Kategorien

ISMS für Industrie auf Basis von IEC 62443

Geschrieben von Günter Kahr am
production plant

Anforderungen aus NIS2 (kritische Infrastrukturen) für produzierende Unternehmen und Betreiber wesentlicher und wichtiger Dienste sowie normspezifische Anforderungen zur Informationssicherheit von Kundensektoren (z.B. Automotive) beziehen sich vermehrt auf internationale Normen, wobei sich für Operating Technology (OT) das Normenrahmenwerk IEC 62443 als Standard etabliert hat.

Die Betreiber, Systemintegratoren, Wartungsunternehmen und Komponentenhersteller dieses Segments sehen sich immer stärker herausgefordert ihre Systeme der industriellen Automatisierung bzw. ihre Produktion vor potenziellen Cyberangriffen zu schützen und eine Verbesserung der Integrität sowie Verfügbarkeit der Komponenten und Systeme herbeizuführen und klar zu dokumentieren.

Das Rahmenwerk der IEC 62443 stellt dabei eine wesentliche Hilfestellung und eine internationale gleichgerichtete Orientierung für alle 4 Zielgruppen dar. Die IEC 62443-2-1 definiert als zentrales Normelement den Aufbau eines Informationssicherheits-Managementsystems für den Betreiber (Asset-Owner) industrieller Automatisierungs- und Steuerungssysteme (IACS). Wichtige Themen (sogenannte Security Program Elements (SPE)) darin sind u.a.

  • Organisatorische Verantwortlichkeiten und Richtlinien der Organisation
  • Sicherheitsüberprüfungen und Risikomanagement aber auch
  • Konfigurationsmanagement sowie
  • Netzwerk und Kommunikationssicherheit

um nur einige zu nennen.

Einen sehr wesentlichen Teil stellt die Anforderungsspezifikation des IT-Sicherheitsprogramms des Betreibers an die Dienstleister für industrielle Automatisierungssysteme und vice versa dar. Hierfür stehen weitere Normteile IEC 62443-2-4 (Anforderungen an das IT-Sicherheitsprogramm von Dienstleistern) und IEC 62443-3-2 (Sicherheitsrisikobeurteilung und Systemgestaltung) zu Verfügung. Die technischen Sicherheitsanforderungen an Komponenten und deren Lebenszyklus für eine sichere Produktentwicklung werden bespielweise in den Teilen 4-1 sowie 4-2 abgehandelt.

Die Zusammenarbeit der Schlüsselrollen Betreiber/ Integratoren/ Wartungsunternehmen und Komponentenhersteller trägt wesentlich zum sicheren Betrieb, Verfügbarkeit von Systemen und damit zu Vermeidung von finanziellen Schäden bei.

Die Abhängigkeiten bzw. das Zusammenspiel der einzelnen Normen im Rahmenwerk IEC 62443 zeigt die unten dargestellte Grafik.

Referenz: www.isa.org Start Guide to ISA/IEC 62443

Wir beraten Betreiber im Umfeld der industriellen Automatisierungstechnik und Steuerungssysteme, sowie auch Komponentenhersteller, die ihre Tätigkeiten am Rahmenwerk der IEC 62443 anlehnen wollen bzw. aufgefordert sind dies zu tun.

Leistungen von Certitude können umfassen:

  • Aufbau des Informationssicherheitsmanagementsystems im OT-Bereich
  • Gap-Analysen zur Erhebung der noch umzusetzenden Mindestanforderungen
  • Unterstützung bei der Bewertung des Umsetzungsgrades durch gesetzte Maßnahmen
  • Entwurf, Anpassung und ggf. Implementierung eines Frameworks für ein ISMS inkl. Risikomanagement, Richtlinien, Prozesse und Guidelines
  • Unterstützung bei der Umsetzung der geforderten Maßnahmen im Unternehmen
  • Zielgerichteten Behandlung von Themenbereichen aus der Richtlinie sowie die empfohlene Art der Umsetzung beim Auftraggeber
  • Unterstützung bei der Auswahl und Implementierung von technischen Maßnahmen zur Abwehr von Cyber-Angriffen
  • Penetrationstests von OT-Netzwerken oder Anlagen zur Erkennung ausnutzbarer Schwachstellen für Betreiber
  • Sicherheitsüberprüfungen von Produkten (Hardware, Firmware, Software) für Hersteller

Die Art der Zusammenarbeit wird zwischen Auftraggeber und Auftragnehmer im Rahmen der Projektvorbereitung und -abwicklung abgestimmt und kann daher regelmäßig an den Bedarf angepasst werden.

Die Mitwirkung des Auftraggebers ist zumindest für die Bereitstellung der notwendigen Informationen erforderlich sowie um wesentliche Entscheidungen zu treffen. Das Ausmaß der notwendigen Mitwirkung des Auftraggebers ist abhängig von der vom Auftraggeber gewählten Art der Unterstützungsleistung.

Sollte Ihr Unternehmen Beratung bei der Absicherung von OT-Produkten oder OT-Infrastruktur gemäß Best Practices benötigen, steht Ihnen unser Team gerne zur Seite. Für weitere Informationen kontaktieren Sie uns direkt.