Select your country

Belgium

China

Denmark

France

Germany

Global

Maghreb & West Africa

Netherlands

Norway

South Africa

Sweden

Switzerland

United Kingdom

Not finding what you are looking for, select your country from our regional selector:

Suche

  1. Germany
  2. Insights
  3. Blog
  4. OT
  5. OT Cybersecurity Standard: IEC 62443

OT Cybersecurity Standard: IEC 62443

OT/IoT
Woman working in a Serverroom

Share

Mit der zunehmenden Vernetzung von Systemen in der Fertigungsindustrie und der Konsolidierung von Technologien für Industrie 4.0 gewinnt OT Cybersecurity stetig an Bedeutung. Unter den etablierten Standards zur Absicherung von Operational Technology (OT) sticht der IEC 62443 hervor. In diesem Beitrag beleuchten wir die Kernaspekte des IEC 62443-Standards, seine Relevanz für die Industrie und die Herausforderungen bei der Implementierung.

Was ist der IEC 62443?

Industrielle Umgebungen stehen durch Digitalisierung und intelligente Fertigung zunehmend unter Cyber-Bedrohungen. Angriffe auf OT-Systeme sind weit verbreitet und nehmen stetig zu. Experten prognostizieren, dass die Ausgaben für OT und IoT Cybersecurity künftig die IT-Ausgaben übertreffen könnten, da die IT-Geräteflotten stagnieren.

Der IEC 62443 ist ein international anerkannter Standard der International Electrotechnical Commission (IEC), der spezifische Anforderungen für Sicherheitsmechanismen in industriellen Automatisierungssystemen festlegt. Er bietet einen systematischen Ansatz, um die OT Cybersecurity entlang aller Prozesse sicherzustellen – von Planung und Implementierung bis zum Betrieb.

Struktur des IEC 62443

Der Standard gliedert sich in vier zentrale Teile, die jeweils unterschiedliche Aspekte der Cyber-Sicherheit abdecken:

  • Teil 1 – Allgemeine Konzepte: Definition grundlegender Begriffe, Sicherheitsziele und Konzepte der OT Cybersecurity.
  • Teil 2 – Richtlinien und Anforderungen: Vorgaben zur Umsetzung von Sicherheitsmaßnahmen in spezifischen Organisationen und Branchen.
  • Teil 3 – Sicherheitslösungen: Technische Maßnahmen zur Erfüllung der definierten Anforderungen.
  • Teil 4 – Produktanforderungen: Sicherheitsanforderungen für industrielle Produkte.
Zentrale Struktur des IEC 62443
Abbildung 1 Zentrale Struktur des IEC 62443

Der Standard betrachtet die Perspektiven von Betreibern, Integratoren und Herstellern, um eine umfassende Sicherheitsstrategie zu ermöglichen.

Relevanz des IEC 62443 für die OT Cybersecurity

Der IEC 62443 bietet einen einheitlichen Rahmen für OT Security, der Unternehmen dabei unterstützt, Sicherheitsmaßnahmen systematisch umzusetzen:

  • Einheitlicher Rahmen: Einheitliche Richtlinien erleichtern die Implementierung von Sicherheitsmaßnahmen über verschiedene OT-Umgebungen hinweg.
  • Sicherheit über den Lebenszyklus: Betrachtung der Cybersecurity während des gesamten Lebenszyklus von industriellen Systemen – von der Planung über die Implementierung bis zum Betrieb und zur Wartung.
  • Compliance und Zertifizierung: Unterstützung bei der Einhaltung regulatorischer Vorgaben und Zertifizierungen gegenüber Partnern und Kunden.

Hierbei muss unterschieden werden zwischen Systemen und Komponenten:

OT-Komponenten sind die Hardware und Software, die in industriellen Umgebungen zur Steuerung, Überwachung und Automatisierung physischer Prozesse eingesetzt werden. Sie umfassen verschiedene Geräte und Systeme, die zusammenarbeiten, um die Effizienz, Sicherheit und Zuverlässigkeit industrieller Anlagen zu gewährleisten (z. B. PLC, HMI).

