IEC 62443
IEC 62443 ist eine internationale Normenreihe über „Industrielle Kommunikationsnetze - IT-Sicherheit für Netze und Systeme“. Die Normenreihe ist in verschiedene Bereiche unterteilt und beschreibt sowohl technische als auch prozessorale Aspekte der Industriellen Cybersecurity. Sie unterteilt die Industrie in verschiedene Rollen: den Betreiber, die Integratoren (Dienstleister für Integration und Wartung) sowie die Hersteller. Die verschiedenen Rollen verfolgen jeweils einen risikobasierten Ansatz zur Vermeidung und Behandlung von Sicherheitsrisiken bei ihren Tätigkeiten.
IEC 62443 Übersicht
Die Normenreihe IEC 62443 Industrial communication networks – Network and system security besteht aus mehreren Teilen, die in vier Bereiche eingeteilt werden:[1][2]
- General: Hier werden die grundsätzlichen Begriffe, Konzepte und Modelle beschrieben.
- Policies and Procedures: Hier wird vor allem ein System zum Management industrieller IT-Sicherheit beschrieben.
- System: Hier werden verschiedene Vorgaben für Sicherheitsfunktionen von Steuerungs- und Automatisierungssystemen beschrieben.
- Components and Requirements: Hier werden die Anforderungen an Prozesse der Produktentwicklung von Komponenten einer Automatisierungslösung beschrieben.
Die folgende Tabelle führt die bis jetzt veröffentlichten Teile der Normenreihe IEC 62443 mit dem Stand und dem Titel auf.
General | Policies and Procedures | System | Components and Requirements | ||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
1-1 | Technical Specification, Edition 1.0, Juli 2009[3] | Concepts and models | 2-1 | Edition 1.0, November 2010[4] | Security program requirements for IACS asset owners | 3-1 | Technical Report, Edition 1.0, Juli 2009[5] | Security technologies for industrial automation and control systems (IAC) | 4-1 | Edition 1.0, Januar 2018[6] | Secure product development lifecycle requirements |
2-3 | Technical Report, Edition 1.0, Juni 2015[7] | Patch management in the IACS environment | 3-2 | Edition 1.0, Juni 2020[8] | Security risk assessment and system design | 4-2 | Edition 1.0, Februar 2019[9] | Technical security requirements for IACS components | |||
2-4 | Edition 1.1, August 2017[10] | Requirements for IACS service providers | 3-3 | Edition 1.0, August 2013[11] | System security requirements and security levels |
- Teil 2-1: Dieser Teil richtet sich an Betreiber von Automatisierungslösungen und definiert Anforderungen, wie Sicherheit während des Betriebs von Anlagen zu berücksichtigen ist (vgl. ISO/IEC 27001).
- Teil 2-4: Dieser Teil legt Anforderungen („Capabilities“) für Integratoren fest. Diese Anforderungen sind in 12 Themengebiete unterteilt: Assurance, Architektur, Wireless, Sicherheitstechnische Systeme, Konfigurationsmanagement, Fernzugriff, Ereignisverwaltung und -protokollierung, Benutzerverwaltung, Malware-Schutz, Patch-Management, Backups & Wiederherstellung sowie Besetzung von Projekten.
- Teil 3-3: Dieser Teil beschreibt technische Anforderungen an Systeme sowie Security Levels.
- Teil 4-1: Dieser Teil legt fest, wie ein sicherer Entwicklungsprozess für Produkte auszusehen hat. Er ist unterteilt in acht Bereiche („Practices“): dem Management der Entwicklung, der Definition von Security-Anforderungen, dem Design von Security-Lösungen, der sicheren Entwicklung, dem Testen von Sicherheitseigenschaften, dem Umgang mit Sicherheitslücken, dem Erstellen und Veröffentlichen von Updates sowie der Dokumentation der Security-Eigenschaften.
