Interview: "IEC 62443: Sicherheit für industrielle Automatisierungs- und Steuerungssysteme" in Mexiko
Mexiko
Seit 2019 beschäftigt sich das GPQI mit Cybersicherheit im Kontext von Digitalisierung und Industrie 4.0. Der Fokus liegt auf wichtigen internationalen Normen wie ISO/IEC 27001 und IEC 62443. Damit sollen international harmonisierte Normen für die Cyber- und Informationssicherheit gefördert werden. Das erhöht die Sicherheit entlang globaler Wertschöpfungsketten.
Im Dezember 2021 veröffentlichte die Konformitätsbewertungs- und Normungsstelle NYCE die mexikanische Norm NMX-I-62443-4-1-NYCE-2021. Sie ist international harmonisiert mit der Norm "IEC 62443-4-1:2018: IT-Sicherheit für industrielle Automatisierungssysteme - Teil 4-1: Anforderungen an den Lebenszyklus für eine sichere Produktentwicklung". Dazu führten wir ein Interview mit Pablo Corona Fraga, Global Sales Director bei NYCE und führender Experte der technischen Gruppe für Cybersicherheit im Rahmen des bilateralen Dialogs.
Warum ist Cybersicherheit für die Digitalisierung und Industrie 4.0 wichtig?
Pablo Corona: Die meisten menschlichen Aktivitäten sind heute mit Informationssystemen und Telekommunikationstechnologien verbunden. Sie sind mit der digitalen Welt verbunden, haben also einen Einfluss auf die physische Welt, der weit über die Ebene der "Bits und Bytes" hinausgeht.
Fast jedes Element, das gesteuert werden kann, ist mit einem Automatisierungs- und Steuerungssystem verbunden. Deshalb ist es wichtig, über Sicherheit zu sprechen, weil das sogenannte Internet of Things (IoT) eine größere Vernetzung mit sich bringt - zum Beispiel zwischen industriellen Steuergeräten.
Die Herausforderung liegt darin, dass die meisten dieser Geräte ursprünglich nicht für den Anschluss an das Internet entwickelt wurden, etwa Kontrollsysteme, wie Industrial Automation and Control System (IACS). Sie verwenden gemeinsame lokale Kommunikationsprotokolle namens TCP/IP, um die interne Kommunikation zu ermöglichen. Mit diesen eigenen kompatiblen Kommunikationsmechanismen isolierten sie sich von anderen Netzen und verhindern damit verschiedene Arten von Angriffen.
Diese Isolierung erwies sich jedoch als Nachteil, als die Geräte mit öffentlichen Internetnetzen verbunden werden mussten. Es brauchte Mechanismen, die trotz Öffnung zum Internet funktionieren. Damit wird die Fernsteuerung und -überwachung von jedem Ort der Welt erleichtert und gleichzeitig die Sicherheit und Vertraulichkeit der Prozesse und Dienste gewährleistet.
Wie entstand die Norm IEC 62443 im internationalen Kontext?
Pablo Corona: Standards sind zunächst ‚De-facto-Normen‘, bevor sie zu ‚formalen Normen‘ werden. De-facto-Normen für die sichere Übertragung von Nachrichten, die Benutzerauthentifizierung, die sichere Speicherung, die Validierung von Transaktionen und andere damit zusammenhängende Elemente gab es bereits.
Für die Norm IEC 62443 wurden verschiedene Lösungen aufeinander abgestimmt. Sie ist eine vielschichtige Norm, die vier Ebenen abdeckt: (1) Allgemeines, (2) Richtlinien und Verfahren, (3) Systeme und (4) Komponenten. Jede dieser Ebenen besteht aus Teilkomponenten, die wiederum durch Verweise ergänzt werden, um weitere Elemente abzusichern.
Einer der Verweise in Teil 4-1 bezieht sich auf das Open Web Application Security Project (OWASP). Dieses offene Projekt ist für Expert*innen weltweit zugänglich und erleichtert die Einrichtung sicherer Webanwendungen. Dies unterstützt industrielle Kontroll- und Kommunikationsmechanismen. Die OWASP-Methoden basieren auf den Lebenszyklen der Softwareentwicklung und berücksichtigen die gesamte Lieferkette, zum Beispiel Programmiersprachen oder Datenbanken und deren Schwachstellen.
