Integration von IEC 62443 in die OT-Sicherheitsgovernance
Prayukth KV
Integration der IEC 62443 in die OT-Sicherheits-Governance
Reife Öl- und Gasunternehmen arbeiten bereits daran, ihre OT-Infrastruktur durch mehrere Interventionsschichten zu sichern. Einerseits setzen sie Sicherheitsmaßnahmen in Form von Netzwerküberwachung, Medien-Scans ein, sorgen für sicheren Fernzugriff und führen sorgfältige Risikoanalysen durch, während sie andererseits auch ihre Mitarbeiter schulen und Sicherheit als Teil der betrieblichen Imperative betrachten.
Unabhängig davon, ob Ihre OT-Sicherheitsmaßnahmen als ausgereift oder grundlegend eingestuft werden können, können Sie definitiv die IEC 62443-Standardreihe heranziehen, um Ihr Sicherheitsniveau zu verbessern und die bessere Integration von Sicherheitsmaßnahmen in den Betrieb zu gewährleisten. Es geht nicht nur darum, die Konformität sicherzustellen, sondern auch darum, die Einhaltung zu überwachen und sicherzustellen, dass Ihre Sicherheitsmaßnahmen mit Ihrem Risikoprofil übereinstimmen und bereit sind, mit Vorfällen oder Ereignissen umzugehen, die eine Störung bedrohen könnten.
Da das Jahr 2026 am Horizont auftaucht, ist es an der Zeit, einen neuen Blick darauf zu werfen, wie IEC 62443 Ihrem Unternehmen helfen kann, seine Sicherheitsmaßnahmen zu skalieren, Risiken einzudämmen und das Risikoprofil unter Kontrolle zu halten.
Hier ist also eine Abhandlung darüber, wie Sie IEC 62443 in die DNA Ihres Betriebs integrieren können, vom Vorstandszimmer bis zur Gefahrenzone.
Bevor wir eintauchen, vergessen Sie nicht, unseren vorherigen Blog zu lesen, der einen umfassenden Überblick über die neuesten Anleitungen von CISA und anderen Behörden zur Integration von KI in die Betriebstechnik bietet "hier". Ich bin sicher, Sie werden diesen nützlich finden.
Governance: Die Schicht, die Absichten umsetzt
Einer der größten Reibungspunkte in der OT-Infrastruktur ist oft der Kulturkonflikt. Jeder Versuch, IT-Kontrollen auf OT zu übertragen, kann schnell nach hinten losgehen. Die Lücke zwischen IT- und OT-Sicherheitsniveaus bietet Bedrohungsakteuren und Schurkenmitarbeitern die Möglichkeit, einzudringen und Chaos zu verursachen.
IEC 62443-2-1 hilft dabei, diese überbrücken, indem ein Cybersecurity-Management-System (CSMS) verlangt wird. Aber wie steuern Sie das tatsächlich?
Abschaffen des "Patch Tuesday" Ansatzes: In einer Raffinerie oder auf der Werkstatt können Sie ein DCS (Distributed Control System) nicht einfach neu starten, weil Windows ein Update veröffentlicht hat. Ihre Governance-Richtlinie muss explizit festlegen, dass kompensierende Maßnahmen (wie striktere Firewall-Regeln, virtuelle Patches oder Verkehrsbeschränkungen) als akzeptable Alternativen zum Patchen bis zum nächsten geplanten Stillstandstermin gelten.
Definition der Risikobereitschaft: Das Management muss definieren, was "tolerierbar" ist. Ist ein 4-stündiger Verlust der Ansicht auf einem SCADA einer Pipeline akzeptabel? Wenn nicht, muss der Governance-Rahmen redundante, getrennte Netzwerke mit zusätzlichen Kontrollen für diesen bestimmten Durchgang vorschreiben.
Integration der "Sicherheit": Behandeln Sie Cyber-Risiken wie HAZOP (Hazard and Operability Analysis)-Eingaben. Wenn ein Cyber-Kompromiss dazu führen kann, dass ein Sicherheitssystem (SIS) ausfällt, gehört es nicht nur in die IT-Anforderungen, sondern in die Überprüfung des prozessbezogenen Sicherheitsmanagements (PSM).
