Modernes Lagerhaus mit Roboterarm, Drohnen und Roboterträgern.
chesky - stock.adobe.com
20.09.2021 Kurzinformation

Normenreihe IEC 62443 wird ergänzt: Evaluationsmethodik als wichtiges Projekt

Cybersecurity in der Industrieautomatisierung ist für alle beteiligten Unternehmen ein zentrales Thema. Die internationale Normenreihe IEC 62443 liefert hierfür zahlreiche Anforderungen und bietet den jeweiligen Akteuren im industriellen Umfeld eine wichtige Orientierung.

Mit der Entwicklung von Regeln zu Profilen und einer Evaluationsmethodik laufen derzeit zwei relevante Projekte, um die Normenreihe weiter auszubauen, die Komplexität zu reduzieren und damit einen leichteren Zugang zum Thema zu schaffen.

Sebastian Fritsch leitet das Projekt zur Evaluationsmethodik. Im Interview spricht er über die Motivation hinter dem Projekt, die laufenden Arbeiten und die zukünftige Umsetzung.

Kontakt
Christian Seipel
Zuständiges Gremium

Interview mit Sebastian Fritsch

DKE: Herr Fritsch, erläutern Sie doch bitte einmal die neuen Projekte der Normenreihe IEC 62443. Woher kommt die Motivation?

Fritsch: Die Projekte haben bereits eine längere Historie und die Motivation zur Bearbeitung ist jeweils etwas unterschiedlich.

Für das Projekt zur Evaluationsmethodik zur IEC 62443-4-2 beispielsweise existiert zwar ein breites Zertifizierungsangebot auf dem Markt, allerdings mit wenig Vergleichbarkeit. Es ist unter anderem nicht offengelegt, nach welchen Maßstäben die Bewertung der Security-Industriekomponenten erfolgt. Unser Projektziel ist es daher, hierfür einen transparenten Rahmen festzulegen, nach denen Prüf- und Zertifizierungsunternehmen ihre Bewertungsprogramme für Komponenten definieren können.

Unsere Motivation für das Projekt zur Entwicklung von Regeln zu Profilen ist mit der Zeit gewachsen. Angefangen hat das ebenfalls mit der internationalen Normenreihe IEC 62443, weil gewisse Teile bereits explizit erwähnen, dass eine Profilbildung (en: Tailoring) stattgefunden hat. Es gab also eine Tendenz in der Anwendung, dass eine Art „wildes Herauspicken“ von Anforderungen erfolgt. Von deutscher Seite aus haben wir in der Normung dann angefangen, Vorschläge zu formulieren, wie konkrete Profile aussehen sollten – und zwar für einzelne, spezielle Teile der Norm, um zu verdeutlichen, dass es hier nur eine gewisse und sinnvolle Auswahl an Anforderungen gibt.

Aus der ursprünglichen Diskussion hat sich das Ergebnis abgeleitet, dass wir dieses Thema breiter angehen müssen und zudem Regeln benötigen, wie Profile entwickelt werden.

Normenreihe IEC 62443

Normenreihe IEC 62443

| DKE

Die zunehmende Komplexität der Normenreihe IEC 62443 soll reduziert werden

DKE: Sie haben den Begriff „Tailoring“ erwähnt. Es werden also keine neuen Anforderungen beschrieben, sondern vorhandene Anforderungen werden an entsprechende Rollen oder Sektorenbereiche angepasst?

Fritsch: Ich denke, bei der Betrachtung von Sektoren sind wir noch nicht angekommen. Rollen sind aber ein gutes Stichwort und auch Sichtweise, gewisse Anforderungen sind aus einer bestimmten Rolle heraus nicht erforderlich. Nehmen wir hier exemplarisch einen Maintenance Provider, der nichts errichtet und deshalb in diesem Bereich auch keine Anforderung nachweisen muss, sondern nur während der eigentlichen Betriebsphase. Der Fokus liegt in diesem Beispiel ausschließlich auf den betrieblichen Aspekten.

DKE: Die Normenreihe IEC 62443 gilt als komplex und nicht einfach zu verstehen. Zukünftig wird die Normenreihe noch um weitere Teile ergänzt. Wird die Komplexität dann nicht auch weiter zunehmen?

