+49 (0)30 4397 168‑60
www.kontakt@audit‑professionals.de
ISO / IEC 62443: Cybersecurity in der Industrieautomatisierung
Die IEC 62443-Serie wurde entwickelt, um industrielle Kommunikationsnetze und Industrielle Automatisierungs- und Steuerungssysteme (IACS) durch einen systematischen Ansatz zu sichern.
Sie umfasst derzeit neun Normen, Technische Berichte (TR) und Technische Spezifikationen (TS), wobei vier Teile noch in der Entwicklung sind. IACS finden sich in immer mehr Bereichen und Branchen, viele davon, wie z. B. Energieversorgung und -verteilung, Transportwesen, Fertigung usw. sind von zentraler Bedeutung für kritische Infrastrukturen (PH 9.860.2: Die Prüfung der von Betreibern Kritischer Infrastrukturen gemäß § 8a Abs. 1 BSIG umzusetzenden Maßnahmen).
Zu den IACS gehören auch Supervisory Control and Data Acquisition (SCADA)-Systeme, welche häufig von Organisationen eingesetzt werden, welche in Branchen mit kritischer Infrastruktur tätig sind, wie z. B. Stromerzeugung, -übertragung und -verteilung, Gas- und Wasserversorgungsnetze. Die Sicherstellung von Risikominderung und Ausfallsicherheit ist daher unerlässlich.
Verhinderung von illegalem oder unangemessenem Zugriff
In den Veröffentlichungen der IEC 62443 wird “der Begriff ‘Sicherheit’ als Verhinderung des illegalen oder unerwünschten Eindringens, der absichtlichen oder unabsichtlichen Störung des ordnungsgemäßen und beabsichtigten Betriebs oder des unangemessenen Zugriffs auf vertrauliche Informationen in Integriertes Verwaltungs- und Kontrollsystem (InVeKoS) betrachtet.”
Sicherheit “umfasst Computer, Netzwerke, Betriebssysteme, Anwendungen und andere programmierbare, konfigurierbare Komponenten des Systems”.
Die IEC 62443-Normen decken alle Aspekte der Cybersicherheit in allen Phasen ab und sind ein Eckpfeiler eines “Secure-by-Design”-Ansatzes.
Daher ist ein breiter Überblick über die IEC 62443-Publikationen notwendig, da sie für alle industriellen Kommunikationsnetze und IACS-Anwender relevant sind, einschließlich Anlagenbesitzer, Systemintegratoren, Gerätehersteller, Lieferanten, Anlagenbetreiber, Wartungsfachleute und alle privaten und staatlichen Organisationen, welche mit der Cybersicherheit von Steuerungssystemen zu tun haben oder davon betroffen sind (IEC / TS 62443-1-1 Industrielle Kommunikationsnetze, Netzwerk- und Systemsicherheit – Teil 1-1: Terminologie, Konzepte und Modelle).
Die Normenreihe IEC 62443 ist in vier Teile gegliedert, welche Folgendes abdecken:
- Allgemeines (IEC 62443-1.* – ein Teil von vier veröffentlicht)
Die allgemeinen Dokumente geben einen Überblick über den industriellen Sicherheitsprozess und stellen wesentliche Konzepte vor.
- Richtlinien und Verfahren (Policies & Procedures) (IEC 62443-2.* – drei Teile von vier veröffentlicht)
Die Dokumente zu Policies & Procedures heben die Bedeutung von Richtlinien hervor – selbst die beste Sicherheit ist nutzlos, wenn die Mitarbeiter/innen nicht geschult und verpflichtet sind, sie zu unterstützen.
- System (IEC 62443-3.* – alle drei Teile veröffentlicht)
Da Sicherheit nur als integriertes System verstanden werden kann, bieten die Dokumente zum Thema “System” wichtige Anleitungen zum Entwurf und zur Implementierung sicherer Systeme.
- Komponenten (IEC 62443-4.* – beide Teile veröffentlicht)
Da man ein solides Gebäude nicht aus schwachen Ziegeln bauen kann, beschreiben die Komponentendokumente die Anforderungen, welche für sichere Industriekomponenten erfüllt werden müssen.
Informationstechnik (IT) und Betriebstechnik (OT)
Internationale IEC-Normen wie ISO / IEC 27001 und IEC 62443 sind zusammen mit der Prüfung und Zertifizierung (Konformitätsbewertung) wichtige Werkzeuge für ein erfolgreiches und ganzheitliches Cybersicherheitsprogramm. Ein solcher Ansatz erhöht das Vertrauen der Stakeholder, indem er nicht nur den Einsatz von Sicherheitsmaßnahmen auf Basis von Best Practices nachweist, sondern auch, dass eine Organisation die Maßnahmen effizient und effektiv umgesetzt hat. Dies muss in eine übergreifende Strategie eingebunden werden, welche Menschen, Prozesse und Technologie umfasst. Dabei werden nicht nur die technischen Maßnahmen an sich betrachtet, sondern auch die Organisation rund um diese Maßnahmen, welche sicherstellt, dass Cyber-Angriffe rechtzeitig erkannt werden.
Herausforderungen bei der Implementierung
Obwohl die IEC 62443 viele Vorzüge und Vorteile hat, bringt die Implementierung der Norm auch einige Herausforderungen mit sich.
Die Norm ist jedoch nicht vollständig. Einige der Spezifikationen in der Norm sind noch nicht veröffentlicht worden.
Jedoch ist die Norm sehr umfangreich: Mit einem Gesamtumfang von bisher mehr als 800 Seiten und weiteren Spezifikationen, welche sukzessive veröffentlicht werden, ist ein erheblicher Zeit- und Arbeitsaufwand erforderlich, um den kompletten Standard zu lesen und zu verstehen.
Mit unserem Prüfungsstandard nach IDW PS 860 (IT-Prüfung außerhalb der Abschlussprüfung) stellen wir die Erfüllung gesetzlicher oder regulatorischer Anforderungen. Die Prüfungshinweise sind vorgesehen für
- Cloud / Cybersecurity
- Prüfung der Grundsätze, Verfahren und Maßnahmen nach der EU-Datenschutz-Grundverordnung und dem Bundesdatenschutzgesetz (PH 9.860.1)
- Prüfung bei Betreibern kritischer Infrastrukturen (PH 9.860.2)
- Konformität GoB Vorgaben
Einhaltung von Industriestandards und anerkannter IT-Frameworks
- PCI-DSS
- ISO Normen
- COSO, COBIT oder ITIL
Mit unserer Bescheinigung stellen wir sicher, dass die Mechanismen, die implementierten Maßnahmen und Kontrollen einer Angemessenheitsprüfung (Zeitpunktbetrachtung) unterzogen werden und die Kriterien geeignet sind. Wir prüfen die Implementierung der Kontrollen und Maßnahmen zur Gewährleistung von Cyber-Sicherheit und unterziehen diese einer Wirksamkeitsprüfung (Zeitraumbetrachtung) und stellen somit sicher, dass die Kontrollen und Maßnahmen im Zeitraum wirksam waren.
+49 30 4397 168 60
