil 1 bildet die Grundlage für die weiteren Teile der Normenreihe.

IEC 62443-1-2

Titel IEC: Master glossary of terms and abbreviations
Bearbeitungsstand IEC: geplant

IEC 62443-1-3

Titel IEC: System security conformance metrics
Bearbeitungsstand IEC: geplant

IEC 62443-1-4

Titel IEC: IACS security lifecycle and use-cases
Bearbeitungsstand IEC: geplant

IEC/TS 62443-1-5

Titel IEC: Scheme for IEC 62443 security profiles
Bearbeitungsstand IEC: veröffentlicht
Titel DE: Schema für IEC 62443-Securityprofile
Bearbeitungsstand DE: in Bearbeitung

Teil 1-5 spezifiziert ein Schema zur Definition (Auswahl, Schreiben, Entwurf, Erstellung) von IEC 62443-Securityprofilen. Dieses Schema und die darin spezifizierten Anforderungen gelten für IEC 62443-Securityprofile, die als Teil der kommenden Unterserie IEC 62443-5 veröffentlicht werden sollen. IEC 62443-Securityprofile können interessierte Parteien unterstützen (z. B. während Konformitätsbewertungsaktivitäten), um eine Vergleichbarkeit der bewerteten IEC 62443-Anforderungen zu erreichen.

IEC 62443-2: Sicherheitsanforderungen für Betreiber und Dienstleister

IEC 62443-2-1

Titel IEC: Security program requirements for IACS asset owners
Bearbeitungsstand IEC: veröffentlicht

Teil 2-1 der Normenreihe definiert die Elemente, die für den Aufbau eines Informationssicherheits-Managementsystems (ISMS) für industrielle Automatisierungs- und Steuerungssysteme (IACS) notwendig sind, und gibt einen Leitfaden für die Entwicklung dieser Elemente. Dieses Dokument verwendet die breit angelegte Definition und den Anwendungsbereich für ein IACS nach IEC 62443-1-1.

Die Elemente eines ISMS nach dieser Norm beziehen sich in erster Linie auf die zugehörigen Leitlinien, Verfahren, Funktionen und das Personal. Zudem wird beschrieben, was in das endgültige ISMS für die Organisation aufgenommen werden sollte oder muss.

IEC 62443-2-2

Titel IEC: Security Protection Rating
Bearbeitungsstand IEC: geplant

Teil 2-2 der Normenreihe spezifiziert ein Rahmenwerk für die Evaluation des Schutzes eines IACS. Es beinhaltet ein Verfahren zur Kombination der Evaluation von sowohl organisatorischen als auch von technischen Sicherheitsmaßnahmen in Zahlenwerten, den sogenannten „Schutzlevel“.

Das Rahmenwerk bildet die Struktur für die Evaluation der Defense-in-Depth-Strategie des IACS im Betrieb auf der Grundlage der technischen und organisatorischen Anforderungen, die in anderen Dokumenten der IEC-Normenreihe 62443 spezifiziert sind.

IEC/TR 62443-2-3

Titel IEC: Patch management in the IACS environment
Bearbeitungsstand IEC: veröffentlicht

Teil 2-3 der Normenreihe beschreibt Anforderungen an Betreiber und Hersteller von IACS, die ein IACS-Patch-Managementprogramm aufgestellt haben und pflegen.

Es wird ein festgelegtes Format für die Weitergabe von Informationen über Sicherheits-Patches von Betreibern an Hersteller, eine Definition bestimmter Aktivitäten im Zusammenhang mit der Herausbildung der Patch-Informationen durch Hersteller und den Einsatz und die Installation der Patches durch Betreiber empfohlen.

