Industrial Security Konzepte für industrielle Automatisierungssysteme nach IEC 62443
Überblick
Cyber Security
Risikoanalyse und -management nach IEC 62443
Mit der zunehmenden Konnektivität von Produktionsanlagen (IIoT) ergeben sich neue Gefahren, die in die traditionellen Risikomanagementprozesse einbezogen werden müssen. Als Anlagenbetreiber, Maschinen- oder Steuerungshersteller sollten auch Sie sich dieser Risiken bewusst sein. Die internationale Standardserie IEC 62443 befasst sich mit der Cybersicherheit von Industrial Automation and Control Systems (IACS) und verfolgt dabei einen ganzheitlichen Ansatz, der den gesamten Lebenszyklus abdeckt.
KontaktCyber Security & IT/OT Integrity
Benötige ich das überhaupt?
Beispiel anhand des TRITON-Malware-Frameworks
Zu den bekanntesten Vertretern industrieanlagenspezifischer Schadsoftware zählt Triton, welches erstmals 2017 in einer saudi-arabischen Chemiefabrik entdeckt wurde. Hierbei wird das Sicherheitssystem der Anlage gezielt attackiert, um diese aus der Ferne zu übernehmen und zu steuern. Die Software schlummerte damals bereits mehrere Jahre über im System, bevor sie im Jahr 2017 zweimal einen Ausfall der Fabrikanlage verursachte. Die Angreifer hätten jedoch auch den Austritt gefährlicher Gase oder Explosionen auslösen können, damit wären neben den wirtschaftlichen Ressourcen auch Menschleben gefährdet gewesen.
Mythos 1
Wir sind gar nicht mit dem Internet verbunden.
Mythos 2
Unsere Firewall schützt uns vor jeglichen Gefahren.
Mythos 3
Hacker haben keine Ahnung von SCADA/DCS/PLC
Mythos 4
Unsere Anlage ist kein Ziel für Angriffe.
Mythos 5
Unser Sicherheitssystem wird sämtlichen Schaden abwehren.
Maschinen- und Anlagenbetreiber
Dank des IEC 62443-Standards kennen Sie als Maschinen-/Anlagenbetreiber die Security-Anforderungen Ihres Betriebes und sind damit in der Lage, sowohl Ihre Produktion abzusichern, als Ihren Betrieb ohne viel Zusatzmaßnahmen um neue Maschinen oder Prozessanlagen, die den Sicherheitsanforderungen entsprechen, zu erweitern (IEC 62443 3-2, 3-3).
KontaktMaschinenhersteller und Anlagenbauer
Der IEC 62443-Standard ermöglicht es Ihnen als Anlagenbauer und Maschinenhersteller, Anlagen mit definierten Security-Anforderungen zu bauen und zu installieren (IEC 62443 3-2, 3-3). Damit ist eine nahtlose Integration in bestehende Anlagen mit bekannten Sicherheitsanforderungen möglich.
KontaktSteuerungshersteller (IACS)
Sie als Steuerungshersteller (IACS) könne die Betrachtung von Security-Anforderungen nach IEC 62443 4-1 in Ihre Produktentwicklungsprozesse aufnehmen, um Steuerungen mit den, für Ihre Kunden relevanten, Sicherheitsanforderungen gemäß IEC 62443-4-2 IEC zu entwickeln. Wartungs- und Serviceprozesse werden dank IEC 62443 2-4 sicher gestaltet.
KontaktRisikofaktoren
Worauf sollten wir unsere Aufmerksamkeit lenken?
Anlagensicherheit & Risikomanagement
Bis vor etwa 15 Jahren basierte die Anlagenleistung und -sicherheit auf technischer Integrität sowie Prozessen und Systemen. Damals erkannte man, welch großen Einfluss menschliche Faktoren auf Sicherheit und Leistung haben. Allgemeine Annahmen des Risikomanagements gehen davon aus, dass bis zu 80% aller Sicherheits- und Leistungsvorfälle menschliche Faktoren als Ursache haben.
Es ist wichtig zu verstehen, dass Integritätsverluste bei der Cyber Security einen großen Einfluss auf Sicherheit und Leistung haben können. Vorfälle, welche die Cyber Security betreffen, können ihren Ursprung in menschlichen Faktoren, auf Systemen sowie in der direkten technischen Integrität haben.
Sicherheit aus einer Hand
TÜV AUSTRIA begleitet Unternehmen, mit umfassenden Analysen & Beratungsleistungen sowie Unterstützung bei der Implementierung, auf ihrem Weg zur Zertifizierung nach IEC 62443. Dank der ganzheitlichen Betrachtung der Unternehmen sorgt TÜV AUSTRIA mitunter für fortwährende Risikominimierung, Wettbewerbsvorteile durch den Nachweis eines unabhängigen Dritten sowie beständige Sicherheit.
KontaktUnsere Services im Detail
- Netzwerksegmentierungen - IT/OT
- Incident- & Patch-Management
- Schwachstellenbewertungen & Penetrationstests
- Schulung des Sicherheitsbewusstseins der Mitarbeiter
Industrieanlagen
- Sichere Produktentwicklung, -integration und -zertifizierung
- Security Hardening
- Sichere Hard- und Software für den gesamten Produktlebenszyklus
IoT, IIoT und Industrielle Automatisierte Steuerungssysteme (IACS)
- Security by Design
- Kollaborative Robotik und AR/VR
- Bewertung des Arbeitsbereichs
Physische & kognitive Assistenzsysteme
IEC 62443-Familie Überblick
Teil 1: Allgemeines | |
|---|---|
| Teil 1-1 | Begriffe, Konzepte und Modelle |
| Teil 1-2 | Verzeichnis von Begriffen und Abkürzungen |
| Teil 1-3 | Maße zur Einhaltung der Systemsicherheit |
| Teil 1-4 | IACS Sicherheitslebenszyklus und Anwendungsfälle |
Teil 2: Richtlinien & Verfahren | |
| Teil 2-1 | Einrichtung eines industriellen Automatisierungs- und Steuerungssystems |
| Teil 2-2 | Anleitung zur Implemtierung eines IACS-Sicherheitsmanagementsystems |
| Teil 2-3 | Patch-Management in der IACS-Umgebung |
| Teil 2-4 | Sicherheitheitsprogramm-Anforderungen für IACS-Dienstleister |
Teil 3: System | |
| Teil 3-1 | Sicherheitstechnologien für industrielle Automatisierungs- und Steuerungssysteme |
| Teil 3-2 | Bewertung von Sicherheitsrisiken und Systemdesign |
| Teil 3-3 | Systemanforderungen und Sicherheitslevel |
Teil 4: Komponente / Produkt | |
| Teil 4-1 | Anforderungen an einen sicheren Produktentwicklungszyklus |
| Teil 4-2 | Technische Sicherheitsanforderungen für IACS-Komponenten |