Die Umsetzung effektiver Cybersecurity-Kontrollen in Industrieautomations- und Steuerungssystemen (IACS) ist entscheidend, um operative Resilienz, Sicherheitskonformität und Sicherheit zu gewährleisten. Während es zahlreiche Rahmenwerke gibt, sticht die IEC 62443-Standardreihe als der präeminent Goldstandard für IACS-Sicherheit hervor. Was mir an IEC 62443 gefällt, ist die Fokussierung auf OT-Sicherheit in Bereichen wie Asset-Sichtbarkeit, Schichten von Sicherheitsmaßnahmen für Kronjuwelen, Sicherstellung der Lieferkettensicherheit, klare Rollen und Verantwortlichkeiten für Asset-Eigentümer zu definieren und die wesentlichen Komponenten eines Informationssicherheitsmanagementprogramms zu umreißen.

Wir führen seit einiger Zeit eine Wissensserie zur IEC 62443 durch. Sie können unsere vorherigen Beiträge unter diesen Links lesen:

·      Die Entmystifizierung der IEC 62443-Konformität: Ein Leitfaden zur Sicherung von Cyber-Physischen Systemen

·      Sicherung der IIoT mit IEC 62443: Ein Technischer Leitfaden zu ausbruchssicheren Architekturen

·      Wie man die Anforderungen von IEC 62443 4-1 und 4-2 navigiert: Ein Leitfaden für Hersteller von Eisenbahnkomponenten

·      Ein umfassender und umsetzbarer Leitfaden zu IEC 62443-basierten OT-Sicherheitsbewertungen

Der heutige Beitrag zur IEC 62443 bietet einen detaillierten, praxisorientierten Leitfaden zur Implementierung von IEC 62443-Kontrollen und Sicherung einer robusten Sicherheitsposition für Ihre kritischen Assets und Infrastruktur. Das ist keineswegs nur Theorie. Stattdessen konzentrieren wir uns auf praktische Implementierungsschritte basierend auf Experten-Erfahrungen.

Bevor wir fortfahren, vergessen Sie nicht, unseren vorherigen Blog-Eintrag über die Bewältigung von Herausforderungen bei der NIS2-Implementierung hier anzusehen.

Phase 1: Grundlagen und Risikobewertung (IEC 62443-2-1, 62443-3-2)

Bevor Sie die IEC 62443-Kontrollen umsetzen, müssen Sie Ihr System und seine einzigartigen Risiken verstehen.

1.1. Systeminventar und Asset-Management (IEC 62443-2-1)

• Umsetzbare Schritte:

  • Führen Sie ein umfassendes Asset-Inventar durch. Dies umfasst Hardware (PLC, SCADA, RTU usw.), Software, Firmware, Netzwerkgeräte und Systemabhängigkeiten.

  • Klassifizieren Sie Assets basierend auf ihrer Kritikalität (Auswirkung auf Sicherheit, Umwelt, Produktion).

  • Dokumentieren Sie die wahrgenommenen Risiken für jedes Asset.

  • Pflegen Sie ein dynamisches Asset-Verzeichnis und aktualisieren Sie es regelmäßig.

Automatisierte Asset-Discovery-Tools können in großen und komplexen Systemen sehr effektiv sein. Verwenden Sie eine Kombination aus aktiver und passiver Erkundung für umfassende Ergebnisse.

1.2. Definition von Zonen und Leitungen (IEC 62443-3-2)

• Umsetzbare Schritte:

  • Segmentieren Sie Ihr IACS-Netzwerk in logische Sicherheitszonen. Eine Zone gruppiert Assets mit ähnlichen Sicherheitsanforderungen und/oder geschäftlicher Kritikalität.

  • Identifizieren Sie die Kommunikationswege oder Leitungen zwischen diesen Zonen.

  • Wenden Sie granulare Sicherheitsanforderungen basierend auf dem Risiko und der möglichen Auswirkung innerhalb jeder Zone an.

