Kommunikations-Norm ISA/IEC 62443 - IT-Sicherheit für Kommunikationsnetze

| Autor/ Redakteur: Thomas Joos / Burkard Müller

Die Norm ISA/IEC 62443 bietet umfassende und damit auch sehr umfangreiche Anleitungen. Im Fokus steht die IT-Sicherheit für „Industrial Automation and Control Systems“. In diesem Beitrag geben wir einen Überblick.

Firmen zum Thema

Die Norm IEC 62443 bietet Industrie 4.0-Umgebungen Schutz für IT-Sicherheit und vor Cyberangriffen.
Die Norm IEC 62443 bietet Industrie 4.0-Umgebungen Schutz für IT-Sicherheit und vor Cyberangriffen.
(Bild: gemeinfrei / Unsplash)

Die Norm IEC 62443 stellt die zentrale Normreihe für Industrie 4.0-Umgebungen dar. Auch Industrieanlagen benötigen Schutz vor Cyberangriffen und Schutz bezüglich der IT-Sicherheit. Durch einen ganzheitlichen Ansatz muss sichergestellt werden, dass eine Produktionsanlage auf Schwachstellen hin überprüft wird, und diese behoben werden. Automatisierte Produktionsanlagen bringen viele Vorteile, sind aber auch anfällig gegen Angriffe auf die IT-Komponenten. Ohne eine Sicherheitsplanung besteht die Gefahr, dass durch den Angriff auf eine einzelne Komponente eine ganze Anlage kompromittiert wird. Das gilt es in modernen Unternehmen unbedingt zu verhindern.

ISA/IEC 62443 beschreibt Sicherheitsmaßnahmen für alle Komponenten

Industrial Automation and Control Systems (IACS) umschreibt den Betrieb einer automatisierten Produktionsanlage, mit allen Prozessen und Komponenten, die dazu gehören. Diese Komponenten spielen bei der Automatisierung von Produktionsanlagen eine wichtige Rolle.

Natürlich sind da auch die Anwendungen und Tools enthalten, die für den Produktionsbetrieb notwendig sind. Die Norm unterscheidet sich von ISO 27001, da im Fokus keine herkömmlichen Serverräume und die IT stehen, sondern Produktionsanlagen und deren Verknüpfung mit der IT. ISA/IEC ist gemeinhin auch als ISA-99 bekannt. Die Norm beschreibt dazu Sicherheitsmaßnahmen für alle Komponenten eines Systems, auch auf Basis der verschiedenen Ebenen eines Produktionsbetriebes. Dazu gehören zum Beispiel auch die Steuerungsgeräte, PCs, aber auch Netzwerkgeräte wie Switches und Firewalls.

Das macht die IEC

IEC-Normen wie IEC 62443 werden durch die International Electronic Commission veröffentlicht, die ihren Sitz in Genf hat. Diese ist für Normen in der Elektrotechnik zuständig. In der Kommission sitzen Mitarbeiter aus weit über 70 Ländern.

Umfassende Sicherheitsmaßnahmen für Produktion und Mitarbeiter

In der Norm werden nicht nur technische Maßnahmen beschrieben, sondern eine ganzheitliche Sichtweise der IT-Sicherheit für Produktionsanlagen. Auch das Verhalten und die Ausbildung der Mitarbeiter, die mit diesen Systemen arbeiten, umfasst die Norm. Während Geräte und die technische Umsetzung der IT-Sicherheit die „Security-Levels“ darstellen, behandelt die Norm den Status der Mitarbeiter bezüglich der Sicherheit als „Maturity-Level“. Dieses Level umfasst Richtlinien in der Organisation, an die sich Mitarbeiter halten müssen.

Automatisierte Produktionsanlagen vom Bau bis zur Inbetriebnahme

ISA/IEC 62443 richtet sich an Hersteller der Maschinen in Produktionsbetrieben, an die Unternehmen, die diese Technologie bei Kunden in Betrieb nehmen (Integratoren), und schlussendlich an den Betreiber solcher Anlagen. Jeder dieser drei Teilnehmer am Produktionsbetrieb muss auf unterschiedliche Maßnahmen achten und wird entsprechend in den Dokumenten auch so behandelt. Der Vorteil besteht darin, dass Sicherheitslücken weitgehend vermieden werden, da alle Bereiche in der Implementation von automatisierten Produktionsanlagen berücksichtigt werden.

