Security-Normenreihe IEC 62443

Security-Konzepte für Maschinen- und Anlagenbauer

| Autor / Redakteur: Boris Waldeck* / Peter Schmitz

Wendet der Maschinen- und Anlagenbauer die Normenreihe IEC 62443 an, kann er ein durchgängiges Security-Konzept auf allen Ebenen realisieren. Das bedeutet aber auch neue Aufgaben, die in einem fortwährenden Prozess ständig weiterzuentwickeln sind.
Wendet der Maschinen- und Anlagenbauer die Normenreihe IEC 62443 an, kann er ein durchgängiges Security-Konzept auf allen Ebenen realisieren. Das bedeutet aber auch neue Aufgaben, die in einem fortwährenden Prozess ständig weiterzuentwickeln sind. (Bild: Phoenix Contact)

Für die Betreiber von Anlagen im Bereich der kritischen Infrastrukturen schreibt das IT-Sicherheitsgesetz ab 2018 die Einführung eines Security-Management-Systems vor. Aufgrund der aktuellen Bedrohungslage sollten jedoch alle Anlagenbetreiber Security-Maßnahmen umsetzen, um eine reibungslose Funktionsweise sicherzustellen und damit wirtschaftlichen Schaden zu vermeiden.

Aus den Security-Richtlinien und -Gesetzen wird deutlich, dass in erster Linie der Betreiber relevanter Anlagen in die Pflicht genommen wird und angemessene Schutzmaßnahmen realisieren muss. Dazu benötigt er ein durchgängiges Security-Konzept, das vom Hersteller der industriellen Automatisierungstechnik über den Maschinen- und Anlagenbauer bis zu ihm als Nutzer der Maschine einheitliche Schutzregeln festlegt. In der IEC-Norm 62443 ist ein solches Security-Konzept definiert. Nur im Zusammenspiel sämtlicher hier aufgeführten Rollen lassen sich die Forderungen hinsichtlich einer „angemessenen Security“ sowie die Einhaltung des Stands der Technik verwirklichen. Als Schutzziele stehen derzeit die Verfügbarkeit und die Integrität einer Anlage im Vordergrund. Wegen weiterentwickelter Angriffsszenarien werden die Schutzziele Vertraulichkeit und Authentizität in Zukunft den gleichen Stellenwert haben, denn schon heute gibt es Angriffsszenarien, die unentdeckt Prozessdaten sammeln, bevor ein spezifischer Angriff initiiert wird.

Wesentliche Teile der Norm

Bei der Normenreihe IEC 62443 handelt es sich um einen allgemeinen Security-Standard für industrielle Automatisierungssysteme. Sie besteht momentan aus dreizehn Teilen, in denen die Anforderungen an Prozesse, funktionale Maßnahmen sowie der Stand der Technik für ein Industrial-Security-Konzept festgeschrieben werden. Die wichtigsten Teile aus Sicht des Maschinen- und Anlagenbaus sind:

  • IEC 62443 Teil 2-1 – Anforderungen an ein Security-Managementsystem für Betreiber industrieller Automatisierungssysteme
  • IEC 62443 Teil 2-3 – Patch Management für industrielle Automatisierungssysteme
  • IEC 62443 Teil 2-4 – Anforderungen an das IT-Sicherheitsprogramm von Dienstleistern für industrielle Automatisierungssysteme
  • IEC 62443 Teil 3-3 – Systemanforderungen zur IT-Sicherheit und Security Level an industrielle Automatisierungssysteme
  • IEC 62443 Teil 4-1 – Anforderungen an den Lebenszyklus für eine sichere Produktentwicklung industrieller Automatisierungssysteme
  • IEC 62443 Teil 4-2 – Technische IT-Sicherheitsanforderungen an Komponenten von Automatisierungssystemen

Bei vollständiger Umsetzung geht die Norm davon aus, dass Zugriffssicherheit beim Entwicklungsprozess und den in die Automatisierungsgeräte implementierten Security-Funktionen beginnt. Sie entwickelt sich dann in den verschiedenen Integrationsphasen gemäß den in der IEC 62443 definierten Prozessen sukzessive weiter. Entspricht der geforderte Security Level eines Schritts nicht dem vom System erreichten Niveau, müssen zusätzliche Maßnahmen getroffen werden.

