Suchen

IEC 62443 / ISA 99 Industrieanlagen vor Cyberangriffen schützen

| Autor / Redakteur: Dr. Pierre Kobes* / Reinhard Kluger

Industrieanlagen benötigen Cyber-Schutz. Dabei sind Schwachstellen in einem ganzheitlichen Ansatz zu überprüfen und in ein Defense-in-Depth-Konzept nach IEC 62443 zu überführen. Eine noch nicht verabschiedete Norm, die aber schon heute aktuell ist.

Firmen zum Thema

Für Netzwerksicherheit und Systemintegrität im industriellen Umfeld kann die Norm IEC 62443, auch bekannt als ISA-99 Orientierung bieten. Die Struktur der IEC 62443 ist in vier Abschnitte eingeteilt, die die jeweiligen Dokumente enthalten.
Für Netzwerksicherheit und Systemintegrität im industriellen Umfeld kann die Norm IEC 62443, auch bekannt als ISA-99 Orientierung bieten. Die Struktur der IEC 62443 ist in vier Abschnitte eingeteilt, die die jeweiligen Dokumente enthalten.
(Bild: Siemens )

Cyber-Bedrohung und zunehmende Vernetzung industrieller Wertschöpfung – Industrieanlagen benötigen umfassenden Schutz. Die Abläufe im Produktlebenszyklus sind in einem ganzheitlichen Ansatz auf Schwachstellen zu überprüfen und in ein Defense-in-Depth-Konzept nach IEC 62443 einzubetten, das die IT-Sicherheit der Anlage, die Netzwerksicherheit und die Systemintegrität nach Stand der Technik gewährleistet.

Eine Norm, wie die IEC 62443, bietet hier Orientierung. Denn im industriellen Umfeld konsolidieren sich verschiedene nationale Initiativen mehr und mehr in der Norm IEC 62443, auch bekannt als ISA-99. Sie adressiert die spezifischen Belange der IT-Sicherheit industrieller Anlagen. Obwohl die Definition der Norm in ihrer Gesamtheit noch nicht abgeschlossen ist, wächst ihre Akzeptanz in den relevanten Bereichen der Industrie.

Die Fabrik sicher betreiben

Die Rollen der IEC 62443.
Die Rollen der IEC 62443.
( Siemens )

Die Norm IEC 62443 befasst sich mit der IT-Sicherheit sogenannter „Industrial Automation and Control Systems“ (IACS). Der Begriff IACS umfasst alle Bestandteile, die für den zuverlässigen und sicheren Betrieb einer automatisierten Produktionsanlage erforderlich sind. Das sind auf der einen Seite vernetzte Komponenten einer Automatisierungslösung, wie z. B. Steuerungen, Firewalls, Gateways, Switches, SCADA-Systeme oder PC-basierte Stationen. Der zweite Aspekt eines IACS schließt aber auch die organisatorischen Prozesse für einen sicheren Betrieb der Produktionsanlage ein. Dazu gehören Prozesse, die den Umgang und die Bedienung der Automatisierungslösung spezifizieren, interne Verantwortungsketten und Eskalationsprozesse, ebenso Schulungen für den sicheren Betrieb.

Der Anwendungsbereich der Norm deckt sowohl die Prozessindustrie als auch die diskrete Fertigung ab, dazu Gebäudeautomation, verteilte Versorgungssysteme für Strom, Öl oder Wasser, Pipelines und die Öl- und Gas-Produktion. Auch andere Industrien, die automatisierte oder ferngesteuerte Einrichtungen wie beispielsweise Transportnetzwerke verwenden, fallen in den Anwendungsbereich der IEC 62443.

So sind Hersteller, Integrator und Betreiber gefordert

Grundlegend für das Verständnis der Norm IEC 62443 sind die drei Basisrollen beim Schutz von Anlagen gegen Cyberangriffe: der Hersteller, der Integrator und der Betreiber.

Der Hersteller ist verantwortlich für Entwicklung, Vertrieb und Pflege der Einrichtungen, die in der Automatisierungslösung eingesetzt werden. Der Integrator verantwortet das Design und die Inbetriebsetzung der Automatisierungslösung. Der Betreiber ist verantwortlich für den Betrieb und die Wartung der Automatisierungslösung und ihren Abbau am Ende des Lebenszyklus der Anlage. Diese Rollen können Dritte übernehmen, so wird z. B. die Wartung der Anlage oft von einem externen Dienstleister durchgeführt, obwohl sie vom Rollenkonzept der Norm her in der Verantwortung des Betreibers liegt.

