site-logo
site-logo
site-logo

Eine eingehende Untersuchung der IEC 62443-3-3 Steuerungen für OT-Operatoren

Startseite

Blogs

Eine eingehende Untersuchung der IEC 62443-3-3 Steuerungen für OT-Operatoren

Eine eingehende Untersuchung der IEC 62443-3-3 Steuerungen für OT-Operatoren

IEC 62443-3-3 Kontrollen für OT-Betreiber
Shieldworkz-Logo

Prayukth KV

Ein vertiefter Einblick in IEC 62443-3-3-Controls für OT-Betreiber

IEC 62443-3-3 behandelt Anforderungen an die Systemsicherheit und Sicherheitsstufen. Im OT-Kontext, insbesondere bei der Absicherung von Industrial Automation and Control Systems (IACS), bietet IEC 62443-3-3 einen dringend benötigten Katalog an Anforderungen und Maßnahmen, um die Sicherheit auf strukturierte Weise zu erhöhen. Die Klarheit bei der Beschreibung der Abdeckung ist eine Stärke von IEC 62443-3-3, und OT-Betreiber sollten dies nutzen, um mehrere Sicherheitsziele zu erreichen.

Noch spezifischer betrachtet geht IEC 62443-3-3 deutlich über übergeordnete Richtlinien hinaus und fokussiert sich auf die detaillierten Controls im gesamten Unternehmen. Zudem beschreibt sie die technischen Fähigkeiten, die Ihr System besitzen muss, um komplexen Cyberbedrohungen standzuhalten.

Konformität bedeutet, anhand von Audit-Trails nachzuweisen, dass diese Controls korrekt implementiert und wirksam sind.

Bevor wir fortfahren, vergessen Sie nicht, sich unseren letzten Blogbeitrag zu Ihrer IEC 62443-basierten Risikoanalyse-Checkliste für 2026 hier anzusehen.

Die sieben grundlegenden Anforderungen (FRs)

IEC 62443-3-3 gliedert ihre umfassende Liste an Sicherheitsanforderungen in sieben grundlegende Foundational Requirements oder FRs. Diese FRs repräsentieren die zentralen Sicherheitsprinzipien, die ein IACS erfüllen muss, um als sicher zu gelten. Jede FR wird in spezifische System Requirements (SRs) und Requirement Enhancements (REs) unterteilt, um die Detailtiefe des Controls und das von ihm unterstützte Sicherheitsniveau zu definieren.

Lassen Sie uns nun in die FRs eintauchen, um zu sehen, wie wir IEC 62443-3-3 gezielt nutzen können.

FR 1: Identifikations- und Authentifizierungs-Control (AC)

Hier geht es darum, zu wissen, wer oder was auf Ihr System zugreift.

  • Zentrale Controls: Eindeutige Identifikation und Authentifizierung für alle Nutzer (Mensch, Softwareprozess und Gerät). Dazu gehören die Durchsetzung starker Passwort-Richtlinien, der Einsatz von Zwei-Faktor-Authentifizierung (sofern anwendbar) sowie ein sicheres Management der Kontolebenszyklen.

  • SR-Beispiele:

    • SR 1.1: Identifikation und Authentifizierung menschlicher Benutzer.

    • SR 1.5: Verwaltung von Authentifikatoren (z. B. starke Passwort-Richtlinien, Speicherung und Änderungsfrequenz).

FR 2: Nutzungskontrolle (UC)

Sobald ein Benutzer oder Gerät authentifiziert ist, regelt diese Anforderung, was dieser ausführen darf. Dies ist das Prinzip der geringsten Rechte.

  • Zentrale Controls: Role-Based Access Control (RBAC), um Zugriffe und Berechtigungen ausschließlich auf das zu beschränken, was für die Funktion des Benutzers erforderlich ist. Dadurch wird sichergestellt, dass ein kompromittiertes Konto nur einen begrenzten Teil des Systems beeinflussen kann.

  • SR-Beispiele:

    • SR 2.1: Durchsetzung der Autorisierung (Zuordnung von Benutzerberechtigungen zu spezifischen Rollen und systemweite Durchsetzung).

