:quality(80)/p7i.vogel.de/wcms/cc/63/cc633c6ae01e9a05c6ad9bae5b5e6342/0114957799.jpeg "Das sind die Gewinner der BigData-Insider Readers' Choice Awards 2023. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/e3/51/e351df5354192adf7d956e215009d6b3/0114109618.jpeg "BigData-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/13/1c/131cc3457132b7b6605a0664dcaf2bf8/0108507117.jpeg "Externe Big-Data-Consultants helfen in Zeiten des Fachkräftemangels. Die Consultants sind darauf spezialisiert, Unternehmen bei der Anpassung von Systemen und Abläufen an aktuelle Geschäftsanforderungen zu unterstützen. (Bild: © successphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/cf/33cf7368b5233db9a844f81f39712aff/0108298330.jpeg "Big-Data-as-a-Service-Plattformen (BDaaS) ersparen Unternehmenskunden hohe Einstiegsinvestitionen für die nötige Technik vor Ort. (Bild: © greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/98/16988c30af3d0f906a248fb3d3b3a6f7/0114343120.jpeg "Der Autor: Julian Wingenfeld ist Solutions Architect bei MongoDB (Bild: MongoDB)")
:quality(80)/p7i.vogel.de/wcms/96/e6/96e60b3e07811469fae0765f59d21ac8/0115431124.jpeg "Immer mehr Endgeräte enthalten Funktionen, die KI-Berechnungen erfordern – etwa smarte Thermostate mit Sprachsteuerung. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/59/87/59873b6cd5bc2d145cc9cc4ca5b4bce2/0115409344.jpeg "Ab sofort steht das E-Book „Datenbank-Migration“ kostenlos zum Download bereit. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/6f/f2/6ff2c367392718cb04abc430a5f3164e/0115129475.jpeg "Der Autor: Fabian Czicholl ist Regional Vice President bei Appian Deutschland (Bild: Appian Deutschland)")
:quality(80)/p7i.vogel.de/wcms/35/73/3573691301b24cb1430f406d21795e8f/0115090776.jpeg "Snowflake hat seine Datenplattform mit neuen Funktionen für generative KI und Large Language Models (LLM) ausgestattet.
(Bild: Snowflake)")
:quality(80)/p7i.vogel.de/wcms/22/f4/22f4c64614992c01d14278c077071484/0115225608.jpeg "Databricks will mit seinen Produkten dazu beitragen, dass Daten von möglichst vielen im Unternehmen genutzt werden können. Wie, das präsentierte das Unternehmen auf der Data + AI World in München. (Bild: Rüdiger)")
:quality(80)/p7i.vogel.de/wcms/87/30/87303c685f7c30621d1f78bdc94670ba/0115330721.jpeg "Anyline Insights fokussiert sich auf digital erfasste Fahrzeug- und Reifendaten. (Bild: Anyline)")
:quality(80)/p7i.vogel.de/wcms/e1/99/e19909094be7a47ceba5d91fdf49acc0/0115453757.jpeg "Rund 3.000 Kunden und Partner kamen zur Celosphere 2023 nach München. (Bild: Celonis)")
:quality(80)/p7i.vogel.de/wcms/81/12/81120e2916d42938419c153dc650f523/0115243180.jpeg "72 Prozent der Organisationen, die in den letzten zwei Jahren BI-Lösungen erworben haben, haben Microsoft Power BI evaluiert. (Bild: BARC)")
:quality(80)/p7i.vogel.de/wcms/16/08/1608bee91673491923b0efdabb759387/0115427536.jpeg "Rund 80 Anwender nahmen online am zehnten Pentaho User Meeting teil. Acht Erfahrungsberichte von Organisationen wie der Bundesdruckerei, dem Wahnbachtalsperrenverband und der Blechwarenfabrik Limburg sorgten für interessante Einblicke. (Bild: IT-Novum)")
:quality(80)/p7i.vogel.de/wcms/a8/a8/a8a83d37d618ead6775e9e8f695c2475/0114694022.jpeg "Das KI-Theme nach einer Reihe von Nachfragen: Es sieht OK aus, aber das Menü will GPT einfach nicht korrekt anordnen. (Bild: Rentrop / WordPress)")