Eine weitere berücksichtigte Norm ist "ISO/IEC 15408: Common Criteria". Sie legt jene Merkmale der Cyber- und Informationssicherheit fest, die Komponenten für kritische Prozesse beinhalten müssen. Insgesamt wurden verschiedene Bestandteile angepasst, um bewährte Verfahren festzuhalten und damit Fehler zu reduzieren.
Warum war es wichtig, die IEC 62443 als nationale Norm zu übernehmen?
Pablo Corona: Daraus ergeben sich viele Vorteile. Erstens sorgt die Übersetzung der Norm ins Spanische für eine bessere Verfügbarkeit. Mit einer nationalen Norm werden Sprachbarrieren überwunden und deren Inhalte in den lokalen Kontext übersetzt.
Zweitens erhöht sich die rechtliche Wirksamkeit. Eine lokale Norm hat Vorrang vor einer internationalen Norm. Das schafft politische Sicherheit.
Drittens trägt es dazu bei, dass Institutionen die Umsetzung der Norm objektiv bewerten können. Diese Arbeit wird zum Beispiel auch von NYCE durchgeführt.
Welche Rolle spielte das NYCE bei der Entwicklung und Anpassung von IEC 62443?
Pablo Corona: Das NYCE beteiligt sich an der nationalen und internationalen Normung. International ist das NYCE Mexiko in verschiedenen Arbeitsgruppen in internationalen Foren vertreten. Die Normungsaktivitäten auf internationaler Ebene, in der Internationalen Elektrotechnischen Kommission (International Electrotechnical Commission - IEC) und der Internationalen Organisation für Normung (International Organisation for Standardization - ISO) werden von den nationalen Normenausschüssen - sogenannten Spiegelgremien - begleitet. Durch NYCE können Expert*innen aus der Industrie, der Wissenschaft, der Regierung und anderen relevanten Gremien an der internationalen Normung teilnehmen.
Damit die IEC 62443-4-1:2018 als nationale Norm übernommen werden konnte, haben wir sie ins Spanische übersetzt. Die Begriffe und Konzepte wurden entsprechend den lokalen Gesetzen angepasst, um Widersprüche zu vermeiden. Auf diese Weise konnte sie als nationale Norm mit Rechtsgültigkeit veröffentlicht werden.
Inhaltlich ist die mexikanische Norm umfassend und vollständig harmonisiert. Das bedeutet, dass nichts von der internationalen Norm ausgelassen wird. Sie soll überall auf der Welt zur Sicherheit beitragen, so dass sie unabhängig von der vorhandenen Infrastruktur oder Technologie leicht angewendet werden kann.
Als Mitglied der Arbeitsgruppe Cybersicherheit des deutsch-mexikanischen Dialogs zur Qualitätsinfrastruktur: Wie bewerten Sie die Zusammenarbeit in diesem Bereich?
Pablo Corona: Wir erhoffen uns eine hohe Wirksamkeit. Dazu gehören unter anderem die verstärkte Kooperation und der Wissensaustausch im Bereich der Cybersicherheit.
Die Normen werden in einer Sprache verbreitet, die für die verschiedenen Interessengruppen und Entscheidungsträger*innen verständlich ist. Es ist wichtig, dass sie die Bedeutung der Cybersicherheit und ihrer Umsetzung erkennen. Wissen zu schaffen, ist hier zentral. So können die Stakeholder bestmöglich unterstützt werden.
Ein wichtiger Aspekt ist auch der direkte Bezug zur Politik, um bewährte Praktiken einzubringen und die Einhaltung von Normen durchzusetzen. Auch dies trägt zur Sicherheit bei und wirkt sich letztlich positiv auf die Zivilgesellschaft aus.
Vielen Dank an Pablo Corona für dieses Interview!
Steckbrief
Pablo Corona Fraga ist Global Sales Director bei NYCE. Er ist stellvertretender Koordinator der ISO-Arbeitsgruppe, die die Normenreihe 27001 auf internationaler Ebene entwickelt. Außerdem ist er Direktor für Cybersicherheit beim Internetverband MX (Asociación de Internet MX) und Autor des Buches ‚Practical guide for risk management in the cybersecurity era‘. Er ist leitender Prüfer für Informationssicherheitsdienste und Business Continuity Management System, IT Governance und Risikomanagement.