- Teil 4-2: Dieser Teil legt technische Anforderungen an Produkte bzw. Komponenten fest. Die Anforderungen sind wie die Anforderungen an Systeme (Teil 3-3) in 12 Themengebiete unterteilt und beziehen sich auf diese. Zusätzlich zu den technischen Anforderungen werden allgemeine Sicherheitsanforderungen („Common component security constraints“, CCSC) definiert, die von Komponenten eingehalten werden müssen, um mit der IEC 62443-4-2 konform zu sein:
- CCSC 1 beschreibt, dass Komponenten die allgemeinen Sicherheitseigenschaften des Systems, in dem sie eingesetzt werden, berücksichtigen müssen.
- CCSC 2 legt fest, dass die technischen Anforderungen, die die Komponente nicht selbst erfüllen kann, durch kompensierende Gegenmaßnahmen („Compensating countermeasures“) auf Systemebene (vgl. IEC 62443-3-3) erfüllt werden können. Hierfür müssen die Gegenmaßnahmen in der Dokumentation der Komponente beschrieben werden.
- CCSC 3 verlangt, dass in der Komponente das „Least Privilege“-Prinzip angewendet wird.
- CCSC 4 verlangt, dass die Komponente durch IEC 62443-4-1 konforme Entwicklungsprozesse entwickelt und supportet wird.
Reifegrade
Die IEC 62443 beschreibt verschiedene Reifegrade für Prozesse und technische Anforderungen. Die Reifegrade für Prozesse orientieren sich dabei an den Reifegraden aus dem CMMI-Framework.
Maturity Level
Angelehnt an CMMI beschreibt die IEC 62443 verschiedene Reifegrade für Prozesse durch sogenannte „Maturity Level“. Für die Erfüllung einer bestimmten Stufe eines Reifegrades müssen immer alle prozessualen Anforderungen bei der Produktentwicklung bzw. Integration praktiziert werden, d. h. die Auswahl von nur einzelnen Kriterien („Cherry Picking“) ist nicht standardkonform.
Die Reifegrade sind dabei wie folgt beschrieben:
- Maturity Level 1 - Initial: Produktlieferanten führen die Produktentwicklung in der Regel ad hoc und oft undokumentiert (oder nicht vollständig dokumentiert) durch.
- Maturity Level 2 - Managed: Der Produktlieferant ist in der Lage, die Entwicklung eines Produkts gemäß schriftlicher Richtlinien zu verwalten. Es muss nachgewiesen werden, dass das Personal, das den Prozess durchführt, über das entsprechende Fachwissen verfügt, geschult ist und/oder schriftliche Verfahren befolgt. Die Prozesse sind wiederholbar.
- Maturity Level 3 - Defined (practiced): Der Prozess ist in der gesamten Organisation des Lieferanten wiederholbar. Die Prozesse sind praktiziert worden, und es gibt Belege dafür, dass dies geschehen ist.
- Maturity Level 4 - Improving: Anhand geeigneter Prozessmetriken kontrollieren die Produktlieferanten die Wirksamkeit und Leistung des Prozesses und weisen eine kontinuierliche Verbesserung in diesen Bereichen nach.
Security Level
Technische Anforderungen an Systeme (IEC 62443-3-3) und Produkte (IEC 62443-4-2) werden in der Norm durch vier sogenannte Security Level (SL) bewertet. Die verschiedenen Level geben dabei die Widerstandsfähigkeit gegenüber verschiedener Angreiferklassen an. Der Standard betont, dass dabei die Level pro technischer Anforderung gewertet werden sollen (vgl. IEC 62443-1-1) und nicht für die allgemeine Klassifizierung von Produkten geeignet sind.
Die Level sind:
- Security Level 0: Keine besondere Anforderung oder Schutz erforderlich.
- Security Level 1: Schutz vor unbeabsichtigtem oder zufälligem Missbrauch.
- Security Level 2: Schutz vor vorsätzlichem Missbrauch mit einfachen Mitteln mit geringen Ressourcen, allgemeinen Fähigkeiten und geringer Motivation.
- Security Level 3: Schutz vor vorsätzlichem Missbrauch mit anspruchsvollen Mitteln mit moderaten Ressourcen, IACS-spezifischen Kenntnissen und moderater Motivation.
- Security Level 4: Schutz vor vorsätzlichem Missbrauch unter Einsatz anspruchsvoller Mittel mit umfangreichen Ressourcen, IACS-spezifischen Kenntnissen und hoher Motivation.
