Die IEC 62443 definiert Anforderungen für die Anlagenbetreiber, Systemintegratoren und Komponentenhersteller

© Phoenix Contact

• Komponenten: IEC 62443-4-1 „Sicherer Prozess zur Entwicklung und dem Lebenszyklus von Komponenten (Produkten)“ sowie IEC 62443-4-2 „Security-Anforderungen für Komponenten“
• System: IEC 62443-3-3 „Security-Anforderungen für Systeme“
• Betreiber: IEC 62443-2-1 „Security-Managementsystem“, IEC 62443-2-3 „Patch Management“ und IEC 62443-2-4 „Security-Anforderungen an Systemintegratoren (Dienstleister)“.

Als besonderes Element der IEC 62443 zeigt sich der ganzheitliche Security-by-Design-Ansatz, der sich von den Anforderungen an die Betriebsprozesse bis zu den Rahmenbedingungen für die Systeme und Produkte erstreckt sowie prozessuale ebenso wie technische Maßnahmen und Anforderungen darlegt. Als entscheidendes Security-Konzept der Norm fungiert „Defense in Depth“: Durch die Staffelung mehrerer Sicherheitsmaßnahmen hintereinander wird dem Angreifer der Zugriff erschwert. Bei einem Angriff über das Netzwerk muss zum Beispiel erst eine oder mehrere Firewalls überwunden werden, bevor der Attackierende bis zur Zielkomponente gelangt. Dort muss er eine Benutzeranmeldung bezwingen, wobei ihn anschließend interne Sicherheitsmechanismen aufhalten.

Defense in Depth: Die Staffelung mehrerer Sicherheitsmaßnahmen erschwert Angreifern den Zugriff

© Phoenix Contact

Die aufgeführten Maßnahmen zur Cybersecurity waren bislang nur für kritische Infrastrukturen gesetzlich vorgeschrieben. Darüber hinaus werden sie bei großen, meist international tätigen Anlagenbetreibern umgesetzt. Mit der NIS-2-Direktive der EU ändert sich dies jetzt deutlich.

Ausweitung der Vorschriften durch NIS 2

Die NIS-2-Richtlinie (Netz- und Informationssicherheit) verpflichtet Betreiber öffentlicher oder privaten Einrichtungen passende Sicherheitsinstrumente einzuführen, um ihre Systeme vor Cyber-Attacken zu schützen. Im Vergleich zur bestehenden NIS weitet NIS 2 die Vorschriften mit mehr als 50 Mitarbeitenden und über zehn Millionen Euro Umsatz aus. NIS 2 gilt für „wesentliche“ und „wichtige“ Einrichtungen in der EU.

Die Cyber-Gesetzgebung zum sicheren Betrieb und zu sicheren Produkten gehen Hand in Hand

© Phoenix Contact

Unter den Begriff „wesentliche Einrichtungen“ fallen Unternehmen, die in kritischen Infrastrukturen tätig sind, beispielsweise den Bereichen Strom-/Gaserzeugung, -speicherung und -übertragung, Transport auf dem Wasser sowie der Straße und Schiene, Trinkwasser- und Abwasseranlagen sowie der digitalen Infrastruktur. „Wichtige Einrichtungen“ werden aus einer Liste von sieben Sektoren auf der Grundlage ihrer Kritikalität für ihren Geschäftsbereich und die Art der Dienstleistung ausgewählt. Als Beispiel seien die Herstellung und der Vertrieb von Lebensmitteln und Chemikalien sowie die Produktion von elektrischen Geräten, Maschinen und Fahrzeugen genannt.

Die NIS-2-Richtlinie trat am 16. Januar 2023 in Kraft und muss bis zum 18. Oktober 2024 durch die EU-Staaten in nationales Recht transferiert werden. Diese Anforderungen lassen sich jedoch nur schwer erfüllen, wenn die genutzten Produkte nicht gemäß Security-by-Design entwickelt worden sind. Zur Lösung dieser Herausforderung hat die EU den Cyber Resilience Act (CRA) definiert.

Security-by-Design-Produkte gemäß Cyber Resilience Act

Der CRA verpflichtet die Hersteller zur Entwicklung von Security-by-Design-Produkten. Produkte, die unter den CRA fallen, erhalten in Zukunft kein CE-Kennzeichen mehr, sofern sie nicht den CRA-Regelungen entsprechen. Für die Realisierung der Security-Maßnahmen werden entsprechende Mindestanforderungen festgelegt. Diese sind je nach Produktklasse im Rahmen einer Konformitätsprüfung durch benannte Stellen – beispielsweise den TÜV – oder durch die Verwendung einer harmonisierten Norm beim Hersteller selbst nachzuweisen.

Die essenziellen Anforderungen des CRAs müssen bei der Konzeption, Entwicklung und Fertigung eines Produkts berücksichtigt werden, also auf einem sicheren Entwicklungsprozess basieren. Gefordert wird unter anderem ein Zugriffsschutz, der Schutz der Vertraulichkeit, Integrität und Verfügbarkeit sowie ein sicherer Auslieferungszustand. Einen zusätzlichen Bestandteil des CRA bilden das Schwachstellen-Management sowie Regelungen für die Dauer, in der die Hersteller Security-Updates für ihre Produkte zur Verfügung stellen müssen. Der Textentwurf des Cyber Resilience Acts ist im September 2022 veröffentlicht worden und befindet sich derzeit in den Trilog-Abstimmungen. Als EU-Act muss er nicht in nationales Recht umgesetzt werden und erlangt daher voraussichtlich 2024 EU-weit Gültigkeit. Die IEC 62443 deckt sowohl den sicheren Entwicklungsprozess als auch die technischen Anforderungen an einzelne Produkte und Systeme ab. Daraus folgt, dass die IEC 62443 oder eine abgeleitete Sektornorm ein aussichtsreicher Kandidat für eine harmonisierte Norm des CRA ist.