SL und ML: Die Sicherheits- und Reifegrade (Security and Maturity Levels) können ein robustes und evidenzbasiertes Indiz für den Stand Ihrer Sicherheitsreife sein. Diese Daten sollten genutzt werden, um Ihre Sicherheitspraktiken auf gemessene Weise zu verbessern.
Architektur: Zonen, Leitungen und Burgen
IEC 62443 basiert stark auf dem Konzept der Zonen und Leitungen. Stellen Sie sich Ihre Anlage wie eine mittelalterliche Burg vor, die von einem flexiblen Graben geschützt wird.
Die Zonen (Die Räume): Sie lassen den Boten nicht einfach in das Königsgemach eintreten, ohne Genehmigungen. Ebenso sollten Ihre Sicherheitssysteme (SIS) in einer separaten Zone von Ihrem Basic Process Control System (BPCS) sein. Wenn der Kontrollraum von einem USB-Stick infiziert wird, muss das Sicherheitssystem unberührt bleiben.
Die Leitungen (AKA die Korridore): Dies ist der einzige Weg, auf dem Daten reisen können. In der OT sehen wir oft flache Netzwerke, in denen ein Drucker im Verwaltungsgebäude einen PLC in der Crack-Anlage "anpingen" kann. Das ist nichts anderes als eine Katastrophe, die darauf wartet, zu passieren.
Governance-Maßnahme: Vorgabe, dass kein Datenverkehr zwischen Zonen fließt, es sei denn, er durchläuft eine definierte Leitung (Firewall/Gateway) mit tiefgehender Paketinspektion.
Betrieb: Das "Patch-Paradoxon"
Hier treffen Theorie und Praxis aufeinander. IEC 62443-2-4 legt Anforderungen an Dienstleister fest, aber Sie tragen das Risiko.
Lieferantenmanagement: Ihr Turbinenlieferant möchte Fernzugriff, um Vibrationsdaten zu überwachen. In Ordnung. Aber Ihre Governance muss die IEC 62443-3-3 Systemsicherheitsanforderungen durchsetzen. Geben Sie ihnen keinen permanenten VPN-Tunnel. Geben Sie ihnen einen "just-in-time" ephemeren Link, der überwacht und aufgezeichnet wird.
Die Herausforderung der alten Systeme: Sie haben wahrscheinlich Controller, die auf Windows XP oder 98 oder proprietären Betriebssystemen laufen, die seit Ihrer Schulzeit nicht mehr aktualisiert wurden. Sie können nicht daran denken, sie zu ersetzen.
Die Lösung: Verwenden Sie das Konzept des Sicherheitsniveaus (SL). Wenn das Asset SL-3 (hoch kritisch) ist, aber nicht gepatcht werden kann, müssen Sie es in eine "digitalen Decke" einwickeln oder einfach gesagt die Schränkeports physisch verschließen, es wenn möglich trennen oder hinter einen unidirektionalen Gateway (Daten-Diode) setzen oder die Verkehrsbeschränkungen wie zuvor erwähnt anwenden.
Das menschliche Element: Rollen und Verantwortlichkeiten
Governance ohne Verantwortlichkeit ist wie Tanzen ohne Partner oder sogar wie ein interstellarer Körper mit einem Anti-Schwanz.
Hier ist eine Liste von Aufgaben für alle
Der CISO (Chief Information Security Officer)
Die Rolle: Der Stratege.
Der Wechsel: Der CISO muss aufhören, das Werk als ein "großes Büronetzwerk" zu betrachten.
Die Verantwortung: Entwickelt das CSMS (Cyber Security Management System). Meldet Cyber-Risiken dem Vorstand in der Sprache von Produktionsverlusten und Sicherheitsvorfällen, nicht nur "Datenschutzverletzungen".
Schlüsselaufgabe: Harmonisierung von IT-Sicherheitstools mit OT-Einschränkungen (z.B. Sicherstellung, dass der Antivirenscan die HMI nicht abstürzt).
Der Werksleiter / Anlagenmanager
Die Rolle: Der Eigentümer.
Der Wechsel: Muss akzeptieren, dass "Cyber-Sicherheit" nun Teil der "Prozesssicherheit" ist.
Die Verantwortung: Trägt das Risiko. Wenn die Anlage aufgrund von Ransomware ausfällt, liegt es an ihrem P&L. Sie genehmigen das Budget für die Segmentation und Stillstandszeiten für Sicherheitsaktualisierungen.
