Normenreihe IEC 62443 wird ergänzt: Evaluationsmethodik als wichtiges Projekt

Die zunehmende Komplexität der Normenreihe IEC 62443 soll reduziert werden

DKE: Sie haben den Begriff „Tailoring“ erwähnt. Es werden also keine neuen Anforderungen beschrieben, sondern vorhandene Anforderungen werden an entsprechende Rollen oder Sektorenbereiche angepasst?

Fritsch: Ich denke, bei der Betrachtung von Sektoren sind wir noch nicht angekommen. Rollen sind aber ein gutes Stichwort und auch Sichtweise, gewisse Anforderungen sind aus einer bestimmten Rolle heraus nicht erforderlich. Nehmen wir hier exemplarisch einen Maintenance Provider, der nichts errichtet und deshalb in diesem Bereich auch keine Anforderung nachweisen muss, sondern nur während der eigentlichen Betriebsphase. Der Fokus liegt in diesem Beispiel ausschließlich auf den betrieblichen Aspekten.

DKE: Die Normenreihe IEC 62443 gilt als komplex und nicht einfach zu verstehen. Zukünftig wird die Normenreihe noch um weitere Teile ergänzt. Wird die Komplexität dann nicht auch weiter zunehmen?

Fritsch: Ein klares Ziel ist es für uns, die zunehmende Komplexität am Ende zu reduzieren. Ein wichtiger Aspekt, der zu dieser Komplexität beiträgt, ist die Sprache – also wie die Norm geschrieben ist. Insbesondere bei der Evaluationsmethodik zur IEC 62443-4-2, hier bin ich als Projektleiter aktiv, merke ich das immer wieder. Ein gutes Beispiel sind die technischen Anforderungen (en: Component Requirements), die teilweise unklar beschrieben sind, und oft ist unklar, wann diese tatsächlich erfüllt sind. Bereits nach der Veröffentlichung des „TeleTrusT-Prüfschema IEC 62443-4-2“, historisch könnte man dies als Vorprojekt bezeichnen, hat sich im Feedback darauf gezeigt, dass es einen hohen Bedarf an Konkretisierungen gibt.

Ein großer Punkt, den ich in der Projektdurchführung und in Diskussionen auf IEC-Ebene immer wieder merke, ist, dass wir zwar auf deutlich mehr Themen zu sprechen kommen, aber auch immer wieder auf die gleichen Punkte zurückkommen: Die Norm ist an einigen Stellen nicht konkret genug bzw. lässt viel Interpretationsspielraum zu. Es muss also unser Ziel sein, bewertbarer zu formulieren. Deshalb pflegen wir eine Liste mit Punkten, die in den bereits veröffentlichten Teilen später präzisiert werden sollten.

Mein persönliches Learning ist dabei, dass mit der IEC 62443 eine Anwendungsnorm geschrieben wurde, aber keine Norm, die auch die Eigenschaft mitbringt, bewertbar zu sein. Wenn wir diese zusätzliche Perspektive einnehmen, also eine Evaluationsmethodik und Bewertungsmethodik zu beschreiben, kommen wir an den Punkt, dass bestimmte Aspekte auch im Anforderungsstandard (en: Requirement Standard) anders formuliert werden sollten bzw. müssten. Ich denke, das könnte einen großen Mehrwert für die gesamte Normenreihe und die praktische Anwendung bedeuten.

Gleichzeitig bedeutet das aus Sicht der Normung und Standardisierung jedoch auch zwei Komplexitätsstränge bei der Entwicklung eines Standards beachten zu müssen. Haben wir diese Hürden aber einmal gemeistert, bin ich mir sicher, dass wir die Komplexität der IEC 62443 deutlich reduzieren und sie vereinfachen und für alle beteiligten Akteure „zugänglicher“ machen können.

Guideline Industrial Security: IEC 62443 is easy (Englisch; eBook)

Die Bedeutung von Schutzkonzepten wächst mit zunehmenden Angriffen von außen. Betreiber kritischer Infrastrukturen müssen Mindeststandards der IT-Sicherheit einhalten und ihre Anlagen vor Cyberangriffen schützen. Wirksame Schutzkonzepte lassen sich jedoch nur mit einer Reihe von organisatorischen und technischen Maßnahmen umsetzen.

