Werbung

IT-Security in der Produktion: Digitalisierung, aber sicher

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print

IT-Security in der Produktion: Digitalisierung, aber sicher

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print

Je weiter die Digitalisierung in der Produktion voranschreitet, desto wichtiger ist es, die Systeme gegen unautorisierte Zugriffe, Sabotage, Datendiebstahl und Spionage abzusichern. Der internationale Security-Standard IEC 62443 definiert dazu Anforderungen an die Entwicklungs- und Integrationsprozesse sowie die Security-Technologien. TÜV Süd hat das erste Produkt gemäß IEC 62443 zertifiziert: das Prozessleitsystem Simatic PCS 7 von Siemens. von Dr. Kai Wollenweber

dm_2017_02_13_bild_3

Je weiter die Digitalisierung in der Produktion voranschreitet, desto wichtiger ist es, die Systeme gegen unautorisierte Zugriffe, Sabotage, Datendiebstahl und Spionage abzusichern. Der internationale Security-Standard IEC 62443 definiert dazu Anforderungen an die Entwicklungs- und Integrationsprozesse sowie die Security-Technologien. TÜV Süd hat das erste Produkt gemäß IEC 62443 zertifiziert: das Prozessleitsystem Simatic PCS 7 von Siemens. von Dr. Kai Wollenweber

Ende Januar hat der VDI die Ergebnisse seiner Umfrage zu Industrie 4.0 in Deutschland vorgestellt. Das Fazit: Unternehmen müssen mehr und schneller in die Digitalisierung investieren, um im globalen Wettbewerb bestehen zu können. Digitalisierung beschleunigt und verbessert Prozesse, ermöglicht eine bessere Übersicht und senkt die Entwicklungs- und Produktionskosten. Sie ist aber immer auch mit Risiken verbunden: Produktionssysteme werden über neue Wege angreifbar. Security ist die Grundlage für die Akzeptanz der voranschreitenden vernetzten Digitalisierung.
Die Standards der Normenfamilie IEC 62443 berücksichtigt erstmalig alle für eine ganzheitliche Sicherheitsbetrachtung notwendigen Rollen: Anlagenbetreiber, Systemintegratoren sowie Produkt- beziehungsweise Komponentenhersteller. Nur durch das Zusammenwirken aller Beteiligter kann das Ziel, die sichere Automatisierung, überhaupt erreicht werden.
Lange gab es nicht die Möglichkeit, die IT-Sicherheit von Produkten und Dienstleistungen zu zertifizieren und damit nachzuweisen, dass sie die Anforderungen für eine sicherere digitalisierte Produktion erfüllen. Mit der IEC 62443 wurde die Grundlage für eine solche Zertifizierung geschaffen.

Die vier Säulen der Sicherheit

Die Normenreihe gliedert sich in vier Säulen, von denen die erste Säule Grundkonzepte und Begriffe definiert. Als Basis dient der „Defense-in-Depth”-Ansatz, der das Ziel verfolgt, unter anderem durch Netzwerksegmentierung, Secure-by-Design und Need-to-Know-Prinzipien mehrere Barrieren aufzubauen, die ein Angreifer erst einmal überwinden muss, um an sensible Objekte zu gelangen. Zentral sind auch die enthaltenen vier „Security Levels“, die eine Kategorisierung möglicher Angreifer auf Basis ihrer Fähigkeiten, Mitteln und Ressourcen ermöglichen. Anhand des ermittelten Schutzbedarfs kann für ein Objekt das Schutzziel auf Grundlage eines „Security Levels“ festgelegt werden.
Die zweite Säule enthält Anforderungen an Betrieb, Systemintegration und Wartung von Systemen. Basierend auf einer Risikoanalyse werden Maßnahmen für die organisatorischen Prozesse und die technische Realisierung abgeleitet. Ziel ist, diese kontinuierlich zu evaluieren und zu verbessern.
In der dritten Säule werden systembezogene Voraussetzungen für sichere IACS (Industrial Automation and Control Systems) definiert. Mit der Einrichtung von Zonen sollen Komponenten zusammengefasst werden, die den gleichen Schutzbedarf haben und physikalisch, räumlich oder logisch von anderen Komponenten des Systems getrennt betrachtet werden können. Auch die technischen Anforderungen, um einen bestimmten Security Level zu gewährleisten, werden hier beleuchtet.
Säule vier adressiert die Hersteller von Komponenten und Produkten. Sie legt den Fokus auf den Entwicklungs- und Wartungsprozess der Produkte. Eine umfassende Qualitätssicherung mit einer erweiterten Verifizierung und Validierung von technischen Sicherheitsanforderungen ist ebenso Bestandteil wie die Handhabung von neu entdeckten Security-Schwachstellen und der notwendigen Bereitstellung von Security Patches. Denn erst durch den Nachweis der Qualität innerhalb der Produktentwicklung wird die Grundlage für ein sicheres Produkt gelegt.