:quality(80)/p7i.vogel.de/wcms/30/c8/30c8d75e49b3ef7b344d97b024ea4939/0115041243.jpeg "Die Küste der Isle of Wight. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/b4/31/b4311c55605fa804d0d420edc5c2a8e7/0115040726.jpeg "Siemens und Microsoft intensivieren ihre Zusammenarbeit. Dabei geht es um die breitgefächerte Einführung von generativer KI, um etwa ein industrielles Metaversum zu schaffen. Damit sollen sich viele Workflows in unterschiedlichen Sektoren straffen lassen. Lesen Sie hier, was da kommt. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/5c/24/5c24f198724184d13f3c94cb0128f983/0115040401.jpeg "Akustische Sensoren haben das Potenzial, in vielen Anwendungsfällen einen Mehrwert zu bieten. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ed/da/edda0b04adad8a59c3acaa03320b4268/0114820023.jpeg "Das IoT Cockpit ist in maximal drei Monaten mit bis zu 90 Prozent reduzierten Kosten startklar. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/61/6c/616c546266e3a4c49bc98b75290d96da/0114243058.jpeg "Der Autor: John Armstrong ist CTO von Worldly (Bild: Worldly)")
:quality(80)/p7i.vogel.de/wcms/00/d6/00d675c65ddde98e0412e533e01dd85e/0114239415.jpeg "Der Autor: Balakrishna DR ist Head of AI bei Infosys (Bild: Infosys)")
:quality(80)/p7i.vogel.de/wcms/c7/8b/c78bd9fc394a96cc05c43d0562298c3d/0115381887.jpeg "Im Dashboard von Watsonx.governance werden 60 Aufgaben angezeigt, wovon einige überfällig sind. Interessant ist auch die Risikobewertung ganz rechts. (Bild: IBM)")
:quality(80)/p7i.vogel.de/wcms/86/21/8621b6e57693364354a9dd97f19c724f/0115236824.jpeg "Generative KI-Tools wie ChatGPT, Bard und Copilot sollten mit Vorsicht am Arbeitsplatz verwendet werden. (Bild: Artyom - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/24/b5/24b5c1fcab606fb6c7485d4c69e3fc76/0115510997.jpeg "Die neue Zusammenarbeit zwischen Deloitte und Aleph Alpha soll fortschrittliche KI-Lösungen in neue Branchen und Anwendungsbereiche bringen. (Bild: Canva/Lucas Schmidt)")
:quality(80)/p7i.vogel.de/wcms/d1/4b/d14b54e509ed7f7cd102d04b00842978/0112354872.jpeg "Breaking Data – der Podcast von BigData-Insider (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/b8/a2/b8a27bd2a20fab88e64aa5e6f93a0171/0115511070.jpeg "Eine Pythonschlange am Computer – okay, sie hat Hände, aber wie sollte sie auch sonst effizient tippen? (Bild: StableDiffusionXL)")
:quality(80)/p7i.vogel.de/wcms/e6/1c/e61c7da074af7d49926788af57dbbbc5/0102192446.jpeg "(Bild: © aga7ta - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/10/9e/109ed1193c0e35f1bd97ad23be629111/0102192446.jpeg "(Bild: © aga7ta - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8e/64/8e64ad0202afa7fa962f9e833e50ee8a/0102192446.jpeg "(Bild: © aga7ta - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/ac/49ac99249bcb88bc4d44968f96f6459c/0102192446.jpeg "(Bild: © aga7ta - stock.adobe.com)")
Security-Normenreihe IEC 62443 Sicherheit in der Pflicht: Ganzheitlicher Ansatz auf allen Ebenen
Für die Betreiber von Anlagen im Bereich der kritischen Infrastrukturen schreibt das IT-Sicherheitsgesetz ab 2018 die Einführung eines Security-Management-Systems vor. Aufgrund der aktuellen Bedrohungslage sollten jedoch alle Anlagenbetreiber Security-Maßnahmen umsetzen, um eine reibungslose Funktionsweise sicherzustellen und damit wirtschaftlichen Schaden zu vermeiden.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/59/6059ec8792226/qunis-logo-f--r-bigdatainsider.png "QUNIS-Logo-für-Bigdatainsider.png (QUNIS GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/2c/602cdcaa1f5bc/fivetran-logo-blue.png "Fivetran_logo-blue.png (Fivetran)"){kind=logo}