IEC 62443-2-4

Titel IEC: Security program requirements for IACS service providers
Bearbeitungsstand IEC: veröffentlicht
Titel DE: Anforderungen an das IT-Sicherheitsprogramm von Dienstleistern für industrielle Automatisierungssysteme
Bearbeitungsstand DE: veröffentlicht

Teil 2-4 der IEC 62443 spezifiziert einen umfassenden Satz von Anforderungen an die Sicherheitsfähigkeiten für IACS-Dienstleister, die sie dem Betreiber während der Integrations- und Wartungsaktivitäten einer Automatisierungslösung anbieten können. Da nicht alle Anforderungen für alle Industriebranchen und Organisationen gelten, sieht Teil 2-4 die Entwicklung von Profilen vor, die die Bildung von Untergruppen mit diesen Anforderungen ermöglichen. Über Profile wird dieses Dokument an spezifische Umgebungen angepasst, einschließlich Umgebungen, die nicht auf einem IACS basieren.

IEC 62443-3: Sicherheitsanforderungen an Automatisierungssysteme

IEC/TR 62443-3-1

Titel IEC: Security technologies for IAC
Bearbeitungsstand IEC: veröffentlicht

Teil 3-1 der Normenreihe bietet eine Bewertung verschiedener Cybersicherheits-Tools, Gegenmaßnahmen und Technologien, die effektiv auf die modernen IACSs in zahlreichen Branchen und kritischen Infrastrukturen angewendet werden können.

Es werden Kategorien von Cybersicherheitstechnologien beschrieben, die in diesen Kategorien verfügbaren Produkttypen sowie die Vor- und Nachteile der Verwendung dieser Produkte in IACS-Umgebungen im Verhältnis zu den erwarteten Bedrohungen und bekannten Schwachstellen. Darüber hinaus ebenfalls die vorläufigen Empfehlungen und Leitlinien für die Verwendung dieser Cybersicherheitstechnologieprodukte und/oder Gegenmaßnahmen.

IEC 62443-3-2

Titel IEC: Security risk assessment and system design
Bearbeitungsstand IEC: veröffentlicht

Teil 3-2 der Normenreihe legt fest, wie mittels Risikoanalyse auf die Definition des betrachteten Systems und auf dessen Aufteilung in Zones & Conduits geschlossen werden kann. Ferner wird beschrieben, wie den Zones & Conduits die zu erreichenden Security-Level (Target) SL-T zugeordnet werden können.

Im Einzelnen schreibt die Norm auf Systemebene die Abarbeitung folgender Anforderungen zur Aufstellung der Zones & Conduits vor:

Feststellung des betrachteten Systems
Durchführung einer übergeordneten Risikobeurteilung zur IT-Sicherheit
Aufteilung des betrachteten Systems in Zonen und Conduits
Dokumentation der Anforderungen, Annahmen und Randbedingungen“

IEC 62443-3-3

Titel IEC: System security requirements and security levels
Bearbeitungsstand IEC: veröffentlicht
Titel DE: Systemanforderungen zur IT-Sicherheit und Security-Level
Bearbeitungsstand DE: veröffentlicht

Teil 3-3 der Normreihe legt anhand der sieben grundlegenden Anforderungen (FR) nach IEC 62443-1-1 detaillierte technische Systemanforderungen (SR) an IACS fest, einschließlich der Anforderungen an die erreichbaren Security Level (Capability), SL-C (System).

Diese Anforderungen werden von Integratoren und Herstellern im Bereich der industriellen Automatisierungstechnik angewendet, in dem sie, anhand der festgelegten Zonen und Conduits eines betrachteten Systems, einen angemessenen und zu erreichenden Security-Level (Target) SL-T (System) für ein Schutzobjekt entwickeln.

IEC 62443-4: Sicherheitsanforderungen an Automatisierungskomponenten

IEC 62443-4-1

Titel IEC: Secure product development lifecycle requirements
Bearbeitungsstand IEC: veröffentlicht
Titel DE: Anforderungen an den Lebenszyklus für eine sichere Produktentwicklung
Bearbeitungsstand DE: veröffentlicht

Teil 4-1 der Normenreihe legt Anforderungen an einen sicheren Entwicklungsprozess für Produkte fest, die in IACS eingesetzt werden. Er definiert einen sicheren Entwicklungslebenszyklus (SDL) zur Entwicklung und Instandhaltung sicherer Produkte.

