Firmen im Artikel
elektro AUTOMATION: Die IEC62443 liefert Vorgaben und Empfehlungen für den Aufbau und den Betrieb industrieller Systeme und Kommunikationsnetze. Die IEC27001 berücksichtigt darüber hinaus alle Aktivitäten eines Unternehmens einschließlich der Produktentwicklung. Welche Zielsetzungen haben diese Normen?
Frank Eberle (Pilz): In der IEC62443 steckt eine Menge Arbeit. Der Austausch zwischen den Experten bei der Ausarbeitung war sehr wertvoll und das Ergebnis bietet konkrete Hilfestellung. So ist je nach Zielgruppe genau beschrieben, wer (bspw. ein Hersteller oder ein Entwickler) sich an welche Anforderungen halten muss. Dort sind auch technische Anforderungen an Systeme und Komponenten beschrieben. Das ist ein Unterschied zur ISO27000, die keine konkrete Hilfestellung bietet. Vielmehr geht es bei der 27001 um ein Management-System bezüglich Informationssicherheit.
Dr.-Ing. Lutz Jänicke (Phoenix Contact): Die ISO27001 zielt auf die Sicherheit des Gesamtunternehmens ab, die IEC62443 beschränkt sich auf den Bereich der OT innerhalb eines Unternehmens. Insofern erweitert die IEC62443, hier der Teil -2-1 in der vor der Veröffentlichung stehenden zweiten Ausgabe, die ISO27001 mit detaillierten Ergänzungen. Allerdings fokussiert sich die ISO27001 auf Anforderungen an die Informationssicherheit im Unternehmen, während die IEC62443 auch Anforderungen an sichere Automatisierungssysteme und sichere Komponenten enthält.
Dennis Ritter (Endress+Hauser): Wenn es um Cybersicherheit im industriellen Kontext geht, legen wir die Normen ISO27001 und IEC 62443 zu Grunde. Die ISO27001 regelt ein grundsätzliches ‚Information Security Management System‘ (ISMS) und den Umgang mit Informationssicherheitsrisiken. Die IEC62443 definiert technische als auch prozessuale Aspekte der industriellen Sicherheit und damit der Produktentwicklung. Bei der ISO27001 stehen also die organisations- und ablaufbezogenen Aspekte der IT-Sicherheit im Vordergrund, während sich die IEC62433 auf den Schutz industrieller Automatisierungssysteme und damit auf den Bereich der Operational Technology (OT) und Produktentwicklung fokussiert. Da die Bereiche IT, OT und Produktenwicklung immer mehr zusammenwachsen, sind beide Normen wichtige Bausteine, um ein adäquates Sicherheitsniveau zu erreichen.
Wolfgang Stadler (Sick): Die IEC62443 soll die systematische Verankerung des Grundsatzes ‚Security by Design‘ und ‚risikobasierte Security-Entscheidungen‘ gewährleisten, um so in Automatisierungsanlagen eine mehrschichtige Verteidigungsstrategie gegenüber Cyberangriffen zu unterstützen. In Puncto Informationssicherheit einer Organisation sind zwei Betrachtungsweisen wichtig: Security der Informationstechnischen Systeme (IT) und Security der produzierenden Infrastruktur (OT – operational technology). Diese finden sich in den Normen ISO27001 und IEC62443 wieder und ergänzen sich zu einem ganzheitlichen Sicherheitsmanagementsystem.
Klaus-Dieter Walter (SSV): Die IEC27001 bezieht sich auf die Cybersicherheit der gesamten Informationstechnologie einer Organisation. Sie existiert seit fast 20 Jahren und hat inzwischen einen beachtlichen Umfang angenommen. Angewendet wird sie überwiegend in größeren Organisationen, die über eine IT-Abteilung mit entsprechenden Ressourcen verfügen. Für die Betreiber einer kritischen Infrastruktur, also beispielsweise im Bereich der Energieversorgung, ist in Deutschland durch die KRITIS-Bestimmungen eine IEC27001-Zertifizierung sogar verpflichtend. Das IEC27001-Ziel ist die gesamtheitliche Sicherheit. Einzelne IT-Produkte spielen praktisch keine Rolle. Die IEC62443 ist auf die Automatisierungstechnik fokussiert, also auf einen Teilaspekt. Sie umfasst allerdings auch Produkte, wie eine SPS, plus die Entwicklungsprozesse des SPS-Herstellers. Hier ist auf jeden Fall auch ‚Security by Design‘ als Ziel erkennbar.
elektro AUTOMATION: Wie lassen sich beispielsweise eine sichere Implementierung von Software, Security-Updates sowie die Dokumentation über den Lebenszyklus einer Anlage organisieren? Empfohlen wird dazu unter anderem ein Security-Management-System. Was kann ein solches System leisten?
