ISO/IEC 62443 beschreibt Maßnahmen zur IIoT-Sicherheit
Wegen dieser Komplexität empfiehlt sich gerade bei der Absicherung von IIoT-Umgebungen ein systematisches und strukturiertes Vorgehen. Dabei hilft die einschlägige Normenreihe ISO/IEC 62443, die Maßnahmen für die Netzwerk- und Systemsicherheit in industriellen Kommunikationsnetzen beschreibt.
Die ISO/IEC 62443 verfolgt einen „Defense-in-Depth“-Ansatz: Auf Basis einer detaillierten Bedrohungs- und Schwachstellenanalyse wird das Gesamtnetz in verschiedene Sicherheitszonen („Zones“) segmentiert. Diese Zonen sowie die Übergänge bzw. Kommunikationskanäle („Conduits“) zwischen ihnen werden separat abgesichert, um das Vordringen eines eingedrungenen Angreifers in weitere Bereiche (Network Propagation) zu verhindern. Dafür werden den Zones und Conduits in Abhängigkeit von Schutzwürdigkeit und aktueller Bedrohungslage individuelle Security Level (SL) zugewiesen.
Cybersecurity-Anforderungen für Komponenten von eingebetteten Systemen
Die ISO/IEC 62443 fordert, bei der Absicherung den gesamten Lebenszyklus eingesetzter Produkte und Systeme in den Blick zu nehmen. Hier sind besonders auch die Hersteller von vernetzten Komponenten für eingebettete Systeme gefordert. Die Norm unterscheidet drei grundlegende Rollen – Hersteller, Systemintegratoren und Anlagenbetreiber – mit jeweils spezifischen Security-Anforderungen.
Grundsätzlich müssen Hersteller vernetzter Maschinen, Anlagen oder Komponenten ihre Produkte über den gesamten Lebenszyklus hinweg sicher halten. Denn nur so ist in Zeiten von Industrie 4.0 ein bestimmungsmäßiger Gebrauch möglich. Dazu gehört beispielsweise schon bei der Entwicklung von Hard- und Software die Integration sicherer Verschlüsselungsmechanismen und Update-Wege.
Ebenso müssen Hersteller über neu entdeckte oder entstandene Risiken informieren und gegebenenfalls Patches und Updates zur Verfügung stellen. Betreiber oder Integratoren müssen ihrerseits dafür sorgen, dass Firm- und Software aktuell sind, Herstellervorgaben eingehalten und zudem IT- und OT-Systeme regelmäßig auf mögliche Schwachstellen überprüft werden.
Absicherung von IIoT-Komponenten
Um die Anwendung der in der ISO/IEC 62443 beschriebenen Methodik zu erleichtern, hat das BSI im Rahmen des sogenannten „IT-Grundschutzes“ auch Anleitungen zur Absicherung von IIoT- und ICS-Komponenten veröffentlicht. Die speziellen Anforderungen von industrieller IT beschreiben die Grundschutz-Bausteine mit dem Kürzel „IND“ (z.B. IND 2.2 „Speicherprogrammierbare Steuerung“, IND 2.3 „Sensoren und Aktoren“). Im „ICS Security Kompendium“ des BSI bekommen Betreiber ebenfalls wertvolle Informationen. Auch die Richtlinie VDI/VDE 2182 zur „Informationssicherheit in der industriellen Automatisierung“ beschreibt eine mit der ISO/IEC 62443 kompatible Vorgehensweise zur Absicherung automatisierter Maschinen und Anlagen.
Weil aber auch mit den umfassendsten Security-Maßnahmen ein erfolgreicher Cyberangriff nie ganz auszuschließen ist, benötigen Unternehmen auch eine detaillierte Notfallplanung mit Zuständigkeiten und Sofortmaßnahmen, um die Schäden eines Angriffs zu minimieren und den Regelbetrieb schnell wieder aufzunehmen. Dabei unterstützt die internationale Norm ISO/IEC 27035 „Information Security Incident Management“ mit Leitlinien zur Identifizierung, Bewertung und Behandlung von Sicherheitsvorfällen und Schwachstellen.
Aufbau von Cybersecurity-Know-how
Bei der Absicherung von OT und IT müssen Hersteller von Betreiber heute an einem Strang ziehen. Hersteller brauchen dafür ‚Security by Design‘, denn nachträgliche Absicherungen sind teuer und wirken nur kurz. Und Betreiber müssen das Prinzip ‚Zero Trust‘ verinnerlichen, denn es gibt in komplex vernetzten Umgebungen kein sicheres Innen mit absolut vertrauenswürdigen Komponenten und Akteuren mehr.
Hersteller und Betreiber sollten also jetzt ihre digitalen Hausaufgaben machen. Dafür müssen sie entsprechendes Security-Know-how aufbauen oder externe Spezialisten einbinden.
In Track 4 der embedded world Conference 2023 finden Sie Vorträge rund um das Thema Cybersecurity in eingebetteten Systemen. Besuchen Sie die safety & security Area in Halle 4.
Quelle: Die Originalfassung des Artikels von Stephan Strohmeier, NewTec GmbH, lesen Sie auf www.elektroniknet.de