Der Leitfaden hat das Ziel, den Ansatz für den Einsatz von Schutzkonzepten zu vereinfachen, indem er einen Überblick über die Normenreihe IEC 62443 gibt, die Ideen und Konzepte zusammenfasst sowie praktische Lösungen aufzeigt.

Evaluatoren erhalten durch die Logik des Evaluierungsprozesses konkrete Aufgaben zur Überprüfung

DKE: Lassen Sie uns über die Evaluationsmethodik sprechen. Wie wird diese konkret aussehen?

Fritsch: Gerne. Dazu möchte ich aber gleich sagen, dass wir über noch laufende Arbeiten in diesem Projekt sprechen. Es kann also sein, dass einige Aspekte später nicht so in der Evaluationsmethodik stehen werden wie heute beschrieben.

Bei der Normenreihe IEC 62443 handelt es sich um einen Kanon an Standards, wo Querbeziehungen bestehen, die wir im Projekt zur Evaluationsmethodik beachten müssen. Ein gutes Stichwort ist dabei der sichere Entwicklungsprozess, der in Teil 4-1 der Normenreihe beschrieben wird. Alle darin enthaltenen Ausführungen dienen als Grundlage für die sichere Entwicklung von Komponenten. Außerdem werden die funktionalen Anforderungen (en: Requirements) im Teil 4-2 definiert. Beide Teile zusammen geben den Rahmen für die Evaluationsmethodik vor.

Der neue Teil IEC TS 62443-6-2 zur Evaluationsmethodik wird darüber nicht hinausgehen und zusätzliche Anforderungen stellen. Das hat sich in den vergangenen Monaten in den Diskussionen deutlich gezeigt. Vielmehr wird es so sein, dass wir versuchen werden, logische Einheiten zu bilden. Um hier ein konkretes Beispiel zu geben: Wenn die Reihenfolge bestimmter Prüfungsschritte klar ist und sogar Abhängigkeiten auftreten, wird dies in der Reihenfolge der spezifizierten Evaluationsaktivitäten beachtet. Aus diesem Konstrukt ergibt sich die Logik des Evaluierungsprozesses. Der Evaluator erhält auf diese Weise konkrete Aufgaben zur Überprüfung.

Cybersecurity Navigator bietet Rechtsvorschriften und Standards für Kritische Infrastrukturen

Cyberangriffe stellen für unsere Gesellschaft eine der größten Bedrohungen dar. Unternehmen sowie öffentliche Einrichtungen werden jeden Tag zum Ziel von Hackern. Gefährdet sind vor allem Kritische Infrastrukturen. Der Cybersecurity Navigator unterstützt Organisationen aus den KRITIS-Sektoren mit einer Sammlung von Rechtsvorschriften und Standards – einheitlich systematisiert und aufbereitet.

Auf nationaler und internationaler Ebene braucht es ein gemeinsames Verständnis

DKE: Das Projekt zur Evaluationsmethodik ist noch recht jung: Wie laufen die Arbeiten bisher und wann ist die Veröffentlichung des neuen Normteils geplant?

Fritsch: Mit den Arbeiten am Projekt zur Evaluationsmethodik haben wir im Dezember 2020 begonnen.

Wir sind im Vorfeld mit unserem New Work Item Proposal und einem sehr konkreten Vorschlag in die nationale Diskussion eingestiegen. Auf internationaler Ebene hat unser Vorschlag für intensive Diskussionen und einen Verständnisabgleich geführt. Es war so, dass unsere nationale Sichtweise auf internationaler Ebene nicht auf das gleiche Verständnis getroffen ist. Wir mussten bereits viele Stellen und die Terminologie überarbeiten, aber auch viel erklären und zu einem gegenseitigen Verständnisaufbau beitragen.

Aber – und das ist jetzt wichtig – wir haben erste große Schritte nach vorne gemacht, indem wir eine grobe Struktur für die Evaluationsmethodik abgestimmt und hierfür auch ein gemeinsames Verständnis gefunden haben: Die Anforderungen aus den Anforderungsstandards geben den Rahmen, wir clustern logische Einheiten und bauen darauf die Evaluationsaufgaben auf, sodass wir uns sehr eng am Hauptstandard orientieren. Aktuell sind wir dabei, dies auch operativ im Rahmen eines ersten Committee Draft aufzubereiten. Und da wird sich zeigen, ob wir auch auf inhaltlicher Ebene bereits ein gemeinsames Verständnis erreicht haben.

