{"id":2660,"date":"2024-03-25T18:16:09","date_gmt":"2024-03-25T16:16:09","guid":{"rendered":"https:\/\/certitude.consulting\/blog\/?p=2660"},"modified":"2025-01-09T10:25:51","modified_gmt":"2025-01-09T08:25:51","slug":"isms-fur-industrie-auf-basis-der-iec-62443","status":"publish","type":"post","link":"https:\/\/certitude.consulting\/blog\/de\/isms-fur-industrie-auf-basis-der-iec-62443\/","title":{"rendered":"ISMS f\u00fcr Industrie auf Basis von IEC 62443"},"content":{"rendered":"\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"683\" src=\"https:\/\/certitude.consulting\/blog\/wp-content\/uploads\/2024\/03\/pexels-pixabay-257700-1024x683.jpg\" alt=\"production plant\" class=\"wp-image-2663\" srcset=\"https:\/\/certitude.consulting\/blog\/wp-content\/uploads\/2024\/03\/pexels-pixabay-257700-1024x683.jpg 1024w, https:\/\/certitude.consulting\/blog\/wp-content\/uploads\/2024\/03\/pexels-pixabay-257700-300x200.jpg 300w, https:\/\/certitude.consulting\/blog\/wp-content\/uploads\/2024\/03\/pexels-pixabay-257700-768x512.jpg 768w, https:\/\/certitude.consulting\/blog\/wp-content\/uploads\/2024\/03\/pexels-pixabay-257700-1536x1024.jpg 1536w, https:\/\/certitude.consulting\/blog\/wp-content\/uploads\/2024\/03\/pexels-pixabay-257700.jpg 1920w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p>Anforderungen aus NIS2 (kritische Infrastrukturen) f\u00fcr produzierende Unternehmen und Betreiber wesentlicher und wichtiger Dienste sowie normspezifische Anforderungen zur Informationssicherheit von Kundensektoren (z.B. Automotive) beziehen sich vermehrt auf internationale Normen, wobei sich f\u00fcr Operating Technology (OT) das Normenrahmenwerk IEC 62443 als Standard etabliert hat.<\/p>\n\n\n\n<p>Die Betreiber, Systemintegratoren, Wartungsunternehmen und Komponentenhersteller dieses Segments sehen sich immer st\u00e4rker herausgefordert ihre Systeme der industriellen Automatisierung bzw. ihre Produktion vor potenziellen Cyberangriffen zu sch\u00fctzen und eine Verbesserung der Integrit\u00e4t sowie Verf\u00fcgbarkeit der Komponenten und Systeme herbeizuf\u00fchren und klar zu dokumentieren.<\/p>\n\n\n\n<p>Das Rahmenwerk der IEC 62443 stellt dabei eine wesentliche Hilfestellung und eine internationale gleichgerichtete Orientierung f\u00fcr alle 4 Zielgruppen dar. Die IEC 62443-2-1 definiert als zentrales Normelement den Aufbau eines Informationssicherheits-Managementsystems f\u00fcr den Betreiber (Asset-Owner) industrieller Automatisierungs- und Steuerungssysteme (IACS). Wichtige Themen (sogenannte Security Program Elements (SPE)) darin sind u.a.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Organisatorische Verantwortlichkeiten und Richtlinien der Organisation<\/li>\n\n\n\n<li>Sicherheits\u00fcberpr\u00fcfungen und Risikomanagement aber auch<\/li>\n\n\n\n<li>Konfigurationsmanagement sowie<\/li>\n\n\n\n<li>Netzwerk und Kommunikationssicherheit<\/li>\n<\/ul>\n\n\n\n<p>um nur einige zu nennen.<\/p>\n\n\n\n<p>Einen sehr wesentlichen Teil stellt die Anforderungsspezifikation des IT-Sicherheitsprogramms des Betreibers an die Dienstleister f\u00fcr industrielle Automatisierungssysteme und vice versa dar. Hierf\u00fcr stehen weitere Normteile IEC 62443-2-4 (Anforderungen an das IT-Sicherheitsprogramm von Dienstleistern) und IEC 62443-3-2 (Sicherheitsrisikobeurteilung und Systemgestaltung) zu Verf\u00fcgung. Die technischen Sicherheitsanforderungen an Komponenten und deren Lebenszyklus f\u00fcr eine sichere Produktentwicklung werden bespielweise in den Teilen 4-1 sowie 4-2 abgehandelt.<\/p>\n\n\n\n<p>Die Zusammenarbeit der Schl\u00fcsselrollen Betreiber\/ Integratoren\/ Wartungsunternehmen und Komponentenhersteller tr\u00e4gt wesentlich zum sicheren Betrieb, Verf\u00fcgbarkeit von Systemen und damit zu Vermeidung von finanziellen Sch\u00e4den bei.<\/p>\n\n\n\n<p>Die Abh\u00e4ngigkeiten bzw. das Zusammenspiel der einzelnen Normen im Rahmenwerk IEC 62443 zeigt die unten dargestellte Grafik.