  • Isolieren Sie zum Beispiel kritische Kontrollsysteme von weniger kritischen Systemen wie HMI (Human Machine Interface) oder Historienservern.

  • Weisen Sie jeder Sicherheitszone einen Zonenbesitzer zu.

Sie können das ISA-99 / IEC 62443-1-1 Referenzmodell zur Strukturierung Ihrer Zonen heranziehen. Das Ziel ist es, die Möglichkeit der seitlichen Bewegung zu minimieren (und Bedrohungen zu enthalten) von kompromittierten zu kritischen Systemen.

1.3. Risikobewertung (IEC 62443-3-2)

• Umsetzbare Schritte:

  • Führen Sie eine Sicherheitsrisikobewertung für jede Zone und Leitung durch. Betrachten Sie potenzielle Bedrohungen, Schwachstellen und Auswirkungen (Sicherheit, Umwelt, Betrieb, Ruf, Daten, Finanzen).

  • Bestimmen Sie das Ziel-Sicherheitsniveau (SL) für jede Zone basierend auf der Risikotoleranz und betrieblichen Kritikalität. IEC 62443 definiert SL-1 (niedrig) bis SL-4 (hoch).

  • Nutzen Sie die Ergebnisse, um die Implementierung von Kontrollen zu priorisieren (beginnen Sie mit den kritischsten und gehen Sie nach und nach zu den anderen über).

Phase 2: Kontrollauswahl und -Implementierung (IEC 62443-3-3, 62443-2-3)

Wählen und setzen Sie IEC 62443-Kontrollen um, die auf die identifizierten Sicherheitsniveaus abgestimmt sind. Dieser Leitfaden hebt Schlüsselbereiche hervor, empfiehlt jedoch, sich auf die spezifischen Standards und Profile zu beziehen, die für Ihre Branche relevant sind.

2.1. Systemintegrität (IEC 62443-3-3)

• Netzwerksegmentierung und Perimetersicherheit:

  • Implementieren Sie robuste Firewalls mit granularen Zugriffskontrollregeln zwischen Zonen. Verwenden Sie industrielle Firewalls, die OT-Protokolle verstehen (und darin sicher sind).

  • Erzwingen Sie strikte Kommunikationsrichtlinien über Leitungen. Blockieren Sie allen unautorisierten Datenverkehr.

  • Verwenden Sie Virtual Local Area Networks (VLANs) zur logischen Segmentierung innerhalb von Zonen.

• Zugriffskontrolle:

  • Setzen Sie starke Authentifizierungs- und Autorisierungsmechanismen für alle Benutzer und Geräte durch. Verwenden Sie Multi-Faktor-Authentifizierung (MFA), wo immer dies angebracht ist (insbesondere für Fernzugriff).

  • Führen Sie eine Audit-Übung durch, um redundante Privilegien zu identifizieren.

  • Verwenden Sie rollenbasierte Zugriffskontrolle (RBAC), um Berechtigungen basierend auf Jobrollen zu gewähren. Folgen Sie dem Prinzip des geringsten Privilegs.

  • Deaktivieren Sie unnötige Konten und Standardpasswörter.

  • Wo möglich, sollten Privilegien zeit- oder aufgabenabhängig sein.

• Systemhärtung:

  • Wenden Sie Sicherheitspatches für Betriebssysteme, Firmware und Anwendungen an. (Hinweis: rigoroses Testen ist entscheidend für OT-Systeme vor der Bereitstellung).

  • Deaktivieren Sie unnötige Dienste, Ports und Funktionen.

  • Implementieren Sie Anti-Malware-Lösungen, die richtig für industrielle Umgebungen konfiguriert sind (vermeiden Sie aktives Scannen (und Anbieter, die ausschließlich Lösungen mit aktivem Scannen anbieten), das Echtzeitkommunikation stören könnte).