Fritsch: Ein klares Ziel ist es für uns, die zunehmende Komplexität am Ende zu reduzieren. Ein wichtiger Aspekt, der zu dieser Komplexität beiträgt, ist die Sprache – also wie die Norm geschrieben ist. Insbesondere bei der Evaluationsmethodik zur IEC 62443-4-2, hier bin ich als Projektleiter aktiv, merke ich das immer wieder. Ein gutes Beispiel sind die technischen Anforderungen (en: Component Requirements), die teilweise unklar beschrieben sind, und oft ist unklar, wann diese tatsächlich erfüllt sind. Bereits nach der Veröffentlichung des „TeleTrusT-Prüfschema IEC 62443-4-2“, historisch könnte man dies als Vorprojekt bezeichnen, hat sich im Feedback darauf gezeigt, dass es einen hohen Bedarf an Konkretisierungen gibt.

Ein großer Punkt, den ich in der Projektdurchführung und in Diskussionen auf IEC-Ebene immer wieder merke, ist, dass wir zwar auf deutlich mehr Themen zu sprechen kommen, aber auch immer wieder auf die gleichen Punkte zurückkommen: Die Norm ist an einigen Stellen nicht konkret genug bzw. lässt viel Interpretationsspielraum zu. Es muss also unser Ziel sein, bewertbarer zu formulieren. Deshalb pflegen wir eine Liste mit Punkten, die in den bereits veröffentlichten Teilen später präzisiert werden sollten.

Mein persönliches Learning ist dabei, dass mit der IEC 62443 eine Anwendungsnorm geschrieben wurde, aber keine Norm, die auch die Eigenschaft mitbringt, bewertbar zu sein. Wenn wir diese zusätzliche Perspektive einnehmen, also eine Evaluationsmethodik und Bewertungsmethodik zu beschreiben, kommen wir an den Punkt, dass bestimmte Aspekte auch im Anforderungsstandard (en: Requirement Standard) anders formuliert werden sollten bzw. müssten. Ich denke, das könnte einen großen Mehrwert für die gesamte Normenreihe und die praktische Anwendung bedeuten.

Gleichzeitig bedeutet das aus Sicht der Normung und Standardisierung jedoch auch zwei Komplexitätsstränge bei der Entwicklung eines Standards beachten zu müssen. Haben wir diese Hürden aber einmal gemeistert, bin ich mir sicher, dass wir die Komplexität der IEC 62443 deutlich reduzieren und sie vereinfachen und für alle beteiligten Akteure „zugänglicher“ machen können.


Guideline Industrial Security

Guideline Industrial Security

| VDE VERLAG

Guideline Industrial Security: IEC 62443 is easy (Englisch; eBook)

Die Bedeutung von Schutzkonzepten wächst mit zunehmenden Angriffen von außen. Betreiber kritischer Infrastrukturen müssen Mindeststandards der IT-Sicherheit einhalten und ihre Anlagen vor Cyberangriffen schützen. Wirksame Schutzkonzepte lassen sich jedoch nur mit einer Reihe von organisatorischen und technischen Maßnahmen umsetzen.

Der Leitfaden hat das Ziel, den Ansatz für den Einsatz von Schutzkonzepten zu vereinfachen, indem er einen Überblick über die Normenreihe IEC 62443 gibt, die Ideen und Konzepte zusammenfasst sowie praktische Lösungen aufzeigt.

Zum VDE VERLAG

Evaluatoren erhalten durch die Logik des Evaluierungsprozesses konkrete Aufgaben zur Überprüfung

DKE: Lassen Sie uns über die Evaluationsmethodik sprechen. Wie wird diese konkret aussehen?

Fritsch: Gerne. Dazu möchte ich aber gleich sagen, dass wir über noch laufende Arbeiten in diesem Projekt sprechen. Es kann also sein, dass einige Aspekte später nicht so in der Evaluationsmethodik stehen werden wie heute beschrieben.