Eberle: Bei der Entwicklung von Produkten (egal ob Maschine oder Komponente) müssen bestimmte Aktivitäten berücksichtigt und durchgeführt werden. Über ein Management-System bzw. geeigneten Prozess kann sichergestellt werden, dass nichts vergessen wird. Dazu wird in der IEC62443-4-1 der Ansatz ‚Security By Design‘ aufgegriffen. Er besagt, dass bereits in der Entwurfsphase die Security-Eigenschaften eines Systems systematisch betrachtet werden. Es wird also nicht dem Zufall bzw. den Einschätzungen einzelner Entwickler überlassen, ob und in welchem Umfang Security-Funktionen in einem System implementiert werden. Stattdessen wird durch eine Modellierung der Bedrohungen (Threat Modelling) ermittelt, welchen Bedrohungen ein System ausgesetzt ist. Daraus lassen sich gezielt Maßnahmen ableiten, um das Security-Risiko zu minimieren.
Jänicke: Im Security-Management-System werden die Prozesse beschrieben, nach denen die Entwicklung und Integration respektive der Betrieb in den entsprechenden Unternehmensbereichen sicher gestaltet werden. Diese Prozesse sind die Basis für die notwendige Qualität, da jeder Fehler zu Sicherheitsproblemen führen kann.
Ritter: Ein Security-Management-System, wie es beispielsweise die ISO27001 fordert, ermöglicht ein strukturiertes und vor allem risikoorientiertes Vorgehen. Grundsätzlich ist es notwendig, Systeme und Anlagen auf dem aktuellen Softwarestand zu halten. Hierzu ist ein sicheres Patch- und Schwachstellenmanagement über die Wertschöpfungskette vom Hersteller bis zum Betreiber unabdingbar. Gemäß der IEC62443 wird für den Produktentwicklungsprozess ein Update-Management gefordert. Die Informationen über Schwachstellen und darüber, wie diese geschlossen werden können, sind jedoch nur dann wirksam, wenn sie auch den Nutzer erreichen. Deshalb haben wir uns als Gründungsmitglied dem CERT@VDE angeschlossen, um in einer größeren Gemeinschaft den wachsenden gesetzlichen Anforderungen gerecht zu werden und die Betreiber entsprechend zu informieren. Darüber hinaus verfügen wir über ein sogenanntes PSIRT (Product Security Incident Response Team), welches als Anlaufstelle für Security Researcher und unsere Kunden dient und zudem den Prozess von der Erkennung bis hin zur Schließung einer Schwachstelle unterstützt. Da eine zeitnahe Schließung der Schwachstellen nicht in allen Bereichen, insbesondere in der operationalen Technologie mit ihren teilweisen sehr langen Lebenszyklen, möglich ist, sind oftmals weitere risikominimierende Maßnahmen notwendig. Ein entsprechendes Managementsystem unterstützt dabei, die richtigen Maßnahmen zu identifizieren.
Stadler: Ein Security-Management-System unterstützt die genannten Themen durch eine strukturierte Vorgehensweise. Für Wartungsarbeiten und Updates stellt ein Security-Management-System unter anderem Vorgehensweisen zur Risikobewertung bereit, sowie Hinweise zur Durchführung und Anforderungen an die Dokumentation. Oder einfacher gesagt: ein Security-Management-System hilft, nichts Wichtiges zu vergessen.
Walter: Entscheidend ist, dass die Voraussetzungen zur Cybersicherheit bereits beim Anlagenbau bzw. bei der Entwicklung der einzelnen Komponenten entsprechend berücksichtigt wurden. Sie können eine Anlage nicht nachträglich wirkungsvoll gegen Cyberangriffe absichern. Hier gilt immer noch die simple Erkenntnis, dass sich die Security nicht nachträglich dranschrauben lässt. Der Aufbau eines effektiven Security-Management-Systems kann aus meiner Sicht daher nur dann einen echten Mehrwert liefern, wenn eine Gefahrenanalyse für alle Komponenten existiert und diese zumindest die elementaren Security-Voraussetzungen erfüllen. Für Anlagen mit einer SPS, die z. B. einen HTTP-basierten Webserver hat, per Modbus-TCP im LAN kommuniziert und weder SSL noch TLS unterstützt, bringt das Security-Management-System so gut wie nichts.
elektro AUTOMATION: Die Norm IEC62443 beschreibt prozessuale und technische Voraussetzungen für die Security. Wie lassen sich diese im Rahmen einer Zertifizierung etwa analog zu den Prozessen zur Maschinenrichtlinie erfassen, evtl. mit der Einführung von Security Level? Wer ist berechtigt, die Zertifikate zu den genannten Normen auszustellen?
