Definition IEC 62443 Was ist IEC 62443?

IEC 62443 ist ein internationaler Cybersicherheitsstandard für industrielle Automatisierungs- und Steuerungssysteme. Er ist aus dem Cybersecurity-Standard ISA-99 hervorgegangen. Die Normenreihe richtet sich an IACS-Betreiber, -Hersteller und -Integratoren. Zur Identifizierung und Behebung möglicher Schwachstellen und Sicherstellung der Cybersicherheit wird ein ganzheitlicher Ansatz mit sowohl technischen als auch prozessualen Aspekten verfolgt.

IEC 62443 ist die Bezeichnung einer internationalen Normenreihe für die Cybersicherheit industrieller Automatisierungs- und Steuerungssysteme (IACS). Sie ist aus dem Standard ISA-99 hervorgegangen, der 2010 in die Normenreihe IEC 62443 überführt wurde. In einem ganzheitlichen Ansatz verfolgt die Normenreihe sowohl prozessuale als auch technische Aspekte der Cybersecurity. IEC 62443 richtet sich an IACS-Betreiber, -Hersteller und -Integratoren. Die Normenreihe ist sehr umfangreich und in verschiedene Bereiche unterteilt. Eine ganze Reihe Dokumente befasst sich mit den verschiedenen Aspekten der IACS-Cybersicherheit. Mithilfe der in den Dokumenten beschriebenen Konzepte, Methoden und Maßnahmen sollen sich mögliche Schwachstellen industrieller Netze und Systeme leichter identifizieren und beheben lassen. Von der Norm ISO 27001 unterscheidet sich IEC 62443 unter anderem durch die strikte Ausrichtung auf industrielle Systeme. IEC 62443 hat sich im IACS-Umfeld als Cybersecurity-Standard etabliert und kommt weltweit zur Anwendung. Er deckt auch die Cybersicherheit kritischer Infrastrukturen (KRITIS) ab.

Ziele der Normenreihe IEC 62443

Die Normenreihe IEC 62443 wurde für die spezifischen Sicherheitsbelange industrieller Automatisierungs- und Steuerungssysteme entwickelt. Sie deckt neben den verschiedenen Industriebereichen auch kritische Infrastrukturen (KRITIS) ab. Das zentrale Ziel der Normenreihe ist es, industrielle Systeme und Anlagen sowie kritische Infrastrukturen sicher zu implementieren, bereitzustellen, zu verwalten und zu betreiben. Das Risiko für die Kompromittierung oder den Ausfall der Systeme, Anlagen oder Infrastrukturen soll stark reduziert werden. IACS- und KRITIS-Betreiber, -Hersteller und -Integratoren sollen in die Lage versetzt werden, Cybersecurity-Schwachstellen ihrer Systeme und Produkte zu identifizieren und zu beheben. Sämtliche Bestandteile, die für einen sicheren Betrieb notwendig sind, werden von der Normenreihe berücksichtigt. Sowohl die technischen Aspekte der Hard- und Softwarekomponenten als auch die prozessualen Aspekte, beispielsweise in der Produktentwicklung, finden Berücksichtigung.

Aufbau und Struktur der Normenreihe IEC 62443

Die Normenreihe IEC 62443 ist sehr umfangreich. Sie ist in diese vier Abschnitte mit jeweils mehreren Dokumenten unterteilt:

• Abschnitt "General" mit der Beschreibung allgemeiner Konzepte, Methoden und grundsätzlicher Begriffe

• Abschnitt "Policies and Procedures" mit Leitlinien und Verfahrensweisen zum Management industrieller IT-Sicherheit

• Abschnitt "System" mit der Beschreibung von Vorgaben für Sicherheitsfunktionen industrieller Automatisierungs- und Steuerungssysteme

• Abschnitt "Components and Requirements" mit den Anforderungen an Entwicklungsprozesse sicherer IACS-Produkte und -Komponenten

Zu den Inhalten der der Normenreihe gehören Beschreibungen verschiedener Reifegrade (Maturity Level) der Prozesse sowie Definitionen unterschiedlicher Sicherheitslevel (Security Level) technischer Anforderungen. Beispielsweise bedeutet der niedrigste Sicherheitslevel 0, dass keine besonderen Schutzanforderungen erforderlich sind. Der höchste Sicherheitslevel 4 bietet Schutz vor gewollten Angriffen und vorsätzlichem Missbrauch mit hoher Motivation, fortschrittlichen Mitteln und mit umfangreichen Ressourcen und Kenntnissen.

Kurze Beschreibung der beiden Konzepte "Defense-in-Depth" und "Zones & Conduits"

Im Bereich "General" der Normenreihe werden unter anderem die beiden Grundkonzepte "Defense-in-Depth" und "Zones & Conduits" beschrieben. Defense-in-Depth bedeutet im Deutschen "Verteidigung in der Tiefe" und steht für ein mehrschichtiges Modell zum Schutz vor Cyberangriffen. Angreifer müssen mehrere gestaffelte Sicherheitsmaßnahmen überwinden, um ihr Ziel zu erreichen. Zones & Conduits, ins Deutsche übersetzt "Zonen und Verbindungen", ermöglicht die Umsetzung individueller Schutzanforderungen. Der unterschiedliche Schutzbedarf verschiedener Komponenten lässt sich über die Gruppierung logischer und physischer Komponenten in Sicherheitszonen gleichen Schutzbedarfs sicherstellen. Die Sicherheitsanforderungen der Sicherheitszonen sind über Sicherheitslevel festgelegt. Die Conduits ermöglichen einen sicheren Informationsaustausch zwischen den Sicherheitszonen.

(ID:49310117)