Der Lebenszyklus umfasst die Definition von IT-Sicherheitsanforderungen, einen sicheren Entwurf („Securtiy-by-Design“), eine sichere Implementierung (einschließlich Programmierrichtlinien), Verifikation und Validierung, eine Schwachstellenbehandlung, ein Patch-Management und das Ende des Produktlebenszyklus.

Die Anforderungen können für neue oder vorhandene Prozesse der Entwicklung, der Instandhaltung und Pflege sowie der Zurückziehung von Hardware, Software oder Firmware für neue oder vorhandene Produkte angewendet werden.

IEC 62443-4-2

Titel IEC: Technical security requirements for IACS components
Bearbeitungsstand IEC: veröffentlicht
Titel DE: Technische Sicherheitsanforderungen an Komponenten industrieller Automatisierungssysteme (IACS)
Bearbeitungsstand DE: veröffentlicht

Teil 4-2 der Normenreihe legt anhand der sieben grundlegenden Anforderungen (FR) nach IEC 62443-1-1 detaillierte Komponentenanforderungen (CR) an Komponenten in IACS fest, einschließlich der Anforderungen an die erreichbaren Security-Level (Capability) SL-C (Komponente).

Diese Anforderungen werden von Herstellern im Bereich der industriellen Automatisierungstechnik angewendet, indem sie, anhand der festgelegten Zones & Conduits des betrachteten Systems, einen angemessenen, zu erreichenden Security-Level (Target) SL-T (Komponente) für ein Schutzobjekt entwickeln.

IEC 62443-6: Evaluationsmethodik

IEC/TS 62443-6-1

Titel IEC: Security evaluation methodology for IEC 62443-2-4
Bearbeitungsstand IEC: veröffentlicht
Titel DE: Security-Evaluierungsmethodik für IEC 62443-2-4
Bearbeitungsstand DE: in Bearbeitung

Teil 6-1 spezifiziert eine Bewertungsmethodik zur Unterstützung (z. B. während Konformitätsbewertungsaktivitäten), um wiederholbare und reproduzierbare Evaluierungsergebnisse anhand der IEC 62443-2-4 Anforderungen zu erzielen. Dieses Dokument ist für First-, Second-, oder Third-Party-Konformitätsbewertungsaktivitäten vorgesehen, zum Beispiel von Produktlieferanten, Dienstleistern, Anlagenbesitzern und Konformitätsbewertungsstellen.

IEC/TS 62443-6-2

Titel IEC: Security evaluation methodology for IEC 62443-4-2
Bearbeitungsstand IEC: veröffentlicht
Titel DE: Security-Evaluierungsmethodik für IEC 62443-4-2
Bearbeitungsstand DE: in Bearbeitung

Teil 6-2 spezifiziert eine Bewertungsmethodik zur Unterstützung (z. B. während Konformitätsbewertungsaktivitäten), um wiederholbare und reproduzierbare Evaluierungsergebnisse anhand der IEC 62443-4-2 Anforderungen zu erzielen. Dieses Dokument ist für First-, Second-, oder Third-Party-Konformitätsbewertungsaktivitäten vorgesehen, zum Beispiel von Produktlieferanten, Dienstleistern, Anlagenbesitzern und Konformitätsbewertungsstellen.

Das Spannungsfeld von Information Technology und Operational Technology

Schutzziele bei IT und OT

| DKE

Information Technology (IT) kommt aus dem klassischen Geschäftsumfeld und beschreibt das Verwalten von Informationen. Hierzu gehören sowohl verschiedene Server-Arten (Web- und Mail-Server) als auch Managementsysteme wie beispielweise ein Informationssicherheitsmanagementsystem (ISMS). Das oberste Schutzziel in der IT ist die Vertraulichkeit.