Individuelle Festlegung des Security Levels

Der Hersteller eines industriellen Automatisierungssystems legt anhand der eingebauten funktionalen Maßnahmen und realisierten Security-Prozesse den erzielbaren Security Level (SL-C) fest. Auf der Basis der eingesetzten Geräte/Systeme sowie verwendeten Security-Konzepte und Prozesse bestimmt der Integrator den für die Lösung erlangten Security Level (SL-A). Und schließlich determiniert der Anlagenbetreiber durch eine Risikoanalyse den zu erreichenden Security Level (SL-T). Die Durchführung der Risikoanalyse wird als Teil des Security-Managementprozesses in Teil 2-1 der Norm gefordert.

Der Betreiber und der Systemintegrator überprüfen den Erfüllungsgrad des SL-T und SL-A der Automatisierungslösung und ergreifen unter Umständen weitere Maßnahmen. Die IEC 62443 verlangt nicht, dass jede einzelne Komponente mit dem SL-T übereinstimmt. Vielmehr können Netzwerksegmente (Zonen) gebildet und Zugänge (Conduits) geschützt werden. So entstehen Teilsysteme, die an ihrem Zugang mit einem entsprechenden SL-T/A abgesichert sind. Um diesen Prozess für Betreiber sowie Maschinen- und Anlagenbauer zu vereinfachen, erweist sich eine Zertifizierung der Security-relevanten Entwicklungsprozesse für industrielle Automatisierungssysteme durch ein unabhängiges Prüfinstitut als vorteilhaft. Auf diese Weise lässt sich sicherstellen, dass die Automatisierungssysteme ohne detaillierte Prüfung des Security-Funktionsumfangs innerhalb eines IEC 62443-Konzepts nutzbar sind.

Die beschriebene Vorgehensweise muss auch im Lebenszyklus einer Anlage immer wieder angewendet werden. Die Erlangung des SL-T/A ist dynamisch, da der Security Level aufgrund neuer Bedrohungen oder bekannt gewordener Schwachstellen der eingesetzten Geräte/Systeme nicht mehr den Ergebnissen der ursprünglichen Risikoanalyse entsprechen kann. Bei der Entwicklung der Automatisierungssysteme kommt der flexiblen Update-Fähigkeit somit eine wichtige Bedeutung zu. Die jeweiligen Maßnahmen sind in Teil 2-3 „Patch Management“ als technischer Report beschrieben.

Verschiedene Security-Programme für den Maschinen- und Anlagenbauer

Aus Sicht der Industrial Security nimmt der Maschinen- und Anlagenbauer eine wesentliche Position ein, denn er hat einige für die Security bedeutende Rollen inne. Zunächst fügt er als Integrator die Komponenten eines oder mehrerer Hersteller in der Maschine oder Anlage zu einem Automatisierungssystem zusammen. Während der Inbetriebnahme übernimmt der Maschinen- und Anlagenbauer die Rolle des Betreibers. Danach fällt die Gewährleistung und gegebenenfalls Wartung der Applikation in seinen Aufgabenbereich. In beiden Rollen stellt der Maschinen- und Anlagenbauer einen wichtigen Player im Lebenszyklus der Anlage dar und benötigt daher die notwendigen Zugriffsrechte. Darüber hinaus kann er bei speziellen Komponenten, die Alleinstellungsmerkmale der Lösung enthalten, als Hersteller eines Automatisierungssystems fungieren.

Als Schnittstelle zum Betreiber/Auftraggeber ist Teil 2-4 der IEC 62443 für den Maschinen- und Anlagenbauer von besonderer Bedeutung. Hier werden die wesentlichen Prozesse bei der Integration, Inbetriebnahme und Wartung eines industriellen Automatisierungssystems definiert. Zu den ausgewählten Security-Programmen (SP) des Teils 2-4 zählen:

  • die Architektur der Automatisierungslösung
  • die Konfiguration der Automatisierungslösung
  • die Verwaltung von Nutzerkonten
  • die Behandlung von Ergebnissen
  • das Patch Management
  • die Sicherung und Wiederherstellung der Automatisierungslösung
  • die Fernwartung

Insgesamt werden zwölf Security-Programme (SP.1-12) festgelegt, die sich in mehr als 100 einzelne Anforderungen aufteilen.

