06/05/2020

Beschaffung von sicheren Anlagenkomponenten mit IEC 62443

Sicherer Betrieb von OT-Umgebungen beginnt bereits bei der Beschaffung, daher betrachtet dieser Post die Relevanz der Beschaffung von sicheren Anlagenkomponenten mit IEC62443. Für den Beschaffungsprozess aus Sicht des Betreibers ist vor allem die IEC 62443-4-Ebene relevant. Diese adressiert Komponentenhersteller und die Sicherheitseigenschaften von Komponenten. Zum einen mit Anforderungen an einen sicheren Entwicklungsprozess (62443-4-1), sowie mit technischen Sicherheitseigenschaften, welche von industriellen Komponenten gefordert werden können (62443-4-2).

Dieser Beitrag soll einen kurzen Einblick in die Anwendung des 62443-4-2, sowie die Definition von Anforderungen basierend auf der Norm, geben.

Überblick der Norm IEC 62443-4-2

Grundsätzlich richtet sich die 4-2 Norm an alle industriellen Komponenten, welche in vier Gerätetypen eingeteilt werden:

  • Embedded Devices (z.B. PLC, Sensoren, DCS)
  • Host Devices (z.B. PC, Workstation)
  • Network Devices (z.B. Industrial Router/Switches)
  • Software Applications (z.B. Konfigurations-Software, Historisierungs- oder HMI-Software)

Die Anforderungen werden unterteilt in Foundational Requirements (FR), die generelle Component Requirements (CR) definieren, sowie spezifische Anforderungen pro Gerätetyp (z.B. Network device requirements).

Definition von Anforderungen für eine Anlagenplanung

Dazu sollte eine Risikoanalyse basierend auf dem Vorgehensmodell der IEC 62443-3-2 durchgeführt und auf Basis der ermittelten Risiken ein Systemdesign entworfen werden. Um die identifizierten Risiken zu mitigieren, können entsprechend notwendige Anforderungen an die Komponenten abgeleitet werden. Diese Menge an Anforderungen kann gezielt über eine Auswahl von Anforderungen (CR) definiert werden.

Basierend auf der Kritikalität und besonderen Schutzbedürfnissen (z.B. Gesetzgebung), soll für jede Komponente der sogenannte Security-Level (SL 1-4) definiert und die Anforderungen entsprechend angepasst werden. Diese Liste von Anforderungen bildet die Grundlage für die aus Security-Sicht zielgerichtete Beschaffung von Komponenten. Komponentenhersteller, die nach 62443-4 produzieren, liefern für ihre Produkte die erreichbaren Anforderungen und Security-Levels (SL-C). Es wird sicher auch Fälle geben, in denen verschiedene Anforderungen von einer Komponente nicht erfüllt werden können – in diesem Fall sollten kompensierende Maßnahmen geplant und implementiert werden, um den Schutz der Komponente und Anlage zu gewährleisten, die Komponente kann unter dieser Maßgabe dennoch eingesetzt werden. Die Auswahl der einem gewünschten Security-Level entsprechenden Komponente stellt die Basis für einen sicheren Anlagenbetrieb dar.

Im industriellen Umfeld hat sich die IEC 62443-4 Ebene mit zahlreichen Produktzertifizierungen, u.a. Siemens, Phoenix Contact, Rockwell und Cisco mittlerweile bereits durchaus etabliert.

Limes Security ist Spezialist auf dem Gebiet der IEC 62443-Standards und unterstützt Sie durch zielgerichtete Beratung gerne bei der Erreichung Ihres gewünschten Sicherheitsniveaus sowohl im Bereich der sicheren Softwareentwicklungsprozesse als auch technischer Sicherheitseigenschaften an Komponenten.