  • Erzwingen Sie sichere Konfigurationsstandards (wie die Benchmarks des Center for Internet Security (CIS)).

2.2. Produktsicherheit (IEC 62443-4-2)

• Lieferantenengagement: Mandatieren Sie, dass Gerätehersteller die einschlägigen IEC 62443-Standards einhalten (wie -4-1 für die sichere Produktentwicklung und -4-2 für Produktsicherheitsanforderungen).

• Sicherung der Lieferkette: Implementieren Sie Prozesse zur Verifizierung der Software- und Firmware-Integrität während der Beschaffung und Bereitstellung.

• Audit: Führen Sie Audits durch, um sicherzustellen, dass Lieferanten konform sind.

2.3. Patch-Management (IEC 62443-2-3)

• Umsetzbare Schritte:

  • Entwickeln und implementieren Sie ein formales Patch-Management-Programm, das speziell für IACS zugeschnitten ist. Dieses Programm muss das rigorose Testen von Patches in einer nicht-produktiven Umgebung vor der Bereitstellung umfassen.

  • Koordinieren Sie Patch-Bereitstellungsfenster während geplanter Ausfallzeiten oder nicht-kritischer Zeiträume.

  • Betrachten Sie risiko-basiertes Patch-Priorisierung, mit Fokus auf kritische Schwachstellen in kritischen Assets.

2.4. Sicherheit des Fernzugriffs

• Umsetzbare Schritte:

  • Kontrollieren und überwachen Sie strikt alle Fernzugriffe auf das IACS-Netzwerk.

  • Verwenden Sie dedizierte sichere Fernzugriffsgateways mit MFA. Vermeiden Sie direkten Zugriff auf kritische Systeme.

  • Erzwingen Sie zeitlich begrenzten Zugriff und Sitzungsprotokollierung für Fernverbindungen.

Phase 3: Sicherheitsoperationen und Überwachung (IEC 62443-3-3, 62443-2-1)

Ein widerstandsfähiges IACS erfordert kontinuierliche Sicherheitsüberwachung.

3.1. Überwachung auf bösartige Aktivitäten

• Umsetzbare Schritte:

  • Implementieren Sie Sicherheitsinformations- und Ereignismanagement (SIEM) und Sicherheitsorchestration, Automatisierung und Reaktion (SOAR) Lösungen für zentrale Protokollsammlung, -korrelation und -analyse.

  • Sammeln Sie relevante Protokolle von Netzwerkgeräten, Servern, PLCs und Anwendungen.

  • Integrieren Sie ein Intrusion Detection System (IDS) oder ein Intrusion Prevention System (IPS), das in der Lage ist, industrielle Protokolle auf Anomalien und Bedrohungssignaturen zu überprüfen.

  • Richten Sie klare Verfahren zur Vorfallreaktion ein.

4. Überwachungseffizienz: Definition bedeutungsvoller Key Performance Indicators (KPIs)

Die Verfolgung von KPIs ist entscheidend, um die Effektivität der implementierten Kontrollen zu messen und eine kontinuierliche Verbesserung zu gewährleisten. Diese KPIs sollten relevant für Ihre spezifischen Risiken und Geschäftsziele sein.

• Effizienz des Asset-Managements:

  • Prozentsatz der Assets mit einem aktuellen Sicherheits-Patch-Level.

  • Durchschnittliche Zeit bis zur Behebung einer kritischen Schwachstelle auf einem kritischen Asset.

• Effizienz der Netzwerksicherheit:

  • Anzahl der festgestellten Verstöße gegen Firewall-Richtlinien.

  • Prozentsatz der blockierten unbefugten Verbindungsversuche.

• Effizienz der Endpunktsicherheit:

  • Prozentsatz der Endpunkte mit aktualisierten Anti-Malware-Signaturen.

  • Anzahl der erkannten und eingedämmten Malware-Vorfälle.