OT-Systeme meinen dasZusammenspiel verschiedener Komponenten zu einem Gesamtsystem – System of systems –, wie sie typischerweise von Maschinenbauern bereitgestellt werden (z. B. Wassermanagement, Energieverteilung, Mülltrennung).

Anforderungen des IEC 62443

Die Anforderungen des Standards decken mehrere Dimensionen der OT Cybersecurity ab:

  • Sicherheitsmanagement: Implementierung eines Sicherheitsmanagementsystems mit Richtlinien, Verfahren und regelmäßigen Audits.
  • Sicherheitsarchitektur: Design und Implementierung sicherer IT- und OT-Netzwerke, inklusive Segmentierung und Zugriffskontrolle.
  • Technische Sicherheitsmaßnahmen: Einsatz von Firewalls, Intrusion Detection/Prevention-Systemen und weiteren Technologien zur Bedrohungserkennung und -abwehr.
  • Schulung und Awareness: Kontinuierliche Schulung der Mitarbeitenden zur Förderung des Sicherheitsbewusstseins und Minimierung von Cyber-Risiken.

Herausforderungen bei der Umsetzung des IEC 62443

Die Implementierung des IEC 62443 bringt mehrere Herausforderungen mit sich:

  • Komplexe Integration: Heterogene OT-Systeme erschweren die Umsetzung standardisierter Sicherheitsmaßnahmen.
  • Ressourcenaufwand: Finanzielle und personelle Ressourcen sind erforderlich, was insbesondere für kleinere Unternehmen eine Herausforderung darstellen kann.
  • Dynamischer technologischer Wandel: Neue Bedrohungen und Technologien erfordern flexible Sicherheitsstrategien und stetige Anpassung.

Best Practices für die Umsetzung des IEC 62443

Erfolgreiche Umsetzung erfolgt durch strukturierte Vorgehensweisen:

  • Stakeholder-Engagement: Alle relevanten Abteilungen (IT, OT, Management) in die Sicherheitsstrategie einbinden.
  • Regelmäßige Überprüfungen: Sicherheitsmaßnahmen kontinuierlich evaluieren und an neue Bedrohungen anpassen.
  • Flexibilität: Strategien flexibel halten, um auf technologische Entwicklungen und Bedrohungen reagieren zu können.
  • Wissen und Schulung: Mitarbeitende kontinuierlich zu neuesten Entwicklungen in OT Cybersecurity schulen.

Umsetzung: Security Levels und Maturity Levels

Der IEC 62443 definiert Security Levels (SL) und Maturity Levels (ML):

SL 0 – SL 4: Reichen von keiner speziellen Absicherung (SL 0) bis hin zu Schutz vor gezielten Angriffen mit hohem Ressourcenaufwand (SL 4).

  • SL 0: Keine besonderen Anforderungen oder Sicherheitsvorkehrungen erforderlich
  • SL 1: Schutz gegen beiläufige oder zufällige Verletzungen
  • SL 2: Schutz vor vorsätzlicher Verletzung mit einfachen Mitteln, geringen Ressourcen, allgemeinen Fähigkeiten und geringer Motivation
  • SL 3: Schutz vor vorsätzlicher Verletzung mit anspruchsvollen Mitteln, mäßigen Ressourcen, IACS -spezifischen Kenntnissen und mäßiger Motivation
  • SL 4: Schutz vor vorsätzlicher Verletzung unter Verwendung anspruchsvoller Mittel mit erweiterten Ressourcen, IACS -spezifischen Fähigkeiten und hoher Motivation

Target (SL-T): Gewünschtes Sicherheitsniveau für ein IACS, Zone oder Conduit.

Achieved (SL-A): Tatsächliche Sicherheitsstufe des Systems.

Capability (SL-C): Sicherheitslevel, das Komponenten oder Systeme bei korrekter Konfiguration erreichen können.