Eberle: Im Rahmen einer Zertifizierung kann geprüft werden, ob beispielsweise eine Komponente die Anforderungen der 62443-4-2 und 62443-4-1 erfüllt. Für die ‚secure‘ Produktentwicklung beschreibt die untergeordnete Norm IEC62443-4-1 Anforderungen an einen sogenannten ‚Security Development Lifecycle Prozess‘ (SDL-Prozess). Er soll sicherstellen, dass Schwachstellen während des gesamten Lebenszyklus von System und Einzelkomponenten erkannt und ausgeschlossen werden. Dafür fordert der Prozess beispielsweise auch, dass Entwickler entsprechend qualifiziert und geschult sind, dass die Security-Anforderungen bis hin zur Implementierung nachvollziehbar sind und, dass alle notwendigen Security-Tests durchgeführt werden. Solche Zertifizierungen werden beispielsweise von TÜV Süd (www.tuvsud.com) angeboten. Durch die Zertifizierung kann ein Kunde erkennen, dass der Hersteller zumindest ein Mindestmaß an Security-Anforderungen erfüllt und Qualitätsstandards bei der Entwicklung einhält.
Jänicke: Jedes Unternehmen muss selbst für die Sicherheitsqualität der Prozesse und technischen Lösungen sorgen. Die Zertifizierung durch eine unabhängige Stelle bestätigt diese vorhandene Qualität und belegt dies zum Beispiel gegenüber Geschäftspartnern. Dabei greift der Zertifizierer, dessen eigene Qualifikation zum Beispiel durch Akkreditierung bei der DAkkS nachgewiesen wird, auf die Dokumente des Unternehmens zurück und prüft die Umsetzung nach.
Ritter: Im Bereich der Sicherheit von Produktionsstätten wurden im Rahmen der IEC62443 Security Level (SL) vordefiniert. Die Security Level von 1 bis 4 beschreiben hierbei die Maturität bzw. verfügbaren Ressourcen eines Angreifers. Je höher das SL, desto höher sind die Kompetenzen und Ressourcen der identifizierten Angreifer. Die ML wiederum bilden den Vollständigkeitsgrad der Umsetzung der IEC62433 Anforderungen ab. Ist das Level niedrig, werden die Anforderungen der Norm beispielsweise nur unstrukturiert bzw. unvollständig umgesetzt, während bei einem hohen Level alle Prozesse und Produkten vollständig gemäß den Anforderungen der IEC62443 entwickelt, produziert und betrieben werden. Dieser Ansatz erlaubt es dem Produkthersteller, Anlagenbauer und dem Betreiber sich auf eine gemeinsame Sprache und damit auf ein verständliches Mindestmaß an Anforderungen zu verständigen. Nur staatlich akkreditierte Zertifizierungsstellen sind berechtigt, die Zertifikate auszustellen, was das Vertrauen in die Zertifizierungen fördert.
Walter: Ich möchte hierzu zunächst einmal anmerken, dass wir es bei der Maschinenrichtlinie und der IEC62443 mit einem völlig unterschiedlichen Gefahrenkontext zu tun haben. In Bezug auf die Unfallverhütung kann man wohl davon ausgehen, dass hier niemand das Ziel verfolgt, möglichst viele schwere Unfälle zu erzeugen. Ansonsten halte ich die Gefahrenlage insgesamt für relativ statisch. In der Welt der Cybersecurity ist das völlig anders. Zum einen haben wir es bei den Bedrohungen mit einem äußert dynamischen Umfeld zu tun, in dem sogar Akteure mit militärischen Fähigkeiten aktiv sind, um durch aufwendig vorbereitete Angriffe größtmöglichen Schaden anzurichten. Insofern halte ich die Zertifizierungsberechtigung für nebensächlich. Entscheidend sind aus meiner Sicht Partner mit einschlägiger Praxiserfahrung.
elektro AUTOMATION: Bieten bzw. unterstützen Sie im Unternehmen die Zertifizierung gemäß IEC62443 bzw. IEC27001 evtl. als Dienstleistung? Ist Ihr Unternehmen bereits zertifiziert bzw. streben die Zertifizierung an?