Für Netzwerksicherheit und Systemintegrität im industriellen Umfeld kann die Norm IEC 62443, auch bekannt als ISA-99 Orientierung bieten. Die Struktur der IEC 62443 ist in vier Abschnitte eingeteilt, die die jeweiligen Dokumente enthalten.
Für Netzwerksicherheit und Systemintegrität im industriellen Umfeld kann die Norm IEC 62443, auch bekannt als ISA-99 Orientierung bieten. Die Struktur der IEC 62443 ist in vier Abschnitte eingeteilt, die die jeweiligen Dokumente enthalten.
(Bild: Siemens )

Die Randbedingungen berücksichtigen

Unabhängig vom betrachteten Projekt sind die Entwicklung und die Herstellung der Komponenten einer Automatisierungslösung. Sie kommen in aller Regel in einer ganzen Gruppe von Anwendungen zum Einsatz; zum Beispiel sind Steuerungen eines bestimmten Typs die Basis mehrerer ganz unterschiedlicher Automatisierungslösungen verschiedener Betreiber – von Werkzeugmaschinen bis hin zu sehr komplexen Systemen z. B. der Öl- und Gas-Industrie. Die Aktivitäten des Integrators und des Betreibers sind dagegen immer in Bezug auf die Umgebung und die Randbedingungen eines Automatisierungsprojekts zu sehen.

Die Norm IEC 62443 hat vier Abschnitte, die jeweils mehrere Dokumente enthalten. Der erste Abschnitt beschreibt allgemeine Konzepte, Terminologien und Methoden.

Der zweite Abschnitt spezifiziert organisatorische Maßnahmen. Er ist vorwiegend für Organisationen relevant, die Betrieb und Wartung der Automatisierungslösung verantworten und für die Integration der Produkte in Automatisierungslösungen zuständig sind. Abschnitt zwei enthält auch Empfehlungen für das Patch Management.

Aktuelle Schutztechniken

Dr. Pierre Kobes, Siemens: „Die Herausforderungen der Vision Cyberphysische Produktionssysysteme (CPPS) sind nur mit ganzheitlichen Konzepten zu bewältigen.“
Dr. Pierre Kobes, Siemens: „Die Herausforderungen der Vision Cyberphysische Produktionssysysteme (CPPS) sind nur mit ganzheitlichen Konzepten zu bewältigen.“
( Siemens )

Der Abschnitt drei ist vorwiegend technischer Natur. Auf der einen Seite werden für Hersteller von Automatisierungs- und Leitsystemen die funktionalen Anforderungen der Norm aus Sicht der IT-Sicherheit genannt. Ein Dokument dieses Abschnitts beschreibt die Methoden und Mittel, um eine Systemarchitektur in Zellen und Kommunikationskanälen zu strukturieren, sog. „Zones“ und „Conduits“. Dieser Abschnitt enthält auch einen technischen Bericht über aktuelle Schutztechniken gegen Cyberangriffe.

Der vierte Abschnitt betrifft die Lieferanten von Leitsystemkomponenten. Hier sind z. B. die funktionalen Anforderungen an Steuerungen oder Netzwerkkomponenten spezifiziert. Ein weiteres Dokument dieses Abschnitts behandelt Security-Anforderungen zur Produktentwicklung, damit zukünftige Komponenten von vornherein robust sind gegen Cyber-Bedrohungen.

Noch nicht verabschiedet, aber doch anwendbar

Obwohl die Norm in ihrer Gesamtheit noch nicht verabschiedet ist, kann sie schon heute angewendet werden. Die Inhalte der wesentlichen Dokumente sind ausreichend stabil, um für den Schutz der industriellen Anlagen genutzt zu werden:

  • IEC 63443-3-3, System Security Requirements and Security Levels. Spezifiziert die funktionalen Anforderungen an die Leitsysteme. Das Dokument wurde in 2013 als internationale Norm veröffentlicht.
  • IEC 62443-2-4, Requirements for IACS solution suppliers. Spezifiziert die organisatorischen Anforderungen an die Prozesse des Integrators und an die Wartungsprozesse. Die Veröffentlichung als internationale Norm ist für die erste Hälfte 2015 geplant.
  • IEC 62443-2-1, Requirements for an IACS security management system. Spezifiziert die organisatorischen Maßnahmen des Betreibers. Das aktuelle Dokument ist ein Profil der Norm ISO 27001 / 27002, die weitgehend im Office-Bereich angewendet wird. Die Veröffentlichung wird für 2015 erwartet.

* Dr. Pierre Kobes ist Product und Solution Officer, Standards and Regulations bei Siemens.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 43214753)