IT-Security in der Produktion: Digitalisierung, aber sicher

Je weiter die Digitalisierung in der Produktion voranschreitet, desto wichtiger ist es, die Systeme gegen unautorisierte Zugriffe, Sabotage, Datendiebstahl und Spionage abzusichern. Der internationale Security-Standard IEC 62443 definiert dazu Anforderungen an die Entwicklungs- und Integrationsprozesse sowie die Security-Technologien. TÜV Süd hat das erste Produkt gemäß IEC 62443 zertifiziert: das Prozessleitsystem Simatic PCS 7 von Siemens. von Dr. Kai Wollenweber

Ende Januar hat der VDI die Ergebnisse seiner Umfrage zu Industrie 4.0 in Deutschland vorgestellt. Das Fazit: Unternehmen müssen mehr und schneller in die Digitalisierung investieren, um im globalen Wettbewerb bestehen zu können. Digitalisierung beschleunigt und verbessert Prozesse, ermöglicht eine bessere Übersicht und senkt die Entwicklungs- und Produktionskosten. Sie ist aber immer auch mit Risiken verbunden: Produktionssysteme werden über neue Wege angreifbar. Security ist die Grundlage für die Akzeptanz der voranschreitenden vernetzten Digitalisierung.
Die Standards der Normenfamilie IEC 62443 berücksichtigt erstmalig alle für eine ganzheitliche Sicherheitsbetrachtung notwendigen Rollen: Anlagenbetreiber, Systemintegratoren sowie Produkt- beziehungsweise Komponentenhersteller. Nur durch das Zusammenwirken aller Beteiligter kann das Ziel, die sichere Automatisierung, überhaupt erreicht werden.
Lange gab es nicht die Möglichkeit, die IT-Sicherheit von Produkten und Dienstleistungen zu zertifizieren und damit nachzuweisen, dass sie die Anforderungen für eine sicherere digitalisierte Produktion erfüllen. Mit der IEC 62443 wurde die Grundlage für eine solche Zertifizierung geschaffen.

Die vier Säulen der Sicherheit

Die Normenreihe gliedert sich in vier Säulen, von denen die erste Säule Grundkonzepte und Begriffe definiert. Als Basis dient der „Defense-in-Depth”-Ansatz, der das Ziel verfolgt, unter anderem durch Netzwerksegmentierung, Secure-by-Design und Need-to-Know-Prinzipien mehrere Barrieren aufzubauen, die ein Angreifer erst einmal überwinden muss, um an sensible Objekte zu gelangen. Zentral sind auch die enthaltenen vier „Security Levels“, die eine Kategorisierung möglicher Angreifer auf Basis ihrer Fähigkeiten, Mitteln und Ressourcen ermöglichen. Anhand des ermittelten Schutzbedarfs kann für ein Objekt das Schutzziel auf Grundlage eines „Security Levels“ festgelegt werden.
Die zweite Säule enthält Anforderungen an Betrieb, Systemintegration und Wartung von Systemen. Basierend auf einer Risikoanalyse werden Maßnahmen für die organisatorischen Prozesse und die technische Realisierung abgeleitet. Ziel ist, diese kontinuierlich zu evaluieren und zu verbessern.
In der dritten Säule werden systembezogene Voraussetzungen für sichere IACS (Industrial Automation and Control Systems) definiert. Mit der Einrichtung von Zonen sollen Komponenten zusammengefasst werden, die den gleichen Schutzbedarf haben und physikalisch, räumlich oder logisch von anderen Komponenten des Systems getrennt betrachtet werden können. Auch die technischen Anforderungen, um einen bestimmten Security Level zu gewährleisten, werden hier beleuchtet.
Säule vier adressiert die Hersteller von Komponenten und Produkten. Sie legt den Fokus auf den Entwicklungs- und Wartungsprozess der Produkte. Eine umfassende Qualitätssicherung mit einer erweiterten Verifizierung und Validierung von technischen Sicherheitsanforderungen ist ebenso Bestandteil wie die Handhabung von neu entdeckten Security-Schwachstellen und der notwendigen Bereitstellung von Security Patches. Denn erst durch den Nachweis der Qualität innerhalb der Produktentwicklung wird die Grundlage für ein sicheres Produkt gelegt.

Zertifizierte IT-Security

Vor Einführung des Security-Standards IEC 62443 konnten Produkte und Dienstleistungen für die automatisierte Produktion bezüglich ihrer IT-Security nicht zertifiziert werden. Es gab keine international gültigen und anerkannten Standards. Durch die Einführung der Normenreihe IEC 62443 können nun auch Steuerungs- und Kontrollsysteme und die dazu gehörigen Produkte zertifiziert werden.
TÜV Süd ist dabei eines der ersten Unternehmen, das als akkreditierte Stelle Hersteller und Integratoren zertifiziert. Grundlage für die Zertifizierung von Herstellern ist die IEC 62443-4-1 (Secure Product Development Lifecycle Requirements). Systemintegratoren werden auf Basis der IEC 62443-2-4 (Security Program Requirements for IACS Service Providers) zertifiziert. Die realisierten Security-Funktionen werden in beiden Fällen nach der IEC 62443-3-3 bewertet (System Security Requirements and Security Levels).

Erste Produktzertifizierung

Das Siemens-Prozessleitsystem Simatic PCS 7 ist weltweit das erste Produkt, das von TÜV Süd nach der IEC 62443 zertifiziert wurde. In der chemischen und pharmazeutischen Industrie, sowie bei Anlagen im Wasser- und Abwasserbereich steuert und überwacht dieses System kontinuierliche Herstellungsprozesse. In ihm sind umfassende Sicherheitsfunktionen implementiert, etwa die Segmentierung in Zonen und Security-Zellen, die Sicherung von Zugangspunkten, Benutzerauthentifizierung und gesicherte Kommunikation, sowie ein Patch-Management, Systemhärtung, Virenscanner und ein Whitelisting, das nur vertrauenswürdige Anwendungen zulässt.
Mit der Zertifizierung gemäß den Security-Standards IEC 62443-4-1 (Produktentwicklung von Simatic PCS 7) und IEC 62443-3-3 (Security Funktionalitäten von Simatic PCS 7) hat TÜV Süd bestätigt, dass diese Funktionen dazu beitragen, Produktionssysteme zu sichern und Ausfälle zu vermeiden.
Das Zertifikat bestätigt auch, dass Security als Qualitätsmerkmal kontinuierlicher Bestandteil jeder Phase im Entwicklungs- und Integrationsprozess ist: von der Definition der Security-Anforderungen, über das Design und das Testing bis hin zur Auslieferung und Wartung des Produktes. Regelmäßige, wiederkehrende Audits werden auch künftig sicherstellen, dass Simatic PCS 7 die Ansprüche der IEC 62443 weiterhin erfüllt.

Fazit

Mit der IEC 62443 als Leitfaden können Unternehmen die Schutzmaßnahmen für ihre industrielle IT kontinuierlich evaluieren und verbessern, um die Security zu erhöhen und das Restrisiko zu minimieren. Dabei müssen sie nicht auf den Einsatz von standardisierten Hard- und Softwareprodukten in kritischen Umgebungen verzichten. jbi

Autor: Dr. Kai Wollenweber ist Senior Expert Functional Safety & Industrial IT Security bei TÜV Süd.