Im Gegensatz zur IT befasst sich die Operational Technology (OT) mit dem Verwalten von physikalischen Prozessen wie industriellen Kontrollsystemen, Steuerungen, Sensoren und Embedded Systems. Höchste Priorität bei den Schutzzielen ist es, die Verfügbarkeit und Integrität der Anlage zu sicherzustellen. Damit soll einerseits ein Stillstand der Anlage – und ein möglicher Verlust in Millionenhöhe für den Betreiber – vermieden und zum anderen die funktionale Sicherheit der Anlage sichergestellt werden.

Ein weiterer Unterschied zwischen IT und OT ist unter anderem der Ursprung in der Forschung und Entwicklung: Während sich die IT eher auf die Informatik und Computerwissenschaft stützt, lehnt sich die OT hingegen weitestgehend an die Ingenieurswissenschaften an. Auch im Lebenszyklus der eingesetzten Hardware gibt es wesentliche Unterschiede: Die Lebensdauer von IT-Hardware beträgt in etwa drei Jahre – in der OT sind 30 Jahre jedoch keine Seltenheit.

Häufig kommt in diesem Kontext die Frage auf, ob und wie die beiden Normenreihen ISO/IEC 27000 und IEC 62443 im Zusammenhang stehen. ISO/IEC 27000 beschreibt organisatorische Anforderungen an Managementsysteme im IT-Umfeld. Dabei dreht sich alles um die Frage, wie ein Unternehmen aufgebaut werden muss, um die IT-Sicherheit in der Kommunikation sicherzustellen. Beide Normenreihen unterscheiden sich hinsichtlich ihres individuellen Anwendungsbereichs, schließen sich jedoch nicht aus. Industrieunternehmen können und sollten daher beide Bereiche abdecken – die IT für das Verwalten von Informationen und die OT für das Verwalten von physikalischen Prozessen in Anlagen.

Guideline Industrial Security

| VDE VERLAG

Guideline Industrial Security: IEC 62443 is easy (Englisch; eBook)

Die Bedeutung von Schutzkonzepten wächst mit zunehmenden Angriffen von außen. Betreiber kritischer Infrastrukturen müssen Mindeststandards der IT-Sicherheit einhalten und ihre Anlagen vor Cyberangriffen schützen. Wirksame Schutzkonzepte lassen sich jedoch nur mit einer Reihe von organisatorischen und technischen Maßnahmen umsetzen.

Der Leitfaden hat das Ziel, den Ansatz für den Einsatz von Schutzkonzepten zu vereinfachen, indem er einen Überblick über die Normenreihe IEC 62443 gibt, die Ideen und Konzepte zusammenfasst sowie praktische Lösungen aufzeigt.

Zum VDE VERLAG

Defense-in-Depth: Ein ganzheitlicher Ansatz zum Schutz vor Cyberangriffen

Die Normenreihe IEC 62443 beschreibt im Teil 1-1 allgemeine Grundkonzepte, die die Schutzziele Verfügbarkeit und Integrität berücksichtigen.

Defense-in-Depth – im deutschsprachigen Raum auch als „Verteidigung in der Tiefe“ oder auch „gestaffelte Verteidigung“ bezeichnet – ist ein übergeordnetes Grundkonzept, das man sich als Mehrschichten-Modell (wie bei einer Zwiebel) gegen Cyberangriffe vorstellen kann.

Es beschreibt die Tatsache, dass Angreifer also nicht nur eine, sondern mehrere Sicherheitsmaßnahmen überwinden müssen, um an ihr Ziel zu gelangen. Ein umfassender Schutz ist aber nur möglich, wenn alle Beteiligten ihren Beitrag dazu liefern.

IEC 62443 beschreibt dazu drei Basisrollen: Hersteller, Integrator und Betreiber. Sie erläutert, wie die gemeinsame Strategie aller beteiligten Akteure im Bereich von industriellen Anlagen angewendet werden kann.