Bei der Normenreihe IEC 62443 handelt es sich um einen Kanon an Standards, wo Querbeziehungen bestehen, die wir im Projekt zur Evaluationsmethodik beachten müssen. Ein gutes Stichwort ist dabei der sichere Entwicklungsprozess, der in Teil 4-1 der Normenreihe beschrieben wird. Alle darin enthaltenen Ausführungen dienen als Grundlage für die sichere Entwicklung von Komponenten. Außerdem werden die funktionalen Anforderungen (en: Requirements) im Teil 4-2 definiert. Beide Teile zusammen geben den Rahmen für die Evaluationsmethodik vor.

Der neue Teil IEC TS 62443-6-2 zur Evaluationsmethodik wird darüber nicht hinausgehen und zusätzliche Anforderungen stellen. Das hat sich in den vergangenen Monaten in den Diskussionen deutlich gezeigt. Vielmehr wird es so sein, dass wir versuchen werden, logische Einheiten zu bilden. Um hier ein konkretes Beispiel zu geben: Wenn die Reihenfolge bestimmter Prüfungsschritte klar ist und sogar Abhängigkeiten auftreten, wird dies in der Reihenfolge der spezifizierten Evaluationsaktivitäten beachtet. Aus diesem Konstrukt ergibt sich die Logik des Evaluierungsprozesses. Der Evaluator erhält auf diese Weise konkrete Aufgaben zur Überprüfung.


Entwurfskonzept eines analog-digitalen Kompasses
Sergey Tarasov / stock.adobe.com

Cybersecurity Navigator bietet Rechtsvorschriften und Standards für Kritische Infrastrukturen

Cyberangriffe stellen für unsere Gesellschaft eine der größten Bedrohungen dar. Unternehmen sowie öffentliche Einrichtungen werden jeden Tag zum Ziel von Hackern. Gefährdet sind vor allem Kritische Infrastrukturen. Der Cybersecurity Navigator unterstützt Organisationen aus den KRITIS-Sektoren mit einer Sammlung von Rechtsvorschriften und Standards – einheitlich systematisiert und aufbereitet.

Mehr erfahren

Auf nationaler und internationaler Ebene braucht es ein gemeinsames Verständnis

DKE: Das Projekt zur Evaluationsmethodik ist noch recht jung: Wie laufen die Arbeiten bisher und wann ist die Veröffentlichung des neuen Normteils geplant?

Fritsch: Mit den Arbeiten am Projekt zur Evaluationsmethodik haben wir im Dezember 2020 begonnen.

Wir sind im Vorfeld mit unserem New Work Item Proposal und einem sehr konkreten Vorschlag in die nationale Diskussion eingestiegen. Auf internationaler Ebene hat unser Vorschlag für intensive Diskussionen und einen Verständnisabgleich geführt. Es war so, dass unsere nationale Sichtweise auf internationaler Ebene nicht auf das gleiche Verständnis getroffen ist. Wir mussten bereits viele Stellen und die Terminologie überarbeiten, aber auch viel erklären und zu einem gegenseitigen Verständnisaufbau beitragen.

Aber – und das ist jetzt wichtig – wir haben erste große Schritte nach vorne gemacht, indem wir eine grobe Struktur für die Evaluationsmethodik abgestimmt und hierfür auch ein gemeinsames Verständnis gefunden haben: Die Anforderungen aus den Anforderungsstandards geben den Rahmen, wir clustern logische Einheiten und bauen darauf die Evaluationsaufgaben auf, sodass wir uns sehr eng am Hauptstandard orientieren. Aktuell sind wir dabei, dies auch operativ im Rahmen eines ersten Committee Draft aufzubereiten. Und da wird sich zeigen, ob wir auch auf inhaltlicher Ebene bereits ein gemeinsames Verständnis erreicht haben.

Der Projektplan sieht für die Veröffentlichung einen Zieltermin für Juli 2023 vor. Ich denke, wir werden diese Zeit vollumfänglich benötigen, da wir uns aktuell noch mit dem großen Ganzen beschäftigen. Und sicherlich werden weitere Diskussionen folgen, wenn es um die Detailebene geht.


DKE Newsletter-Seitenbild
sdx15 / stock.adobe.com

Mit unserem DKE Newsletter sind Sie immer top informiert! Monatlich ...