• Effizienz der Fernzugriffssicherheit:

  • Anzahl der ordnungsgemäß autorisierten und überwachten Fernzugriffssitzungen.

  • Anzahl der blockierten unbefugten Fernzugriffsversuche.

• Effizienz der Sicherheitsoperationen:

  • Durchschnittliche Zeit bis zur Erkennung (MTTD) eines Sicherheitsvorfalls.

  • Durchschnittliche Reaktionszeit (MTTR) auf einen Sicherheitsvorfall.

Konzentrieren Sie sich auf einige hochrelevante KPIs und präsentieren Sie sie auf einem Dashboard für Sicherheitsüberwachung und kontinuierliche Verbesserung. Verfolgen Sie Trends im Laufe der Zeit, um Bereiche für Anpassungen zu identifizieren.

Aktive Audit-Pfade warten

Vollständige und nicht widerlegbare Audit-Pfade sind für Ermittlungen im Falle eines Vorfalls, für Compliance und für die nachträgliche Analyse entscheidend.

Protokollverwaltung

• Umsetzbare Schritte:

  • Definieren Sie, welche sicherheitsrelevanten Ereignisse protokolliert werden sollen und stellen Sie sicher, dass kritische Bereiche (Zugriff, Netzwerkverkehr, Systemänderungen) abgedeckt sind.

  • Implementieren Sie zentrales Logging. Protokolle sollten unveränderlich sein, mit einem vertrauenswürdigen Zeitstempel (NTP) versehen und sicher gespeichert werden.

  • Stellen Sie geeignete Protokollaufbewahrungsrichtlinien gemäß den gesetzlichen Anforderungen und betrieblichen Bedürfnissen sicher.

Erfassung von Schlüsselevents

Audit-Pfade müssen detaillierte Informationen für wichtige Ereignisse erfassen, einschließlich:

• Authentifizierung und Autorisierung: Erfolgreiche und fehlgeschlagene Anmeldungen, Änderungen an Benutzerkonten und Berechtigungen.

• Systemzugriff und Systemänderungen: Fernzugriffsverbindungen, Systemkonfigurationsänderungen, Programmaktualisierungen und -downloads, Installationen von Sicherheitspatches.

• Netzwerkverkehr: Sicherheitsrelevante Firewall-Ereignisse, potenzielle Sicherheitswarnungen von IDS/IPS.

• Operative Maßnahmen: Änderungen an Sollwerten oder Steuerungs-konfigurationen, die Sicherheits- oder Betriebsfolgen haben könnten (dies kann in der Vorfallrekonstruktion entscheidend sein).

KPI-Dashboard: Messung der Effektivität von IEC 62443-Kontrollen

Erwähnen Sie unbedingt NTP (Network Time Protocol). Ein Audit-Pfad ist nutzlos, wenn die Zeitstempel Ihrer PLCs, Firewalls und HMIs nicht übereinstimmen. Bei einem IEC 62443-Audit ist "Uhrendrift" ein häufiges Ergebnis.

Die Implementierung von IEC 62443-Sicherheitskontrollen kann kein einmaliges Projekt sein; es ist ein fortlaufender Prozess, der Engagement erfordert. Durch den Einsatz dieses risikobasierten Ansatzes, die Einbeziehung von Schlüsselakteuren (IT, OT, Management, Lieferanten) und die kontinuierliche Überwachung und Bewertung können Organisationen die Cybersecurity-Position ihrer industriellen Systeme signifikant verbessern. Dieser methodische Ansatz gewährleistet nicht nur die Einhaltung von Vorschriften, sondern echte operative Resilienz.

Zusätzliche Ressourcen

Ein herunterladbarer Bericht zum Stryker-Cybervorfall
IEC 62443-basierte OT/ICS-Risikobewertung-Checkliste für den Lebensmitteliund Getränkesektor
Prüfliste für die Evaluierung und Auswahl von Anbietern von Lösungen zur Überprüfung von Wechseldatenträgern