Startseite » Sicherheitstechnik »

Phoenix Contact unterstützt Security by Design gemäß IEC 62443

Operational-Technology-Security
Phoenix Contact unterstützt Security by Design gemäß IEC 62443

Die Phoenix Contact Electronics GmbH bietet standardisierte Security in Produkten, Industrielösungen und Dienstleistungen für den zukunftssicheren Betrieb von Maschinen, Anlagen und Infrastrukturen. In einer Standort- und Prozessanalyse können Unternehmen die relativen Risiken des Industriesystems und seine Wechselwirkung mit dem Anlageninformationssystem abschätzen. Was hierbei nach der Normenreihe für OT-Sicherheit IEC 62443–2–4 zu beachten ist, erklärt dieser Fachartikel.

Werner Neugebauer, Vertical Market Management, und Torsten Gast, Leiter Competence Center Services, Phoenix Contact Electronics GmbH, Bad Pyrmont

Inhaltsverzeichnis

1. Erweiterung der von der IT definierten Maßnahmen
2. Leitfaden zur Vorgehensweise
3. Security-Spezifikation
4. Schutzbedarfsanalyse
5. Bedrohungsanalyse
6. Risikoanalyse
7. Risikobehandlung
8. Risk Monitoring
9. Implementierung/Verifikation
10. Auswahl eines geeigneten Dienstleisters
11. Unterstützung durch umfassendes Leistungsspektrum

 

Mit dem im Juli 2015 verabschiedeten IT-Sicherheitsgesetz werden die Betreiber kritischer Infrastrukturen dazu verpflichtet, die für die Erbringung ihrer wesentlichen Dienste erforderliche IT gemäß dem Stand der Technik abzusichern. Andere industrielle Bereiche handhaben das Thema Security unterschiedlich. Produktionsanlagen und Fernzugriff sind hier oftmals kaum geschützt. Das liegt meist nicht am fehlenden Bewusstsein, dass etwas getan werden sollte, sondern es mangelt am benötigten Wissen sowie einem Leitfaden, wie vorzugehen ist. In diesem Zusammenhang treten folgende Fragen auf:

  • Was ist notwendig?
  • Wie sollte der Sachverhalt angegangen werden?
  • Wo lässt sich Unterstützung anfordern?
  • Welchen Standards sollte entsprochen werden?

Erweiterung der von der IT definierten Maßnahmen

Industrial Security muss ein ganzheitlicher Ansatz sein, der in den Köpfen des Managements sowie der Mitarbeiter – also der Menschen – beginnt. Neben technischen Maßnahmen, wie dem Einsatz von Industrial Security-Produkten (Technologie), dürfen organisatorische Maßnahmen in Form eines Security-Managements (Prozesse) nicht vernachlässigt werden (Bild 1). Eine sichere IT bildet die Grundlage für die Security im Unternehmen, die Kundendaten, Entwicklung und Fertigung, aber reicht das aus?

Im Vergleich zur IT (Information Technology)-Security ist die OT (Operational Technology)-Security, auch Industrial Control Systems (ICS)-Security genannt, bei identischen Themen mit anderen Herausforderungen konfrontiert (Bild 2). Um die Zugriffssicherheit in der OT komplett zu bedienen, sind die von der IT definierten Maßnahmen durch zusätzliche relevante Aktivitäten zu erweitern. Bei der Normenreihe ISO 27000 handelt es sich um den Standard, auf dessen Basis die Maßnahmen zur IT-Security für ein Unternehmen festgelegt werden. Auf dieses Thema wird hier nicht näher eingegangen. Die IEC 62443 beschreibt hingegen die Anforderungen für Betreiber, Integratoren und Gerätehersteller zur Umsetzung der Security in der OT. Das Design einer Automatisierungslösung muss daher ergänzend zur eigentlichen Automatisierungsaufgabe auch Security berücksichtigen, wobei die Teile 2–4 und 3–3 der IEC 62443 zu beachten sind (Bild 3).