    • SR 2.3: Nutzungskontrolle für tragbare und mobile Geräte (Überwachung und Steuerung ihrer Konnektivität und des Datenzugriffs).

FR 3: Systemintegrität (SI)

Integrität ist in einem IACS von zentraler Bedeutung; sie stellt sicher, dass das System ordnungsgemäß funktioniert und seine Daten nicht manipuliert wurden.

  • Zentrale Controls: Schutz von IACS-Komponenten (Hardware, Software und Firmware) vor unbefugter Änderung. Dazu gehören der Einsatz digitaler Signaturen, regelmäßige Integritätsprüfungen, die Implementierung sicherer Kommunikationsprotokolle sowie robuste Patch-Management-Prozesse.

  • SR-Beispiele:

    • SR 3.3: Verifikation der Sicherheitsfunktionalität (Sicherstellung, dass Sicherheitsfunktionen getestet und verifiziert werden).

    • SR 3.4: Software- und Informationsintegrität (Verhinderung unbefugter Änderungen an Code und Konfiguration).

FR 4: Datenvertraulichkeit (DC)

Diese Anforderung stellt sicher, dass sensible Informationen vor unbefugter Offenlegung geschützt werden. Auch wenn sie in OT häufig nachrangig gegenüber Verfügbarkeit und Integrität ist, bleibt sie für proprietäre Prozesse und sensible Betriebsdaten entscheidend.

  • Zentrale Controls: Einsatz kryptografischer Verfahren zum Schutz von Daten sowohl bei der Übertragung als auch im Ruhezustand.

  • SR-Beispiele:

    • SR 4.1: Informationsvertraulichkeit (Verschlüsselung von Kommunikationskanälen und Speicherung).

    • SR 4.3: Einsatz von Kryptografie (Definition zulässiger Algorithmen und Schlüsselmanagementpraktiken).

FR 5: Eingeschränkter Datenfluss (RDF)

Dies ist die technische Umsetzung der Zone-and-Conduit-Architektur – ein Kernkonzept von IEC 62443.

  • Zentrale Controls: Netzwerksegmentierung, um das IACS in Sicherheitszonen mit konsistenten Sicherheitsanforderungen zu gliedern, sowie Absicherung der gesteuerten Verbindungswege (Conduits), die diese Zonen verbinden. Dies wird typischerweise durch Firewalls, Routing-Regeln und VLANs erreicht, nach dem Prinzip "deny by default, allow by exception" für den Datenverkehr.

  • SR-Beispiele:

    • SR 5.1: Durchsetzung von Zone und Conduit.

    • SR 5.2: Schutz der Zonengrenze (z. B. Firewall-Policy, Traffic-Filtering).

FR 6: Zeitnahe Reaktion auf Ereignisse (TRE)

Dies ist die operative Seite der Sicherheit – die Fähigkeit, Vorfälle zu erkennen, zu protokollieren und darauf zu reagieren.

  • Zentrale Controls: Implementierung von kontinuierlichem Monitoring, umfassender Ereignisprotokollierung (Auditing) und Sicherstellung, dass Protokolle vor Manipulation geschützt und nur autorisiertem Personal zugänglich sind. Wirksame Incident-Response-Prozesse sind für diese FR zentral.

  • SR-Beispiele:

    • SR 6.1: Zugänglichkeit von Audit-Logs (Nur-Lese-Zugriff für autorisierte Benutzer).

    • SR 6.2: Kontinuierliches Monitoring (Erkennen und Aufzeichnen von Sicherheitsereignissen).

FR 7: Ressourcenverfügbarkeit (RA)

Dieser Bereich fokussiert die Resilienz des Systems und stellt sicher, dass das IACS auch unter Angriffen betriebsfähig bleibt. Für kritische Infrastrukturen ist dies häufig die wichtigste FR.

  • Zentrale Controls: Schutz vor Denial-of-Service-(DoS)-Angriffen, Implementierung eines Ressourcenmanagements zur Vermeidung von Ressourcenerschöpfung sowie robuste Backup- und Recovery-Fähigkeiten für eine schnelle Rückkehr in einen sicheren Zustand.