Der Hersteller muss sein Produkt optimal und sicher entwickeln, den Vertrieb so durchführen, dass Kunden verstehen, wie sie das Produkt sicher betreiben können, und auch für die Pflege der Software und der Sicherheitskomponenten sorgen. Integratoren müssen das Produkt sicher im Netzwerk implementieren, und die Inbetriebsetzung so durchführen, dass diese sicher gewährleistet wird. Der Betreiber ist natürlich dafür verantwortlich, dass das Produkt dauerhaft sicher im Einsatz ist.

Aufbau von ISA/IEC 62443

IEC 62443 untergliedert sich in vier Abschnitte:

  • General (Abschnitt 1) - Allgemeine Themen um die Norm und deren Untergliederung, Fachbegriffe und die verschiedenen Modelle. Auch Sicherheitskonzepte werden hier behandelt. Der Abschnitt 1 ist als Einführung zu verstehen.
  • Policies and Procedures (Abschnitt 2) - Vorgaben für die Sicherheit der Steueranlagen. Der Abschnitt hat einen engen Bezug zur ISO-2700-Reihe. Die beiden Normen ergänzen sich gegenseitig. Hier wird auch behandelt, wie die IT-Sicherheit in der Produktion verwaltet werden kann. Im Fokus dieser Dokumente steht die Verbesserung der Sicherheit, in dem Risiken benannt und bewertet werden, inklusive der daraus resultierenden Vorgaben für Prozesse und der Hard- und Software. Vor allem die Integratoren müssen sich mit diesem Teil beschäftigen.
  • System (Abschnitt 3) - Sicherheitsfunktionen für Automatisierungssysteme und den dazu gehörenden Steuerungsgeräten. Hier wird behandelt, wie Prozesse und Prozessautomatisierung in der Fertigung abgesichert werden können. Der Abschnitt ist sehr technisch. Hier werden auch Anleitungen und Tipps gegen Angriffe auf die IT gegeben, zum Beispiel die Trennung von Systemen.
  • Components (Abschnitt 4) - Prozesse für die Entwicklung von Komponenten einer Automatisierungsumgebung. Davon sind zum Beispiel die Netzwerkkomponenten ein Bestandteil, aber auch die Anforderungen an die Sicherheit bei der Produktentwicklung, um zukünftige Angriffe zu verhindern.

Die vier Abschnitte des Aufbaus von ISA/ IEC 62443, grafisch dargestellt.
Die vier Abschnitte des Aufbaus von ISA/ IEC 62443, grafisch dargestellt.
(Bild: gemeinfrei / CC0)

Diese enthalten verschiedene Dokumente, die den Schwerpunkt auf den Abschnitt legen. Die Bezeichnung und Nummerierung der Dokumente wird wie folgt aufgebaut:

ISA-62443--

Das erste Dokument im ersten Abschnitt trägt also zum Beispiel die Bezeichnung „ISA-62443-1-1“. Die Norm wird derzeit noch ständig aktualisiert. Das bedeutet auch, dass die Dokumente noch nicht abschließend fertig gestellt sind und theoretisch auch noch Dokumente dazu kommen können.

Defense-in-depth-Prinzip

IEC 62443 will dabei helfen, dass durch das Aushebeln einer einzelnen Sicherheitsmaßnahme die komplette Produktionsanlage kompromittiert werden kann. Auch Störfälle sollen vermieden werden. Treten Störungen auf, dürfen diese nicht die ganze Anlage beeinträchtigen. Es muss verhindert werden, dass Störfälle oder Angriffe sich unkontrolliert ausbreiten. Durch ISA/IEC 62443 werden verschiedene Schutzebenen etabliert, welche die Sicherheit gewährleisten. Durch die Sicherheitsschichten ist garantiert, dass die Sicherheit weiterhin gewährleistet werden kann, wenn eine Schicht durchbrochen ist. Durch das Zwiebel-Modell wird garantiert, dass die nächste Schicht die Sicherheit gewährleistet.

Thomas Joos ist Buchautor und freier Fachjournalist.

Der Artikel ist ursprünglich auf unserem Partnerportal Industry of Things erschienen.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 45968117)