Hilfe, ich brauche ein ICS-Security-Programm! Ist IEC 62443 die Rettung?

Dass die Cyber-Bedrohungslage in den letzten zehn Jahren aufgrund technologischen Fortschritts, Konsolidierung von Technologien, Kostendruck und sich rasant entwickelnden Angriffstechniken stetig gewachsen ist und daher Handlungsdruck bei allen Beteiligten besteht, ist inzwischen allgemein bekannt. Die Automatisierung in der Industrie hat heute einen so hohen Grad der Vernetzung erreicht, dass eine Produktion ohne sie nicht mehr vorstellbar ist. Die bisherigen Mittel der Abschottung sensitiver kritischer Infrastrukturen und der Kontrolle der Datenströme stoßen jedoch immer mehr an ihre Grenzen. Die zukünftigen Herausforderungen im Hinblick auf die neuen Anforderungen an eine noch höher vernetzte Industrie 4.0-Umgebung setzen hingegen eine vertrauensvolle Zusammenarbeit aller Beteiligten voraus. Dies gilt besonders angesichts der Tatsache, dass Automatisierungstechnik aufgrund längerer Lebenszeiten, höchster Verfügbarkeitsanforderungen und einer anderen Kultur in Entwicklung und Betrieb grundsätzlich verletzlicher ist als viele Office-IT-Systeme. In der Industrial Security oder Automation Security geht es um die Absicherung aller Komponenten und Prozesse, die für den zuverlässigen und sicheren Betrieb einer automatisierten Produktionsanlage notwendig sind. Dazu gehören Steuerungen, SPSen, Leitsysteme, Netzwerkkomponenten wie Firewalls oder Switches, Clients, Applikationen etc. ebenso wie Prozesse der Planung, Umsetzung, Schulung, Bedienung und Wartung.

Die Cybersicherheit entwickelt sich also von einem notwendigerweise ebenfalls zu betrachtenden Randthema zunehmend zu einem entscheidenden Erfolgskriterium für Mittelständler und Großkonzerne. Dass es notwendig ist, die Security gleichwertig neben anderen Produkt- bzw. Produktionseigenschaften wie etwa Qualität oder Saftey zu behandeln, sind sich inzwischen die Experten einig. Ein Sicherheitsprogramm aufzubauen, das alle wichtigen IT-Risiken kontrollieren hilft und zugleich den stegig wachsenden gesetzlichen und regulatorischen Anforderungen genügt, ist jedoche eine große Herausforderung. Von den vielen zur Auswahl stehenden Standards wie IT Grundschutz, ISO 2700x oder VDI/VDE 2182 haben alle verschiedenen Vor- und Nachteile, die sich nicht immer leicht durchblicken lassen – geschweige denn im Vorhinein. Fehlt daher – anders als bei kritischen Infrastrukturen – eine Vorgabe durch die Regulierungsbehörden, welcher Standard anzuwenden ist, bleibt die Qual der Wahl, auf welcher Basis das Security-Programm aufgebaut werden sollte, Ihnen überlassen.

Wofür Security-Standards?

Ein geeigneter Standard ist Grundlage für die nicht unerhebliche Anzahl von Überlegungen und Maßnahmen, welche für eine umfassende Security einer Maschine oder Anlage notwendig sind. Insbesondere dann, wenn nicht permanent Experten zu allen Themen verfügbar sind, ist es fachlich und wirtschaftlich unabdingbar, sich an allgemein bewährte Vorgaben zu halten, um ein gewisses Sicherheitsniveau auch nachweisbar erreichen zu können. Soll schließlich die Security der eigenen Produkte werbewirksam nach außen kommuniziert werden, so ist eine Norm mit Möglichkeit zur Zertifizierung eine der wenigen Möglichkeit, dies seriös zu tun.