Aus den Security-Richtlinien und -Gesetzen wird deutlich, dass in erster Linie der Betreiber relevanter Anlagen in die Pflicht genommen wird und angemessene Schutzmaßnahmen realisieren muss. Dazu benötigt er ein durchgängiges Security-Konzept, das vom Hersteller der industriellen Automatisierungstechnik über den Maschinen- und Anlagenbauer bis zu ihm als Nutzer der Maschine einheitliche Schutzregeln festlegt. In der IEC-Norm 62443 ist ein solches Security-Konzept definiert. Nur im Zusammenspiel sämtlicher hier aufgeführten Rollen lassen sich die Forderungen hinsichtlich einer „angemessenen Security“ sowie die Einhaltung des Stands der Technik verwirklichen. Als Schutzziele stehen derzeit die Verfügbarkeit und die Integrität einer Anlage im Vordergrund. Wegen weiterentwickelter Angriffsszenarien werden die Schutzziele Vertraulichkeit und Authentizität in Zukunft den gleichen Stellenwert haben, denn schon heute gibt es Angriffsszenarien, die unentdeckt Prozessdaten sammeln, bevor ein spezifischer Angriff initiiert wird.
:quality(80)/images.vogel.de/vogelonline/bdb/1403900/1403915/original.jpg "Darstellung der Normenreihe IEC 62443, die aktuell 13 Teile umfasst.")
:quality(80)/images.vogel.de/vogelonline/bdb/1403900/1403916/original.jpg "Iteratives Vorgehen zur Ermittlung der Security Level SL-C, SL-A und SL-T")
:quality(80)/images.vogel.de/vogelonline/bdb/1403900/1403917/original.jpg "Bedeutung der Security Level SL-C, SL-A und SL-T")
:quality(80)/images.vogel.de/vogelonline/bdb/1403900/1403918/original.jpg "Abbildung der unterschiedlichen Rollen auf die Teile der IEC 62443 (grün)")
Wesentliche Teile der Norm
Bei der Normenreihe IEC 62443 handelt es sich um einen allgemeinen Security-Standard für industrielle Automatisierungssysteme. Sie besteht momentan aus dreizehn Teilen, in denen die Anforderungen an Prozesse, funktionale Maßnahmen sowie der Stand der Technik für ein Industrial-Security-Konzept festgeschrieben werden. Die wichtigsten Teile aus Sicht des Maschinen- und Anlagenbaus sind:
- IEC 62443 Teil 2-1 – Anforderungen an ein Security-Managementsystem für Betreiber industrieller Automatisierungssysteme
- IEC 62443 Teil 2-3 – Patch Management für industrielle Automatisierungssysteme
- IEC 62443 Teil 2-4 – Anforderungen an das IT-Sicherheitsprogramm von Dienstleistern für industrielle Automatisierungssysteme
- IEC 62443 Teil 3-3 – Systemanforderungen zur IT-Sicherheit und Security Level an industrielle Automatisierungssysteme
- IEC 62443 Teil 4-1 – Anforderungen an den Lebenszyklus für eine sichere Produktentwicklung industrieller Automatisierungssysteme
- IEC 62443 Teil 4-2 – Technische IT-Sicherheitsanforderungen an Komponenten von Automatisierungssystemen
Bei vollständiger Umsetzung geht die Norm davon aus, dass Zugriffssicherheit beim Entwicklungsprozess und den in die Automatisierungsgeräte implementierten Security-Funktionen beginnt. Sie entwickelt sich dann in den verschiedenen Integrationsphasen gemäß den in der IEC 62443 definierten Prozessen sukzessive weiter. Entspricht der geforderte Security Level eines Schritts nicht dem vom System erreichten Niveau, müssen zusätzliche Maßnahmen getroffen werden.