  • fassen wir die wichtigsten Entwicklungen in der Normung kurz zusammen
  • berichten wir über aktuelle Arbeitsergebnisse, Publikationen und Entwürfe
  • informieren wir Sie bereits frühzeitig über zukünftige Veranstaltungen
Ich möchte den DKE Newsletter erhalten!

Insbesondere Hersteller von Komponenten zeigen großes Interesse an diesem Projekt

DKE: Um welchen Projekttyp handelt es sich bei der Evaluationsmethodik?

Fritsch: Das Projekt zur Evaluationsmethodik von Komponenten soll als Technische Spezifikation (en: Technical Specification) veröffentlicht werden, konkret als IEC TS 62443-6-2 mit dem Titel: „Security evaluation methodology for IEC 62443 - Part 4-2: Technical security requirements for IACS components“.

DKE: Wie setzt sich die Gruppe der Fachleute zusammen, die an diesem Projekt arbeitet? Werden weitere Expertinnen und Experten für die Mitarbeit gesucht?

Fritsch: Personell sind wir gut aufgestellt. Das lag auch daran, dass die Evaluationsmethodik bereits im Vorfeld für großes Interesse gesorgt hat. Prinzipbedingt besteht unsere Arbeitsgruppe insbesondere aus Herstellern, aber auch aus einige Prüfer und Zertifizierer nehmen regelmäßig an den Meetings teil.

Für weitere Sichtweisen würden wir uns über Integratoren und Betreiber freuen, aber umgekehrt müssen wir auch sagen, dass es letztlich um die Komponenten geht, die von Herstellern entwickelt werden. Integratoren und Betreiber müssen an der Stelle selbst bewerten, ob diese Thematik für sie relevant sein könnte.

DKE/AK 931.1.4 soll auf nationaler Ebene als Anker für Projektinteressierte agieren

DKE: In welchen Normungsgremien erfolgt die Arbeit der neuen Projekte?

Fritsch: International sind die neuen Projekte alle bei IEC/TC 65/WG 10 verankert. Die drei Projekte arbeiten parallel, jeweils mit einem eigenen Zeitplan und in separat organisierten Meetings.

Auf nationaler Ebene werden die Projekte im Normungsgremium DKE/AK 931.1.4 aufgegriffen. Hierbei möchte ich aber erwähnen, dass es weniger darum geht, inhaltliche Arbeit zu leisten, sondern vielmehr darum, zu informieren – wo stehen die Projekte aktuell, welche Herausforderungen gilt es zu lösen und was sind die nächsten Schritte? Wir sehen das nationale Normungsgremium daher auch in erster Linie als „Anker“ für interessierte Kreise, die mehr über die laufenden Projekte erfahren möchten.

Wir beabsichtigen darüber hinaus, im nationalen Arbeitskreis darüber zu diskutieren, ob wir auch für andere Teile der IEC 62443 noch Evaluationsmethoden zur Unterstützung von Prüfungen benötigen. Aber wie schon gesagt, die technische Diskussion der drei laufenden Projekte findet sehr aktiv auf der internationalen Ebene statt und ist dort gut verordnet.

DKE: Vielen Dank für das Interview, Herr Fritsch!

Redaktioneller Hinweis:

Die im Text aufgeführten Normen und Standards können Sie beim VDE VERLAG erwerben.

Zum VDE VERLAG

Wir bedanken uns für dieses Interview bei

Portraitfoto Sebastian Fritsch

Sebastian Fritsch

secuvera GmbH, Leiter des Bereichs Prüfstelle für IT-Sicherheit und Industrial Security

Portraitfoto Sebastian Fritsch

secuvera GmbH, Leiter des Bereichs Prüfstelle für IT-Sicherheit und Industrial Security


Interessiert an weiteren Inhalten zu Industry?

Fokusbild Inudstry

Industry befasst sich mit Systemen und Produkten aus dem industriellen Bereich. Zentrales Thema ist beispielsweise zunehmend die Automation, da es in Zukunft verstärkt zu einem intelligenten Austausch zwischen Maschinen und Objekten kommt. Weitere Inhalte zu diesem und anderen industriellen Fachgebieten finden Sie im

DKE Arbeitsfeld Industry

Relevante News und Hinweise zu Normen