Eberle: TÜV Süd (www.tuvsud.com) hat die Entwicklungsprozesse von Pilz nach IEC62443-4-1 geprüft. Das Ergebnis: Pilz erfüllt die Anforderungen der Norm, betrachtet vorausschauend mögliche Risiken und stellt so die Security seiner Produkte bereits in der Entwicklung sicher. Als Hersteller von Safety-Komponenten war unser Prozess bereits gut gestaltet und dokumentiert. Somit war die Erweiterung um die Security-Anforderungen vergleichsweise einfach. Die Zertifizierung unterstreicht die Bedeutung der Industrial Security und ist strategisch von gleicher Wichtigkeit wie die Zertifizierungen zur Funktionalen Sicherheit. Security schützt Safety und Safety schützt den Menschen. Diese Kette ist durch die nun erfolgte Zertifizierung unserer Entwicklungstätigkeit gemäß IEC62443-4-1 geschlossen und bietet so unseren Kunden die Industrial Security, die die Industrie im Zeitalter der internationalen Datenvernetzung benötigt.
Jänicke: Phoenix Contact ist für die Komponenten- und Lösungsentwicklung sowie Security-Dienstleistung nach den entsprechenden Teilen der IEC62443 zertifiziert. Damit weisen wir, bestätigt durch einen unabhängigen Zertifizierer, die Qualität unserer Prozesse nach. Das Dienstleistungsangebot des Unternehmens umfasst die Beratung von Kunden zur Security im Automatisierungsbereich. Phoenix Contact selbst bietet aber keine Zertifizierung als Dienstleistung an.
Ritter: Endress+Hauser mit seinen Produktionsumgebungen ist bereits nach IEC62443-4-1 (ML-2) zertifiziert. Endress+Hauser Digital Solutions, das Kompetenzzentrum der Endress+Hauser-Gruppe für digitale Lösungen, ist zudem ISO27001-zertifiziert. Wir sind überzeugt, dass beide Normen einen enormen Mehrwert für unsere Kunden bieten. Dienstleistungen zur Erreichung einer entsprechenden Zertifizierung bieten wir aktuell noch nicht an. Dennoch unterstützen wir bereits heute unsere Kunden und Partner auf ihren Wegen zu einem höheren Sicherheitsniveau. Unsere Prozesse entsprechen dem höchsten Industriestandard, was auch durch unsere Zertifizierungen bestätigt wird. Mittels einem holistischen und kollaborativen Ansatz unterstützen wir Anlagenbetreiber eine entsprechend sichere Umgebung aufzubauen.
Stadler: Cybersecurity stellt einen Grundpfeiler des Sick-Lösungsangebots dar. Sick beschfäftigt sich seit einigen Jahren mit der Sicherheit neuer Sensorlösungen. Daraus ist ein sicherer und transparenter Prozess für die Entwicklung und den Lebenszyklus unserer Sensorlösungen geworden. Im August 2022 hat der TÜV Nord (www.tuev-nord.de) den Sick Security Development Lifecycle nach IEC 62443-4-1 zertifiziert. Die Sick AG (Hauptsitz) verfügt über eine ISO27001-Zertifizierung für zentrale Dienste in unserem Rechenzentrum.
Walter: Eine entsprechende Zertifizierungsunterstützung bieten wir schon seit etlichen Jahren. Schließlich haben wir etliche Kunden im Bereich dezentraler Energiesysteme, die zur kritischen Infrastruktur gehören. Ansonsten sehen wir uns als Produkt- und Lösungsanbieter. Daher streben wir auch die Zertifizierung unserer Prozesse nach IEC62443-4-1 an. Das dafür erforderliche hausinterne Projekt läuft schon einige Zeit. Da wir hinsichtlich der Cybersecurity sehr weitreichende Ansprüche an unsere Technik stellen, bauen wir die Entwicklungsprozesse entsprechend um. Dadurch starten wir in Zukunft z. B. jede Entwicklung mit einer Bedrohungsanalyse, also einem Threat Modeling. Daraus lassen sich Cybersecurity-Anforderungen ableiten, die dann die funktionalen Requirements einer Entwicklung ergänzen.
Lesen Sie dazu auch