Defense-in-Depth

| DKE in Anlehnung an P. Kobes, Leitfaden Industrial Security, Berlin: VDE VERLAG, 2016

Als erste Schale und Grundvoraussetzung für alle nachfolgenden Schalen gilt, die Mitarbeiter für die Gefahren von Cyberangriffen zu sensibilisieren. Dazu gehören entsprechende Schulungen, aber auch klare Strukturen in der Organisation mit Rollen und Rechten. Neben diesen organisatorischen Maßnahmen, zählen auch der physische Schutz der Anlage sowie eine Zugangskontrolle zu den Grundvoraussetzungen für eine gestaffelte Verteidigung. Grundsätzlich ist es die Aufgabe des Betreibers, diese Maßnahmen umzusetzen.

Verteidigungsschalen, die der Integrator umsetzt, befinden sich auf der Netzwerk- oder Systemebene. Dazu zählen Maßnahmen, wie beispielsweise die Auslegung von „Zones und Conduits“, um geschützte Bereiche zu schaffen oder einen Zugriffsschutz mit Passwörtern zu installieren.

In der inneren Verteidigungsschale sind die Geräte und Komponenten von Bedeutung. Sicherheitsfunktionen gehören zu den Maßnahmen ebenso der kritische Blick auf den Entwicklungsprozess, in dem zum Beispiel Risikoanalysen, Programmierrichtlinien und Codeanalysen durchgeführt werden. Diese Verteidigungsschale ist dem Hersteller zuzuordnen.

Bei Defense-in-Depth handelt es sich jedoch weder um ein vollkommen neues Konzept noch um eines, welches speziell im Rahmen der Normenreihe IEC 62443 erarbeitet wurde. Als anschauliches Beispiel dient hierfür häufig das Bild einer mittelalterlichen Burg: Sie besteht aus einem tiefen Burggraben, einem schweren Burgtor und massiven Burgmauern. Ein Angreifer müsste also mehrere Schutzmaßnahmen überwinden, um die Burg einnehmen zu können.

Für eine industrielle Anlage gilt das analog: Auch hier sollte ein mehrschichtiges Konzept mit physischen und physikalischen Möglichkeiten erarbeitet werden, um die Anlage vor Angriffen zu schützen.

sdx15 / stock.adobe.com

Mit unserem DKE Newsletter sind Sie immer top informiert! Monatlich ...

fassen wir die wichtigsten Entwicklungen in der Normung kurz zusammen
berichten wir über aktuelle Arbeitsergebnisse, Publikationen und Entwürfe
informieren wir Sie bereits frühzeitig über zukünftige Veranstaltungen

Ich möchte den DKE Newsletter erhalten!

Zones & Conduits ermöglichen einen individuellen Schutzbedarf

Für große oder komplexe Systeme ist es oft nicht angebracht, den gleichen Schutzbedarf für alle Komponenten zu verwenden, da diese unterschiedliche Bedrohungen und Risiken aufweisen. Unterschiede können durch das Konzept der „Sicherheitszone“ dargestellt werden. Eine Sicherheitszone ist eine logische Gruppierung von physikalischen Betrachtungsgegenständen, die den gleichen Schutzbedarf haben. Die Grenze der Sicherheitszone definiert, welche Komponenten innerhalb und welche außerhalb der Zone liegen.

In vernetzten Systemen können einzelne Komponenten meistens keine Funktionalität vollständig durchführen. Komponenten oder Teilsysteme sind auf Informationen von anderen angewiesen, die auch in unterschiedlichen Sicherheitszonen liegen können. Um den benötigten Informationsfluss in und aus einer Sicherheitszone zu gewährleisten, werden sogenannte Kommunikationsleitungen definiert. Diese Verbindungen zwischen Sicherheitszonen werden auch „Conduits“ genannt und haben die Aufgabe die Kommunikation zu sichern. Eine Kommunikation außerhalb von Conduits ist dabei nicht zulässig.