Grundprinzipien
Die Norm erläutert verschiedene Grundprinzipien, die für alle Rollen bei allen Tätigkeiten berücksichtigt werden sollen.
Defense in Depth
Defense in Depth („Verteidigung in der Tiefe“) ist ein Konzept, bei dem mehrere Ebenen von Sicherheitsvorkehrungen (Verteidigung) über das gesamte System verteilt sind. Das Ziel ist hierbei, Redundanz für den Fall zu schaffen, dass eine Sicherheitsmaßnahme ausfällt oder eine Schwachstelle ausgenutzt wird.
Zones & Conduits
Zones unterteilen ein System in homogene Zonen durch Gruppierung der (logischen oder physischen) Anlagen mit gemeinsamen Sicherheitsanforderungen. Die Sicherheitsanforderungen werden über Security Level (SL) definiert. Das für eine Zone erforderliche Niveau wird durch die Risikoanalyse ermittelt.
Zonen haben Grenzen, die die Elemente innerhalb der Zone von denen außerhalb trennen. Informationen bewegen sich innerhalb und zwischen den Zonen. Zonen können in Unterzonen unterteilt werden, die unterschiedliche Sicherheitsebenen (Security Level) definieren und damit Defense-in-Depth ermöglichen.
Conduits gruppieren die Elemente, die die Kommunikation zwischen zwei Zonen erlauben. Sie stellen Sicherheitsfunktionen bereit, die eine sichere Kommunikation ermöglichen und die Koexistenz von Zonen unterschiedlicher Sicherheitsstufen erlauben.
Siehe auch
- Informationssicherheit
- Funktionale Sicherheit
- ISO/IEC 27001
- Industrial Control System
- IEC 61508
Literatur
- P. Kobes: Leitfaden Industrial Security: IEC 62443 einfach erklärt. VDE VERLAG GmbH, Berlin 2016, ISBN 978-3-8007-4165-6.
- S. Rohr: Industrial IT Security: Effizienter Schutz vernetzter Produktionslinien. Vogel Communications Group GmbH & Co. KG, 2019, ISBN 978-3-8343-3382-7
Einzelnachweise
- ↑ IEC 62443: Cybersecurity in der Industrieautomatisierung. Abgerufen am 23. August 2022.
- ↑ Understanding IEC 62443. Abgerufen am 23. August 2022 (englisch).
- ↑ IEC62443-1-1, Industrial communication networks – Network and system security – Part 1-1: Terminology, concepts and models Seite 1-10 (PDF 263KB) auf webstore.iec.ch
- ↑ IEC62443-2-1, Industrial communication networks – Network and system security – Part 2-1: Establishing an industrial automation and control system security program 17 Seiten Auszug (PDF 382KB) auf webstore.iec.ch
- ↑ IEC62443-3-1, Industrial communication networks – Network and system security – Part 3-1: Security technologies for industrial automation and control systems Seite 1-13 (PDF 273KB) auf webstore.iec.ch
- ↑ IEC62443-41 Security for industrial automation and control systems – Part 4-1: Secure product development lifecycle requirements. In: Seite 1-11 Auszug. Abgerufen am 9. August 2018 (englisch).
- ↑ IEC62443-2-3, Security for industrial automation and control systems - Part 2-3: Patch management in the IACS environment Seite 1-8(PDF; 325 kB) auf webstore.iec.ch
- ↑ IEC62443-3-2 Security for industrial automation and control systems – Part 3-2: Security risk assessment for system design. In: Seite 1–13 Auszug. Abgerufen am 4. August 2021 (englisch).
- ↑ IEC 62443-4-2:2019 Security for industrial automation and control systems - Part 4-2: Technical security requirements for IACS components. Abgerufen am 7. September 2020.
- ↑ IEC62443-2-4, Security for industrial automation and control systems - Part 2-4: Security program requirements for IACS service providers Seite 1-7 (PDF; 1,2 MB) auf webstore.iec.ch
- ↑ IEC62443-3-3 Industrial communication networks – Network and system security – Part 3-3: System security requirements and security levels Seite 1-14 (PDF; 216 kB) auf webstore.iec.ch