IEC 62443: Sicherheit für industrielle Automatisierungs- und Steuerungssysteme
Mexiko
Die Plattform Industrie 4.0 beschreibt Industrie 4.0 als "die intelligente Vernetzung von Maschinen und Abläufen in der Industrie mit Hilfe von Informations- und Kommunikationstechnologie". Sie steigert die digitalen Fähigkeiten in den Fertigungsprozessen der globalen Wertschöpfungsketten. Je stärker Wertschöpfungsketten, Fabriken und Verbraucher*innen miteinander vernetzt sind, desto größer sind die Risiken von Cyber-Angriffen. Insbesondere, wenn Informationstechnologie (IT) und Betriebstechnologie (OT) integriert werden. Dann sind Maßnahmen für die Cybersicherheit definitiv notwendig.
Vor diesem Hintergrund wird es für das verarbeitende Gewerbe immer wichtiger, in Wertschöpfungsketten einen vollständig integrierten strategischen Ansatz für Cybersicherheit zu entwickeln. Cybersicherheit soll ein integraler Bestandteil jeder neuen Industrie 4.0-Initiative sein. International harmonisierte Normen sind ein wichtiges Mittel, um Sicherheit entlang der Wertschöpfungsketten zu erreichen. Das betrifft insbesondere für IEC 62443: Sicherheit für industrielle Automatisierungs- und Steuerungssysteme zu.
Das GPQI organisierte am 14. Oktober einen Workshop zur Norm IEC 62443. Bis zu 65 Personen nahmen teil. Das Ziel: das Verständnis für die Bedeutung der Cybersicherheit für die Industrie und für die IEC 62443 zu erhöhen. Dr. Kai Wollenweber, Chief Technology Office von Siemens Digital Industries, leitete den Workshop. Matthias Gommel, regionaler Manager für Technische Vorschriften und Normung der Siemens AG, und Ricardo Ibáñez, Product and Solution Security Officer, Siemens Mexiko leisteten wichtige Inputs.
IEC 62443: Cybersecurity als gemeinsame Verantwortung
IEC 62443 definiert Anforderungen und Prozesse für die sichere Implementierung und Wartung von industriellen Automatisierungs- und Steuerungssystemen (IACS). Die darin zusammengefassten Normen bündeln bewährte Verfahren zur Erhöhung der Cybersicherheit. Sie bieten außerdem Referenzen zur Bewertung des Sicherheitsniveaus.
Eines der Kernprinzipien der IEC 62443 ist das Konzept der gemeinsamen Verantwortung als entscheidendes Element der Cybersicherheit in der Automatisierung. Um nachhaltige und widerstandsfähige Systeme aufzubauen, ist es entscheidend, nicht nur die Technologie und die Prozesse, sondern auch die Menschen zu berücksichtigen. Dr. Wollenweber erklärte, dass für die Umsetzung von Cybersicherheit zunächst immer ein Top-Down-Ansatz erforderlich sei. Denn es sei wichtig, die sensiblen Informationen und Prozesse zu definieren, die geschützt werden müssen.
Dann müssen die wichtigsten Stakeholder versammelt werden, um die Sicherheit, Integrität, Zuverlässigkeit und Sicherung von Kontrollsystemen zu gewährleisten. In den Normen werden entsprechend Anforderungen für die wichtigsten Stakeholder festgelegt, die an der Cybersicherheit von Steuerungssystemen beteiligt sind.
Wichtige Akteure des IACS sind:
1. Der Product Supplier ist unabhängig vom IACS. Er/sie entwickelt Komponenten und stellt Systeme und Maschinen zur Verfügung. Diese generischen Komponenten sind oft unabhängig von der endgültigen Umgebung, in der sie eingesetzt werden sollen.
2. Der Integration Service Provider ist für automatisierte Prozesse verantwortlich und validiert, entwirft und implementiert diese. Sie bestehen aus verschiedenen Funktionen, Komponenten und Systemen. Sie werden nach den Vorstellungen eines sogenannten Asset Owner integriert:
3. Der Asset Owner verantwortet das gesamte IACS: den Betrieb und die routinemäßige Wartung gemäß den Sicherheitsrichtlinien und -verfahren.
4. Der Maintenance Service Provider kümmert sich um die Wartung der Systeme im Auftrag des Anlagenbesitzers.
IEC 62443 bietet eine Anleitungen zu den verschiedenen Bereichen. Sie hilft den Anwender*innen mit der Definition von einheitlichen Begriffen und Modellen, die alle für die Cybersicherheit von Steuerungssystemen nutzen können. Die Norm unterstützt den Eigentümer*innen von Anlagen auch bei der Bestimmung des Sicherheitsniveaus. Das ist erforderlich, um anschließend spezifische betriebliche Anforderungen erfassen und Risiken zu minimieren (IEC 62443-3-2). In diesem Sinne führt die IEC 62443 Rankings von Prozessen ein. Sie definiert auch Risikobewertungsprozesse, die für den Schutz von Kontrollsystemen unerlässlich sind.
Diese Normenreihe legt einen abgestimmte Basis von Anforderungen und eine Methodik für den Cybersicherheitszyklus für Produktentwickler*innen fest (IEC 62443-4-1). Diese Methodik beinhaltet einen Zertifizierungsmechanismus für Produkte und Entwicklungsprozesse von Lieferant*innen. Sie stellt sicher, dass ein Produkt oder eine Komponente in allen Phasen sicher ist.
Nachweis der Konformitätsbewertung
Wie wird jedoch die Konformität zu IEC 62443 nachgewiesen? Derzeit wird die IEC 62443-6-2: Security Evaluation Methodology for IEC 62443-4-2 entwickelt. Komponenten und ihre Sicherheitsanforderungen müssen gemäß IEC 62443-4-1 aufgebaut und unterstützt werden. Mit IEC 62443-4-2 soll dann korrekte Umsetzung der Anforderungen verifiziert werden. Der Evaluierungsprozess umfasst:
1. Bewertung des Sicherheitskontextes
2. Evaluierung der Auswahl der Sicherheitsanforderungen
3. Bewertung der Entwurfsdokumentation
4. Bewertung der Dokumentation
5. Bewertung der Anforderungen an die Komponenten
6. Bewertung der Sicherheitstests
Cybersecurity und internationale Zusammenarbeit
Die Gewährleistung der Cybersicherheit ist ein zentrales Anliegen der Industrie, da Cyberangriffe auf IT- und OT-Systeme abzielen. Bereits heute unterstützen vernetzte Technologien kritische Geschäftsprozesse. Diese Prozesse werden in Zukunft voraussichtlich zunehmen. Deshalb nutzen viele Branchen zunehmend die IEC 62443-Reihe für Cyberschutz, Risikominderung und Widerstandsfähigkeit und auch andere Normen. Zum Beispiel ISO/IEC 27001:2022 Informationssicherheit, Cybersicherheit und Schutz der Privatsphäre. Cybersicherheit ist ein wesentlicher Bestandteil in der Entwicklung der Digitalisierung. Qualitätsinfrastruktur ebnet den Weg dafür in Zusammenarbeit mit Unternehmen, Organisationen und Regierungen.
Wenn Sie sich am Deutsch-Mexikanischen Dialog zur Qualitätsinfrastruktur beteiligen möchten, kontaktieren Sie uns.