Leitfaden zur Vorgehensweise

Die Konzeption einer Automatisierungslösung unter Security-Aspekten geschieht generell in enger Zusammenarbeit zwischen dem Integrator/Dienstleister und dem Betreiber. Zunächst werden alle Anlageninformationen hinsichtlich der Umgebung (freie Fläche, Gebäude etc.), der Struktur (Netzwerk, Auflistung der Komponenten und deren Installationsort etc.) und des Prozesses (Abläufe, Kommunikationsbeziehungen, schützenswerte Daten etc.) erfasst. Das betrifft sowohl neue ebenso wie bestehende Anlagen (Bild 4). Daran schließen sich folgende Schritte an:

Security-Spezifikation

Auf der Bestandsaufnahme aufbauend erfolgt die Security-Spezifikation für die Anlage. Sie beinhaltet das Netzwerkkonzept sowie eine Asset-Liste sämtlicher vernetzten Geräte und definiert bereits Härtungsmaßnahmen. Für die Zugriffssicherheit ist es ein Muss, dass die spezifizierten Aktivitäten bei der Übergabe der Anlage an den Betreiber auch verifiziert werden. Deshalb entsteht schon bei der Spezifikation die Testspezifikation, die später die Maßgabe bei der Anlagenabnahme bildet.

Schutzbedarfsanalyse

Im nächsten Schritt wird eine Schutzbedarfsanalyse durchgeführt. Dabei werden die schutzbedürftigen Assets, Daten und Kommunikationswege ermittelt und dokumentiert. Diese Analyse geschieht auf der Grundlage der Schutzziele Verfügbarkeit, Integrität und Vertraulichkeit. Damit einhergehend findet eine Festlegung der Zonen und Conduits in der Anlage statt. Am Ende liegt eine Schutzbedarfsfeststellung für die Automatisierungslösung vor, die für die eingesetzte Informationstechnik ausreichend und angemessen ist (Bild 5).

Bedrohungsanalyse

Auf dieser Basis erfolgt eine Bedrohungsanalyse. Sie gründet sich beispielsweise auf den Top-10-Bedrohungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) und wird gegebenenfalls durch betreiberspezifische Themen erweitert. Gemeinsam mit dem Betreiber werden die Gefährdungen hinsichtlich der Relevanz für die Automatisierungslösung bewertet und schriftlich festgehalten. Der Bedrohungsanalyse liegen ebenfalls die Schutzziele Verfügbarkeit, Integrität und Vertraulichkeit zugrunde.

Risikoanalyse

Auf den detektierten Bedrohungen beruhend wird eine Risikoanalyse vorgenommen, auf welche die Risikobehandlung folgt. Die Bedrohungen lassen sich auf Basis des vorhandenen Risikos (Produkt aus Schaden und Eintrittswahrscheinlichkeit) beurteilen:

  • Für Risiken, die für das Unternehmen nicht akzeptabel sind, werden Maßnahmen erarbeitet und die Auswirkung auf die Bewertung geprüft.
  • Sofern sich das Risiko auf ein akzeptables Niveau mindern lässt, sollten die Maßnahmen unter Beachtung der Wirtschaftlichkeit realisiert werden.

Im Ergebnis erhält der Betreiber eine Handlungsempfehlung für ein ganzheitliches, individuelles und produktneutrales Sicherheitskonzept, das auf die speziellen Anforderungen seines Unternehmens abgestimmt ist.

Risikobehandlung

Im Rahmen der Risikobeurteilung wird entschieden, wie mit den verbleibenden Risiken umzugehen ist. Mögliche Risikobehandlungs-Optionen sind:

  • Risiken lassen sich vermeiden, weil beispielsweise die Risikoursache ausgeschlossen wird.
  • Eine Reduzierung des Risikos ist möglich, indem eine Modifizierung der Rahmenbedingungen stattfindet, die zur Risikoeinstufung beigetragen haben.
  • Risiken werden durch ihre Teilung mit anderen Parteien transferiert.
  • Der Betreiber akzeptiert die Risiken.

Durch eine regelmäßige Prüfung der Maßnahmenumsetzung sowie der Bedrohungslage erfolgt ein stetiges Risk Monitoring.