Security Levels und Maturity Levels
Abbildung 2 Security Levels und Maturity Levels

Der Standard definiert zudem Fundamental Requirements (FR) und detaillierte technische Anforderungen (SRE – Security Requirements Enhancements):

  1. Identification and Authentication Control (IAC) – 13 SRs
  2. Use Control (UC) – 12 SRs
  3. System Integrity (SI) – 9 SRs
  4. Data Confidentiality (DC) – 3 SRs
  5. Restricted Data Flow (RDF) – 4 SRs
  6. Timely Response to Events (TRE) – 2 SRs
  7. Resource Availability (RA) – 8 SRs

Diese Anforderungen werden über Vektoren für Security Levels abgebildet:

  • Example 1 – SL-T (BPCS Zone) = { 2 2 0 1 3 1 3 }
  • Example 2 – SL-C (SIS Zone) = { 3 3 2 3 0 0 1 }
  • Example 3 – SL-C (RA, BPCS HMI) = 4

Der Vektor repräsentiert die sieben grundlegenden Anforderungen (Fundamental Requirements, FR) des Standards. Im Beispiel der BPCS-Zone mit dem Vektor {2 2 0 1 3 1 3} bedeutet dies:
Dem FR1 – Identification and Authentication Control (IAC) wird für das angestrebte Sicherheitsniveau (SL-T) der Wert 2 zugewiesen, ebenso dem FR2 – Use Control (UC). Für FR3 – System Integrity (SI) liegt der Wert hingegen bei 0, während FR4 – Data Confidentiality (DC) den Wert 1 erhält, und so weiter.
Diese Vektorstruktur ermöglicht eine präzise, nachvollziehbare Zuordnung einzelner Sicherheitsanforderungen zu den jeweiligen Security Levels – und damit eine klare Definition des angestrebten Schutzniveaus in jeder OT-Zone oder jedem Conduit.

Die zugehörigen Security Requirements (SR) werden in Form tabellarischer Übersichten dargestellt. Sie beschreiben, wie die einzelnen Fundamental Requirements je nach angestrebtem Security Level (SL) umgesetzt werden.
Ein Beispiel hierfür ist FR5 – Restricted Data Flow (RDF) mit dem Requirement FR5.1.

FR5 – Restricted Data Flow (RDF)
Abbildung 3 FR5 – Restricted Data Flow (RDF)

Hier unterscheiden sich die Anforderungen je nach Sicherheitsstufe deutlich:

  • Für SL 1 reicht die Einrichtung einer Zonengrenze (Zone Boundary) aus.
  • Bei SL 2 wird zusätzlich eine White-List zur Kontrolle des Datenverkehrs verlangt.
  • Auf SL 3 wird die Standardkommunikation nach außen vollständig unterbunden.
  • Auf SL 4 gilt diese Einschränkung auch im Fehler- oder Ausfallszenario, um maximale Isolation sicherzustellen.

Diese gestufte Logik zieht sich durch viele weitere Anforderungen des IEC 62443 und macht den Standard zu einem praxisnahen, klar strukturierten Werkzeug für die Umsetzung von OT-Cybersicherheit.

Der hier beschriebene Überblick stellt dabei nur einen Ausschnitt der umfangreichen Inhalte des IEC 62443 dar – der Standard bietet weit mehr Detailtiefe, methodische Ansätze und Umsetzungsrichtlinien, die je nach Branche und Anwendungsszenario weiter vertieft werden können.

Fazit

Der IEC 62443 ist eine zentrale Grundlage für OT Cybersecurity in industriellen Umgebungen. Die Umsetzung seiner Anforderungen schützt Systeme und Anlagen und bereitet Unternehmen auf neue Bedrohungen vor. Trotz der Komplexität reduzieren strukturierte Best Practices und ein systematischer Ansatz signifikant die Sicherheitsrisiken in OT-Umgebungen.

 

In kommenden Beiträgen werden wir spezifische Anwendungen des IEC 62443 und weitere relevante Standards für Operational Technology Security vertiefen. Bleiben Sie dran!

Autor

Rainer Bäder

Senior Buisness Development Manager

Incident Response Hotline

Ein Cybersecurity Incident, bei dem Sie sofortige Hilfe benötigen?

Kontaktieren Sie unsere 24/7/365 Incident Response Hotline.