IEC 62443 in der Industrie 4.0 Analyse

IT-Security

Zahlreiche Cyberangriffe der Vergangenheit, wie zum Beispiel Stuxnet oder WannaCry, zeigen eindrucksvoll die steigende Bedrohung durch Cyberkriminalität. Ziel dieser Angriffe sind immer wieder kritische Infrastrukturen, die daher besonders vor den möglichen Folgen für Mensch und Umwelt geschützt werden müssen. Neben diesen kritischen Infrastrukturen rückt das produzierende Gewerbe immer öfter in den Fokus der Angreifer. Umsatzeinbußen, Imageschäden und teure Rechtstreitigkeiten sind die milliardenschweren Folgen allein für die deutsche Wirtschaft. Komplexe Cyberangriffe entwickeln sich daher für Industrieunternehmen zu einem immer größeren Risikofaktor. Durch die zukünftige Entwicklung im Rahmen von Industrie 4.0 steigt die Vernetzung der einzelnen Komponenten weiter stark an. Sicherheitslücken bzw. Schwachstellen der Produktionssysteme in Form von Design, Implementierungs- sowie Konfigurationsfehlern können daher dramatische Folgen für die gesamte vernetzte Anwendung haben.

Gesetzliche und normative Security Anforderungen

Um die Gefahren durch Cyberkriminalität zu minimieren, gibt es bereits zahlreiche nationale und auch internationale Normen, Richtlinien und Gesetze, die an den Betreiber, Hersteller oder auch Integrator einer Anlage gerichtet sind. Die EU-Richtlinie Netz- und Informationssicherheit, kurz NIS, definiert derzeit den aktuellen Stand regulatorischer Anforderungen. NIS beschreibt Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union. Die EU-Richtlinie wurde im Juni 2016 verabschiedet und mit dem NIS-Richtlinien-Umsetzungsgesetz im Juni 2017 in Deutschland realisiert. Zusammen mit dem IT Sicherheitsgesetz, das im Juli 2015 in Kraft getreten ist, werden damit Mindeststandards im Bereich Security geschaffen. Im Wesentlichen geht es um die Absicherung kritischer Infrastrukturen, kurz KRITIS. Betroffen sind kritische Einrichtungen, Anlagen oder Teile davon, die den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und von hoher Bedeutung für das Funktionieren des Gemeinwesens sind.

Branchenstandard in der Office-IT stellt die Normenreihe ISO/IEC 27000 dar. Diese Normenreihe beinhaltet Richtlinien für Unternehmen zum Schutz der schützenswerten Assets. Kern bildet die ISO/IEC 27001 mit den Anforderungen zum Aufbau eines zertifizierbaren Information Security Management Systems (ISMS) innerhalb des Unternehmens. Da die Voraussetzungen im Büroumfeld und im Produktionsumfeld, beispielsweise in den Punkten Lebenszeit, Update-Fähigkeit oder auch Verfügbarkeit sehr unterschiedlich sind, hat sich im Bereich der industriellen Automatisierung die branchenunabhängige Norm IEC 62443 etabliert, die in Deutschland durch das Spiegelgremium DKE UK 931.1 „IT Sicherheit in der Automatisierungstechnik“ betreut wird. Die Norm hat die drei klassischen Security Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit von Industrial Control Systems, kurz ICS, im Fokus. Wichtig ist dabei, dass diese Ziele nur mit einem einheitlichen Security-Ansatz, der sowohl Hersteller als auch Integrator und Betreiber umfasst, erreicht werden. Fundamentale Konzepte der Norm bilden dabei die Betrachtung des kompletten Lebenszyklus eines Produktes oder einer Anlage, die Netzwerksegmentierung durch Zonen und Conduits, die Definition von Security-Level zur qualitativen Bestimmung des Security Schutzes und die Definition von funktionalen grundlegenden Anforderungen an ICS.

Industrial Security als Industrie 4.0 Voraussetzung

Anwendung findet die IEC 62443 im Bereich der industriellen Automatisierung, die durch die stark zunehmende Digitalisierung vor großen Herausforderungen steht. “Industrie 4.0“, „Internet of Things“ (IoT) oder auch „Cyber Physical Systems“ sind Begriffe, die die industrielle Produktion in Zukunft deutlich verändern werden. Eine nie da gewesene Vernetzung einzelner Komponenten ermöglicht eine automatisierte und unternehmensübergreifende Kommunikation. Die klassische Automatisierungspyramide wird abgelöst von einer Kommunikation zwischen Produkten und Maschinen. Diese Entwicklung liefert auf der einen Seite ein enormes Innovationspotenzial, aber es entstehen auch viele neue Herausforderungen. Die Absicherung solch einer komplexen Kommunikationsstruktur stellt eine der größten Herausforderungen dar und macht Industrial Security unverzichtbar im Kontext Industrie 4.0. Eine wichtige Unterstützung bei der Entwicklung neuer Security-Konzepte kann auch hier die IEC 62443 liefern. Beispielsweise im Bereich der Zonierung, wie sie in der IEC 62443 beschrieben wird. Durch den Aufbau von Zonen zusammenhängender Industrie 4.0 Komponenten und der besonderen Absicherung der Kommunikationskanäle zwischen den einzelnen Zonen, kann der Schutz des gesamten Systems vor Angreifern deutlich verbessert werden.

Zu diesem Themenbereich wird es auf dem diesjährigen Kongress AUTOMATION 2018 einen Beitrag geben, der die Kernpunkte tiefergehend an einer I4.0 Demonstratorlinie beschreiben wird. Der Beitrag entstand in Zusammenarbeit mit der KORAMIS GmbH, dem Zentrum für Mechatronik und Automatisierungstechnik und dem Lehrstuhl für Automatisierungs- und Energiesysteme der Universität des Saarlandes.

Das Autoren-Team:
Christian Siegwart, M.Sc., ZeMA – Zentrum für Mechatronik und Automatisierungstechnik gGmbH,
Dipl.-Ing. Heiko Adamczyk, KORAMIS GmbH,
Prof. Dr.-Ing. Georg Frey, Lehrstuhl für Automatisierungs- und Energiesysteme, Universität des Saarlandes

Diese Veranstaltungen könnten Sie auch interessieren

Tagung
Logo_AUTOMATION

30.06. - 01.07.2020
Baden-Baden

Die "Automation 2020" ist der Branchetreff für die Mess- und Automatisierungstechnik. Erfahren Sie alles zu neuen Trends und erweitern Sie Ihr berufliches Netzwerk.

Informieren & Buchen

Seminar
© Sergey Nivens – fotolia.com
IT Sicherheit in der Produktion
  • 12.11. - 13.11.2019 in Düsseldorf
  • 02.03. - 03.03.2020 in Frankfurt am Main

IT-Sicherheit in der Produktion sichern - Seminar für technische Fach- und Führungskräfte.

Informieren & Buchen

Der für Sie ausgewählte Bereich

  • IT Security
    IT-Security