  • SR-Beispiele:

    • SR 7.1: DoS-Schutz (Begrenzung der Auswirkungen von DoS auf Systemressourcen).

    • SR 7.3: Backup des Leitsystems (aktuelle Sicherungen vorhalten).

Sicherheitsniveaus (SL-C) und Konformität

Die Komplexität der erforderlichen Controls hängt vom gewünschten Security Level Target (SL-T) ab, das durch eine Risikoanalyse bestimmt wird (gemäß IEC 62443-3-2).

IEC 62443-3-3 definiert die technischen Fähigkeiten, die ein System erfüllen muss, um ein Capability Security Level (SL-C) von SL1 (Schutz gegen gelegentliche oder unbeabsichtigte Fehlbedienung) bis SL4 (Schutz gegen Bedrohungen auf Nationalstaat-Niveau mit umfangreichen Ressourcen) zu erreichen.

Konformität bedeutet im Wesentlichen:

  1. Festlegung des geeigneten SL-T für Ihr System auf Basis von Nachweisen.

  2. Implementierung aller spezifischen SRs und REs innerhalb von IEC 62443-3-3, die dem gewünschten SL-T entsprechen.

  3. Überprüfung und Validierung, dass die implementierten Controls (das erreichte Sicherheitsniveau, SL-A) dem SL-T entsprechen oder diesen übertreffen.

Konformität zu erreichen ist sicherlich kein einmaliges Projekt. Es ist eine fortlaufende Aufgabe, die kontinuierliches Monitoring, Audits, Nachverfolgung sowie das Ausformen und Anpassen Ihrer Controls an die sich entwickelnde Bedrohungslage erfordert.

Abschließend: Shieldworkz verfügt über eine IEC-62443-Praxis in fünf geografischen Regionen. Wir haben IEC-62443-Expertinnen und -Experten, die mit Ihnen zusammenarbeiten und Sie dabei unterstützen können, SRs und FRs umfassend zu erfüllen. Erfahren Sie mehr und kontaktieren Sie uns.

Wöchentlich erhalten

Ressourcen & Nachrichten

Erfahren Sie, wie unsere branchenführenden OT-Security-Lösungen kritische Sicherheitsherausforderungen gemäß KRITIS-Anforderungen bewältigen

Dies könnte Ihnen auch gefallen.

What a mysterious New York sewer intrusion reveals about hybrid warfare

Prayukth K V

Removable-media-protection

Top 5 Removable Media Protection Strategies for Critical Infrastructure 

shieldworkz-logo

Team Shieldworkz

NIS2 compliance usign IEC62443

Achieving NIS2 compliance through IEC 62443: A practical guide

Team Shieldworkz

Phoenix Contact PLCnext

Understanding the Phoenix Contact PLCnext Privilege Escalation Vulnerability 

shieldworkz-logo

Team Shieldworkz

Lake dam Cyberattack

The Lake Risevatnet Dam Cyberattack: A Stark Reminder That Basic Hygiene Still Defeats Advanced OT Defenses

shieldworkz logo

Team Shieldworkz

Peripheral Media Security

10 Peripheral Media Security Controls Every Organization Needs

Shieldworkz Logo

Team Shieldworkz

BG image

Jetzt anfangen

Skalieren Sie Ihre CPS-Sicherheitslage

Nehmen Sie Kontakt mit unseren CPS-Sicherheitsexperten für eine kostenlose Beratung auf.

Demo anfordern

BG image

Jetzt anfangen

Skalieren Sie Ihre CPS-Sicherheitslage

Nehmen Sie Kontakt mit unseren CPS-Sicherheitsexperten für eine kostenlose Beratung auf.

Demo anfordern

BG image

Jetzt anfangen

Skalieren Sie Ihre CPS-Sicherheitslage

Nehmen Sie Kontakt mit unseren CPS-Sicherheitsexperten für eine kostenlose Beratung auf.

Demo anfordern