Risk Monitoring

Unternimmt das Unternehmens nichts, besteht das Risiko trotzdem und wird akzeptiert. Hier sollte das Management mit dem Ziel einbezogen werden, alle identifizierten, analysierten, bewerteten und priorisierten Risiken angemessen zu behandeln. Sich daraus ergebende zusätzliche Security-Maßnahmen fließen in die Security- und Testspezifikation ein. Generell gilt dabei:

  • Sämtliche Prozessschritte müssen nach dem aktuellen Stand der Technik geschehen.
  • Die Ergebnisse werden dokumentiert und
  • der Betreiber zeichnet die Ergebnisse der Analysen ab.

Implementierung/Verifikation

Der Integrator/Anlagenlieferant führt die festgelegten Maßnahmen der Security-Spezifikation in der Anlage durch. Vor ihrer Übergabe an den Betreiber wird die Realisierung der Security-Maßnahmen anhand der Testspezifikation verifiziert und ist damit Bestandteil der Anlagenabnahme (Site Acceptance Test, SAT). In einem definierten Zeitraum – beispielsweise jährlich – muss überprüft werden, ob neue Bedrohungen oder Risiken vorhanden sind, die eine erneute Bewertung erfordern.

Auswahl eines geeigneten Dienstleisters

Zur Bearbeitung der beschriebenen Security-Maßnahmen empfiehlt es sich, dass der Betreiber einen geeigneten Dienstleister auswählt, mit dem er die Themen gemeinsam festlegt. Hierbei sollte es sich um ein Unternehmen handeln, welches gemäß IEC 62443–2–4 als Security-Dienstleister zertifiziert ist. So wird sichergestellt, dass das notwendige Wissen und die Prozesse vorliegen, um eine Automatisierungsanlage nach den Normenanforderungen zu designen. eve

Details zu den Security-Lösungen: hier.pro/z2WUY

Kontakt

Phoenix Contact Deutschland GmbH
Flachsmarktstraße 8
32825 Blomberg
Deutschland
Tel.: +49 52 35/3–1 20 00
Fax: +49 52 35/3–1 29 99
info@phoenixcontact.de
www.phoenixcontact.de


PLUS

Unterstützung durch umfassendes Leistungsspektrum

Phoenix Contact wurde im April 2019 vom TÜV Süd als eines der ersten Unternehmen in Deutschland nach der Normenreihe für OT-Sicherheit IEC 62443–2–4 zertifiziert. Die Zertifizierung bestätigt, dass das Unternehmen gemeinsam mit seinen Kunden sichere Automatisierungslösungen entwickeln und realisieren kann. Folgende Security-Dienstleistungen werden angeboten:

  • Erarbeitung von individuellen Lösungen und Konzepten für ausfallsichere Netzwerkstrukturen, zur Absicherung oder Fernwartung von Maschinen sowie für leistungsfähige Funknetzwerke auf der Grundlage der verschiedenen Branchenstandards
  • Umsetzung der Security- und Netzwerkanforderungen hinsichtlich Konfiguration und Dokumentation, Einführung von Managementsystemen, Erkennung und Beseitigung von Anomalien, Wartung des Netzwerks sowie Test der in Betrieb genommenen Systeme.
  • Unterstützung bei der Installation von Sicherheits-Updates sowie der Anpassung der Firewall-Regeln
  • Durchführung von Security-Grundlagen- und Expertenschulungen, Security-Awareness-Schulungen, Ethernet-Grundlagenschulungen sowie individuellen Praxistrainings, die speziell auf die jeweiligen Bedürfnisse zugeschnitten sind.
Systems Engineering im Fokus

Ingenieure bei der Teambesprechung

Mechanik, Elektrik und Software im Griff

Video-Tipp

Unterwegs zum Thema Metaverse auf der Hannover Messe...

Aktuelle Ausgabe
Titelbild KEM Konstruktion | Automation 3
Ausgabe
3.2024
LESEN
ABO
Newsletter

Abonnieren Sie unseren Newsletter

Jetzt unseren Newsletter abonnieren

Webinare & Webcasts
Webinare

Technisches Wissen aus erster Hand

Whitepaper
Whitepaper

Hier finden Sie aktuelle Whitepaper


Industrie.de Infoservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de