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"896\" height=\"632\" src=\"https:\/\/certitude.consulting\/blog\/wp-content\/uploads\/2024\/03\/image-5.png\" alt=\"\" class=\"wp-image-2672\" srcset=\"https:\/\/certitude.consulting\/blog\/wp-content\/uploads\/2024\/03\/image-5.png 896w, https:\/\/certitude.consulting\/blog\/wp-content\/uploads\/2024\/03\/image-5-300x212.png 300w, https:\/\/certitude.consulting\/blog\/wp-content\/uploads\/2024\/03\/image-5-768x542.png 768w\" sizes=\"auto, (max-width: 896px) 100vw, 896px\" \/><figcaption class=\"wp-element-caption\">Referenz: <a href=\"http:\/\/www.isa.org\">www.isa.org<\/a> Start Guide to ISA\/IEC 62443<\/figcaption><\/figure>\n\n\n\n<p>Wir beraten Betreiber im Umfeld der industriellen Automatisierungstechnik und Steuerungssysteme, sowie auch Komponentenhersteller, die ihre T\u00e4tigkeiten am Rahmenwerk der IEC 62443 anlehnen wollen bzw. aufgefordert sind dies zu tun.<\/p>\n\n\n\n<p>Leistungen von Certitude k\u00f6nnen umfassen:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Aufbau des Informationssicherheitsmanagementsystems im OT-Bereich<\/li>\n\n\n\n<li>Gap-Analysen zur Erhebung der noch umzusetzenden Mindestanforderungen<\/li>\n\n\n\n<li>Unterst\u00fctzung bei der Bewertung des Umsetzungsgrades durch gesetzte Ma\u00dfnahmen<\/li>\n\n\n\n<li>Entwurf, Anpassung und ggf. Implementierung eines Frameworks f\u00fcr ein ISMS inkl. Risikomanagement, Richtlinien, Prozesse und Guidelines<\/li>\n\n\n\n<li>Unterst\u00fctzung bei der Umsetzung der geforderten Ma\u00dfnahmen im Unternehmen<\/li>\n\n\n\n<li>Zielgerichteten Behandlung von Themenbereichen aus der Richtlinie sowie die empfohlene Art der Umsetzung beim Auftraggeber<\/li>\n\n\n\n<li>Unterst\u00fctzung bei der Auswahl und Implementierung von technischen Ma\u00dfnahmen zur Abwehr von Cyber-Angriffen<\/li>\n\n\n\n<li>Penetrationstests von OT-Netzwerken oder Anlagen zur Erkennung ausnutzbarer Schwachstellen f\u00fcr Betreiber<\/li>\n\n\n\n<li>Sicherheits\u00fcberpr\u00fcfungen von Produkten (Hardware, Firmware, Software) f\u00fcr Hersteller<\/li>\n<\/ul>\n\n\n\n<p>Die Art der Zusammenarbeit wird zwischen Auftraggeber und Auftragnehmer im Rahmen der Projektvorbereitung und -abwicklung abgestimmt und kann daher regelm\u00e4\u00dfig an den Bedarf angepasst werden.<\/p>\n\n\n\n<p>Die Mitwirkung des Auftraggebers ist zumindest f\u00fcr die Bereitstellung der notwendigen Informationen erforderlich sowie um wesentliche Entscheidungen zu treffen. Das Ausma\u00df der notwendigen Mitwirkung des Auftraggebers ist abh\u00e4ngig von der vom Auftraggeber gew\u00e4hlten Art der Unterst\u00fctzungsleistung.<\/p>\n\n\n\n<p class=\"has-background\" style=\"background-color:#f7f7f7\">Sollte Ihr Unternehmen Beratung bei der Absicherung von OT-Produkten oder OT-Infrastruktur gem\u00e4\u00df Best Practices ben\u00f6tigen, steht Ihnen unser Team gerne zur Seite. F\u00fcr weitere Informationen <a href=\"https:\/\/certitude.consulting\/kontakt.html\">kontaktieren Sie uns direkt<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Anforderungen aus NIS2 (kritische Infrastrukturen) f\u00fcr produzierende Unternehmen und Betreiber wesentlicher und wichtiger Dienste sowie normspezifische Anforderungen zur Informationssicherheit von Kundensektoren (z.B. Automotive) beziehen sich vermehrt auf internationale Normen, wobei sich f\u00fcr Operating Technology (OT) das Normenrahmenwerk IEC 62443 als Standard etabliert hat. Die Betreiber, Systemintegratoren, Wartungsunternehmen und Komponentenhersteller dieses Segments sehen sich immer st\u00e4rker [&hellip;]<\/p>\n","protected":false},"author":24,"featured_media":2663,"comment_status":"closed","ping_status":"open","sticky":true,"template":"","format":"standard","meta":{"footnotes":""},"categories":[228,34],"tags":[],"class_list":["post-2660","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-compliance","category-expert"],"_links":{"self":[{"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/posts\/2660","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/users\/24"}],"replies":[{"embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/comments?post=2660"}],"version-history":[{"count":10,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/posts\/2660\/revisions"}],"predecessor-version":[{"id":2712,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/posts\/2660\/revisions\/2712"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/media\/2663"}],"wp:attachment":[{"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/media?parent=2660"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/categories?post=2660"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/tags?post=2660"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}