Lösung: Industrial Security Konzepte | IEC 62443
Solution: Industrial Security Konzepte | IEC 62443
Industrial Security Konzepte für industrielle Automatisierungssysteme nach IEC 62443
Sicherheit aus einer Hand
Sicherheit aus einer Hand
TÜV AUSTRIA begleitet Unternehmen, mit umfassenden Analysen & Beratungsleistungen sowie Unterstützung bei der Implementierung, auf ihrem Weg zur Zertifizierung nach IEC 62443. Dank der ganzheitlichen Betrachtung der Unternehmen sorgt TÜV AUSTRIA mitunter für fortwährende Risikominimierung, Wettbewerbsvorteile durch den Nachweis eines unabhängigen Dritten sowie beständige Sicherheit.
Cyber Security: Risikoanalyse und -management nach IEC 62443
Mit der zunehmenden Konnektivität von Produktionsanlagen (IIoT) ergeben sich neue Gefahren, die in die traditionellen Risikomanagementprozesse einbezogen werden müssen. Als Anlagenbetreiber, Maschinen- oder Steuerungshersteller sollten auch Sie sich dieser Risiken bewusst sein. Die internationale Standardserie IEC 62443 befasst sich mit der Cybersicherheit von Industrial Automation and Control Systems (IACS) und verfolgt dabei einen ganzheitlichen Ansatz, der den gesamten Lebenszyklus abdeckt.
Cyber Security & IT/OT Integrity
Benötige ich das überhaupt?
Beispiel anhand des TRITON-Malware-Frameworks: Zu den bekanntesten Vertretern industrieanlagenspezifischer Schadsoftware zählt Triton, welches erstmals 2017 in einer saudi-arabischen Chemiefabrik entdeckt wurde. Hierbei wird das Sicherheitssystem der Anlage gezielt attackiert, um diese aus der Ferne zu übernehmen und zu steuern. Die Software schlummerte damals bereits mehrere Jahre über im System, bevor sie im Jahr 2017 zweimal einen Ausfall der Fabrikanlage verursachte. Die Angreifer hätten jedoch auch den Austritt gefährlicher Gase oder Explosionen auslösen können, damit wären neben den wirtschaftlichen Ressourcen auch Menschenleben gefährdet gewesen.
Gängige Cyber Security-Mythen
Mythos 1: Wir sind gar nicht mit dem Internet verbunden.
Mythos 2: Unsere Firewall schützt uns vor jeglichen Gefahren.
Mythos 3: Hacker haben keine Ahnung von SCADA/DCS/PLC.
Mythos 4: Unsere Anlage ist kein Ziel für Angriffe.
Mythos 5: Unser Sicherheitssystem wird sämtlichen Schaden abwehren.
Maschinen- und Anlagenbetreiber
Dank des IEC 62443-Standards kennen Sie als Maschinen-/Anlagenbetreiber die Security-Anforderungen Ihres Betriebes und sind damit in der Lage, sowohl Ihre Produktion abzusichern, als Ihren Betrieb ohne viel Zusatzmaßnahmen um neue Maschinen oder Prozessanlagen, die den Sicherheitsanforderungen entsprechen, zu erweitern (IEC 62443 3-2, 3-3).
Maschinenhersteller und Anlagenbauer
Der IEC 62443-Standard ermöglicht es Ihnen als Anlagenbauer und Maschinenhersteller, Anlagen mit definierten Security-Anforderungen zu bauen und zu installieren (IEC 62443 3-2, 3-3). Damit ist eine nahtlose Integration in bestehende Anlagen mit bekannten Sicherheitsanforderungen möglich.
Steuerungshersteller (IACS)
Sie als Steuerungshersteller (IACS) könne die Betrachtung von Security-Anforderungen nach IEC 62443 4-1 in Ihre Produktentwicklungsprozesse aufnehmen, um Steuerungen mit den, für Ihre Kunden relevanten, Sicherheitsanforderungen gemäß IEC 62443-4-2 IEC zu entwickeln. Wartungs- und Serviceprozesse werden dank IEC 62443 2-4 sicher gestaltet.
Anlagensicherheit & Risikomanagement
Risikofaktoren, auf die wir unsere Aufmerksamkeit lenken sollten
Bis vor etwa 15 Jahren basierte die Anlagenleistung und -sicherheit auf technischer Integrität sowie Prozessen und Systemen. Damals erkannte man, welch großen Einfluss menschliche Faktoren auf Sicherheit und Leistung haben. Allgemeine Annahmen des Risikomanagements gehen davon aus, dass bis zu 80% aller Sicherheits- und Leistungsvorfälle menschliche Faktoren als Ursache haben.
Es ist wichtig zu verstehen, dass Integritätsverluste bei der Cyber Security einen großen Einfluss auf Sicherheit und Leistung haben können. Vorfälle, welche die Cyber Security betreffen, können ihren Ursprung in menschlichen Faktoren, auf Systemen sowie in der direkten technischen Integrität haben.
TÜV AUSTRIA Services
Industrieanlagen
- Netzwerksegmentierungen – IT/OT
- Incident- & Patch-Management
- Schwachstellenbewertungen & Penetrationstests
- Schulung des Sicherheitsbewusstseins der Mitarbeiter
IoT, IIoT und Industrielle Automatisierte Steuerungssysteme (IACS)
- Sichere Produktentwicklung, -integration und -zertifizierung
- Security Hardening
- Sichere Hard- und Software für den gesamten Produktlebenszyklus
Physische & kognitive Assistenzsysteme
- Security by Design
- Kollaborative Robotik und AR/VR
- Bewertung des Arbeitsbereichs
IEC 62443-Familie im Überblick
Teil 1: Allgemeines
- Teil 1.1: Begriffe, Konzepte und Modelle
- Teil 1-2: Verzeichnis von Begriffen und Abkürzungen
- Teil 1-3: Maße zur Einhaltung der Systemsicherheit
- Teil 1-4: IACS Sicherheitslebenszyklus und Anwendungsfälle
Teil 2.: Richtlinien und Verfahren
- Teil 2-1: Einrichtung eines industriellen Automatisierungs- und Steuerungssystems
- Teil 2-2: Anleitung zur Implementierung eines IACS-Sicherheitsmanagementsystems
- Teil 2-3: Patch-Management in der IACS-Umgebung
- Teil 2-4: Sicherheitsprogramm-Anforderung für IACS Dienstleister
Teil 3: System
- 3-1: Sicherheitstechnologien für industrielle Automatisierungs- und Steuerungssysteme
- Teil 3-2: Bewertung von Sicherheitsrisiken und Systemdesign
- Teil 3-3: Systemanforderungen und Sicherheitslevel
Teil 4: Komponente / Produkt
- Teil 4-1: Anforderungen an einen sicheren Produktentwicklungszyklus
- Teil 4-2: Technische Sicherheitsanforderungen für IACS-Komponenten