IT-Security

„Defense-in-Depth“: Grundlage für eine erfolgreiche Verteidigungsstrategie gegen Cyberangriffe

Seite: 2/2

Firmen zum Thema

So sind Hersteller, Integrator und Betreiber gefordert

Grundlegend für das Verständnis der Norm IEC 62443 sind die drei Basisrollen beim Schutz von Anlagen gegen Cyberangriffe: der Hersteller, der Integrator und der Betreiber.

Der Hersteller ist verantwortlich für Entwicklung, Vertrieb und Pflege der Einrichtungen, die in der Automatisierungslösung eingesetzt werden. Der Integrator verantwortet das Design und die Inbetriebsetzung der Automatisierungslösung. Der Betreiber ist verantwortlich für den Betrieb und die Wartung der Automatisierungslösung und ihren Abbau am Ende des Lebenszyklus der Anlage. Diese Rollen können Dritte übernehmen, so wird z. B. die Wartung der Anlage oft von einem externen Dienstleister durchgeführt, obwohl sie vom Rollenkonzept der Norm her in der Verantwortung des Betreibers liegt.

Bildergalerie

Die Randbedingungen berücksichtigen

Unabhängig vom betrachteten Projekt sind die Entwicklung und die Herstellung der Komponenten einer Automatisierungslösung. Sie kommen in aller Regel in einer ganzen Gruppe von Anwendungen zum Einsatz; zum Beispiel sind Steuerungen eines bestimmten Typs die Basis mehrerer ganz unterschiedlicher Automatisierungslösungen verschiedener Betreiber – von Werkzeugmaschinen bis hin zu sehr komplexen Systemen z. B. der Öl- und Gas-Industrie. Die Aktivitäten des Integrators und des Betreibers sind dagegen immer in Bezug auf die Umgebung und die Randbedingungen eines Automatisierungsprojekts zu sehen.

Die Norm IEC 62443 hat vier Abschnitte, die jeweils mehrere Dokumente enthalten. Der erste Abschnitt beschreibt allgemeine Konzepte, Terminologien und Methoden.

Der zweite Abschnitt spezifiziert organisatorische Maßnahmen. Er ist vorwiegend für Organisationen relevant, die Betrieb und Wartung der Automatisierungslösung verantworten und für die Integration der Produkte in Automatisierungslösungen zuständig sind. Abschnitt zwei enthält auch Empfehlungen für das Patch Management.

Aktuelle Schutztechniken

Der Abschnitt drei ist vorwiegend technischer Natur. Auf der einen Seite werden für Hersteller von Automatisierungs- und Leitsystemen die funktionalen Anforderungen der Norm aus Sicht der IT-Sicherheit genannt. Ein Dokument dieses Abschnitts beschreibt die Methoden und Mittel, um eine Systemarchitektur in Zellen und Kommunikationskanälen zu strukturieren, sog. „Zones“ und „Conduits“. Dieser Abschnitt enthält auch einen technischen Bericht über aktuelle Schutztechniken gegen Cyberangriffe.

Der vierte Abschnitt betrifft die Lieferanten von Leitsystemkomponenten. Hier sind z. B. die funktionalen Anforderungen an Steuerungen oder Netzwerkkomponenten spezifiziert. Ein weiteres Dokument dieses Abschnitts behandelt Security-Anforderungen zur Produktentwicklung, damit zukünftige Komponenten von vornherein robust sind gegen Cyber-Bedrohungen.

Noch nicht verabschiedet, aber doch anwendbar

Obwohl die Norm in ihrer Gesamtheit noch nicht verabschiedet ist, kann sie schon heute angewendet werden. Die Inhalte der wesentlichen Dokumente sind ausreichend stabil, um für den Schutz der industriellen Anlagen genutzt zu werden:

  • IEC 63443-3-3, System Security Requirements and Security Levels. Spezifiziert die funktionalen Anforderungen an die Leitsysteme. Das Dokument wurde in 2013 als internationale Norm veröffentlicht.
  • IEC 62443-2-4, Requirements for IACS solution suppliers. Spezifiziert die organisatorischen Anforderungen an die Prozesse des Integrators und an die Wartungsprozesse. Die Veröffentlichung als internationale Norm ist für die erste Hälfte 2015 geplant.
  • IEC 62443-2-1, Requirements for an IACS security management system. Spezifiziert die organisatorischen Maßnahmen des Betreibers. Das aktuelle Dokument ist ein Profil der Norm ISO 27001 / 27002, die weitgehend im Office-Bereich angewendet wird. Die Veröffentlichung wird für 2015 erwartet.

* *Dr. Pierre Kobes, Product und Solution Officer, Standards and Regulations, Siemens

(ID:43143090)