IEC 62443

Die Standardfamilie IEC 62443, teilweise auch noch unter der alten Bezeichnung ISA99 bekannt, hat sich in den letzten fünf Jahren zur meistversprechenden Norm für die Automation Security entwickelt. Denn die verschiedenen Dokumente enthalten Vorgaben und Empfehlungen nicht nur für den Betreiber von Automatisierungstechnik, sondern auch für Integratoren, Komponentenhersteller und Dienstleister. Konkret befasst sich die Standardfamilie IEC 62443  mit der IT-Security sogenannter „Industrial Automation and Control Systems“ (IACS). Sie wurde ursprünglich als Norm für die Automatisierungstechnik in der Prozessindustrie entwickelt, deckt jedoch heute alle Industriebereiche von diskreter Fertigung bis hin zu verteilten Versorgungssystemen ab. Dabei berührt sie alle erforderlichen Themen von Schutz des Personals über technische Konfiguration bis zu Compliance (Konformität mit Gesetzen und Regeln).

Leider ist der Standard mit insgesamt fast 2000 Seiten – von denen man wohlgemerkt in der Regel nur einen Bruchteil braucht – und aufgrund des unterschiedlichen Status und Fertigstellungsgrads der Einzeldokumente zunächst nicht leicht zugänglich.

Die IEC 62443 bietet sich jedoch aus mehreren Gründen als Basis an, um ein eigenes maßgeschneidertes Security-Programm zu entwickeln:

Sie hat sich in den letzten Jahren zum eindeutig richtungsweisenden Standard für Industrial Security entwickelt, der alle wesentlichen Themen enthält und international anerkannt ist. Außerdem erfüllt sie die folgenden Kriterien:

  1. Kompatibilität zu internationalen IT-Security-Normen (ISO 27001/27002)
  2. Umfangreiches, konkretes Material (Maßnahmen)
  3. Adressiert alle Rollen, also Betreiber, Integrator, Komponentenhersteller und Dienstleister

Ob als Verantwortlicher für ICS-/Automation-Security, Ingenieur in der  Automatisierung, im Maschinen- und Anlagenbau, in der Industrial IT, Beauftragter für die IT-Sicherheit oder die Produktions-IT, ob Betriebler für Industrie und kritische Infrastrukturen oder Mitarbeiter bei einem Integrator oder Dienstleister, es lohnt sich, einen tiefen Blick in die IEC 62443 zu werfen, wenn es um den Aufbau des perfekt abgestimmten Security-Programms geht.

Never Walk Alone

Ein Rat dazu: Tun Sie dies nicht allein, ohne Anleitung! Der pure Umfang der Norm kann zunächst abschrecken. Und wenn man den verdaut hat, ist die Gefahr groß, sich in Dokumenten im Entwurfsstadium oder Kreuzbezügen zwischen verschiedenen Standardteilen zu verlieren. Das wäre schade! Denn die Inhalte der Norm lohnen sich sehr, systematisch kennengelernt zu werden. Da dem Standard selbst ein generischer roter Faden fehlt (bzw. dieser nicht leicht zu entdecken ist), tun Sie sich den Gefallen, und lassen Sie sich anleiten auf die erste Reise durch die IEC 62443! Mir selbst hätte vor einigen Jahren ein solches Angebot Monate des Suchens und Durchbeißens erspart. Nun gebe ich meine auf dem Weg gemachten Erfahrungen gerne weiter.

Die Schulung „Aufbau eines ICS-Security-Programms mit IEC 62443“ gibt einen Überblick über aktuelle Risiken, gesetzliche Anforderungen und geeignete Standards wie IEC 62443 und einige andere. Sie lernen deren Vor- und Nachteile kennen, um für ihr Unternehmen die richtige Wahl treffen sowie effizient mit der Umsetzungsplanung beginnen zu können. Auf diese Reise möchte ich Sie herzlich einladen!

Autor des Artikels

David Fuhr - Senior Consultant
Frank Rustemeyer- Director System Security
HiSolutions AG | Bouchéstraße 12 | 12435 Berlin