Zertifizierte IT-Security

Vor Einführung des Security-Standards IEC 62443 konnten Produkte und Dienstleistungen für die automatisierte Produktion bezüglich ihrer IT-Security nicht zertifiziert werden. Es gab keine international gültigen und anerkannten Standards. Durch die Einführung der Normenreihe IEC 62443 können nun auch Steuerungs- und Kontrollsysteme und die dazu gehörigen Produkte zertifiziert werden.
TÜV Süd ist dabei eines der ersten Unternehmen, das als akkreditierte Stelle Hersteller und Integratoren zertifiziert. Grundlage für die Zertifizierung von Herstellern ist die IEC 62443-4-1 (Secure Product Development Lifecycle Requirements). Systemintegratoren werden auf Basis der IEC 62443-2-4 (Security Program Requirements for IACS Service Providers) zertifiziert. Die realisierten Security-Funktionen werden in beiden Fällen nach der IEC 62443-3-3 bewertet (System Security Requirements and Security Levels).

Erste Produktzertifizierung

Das Siemens-Prozessleitsystem Simatic PCS 7 ist weltweit das erste Produkt, das von TÜV Süd nach der IEC 62443 zertifiziert wurde. In der chemischen und pharmazeutischen Industrie, sowie bei Anlagen im Wasser- und Abwasserbereich steuert und überwacht dieses System kontinuierliche Herstellungsprozesse. In ihm sind umfassende Sicherheitsfunktionen implementiert, etwa die Segmentierung in Zonen und Security-Zellen, die Sicherung von Zugangspunkten, Benutzerauthentifizierung und gesicherte Kommunikation, sowie ein Patch-Management, Systemhärtung, Virenscanner und ein Whitelisting, das nur vertrauenswürdige Anwendungen zulässt.
Mit der Zertifizierung gemäß den Security-Standards IEC 62443-4-1 (Produktentwicklung von Simatic PCS 7) und IEC 62443-3-3 (Security Funktionalitäten von Simatic PCS 7) hat TÜV Süd bestätigt, dass diese Funktionen dazu beitragen, Produktionssysteme zu sichern und Ausfälle zu vermeiden.
Das Zertifikat bestätigt auch, dass Security als Qualitätsmerkmal kontinuierlicher Bestandteil jeder Phase im Entwicklungs- und Integrationsprozess ist: von der Definition der Security-Anforderungen, über das Design und das Testing bis hin zur Auslieferung und Wartung des Produktes. Regelmäßige, wiederkehrende Audits werden auch künftig sicherstellen, dass Simatic PCS 7 die Ansprüche der IEC 62443 weiterhin erfüllt.

Fazit

Mit der IEC 62443 als Leitfaden können Unternehmen die Schutzmaßnahmen für ihre industrielle IT kontinuierlich evaluieren und verbessern, um die Security zu erhöhen und das Restrisiko zu minimieren. Dabei müssen sie nicht auf den Einsatz von standardisierten Hard- und Softwareprodukten in kritischen Umgebungen verzichten. jbi

Autor: Dr. Kai Wollenweber ist Senior Expert Functional Safety & Industrial IT Security bei TÜV Süd.

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on xing
XING
Share on whatsapp
WhatsApp
Share on email
E-Mail
Share on print
Drucken

Ihre Meinung zum Artikel

Abonnieren
Benachrichtige mich bei
guest
0 Comments
Inline Feedbacks
View all comments

Andere Leser haben sich auch für die folgenden Artikel interessiert

Werbung

Top Jobs

Data Visualization App/BI Developer (m/f/d)
Simon-Kucher & Partners, Germany/Bonn or Cologne
› weitere Top Jobs
Werbung

Redaktionsbrief

Tragen Sie sich zu unserem Redaktionsbrief ein, um auf dem Laufenden zu bleiben.

Werbung
Werbung

Aktuelle Ausgabe

Topthema: Apps, Portale, Software – Prozesse effizienter gestalten

Automatisierung

Mehr erfahren

Wir wollen immer besser werden!

Deshalb fragen wir SIE, was Sie wollen!

Nehmen Sie an unserer Umfrage teil, und helfen Sie uns noch besser zu werden!

zur Umfrage

Tragen Sie sich jetzt kostenlos und unverbindlich ein, um keinen Artikel mehr zu verpassen!

    * Jederzeit kündbar

    Entdecken Sie weitere Magazine

    Schön, dass Sie sich auch für weitere Fachmagazine unseres Verlages interessieren.

    Unsere Fachtitel beleuchten viele Aspekte der Digitalen Transformation entlang der Wertschöpfungskette und sprechen damit unterschiedliche Leserzielgruppen an.