Individuelle Festlegung des Security Levels
Der Hersteller eines industriellen Automatisierungssystems legt anhand der eingebauten funktionalen Maßnahmen und realisierten Security-Prozesse den erzielbaren Security Level (SL-C) fest. Auf der Basis der eingesetzten Geräte/Systeme sowie verwendeten Security-Konzepte und Prozesse bestimmt der Integrator den für die Lösung erlangten Security Level (SL-A). Und schließlich determiniert der Anlagenbetreiber durch eine Risikoanalyse den zu erreichenden Security Level (SL-T). Die Durchführung der Risikoanalyse wird als Teil des Security-Managementprozesses in Teil 2-1 der Norm gefordert.
Der Betreiber und der Systemintegrator überprüfen den Erfüllungsgrad des SL-T und SL-A der Automatisierungslösung und ergreifen unter Umständen weitere Maßnahmen. Die IEC 62443 verlangt nicht, dass jede einzelne Komponente mit dem SL-T übereinstimmt. Vielmehr können Netzwerksegmente (Zonen) gebildet und Zugänge (Conduits) geschützt werden. So entstehen Teilsysteme, die an ihrem Zugang mit einem entsprechenden SL-T/A abgesichert sind. Um diesen Prozess für Betreiber sowie Maschinen- und Anlagenbauer zu vereinfachen, erweist sich eine Zertifizierung der Security-relevanten Entwicklungsprozesse für industrielle Automatisierungssysteme durch ein unabhängiges Prüfinstitut als vorteilhaft. Auf diese Weise lässt sich sicherstellen, dass die Automatisierungssysteme ohne detaillierte Prüfung des Security-Funktionsumfangs innerhalb eines IEC 62443-Konzepts nutzbar sind.
Die beschriebene Vorgehensweise muss auch im Lebenszyklus einer Anlage immer wieder angewendet werden. Die Erlangung des SL-T/A ist dynamisch, da der Security Level aufgrund neuer Bedrohungen oder bekannt gewordener Schwachstellen der eingesetzten Geräte/Systeme nicht mehr den Ergebnissen der ursprünglichen Risikoanalyse entsprechen kann. Bei der Entwicklung der Automatisierungssysteme kommt der flexiblen Update-Fähigkeit somit eine wichtige Bedeutung zu. Die jeweiligen Maßnahmen sind in Teil 2-3 „Patch Management“ als technischer Report beschrieben.
Verschiedene Security-Programme für den Maschinen- und Anlagenbauer
Aus Sicht der Industrial Security nimmt der Maschinen- und Anlagenbauer eine wesentliche Position ein, denn er hat einige für die Security bedeutende Rollen inne. Zunächst fügt er als Integrator die Komponenten eines oder mehrerer Hersteller in der Maschine oder Anlage zu einem Automatisierungssystem zusammen. Während der Inbetriebnahme übernimmt der Maschinen- und Anlagenbauer die Rolle des Betreibers. Danach fällt die Gewährleistung und gegebenenfalls Wartung der Applikation in seinen Aufgabenbereich. In beiden Rollen stellt der Maschinen- und Anlagenbauer einen wichtigen Player im Lebenszyklus der Anlage dar und benötigt daher die notwendigen Zugriffsrechte. Darüber hinaus kann er bei speziellen Komponenten, die Alleinstellungsmerkmale der Lösung enthalten, als Hersteller eines Automatisierungssystems fungieren.
Als Schnittstelle zum Betreiber/Auftraggeber ist Teil 2-4 der IEC 62443 für den Maschinen- und Anlagenbauer von besonderer Bedeutung. Hier werden die wesentlichen Prozesse bei der Integration, Inbetriebnahme und Wartung eines industriellen Automatisierungssystems definiert. Zu den ausgewählten Security-Programmen (SP) des Teils 2-4 zählen:
- die Architektur der Automatisierungslösung
- die Konfiguration der Automatisierungslösung
- die Verwaltung von Nutzerkonten
- die Behandlung von Ergebnissen
- das Patch Management
- die Sicherung und Wiederherstellung der Automatisierungslösung
- die Fernwartung
Insgesamt werden zwölf Security-Programme (SP.1-12) festgelegt, die sich in mehr als 100 einzelne Anforderungen aufteilen.