Für die Rolle des Systemintegrators zeigt sich Teil 3-3 „Systemanforderungen zur IT-Sicherheit und Security Level an industrielle Automatisierungssysteme“ als essentiell. In Teil 3-3 werden die funktionalen Anforderungen an industrielle Automatisierungssysteme entsprechend der bestimmten Security Level (SL-T/A/C) erläutert. Teil 3-3 skizziert und bewertet die unterstützten Security-Maßnahmen/Level an der Schnittstelle zwischen Systemintegrator und Produkthersteller. Auf dieser Grundlage können die zum Erreichen des SL-T erforderlichen Geräte ausgewählt werden.

Technische Anforderungen an Automatisierungssysteme

In der IEC 62443 3-3 für Systeme und 4-2 für Komponenten sind die technischen Anforderungen an industrielle Automatisierungssysteme dargelegt. Anhand der Security-Bedrohungen werden die auf die Fähigkeiten des Angreifers abgestimmten Security Level (SL0 bis SL4) aufgeführt. Die Norm schreibt sieben grundlegende Anforderungen (FR) fest, die sich in mehr als 50 Systemanforderungen (SR) aufteilen. Zu den sieben grundlegenden Anforderungen gehören:

  • FR1 IAC - Identifizierung und Authentifizierung
  • FR2 UC - Nutzungskontrolle
  • FR3 SI - Systemintegrität
  • FR4 DC - Vertraulichkeit der Daten
  • FR5 RDF - eingeschränkter Datenfluss
  • FR6 TRE - rechtzeitige Reaktion auf Ereignisse
  • FR7 RA - Verfügbarkeit der Ressourcen

Je nach Angriffsvektor und Security Level werden unterschiedliche funktionale Anforderungen definiert.

Die Implementierung der funktionalen Maßnahmen ist jedoch nicht isoliert zu betrachten. Ein Security Level lässt sich lediglich dann erzielen, wenn die Anforderungen des Teils 4-1 an den sicheren Entwicklungsprozess umgesetzt sind. Nur aus der Kombination von Prozess und funktionalen Maßnahmen kann also ein Produkt mit Security Level entwickelt werden. Zusätzlich zum Entwicklungsprozess fordert Teil 4-1 die Erfüllung allgemeiner Security-Regeln nach dem Stand der Technik. Diese müssen schon beim Gerätekonzept und Software-Design berücksichtigt werden:

  • Security by design
  • Defense in depth
  • Minimal need to know

Die Basis des Konzepts bilden stets die Security Use Cases des Produkts sowie die zugehörige Bedrohungsanalyse. Auf Basis der Bedrohungsanalyse wird nachgewiesen, dass die Security-Härtung eines Produkts seinem Einsatzgebiet entspricht. Zu diesem Zweck müssen die geplante Verwendung des Geräts und die implementierten Security-Maßnahmen genau dokumentiert werden.

Fazit: Wendet der Maschinen- und Anlagenbauer die Normenreihe IEC 62443 an, kann er ein durchgängiges Security-Konzept auf allen Ebenen realisieren. Dazu muss er sich bereits bei der Planung der Maschine oder Anlage grundlegende Gedanken über das Konzept und dessen Durchführung machen. Das bedeutet, dass auf den Maschinen- und Anlagenbauer neue Aufgaben zukommen, die in einem fortwährenden Prozess ständig weiterzuentwickeln sind.

Dieser Beitrag erschien zuerst auf unserem Partnerportal elektrotechnik. Verantwortliche Redakteurin: Ines Stotz.

* Dipl.-Ing. Boris Waldeck, Senior Project Manager im Software Marketing der Business Unit Control Systems, Phoenix Contact Electronics GmbH, Bad Pyrmont

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45273624 / Standards)