Um die Anforderungen an das Schwachstellen-Management zu erfüllen, muss für alle Produkte ein standardisierter Software Bill of Material (SBOM) vorliegen, somit eine Liste, die sämtliche Softwarekomponenten eines Produkts beschreibt. Ferner sind die bekannten Schwachstellen in einem standardisierten digitalen Format – etwa Common Security Advisory Framework (CSAF) – bereitzustellen. Nur so lassen sich die kurzen Fristen hinsichtlich des Meldens und Beseitigens von Schwachstellen gemäß CRA und NIS 2 einhalten.

Security in der neuen Maschinenverordnung

Zum Schutz von Menschen und der Umwelt vor negativen Folgen – wie Verletzungen und Verunreinigungen – müssen die Maschinen mit funktionaler Sicherheitstechnik ausgerüstet werden und der Maschinenrichtlinie 2006/42/EG entsprechen. Dieser Standard bedarf eines Updates, da die Risiken durch neue Technologien sowie neue Regelungen zur Produktsicherheit zu beachten sind. Außerdem hat sich gezeigt, dass durch die Richtlinien – folglich die Transferierung in nationales Recht – teilweise unterschiedliche Regelungen gefordert werden.

Berücksichtigung finden muss zukünftig ebenfalls die funktionale Sicherheit (Safety) in Kombination mit Cybersecurity. Aus diesen Anforderungen ist die Maschinenverordnung (MVO) 2023 entstanden, deren finaler Text bis Mitte 2023 veröffentlicht wird. Die MVO ergänzt den Cyber Resilience Act, der auch Maschinen als Produkt ansieht. Für Maschinen mit funktionaler Sicherheit steht die Maschinenverordnung jedoch an erster Stelle.

360-Grad-Security auf Basis der IEC 62443

Phoenix Contact hat bereits 2017 mit der Realisierung der IEC 62443 begonnen. Das Konzept der 360-Grad-Security des Unternehmens basiert auf dem Leitsatz, dass Security im gesamten Lebenszyklus seiner Produkte und Lösungen verankert ist:

• Sicherer Entwicklungsprozess: Für die Konzeption und den kompletten Lebenszyklus der Produkte bildet der sichere Entwicklungsprozess nach IEC 62443-4-1 die Voraussetzung. Er definiert die Entwicklung nach den gängigen Cybersecurity-Verfahren Security-by-Design und Defense in Depth, stellt aber ebenso die Überwachung von Schwachstellen sicher und sorgt für regelmäßige Security-Updates.
• Sichere Produkte: Sichere Produkte entsprechen dem Entwicklungsprozess gemäß IEC 62443-4-1 und erfüllen die funktionalen Security-Anforderungen der IEC 62443-4-2. Dazu gehört zum Beispiel der Denial-of-Service-Schutz, das User-Management, die Vertraulichkeit der Daten bei der Übertragung und Speicherung, das Logging und die Konfiguration der geringsten Funktionalität. 2021 ist die PLCnext Control als erste Steuerung im Markt gemäß IEC 62443-4-1 ML3 und IEC 62443-4-2 SL2 Feature Set durch den TÜV Süd zertifiziert worden. Weitere sichere Produkte befinden sich derzeit in der Entwicklung oder werden zertifiziert.
• Sichere Dienstleistungen: Damit Security-Lösungen gemeinsam mit den Systemintegratoren und Betreibern diskutiert, beraten, installiert und gewartet werden können, müssen die Teams die notwendigen Cybersecurity-Fähigkeiten besitzen und nachweisen. Zu diesem Zweck sind die deutsche und weitere Ländergesellschaften der Phoenix Contact-Gruppe gemäß IEC 62443-2-4 zertifiziert.
• Sichere Lösungen: Das Security-Team von Phoenix Contact hat Templates (Blueprints) für verschiedene Lösungen und Märkte erarbeitet und gemäß IEC 62443-3-3 zertifizieren lassen, sofern dies sinnvoll erscheint. Die Blueprints erleichtern einerseits die Diskussion und die Konzeptarbeit. Zudem unterstreichen sie das Know-how von Phoenix Contact, Lösungen mit Kunden zu zertifizieren.
• PSIRT: Das Produkt Security Incidence Response Team (PSIRT) hat an zentraler Stelle die Aufgabe, auf potenzielle Sicherheitslücken, Vorfälle und andere Sicherheitsprobleme im Zusammenhang mit Produkten, Lösungen sowie Diensten von Phoenix Contact zu reagieren. Das PSIRT leitet die Offenlegung, Untersuchung und interne Koordination und veröffentlicht Sicherheitshinweise zu bestätigten Sicherheitslücken.

Alle oben genannten Zertifizierungen werden durch jährliche Audits vom TÜV Süd überwacht.

Bis 2026 umsetzen

NIS 2, der Cyber Resilience Act und die Maschinenverordnung befinden sich aktuell im Gesetzgebungsverfahren der EU oder in der Umsetzung in nationales Recht. Bei Verwendung der typischen Übergangsfristen werden sämtliche Gesetze und Normen 2026 vollumfänglich geltendes Recht sein. Unter Berücksichtigung ihrer Komplexität ist schnell erkennbar, dass bei den Produktherstellern, Systemintegratoren und Betreibern dringender Handlungsbedarf besteht. 

Der Autor

Boris Waldeck ist Master Specialist Security PLCnext Technology und Product Solution Security Expert bei Phoenix Contact Electronics in Bad Pyrmont.

© Phoenix Contact