Für die Rolle des Systemintegrators zeigt sich Teil 3-3 „Systemanforderungen zur IT-Sicherheit und Security Level an industrielle Automatisierungssysteme“ als essentiell. In Teil 3-3 werden die funktionalen Anforderungen an industrielle Automatisierungssysteme entsprechend der bestimmten Security Level (SL-T/A/C) erläutert. Teil 3-3 skizziert und bewertet die unterstützten Security-Maßnahmen/Level an der Schnittstelle zwischen Systemintegrator und Produkthersteller. Auf dieser Grundlage können die zum Erreichen des SL-T erforderlichen Geräte ausgewählt werden.
Technische Anforderungen an Automatisierungssysteme
In der IEC 62443 3-3 für Systeme und 4-2 für Komponenten sind die technischen Anforderungen an industrielle Automatisierungssysteme dargelegt. Anhand der Security-Bedrohungen werden die auf die Fähigkeiten des Angreifers abgestimmten Security Level (SL0 bis SL4) aufgeführt. Die Norm schreibt sieben grundlegende Anforderungen (FR) fest, die sich in mehr als 50 Systemanforderungen (SR) aufteilen. Zu den sieben grundlegenden Anforderungen gehören:
- FR1 IAC - Identifizierung und Authentifizierung
- FR2 UC - Nutzungskontrolle
- FR3 SI - Systemintegrität
- FR4 DC - Vertraulichkeit der Daten
- FR5 RDF - eingeschränkter Datenfluss
- FR6 TRE - rechtzeitige Reaktion auf Ereignisse
- FR7 RA - Verfügbarkeit der Ressourcen
Je nach Angriffsvektor und Security Level werden unterschiedliche funktionale Anforderungen definiert.
Die Implementierung der funktionalen Maßnahmen ist jedoch nicht isoliert zu betrachten. Ein Security Level lässt sich lediglich dann erzielen, wenn die Anforderungen des Teils 4-1 an den sicheren Entwicklungsprozess umgesetzt sind. Nur aus der Kombination von Prozess und funktionalen Maßnahmen kann also ein Produkt mit Security Level entwickelt werden. Zusätzlich zum Entwicklungsprozess fordert Teil 4-1 die Erfüllung allgemeiner Security-Regeln nach dem Stand der Technik. Diese müssen schon beim Gerätekonzept und Software-Design berücksichtigt werden:
- Security by design
- Defense in depth
- Minimal need to know
Die Basis des Konzepts bilden stets die Security Use Cases des Produkts sowie die zugehörige Bedrohungsanalyse. Auf Basis der Bedrohungsanalyse wird nachgewiesen, dass die Security-Härtung eines Produkts seinem Einsatzgebiet entspricht. Zu diesem Zweck müssen die geplante Verwendung des Geräts und die implementierten Security-Maßnahmen genau dokumentiert werden.
Fazit: Wendet der Maschinen- und Anlagenbauer die Normenreihe IEC 62443 an, kann er ein durchgängiges Security-Konzept auf allen Ebenen realisieren. Dazu muss er sich bereits bei der Planung der Maschine oder Anlage grundlegende Gedanken über das Konzept und dessen Durchführung machen. Das bedeutet, dass auf den Maschinen- und Anlagenbauer neue Aufgaben zukommen, die in einem fortwährenden Prozess ständig weiterzuentwickeln sind.
Dieser Beitrag stammt von unserem Partnerportal Elektrotechnik. Verantwortliche Redakteurin: Ines Stotz
* Dipl.-Ing. Boris Waldeck, Senior Project Manager im Software Marketing der Business Unit Control Systems, Phoenix Contact Electronics GmbH, Bad Pyrmont
Artikelfiles und Artikellinks
Link: Weitere Informationen
(ID:45331820)
:quality(80)/p7i.vogel.de/wcms/c7/d8/c7d80f1f73d72c9ae6413b3f2e71860c/0102192446.jpeg "0102192446 (Bild: © aga7ta - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/b9/6db9a6bd795e21d5bd9eced1a10c7a8e/0109629055.jpeg "Während man in Brüssel noch über den AI Act debattiert, soll in Deutschland bereits die konkrete Normierung beginnen. Kürzlich wurde deshalb Ausgabe 2 der KI-Normierungsroadmap von DIN und DKE der Öffentlichkeit vorgestellt. (Bild: DIN/DKE)")