„Zones und Conduits“ am Beispiel der mittelalterlichen Burg:

Neben dem Burggraben, dem Burgtor und den Burgmauern werden Innerhalb der Burg weitere Zonen eingerichtet, die jeweils unterschiedliche Schutzbedarfe haben können. Gilt für das Burgtor beispielweise ein niedriger Schutzbedarf und für die königliche Behausung ein hoher Schutzbedarf, so muss auf Grundlage einer Bedrohungs- und Risikoanalyse auch der Weg vom Burgtor zur Behausung des Königs definiert werden – denn darüber könnte der Weg für Angriffe auf den König führen.

Die Conduits beziehen sich konkret auf die Kommunikationskanäle zwischen den Zonen. Informationen dürfen nur über die definierten Kanäle laufen. Am Beispiel der mittelalterlichen Burg wäre es dann so, dass nicht jeder Bewohner der Burg einfach mit dem König sprechen kann, weil das vom König nicht gewünscht und somit auch kein definierter Kanal ist.

Im "Leitfaden Industrial Security: IEC 62443 einfach erklärt" wird dieses Beispiel noch einmal im Detail dargestellt und ausführlicher erklärt.

Übertragen auf eine Anlage bedeutet das also, dass Sicherheitszonen und definierte Kommunikationskanäle nicht nur zwischen einzelnen OT-Infrastrukturen eingerichtet werden können, sondern auch innerhalb einzelner OT-Strukturen.

Zones & Conduits

| IEC/TS 62443-1-1:2009

Securitylevel als Tool zur Umsetzung des Defense-in-Depth-Ansatzes

Das Konzept der Securitylevel wurde entworfen, um einen qualitativen Ansatz zur Bestimmung des Schutzes einer Zone oder eines Conduits zur Verfügung zu haben. Im Rahmen des ganzheitlichen Defense-in-Depth-Ansatzes stellen Securitylevel somit ein Hilfsmittel dar, mit denen sich das Sicherheitskonzept der „gestaffelten Verteidigung“ umsetzen lässt. Herstellern von Komponenten und Anlagenbetreibern soll ein Tool mit an die Hand gegeben werden, das es ihm ermöglicht, einschätzen zu können, wie hoch die Sicherheitsanforderungen an die Komponenten der Anlage sein sollten – angefangen bei Level 1 und ganz rudimentären Anforderungen bis hin zu Level 4 mit Schutzmaßnahmen für beispielsweise staatliche Institutionen. Die Spannweite dazwischen ist sehr groß und hängt stark von den finanziellen Mitteln ab, die für eine Umsetzung der Sicherheitsmaßnahmen zur Verfügung stehen.

Folgende vier Einstufungen der Securitylevel werden vorgenommen:

Securitylevel 1: Schutz gegen ungewollte, zufällige Angriffe
Securitylevel 2: Schutz gegen gewollte Angriffe mit einfachen Mitteln, niedrigem Aufwand, allgemeiner Expertise und niedriger Motivation
Securitylevel 3: Schutz gegen gewollte Angriffe mit fortgeschrittenen Mitteln, mittlerem Aufwand, spezifischer Expertise und mittlerer Motivation
Securitylevel 4: Schutz gegen gewollte Angriffe mit fortgeschrittenen Mitteln, erheblichem Aufwand, spezifischer Expertise und hoher Motivation

Das Securitylevel einer Anlage legt der Betreiber fest. Die unspezifischen Begriffe „niedrig“, „mittel“ etc. müssen ebenfalls vom Betreiber für den jeweiligen Betrachtungsgegenstand definiert werden.

Dem vorgelagert ist ein weiteres Konzept, nämlich das der Risiko- und Bedrohungsanalyse und. Ein Betreiber muss sich mit den Fragen auseinandersetzen, welchen Bedrohungen seine Anlage ausgesetzt sein kann und auf welchem Security er sich auf Grundlage der Bedrohungs- und Risikoanalyse befindet.

Redaktioneller Hinweis:

Die im Text aufgeführten Normen und den vorgestellten Leitfaden können Sie im VDE VERLAG erwerben.