Schlüsselaufgabe: Cyber-Übungen zu den standardmäßigen Notfallübungen hinzufügen.
Der Automatisierungs-/Instrumenten-Ingenieur
Die Rolle: Der Verteidiger.
Der Wechsel: Keine "Sicherheit durch Verschleierung" mehr.
Die Verantwortung: Implementierung der Zonen, Konfiguration der Firewalls und Verwaltung der "Königreichsschlüssel" (PLC-Passwörter).
Schlüsselaufgabe: Wartung des Asset-Inventars. Sie können nicht schützen, was Sie nicht wissen, dass es existiert.
Die "Keine-Spielerei" IEC 62443 Implementierungs-Checkliste
Bereit zu starten? Versuchen Sie nicht, den Herd zu kochen (statt der Brühe). Beginnen Sie mit diesen einfachen 7 Schritten:
Asset-Erkennung: Führen Sie einen passiven Scan durch (sicher für OT), um jede IP-Adresse zu finden. Sie werden schockiert sein, wie viele "schurkenhafte" Raspberry Pis und Händler-Laptops in Ihrem Netzwerk sind.
IEC 62443-basierte Risikoanalyse: Identifizieren Sie Ihre "Kronjuwelen" (wie das ESD-System für die Destillationskolonne).
Definition der Zonen: Ziehen Sie die Grenzen. Trennen Sie Sicherheit (SIS) von Kontrolle (BPCS) von Überwachung (HMI/SCADA) von Unternehmen (IT).
Sperrung der Leitungen: Verweigern Sie standardmäßig allen Verkehr. Whitelisten Sie nur die spezifischen Protokolle (z.B. Modbus TCP, OPC UA), die für den Betrieb erforderlich sind.
Überprüfung des Fernzugriffs: Überprüfen Sie jede externe Verbindung. Wenn sich ein Anbieter seit 30 Tagen nicht eingeloggt hat, deaktivieren Sie einfach das Konto.
Sicherungsüberprüfung: Stellen Sie sicher, dass Ihre "Gold Copy"-Backups für PLCs und SCADA-Konfigurationen offline und getestet sind. Ransomware verschlüsselt gerne zuerst Online-Backups.
Die "USB-Kleber"-Richtlinie: Wenn ein Port nicht benötigt wird, blockieren Sie ihn physisch oder deaktivieren Sie ihn logisch. USBs sind der Hauptvektor für luftabgeschottete Systeme. Überlegen Sie, ob Sie sich für eine Medien-Scan-Lösung entscheiden können
Achten Sie auf Bedrohungsmitteilungen und Verstöße, die andere Unternehmen betreffen
OT-Sicherheit im Jahr 2026
Die Integration von IEC 62443 geht nicht darum, Ihre OT-Infrastruktur im Jahr 2026 "unhackbar" zu machen. Es geht vielmehr darum, sie widerstandsfähig und ereignisresistent zu machen. Es geht auch darum zu gewährleisten, dass, wenn der digitale Sturm eintrifft, Ihre Sicherheitssysteme standhalten, Ihr Rohöl weiterhin fließt, Ihr Umspannwerk das Licht an hält, Ihre Flughäfen weiterhin Passagiere abfertigen und Ihre Mitarbeiter sicher nach Hause gehen. Wir schulden es den Menschen, die unser Geschäft am Laufen halten.
Erfahren Sie mehr über unser IEC 62443 Angebot.
Finden Sie mehr über Shieldworkz’ OT-Sicherheitslösung heraus.
Wöchentlich erhalten
Ressourcen & Nachrichten
Dies könnte Ihnen auch gefallen.
Privileged Access Management in OT Environments
Team Shieldworkz
Zuordnung von IEC 62443 zu NIS2 und CRA für EU-Hersteller
Team Shieldworkz
Der digitale Nebel des Krieges: Wenn Hacktivismus professionell wird
Prayukth K V
OT-Cybersicherheit: Aktive vs. passive Angriffe und wie Sie Industrial Control Systems (ICS) schützen
Team Shieldworkz
Was sind Common Vulnerabilities and Exposures (CVEs) in OT-Systemen?
Team Shieldworkz
Die 15 wichtigsten kritischen OT-Sicherheitsbedrohungen in der Energie- und Versorgungswirtschaft
Team Shieldworkz