Der Projektplan sieht für die Veröffentlichung einen Zieltermin für Juli 2023 vor. Ich denke, wir werden diese Zeit vollumfänglich benötigen, da wir uns aktuell noch mit dem großen Ganzen beschäftigen. Und sicherlich werden weitere Diskussionen folgen, wenn es um die Detailebene geht.

Mit unserem DKE Newsletter sind Sie immer top informiert! Monatlich ...

• fassen wir die wichtigsten Entwicklungen in der Normung kurz zusammen
• berichten wir über aktuelle Arbeitsergebnisse, Publikationen und Entwürfe
• informieren wir Sie bereits frühzeitig über zukünftige Veranstaltungen

Insbesondere Hersteller von Komponenten zeigen großes Interesse an diesem Projekt

DKE: Um welchen Projekttyp handelt es sich bei der Evaluationsmethodik?

Fritsch: Das Projekt zur Evaluationsmethodik von Komponenten soll als Technische Spezifikation (en: Technical Specification) veröffentlicht werden, konkret als IEC TS 62443-6-2 mit dem Titel: „Security evaluation methodology for IEC 62443 - Part 4-2: Technical security requirements for IACS components“.

DKE: Wie setzt sich die Gruppe der Fachleute zusammen, die an diesem Projekt arbeitet? Werden weitere Expertinnen und Experten für die Mitarbeit gesucht?

Fritsch: Personell sind wir gut aufgestellt. Das lag auch daran, dass die Evaluationsmethodik bereits im Vorfeld für großes Interesse gesorgt hat. Prinzipbedingt besteht unsere Arbeitsgruppe insbesondere aus Herstellern, aber auch aus einige Prüfer und Zertifizierer nehmen regelmäßig an den Meetings teil.

Für weitere Sichtweisen würden wir uns über Integratoren und Betreiber freuen, aber umgekehrt müssen wir auch sagen, dass es letztlich um die Komponenten geht, die von Herstellern entwickelt werden. Integratoren und Betreiber müssen an der Stelle selbst bewerten, ob diese Thematik für sie relevant sein könnte.

DKE/AK 931.1.4 soll auf nationaler Ebene als Anker für Projektinteressierte agieren

DKE: In welchen Normungsgremien erfolgt die Arbeit der neuen Projekte?

Fritsch: International sind die neuen Projekte alle bei IEC/TC 65/WG 10 verankert. Die drei Projekte arbeiten parallel, jeweils mit einem eigenen Zeitplan und in separat organisierten Meetings.

Auf nationaler Ebene werden die Projekte im Normungsgremium DKE/AK 931.1.4 aufgegriffen. Hierbei möchte ich aber erwähnen, dass es weniger darum geht, inhaltliche Arbeit zu leisten, sondern vielmehr darum, zu informieren – wo stehen die Projekte aktuell, welche Herausforderungen gilt es zu lösen und was sind die nächsten Schritte? Wir sehen das nationale Normungsgremium daher auch in erster Linie als „Anker“ für interessierte Kreise, die mehr über die laufenden Projekte erfahren möchten.

Wir beabsichtigen darüber hinaus, im nationalen Arbeitskreis darüber zu diskutieren, ob wir auch für andere Teile der IEC 62443 noch Evaluationsmethoden zur Unterstützung von Prüfungen benötigen. Aber wie schon gesagt, die technische Diskussion der drei laufenden Projekte findet sehr aktiv auf der internationalen Ebene statt und ist dort gut verordnet.

DKE: Vielen Dank für das Interview, Herr Fritsch!

Redaktioneller Hinweis:

Die im Text aufgeführten Normen und Standards können Sie beim VDE VERLAG erwerben.

Industry befasst sich mit Systemen und Produkten aus dem industriellen Bereich. Zentrales Thema ist beispielsweise zunehmend die Automation, da es in Zukunft verstärkt zu einem intelligenten Austausch zwischen Maschinen und Objekten kommt. Weitere Inhalte zu diesem und anderen industriellen Fachgebieten finden Sie im