site-logo
site-logo
site-logo

Integration von IEC 62443 in die OT-Sicherheitsgovernance

Startseite

Blogs

Integration von IEC 62443 in die OT-Sicherheitsgovernance

Integration von IEC 62443 in die OT-Sicherheitsgovernance

IEC 62443 in die OT-Sicherheit
Shieldworkz-Logo

Prayukth KV

Integration von IEC 62443 in die OT-Sicherheitsführung

Reife Unternehmen in der Öl- und Gasindustrie arbeiten bereits daran, ihre OT-Infrastruktur durch mehrere Interventionsschichten abzusichern. Einerseits setzen sie Sicherheitsmaßnahmen in Form von Netzwerküberwachung, Mediendurchsuchung, sicherem Fernzugang und sorgfältigen Risikobewertungen ein, während sie andererseits auch ihre Mitarbeiter schulen und Sicherheit als integralen Bestandteil der betrieblichen Erfordernisse betrachten.

Ob Ihre OT-Sicherheitsmaßnahmen als reif oder grundlegend klassifiziert werden können, Sie können definitiv die IEC 62443-Serie von Standards betrachten, um Ihr Sicherheitsniveau zu verbessern und die Integration von Sicherheitsmaßnahmen in den Betrieb sicherzustellen. Es geht nicht nur darum, Compliance zu gewährleisten, sondern auch darum, die Compliance zu überwachen und sicherzustellen, dass Ihre Sicherheitsmaßnahmen auf Ihr Risiko ausgerichtet sind und bereit sind, auf alle Vorfälle oder Ereignisse zu reagieren, die eine Unterbrechung bedrohen könnten.

Da das Jahr 2026 am Horizont erscheint, ist es an der Zeit, die Rolle zu überdenken, die IEC 62443 dabei spielen kann, die Sicherheitslage Ihres Unternehmens zu stärken, Risiken einzudämmen und die Risikoexposition unter Kontrolle zu halten.    

Hier finden Sie eine Abhandlung darüber, wie Sie IEC 62443 in die DNA Ihrer Operationen einbetten können, von der Vorstandsebene bis hin zur eigentlichen Ausführungsstelle.

Bevor wir eintauchen, vergessen Sie nicht, unseren vorherigen Blog zu lesen, der einen umfassenden Überblick über die neuesten Hinweise von CISA und anderen Agenturen zur Integration von KI in Betriebstechnologie bietet. Ich bin sicher, Sie werden dies nützlich finden.

Governance: Die Schicht, die Absichten übersetzt

Einer der größten Reibungspunkte in der OT-Infrastruktur ist oft der Kulturkonflikt. Jeder Versuch, IT-Kontrollen auf OT zu übertragen, kann schnell zu Verschlechterungen führen. Die Lücke zwischen IT- und OT-Sicherheitsniveaus bietet Bedrohungsakteuren und unzufriedenen Insidern die Gelegenheit, einzudringen und Chaos zu verursachen.   

IEC 62443-2-1 hilft Ihnen dabei, dies zu überwinden, indem es ein Cybersecurity Management System (CSMS) fordert. Aber wie regieren Sie das tatsächlich?

  • Töten Sie den "Patch Tuesday"-Ansatz: In einer Raffinerie oder auf dem Shopfloor können Sie ein DCS (Distributed Control System) nicht einfach neu starten, nur weil Windows ein Update veröffentlicht hat. Ihre Governance-Richtlinie muss ausdrücklich festlegen, dass kompensierende Maßnahmen (wie strengere Firewall-Regeln oder virtuelle Patches oder Verkehrsbeschränkungen) als akzeptable Alternativen zum Patching akzeptiert werden, bis das nächste planmäßige Wartungsintervall erreicht ist.

  • Risikoakzeptanzdefinition: Das Management muss definieren, was "tolerabel" ist. Ist ein 4-stündiger Verlust der Sicht auf eine Pipeline-SCADA akzeptabel? Wenn nicht, muss das Governance-Framework für dieses spezifische Verbindungsstück redundante, segregierte Netzwerke mit zusätzlichen Kontrollen vorschreiben.

  • Die "Sicherheits"-Integration: Behandeln Sie Cyberrisiken wie HAZOP (Hazard and Operability Analysis) Eingaben. Wenn ein Cyberangriff dazu führen kann, dass ein Sicherheitsinstrumentierungssystem (SIS) ausfällt, gehört dies in die Bewertung des Prozesssicherheitsmanagements (PSM), nicht nur in ein IT-Ticket.

  • SL und ML: Die Sicherheits- und Reifestufen können ein robuster und evidenzbasierter Indikator dafür sein, wo Sie im Hinblick auf die Sicherheitsreife stehen. Diese Daten sollten verwendet werden, um Ihre Sicherheitspraktiken in einer messbaren Weise zu verbessern

Architektur: Zonen, Leitungen und Burgen

IEC 62443 verlässt sich stark auf das Konzept von Zonen und Leitungen. Stellen Sie sich Ihre Anlage wie eine mittelalterliche Burg vor, die von einem flexiblen Wassergraben geschützt wird.

  • Die Zonen (Die Zimmer): Sie lassen den Boten nicht einfach in das Königszimmer, ohne dass er die erforderlichen Genehmigungen hat. Ähnlich sollten Ihre Sicherheitsinstrumentierungssysteme (SIS) in einer separaten Zone von Ihrem Grundprozessleitsystem (BPCS) sein. Wenn der Kontrollraum durch ein USB-Laufwerk infiziert wird, muss das Sicherheitsschaltsystem unberührt bleiben.

  • Die Leitungen (die Flure): Dies ist der einzige Pfad, den die Daten nehmen können. In der OT stoßen wir oft auf flache Netzwerke, bei denen ein Drucker im Verwaltungsgebäude einen PLC in der Crackingeinheit "anpingen" kann. Dies ist nichts anderes als eine bevorstehende Katastrophe.

  • Governance-Aktion: Legen Sie fest, dass kein Verkehr zwischen Zonen fließen darf, es sei denn, er passiert eine definierte Leitung (Firewall/Gateway) mit Deep Packet Inspection.

Betrieb: Das "Patch-Paradoxon"

Hier trifft die Praxis auf die Theorie. IEC 62443-2-4 legt Anforderungen für Dienstleister fest, aber Sie tragen das Risiko.

  • Lieferantenmanagement: Ihr Turbinenlieferant möchte Fernzugriff, um Schwingungsdaten zu überwachen. In Ordnung. Aber Ihre Governance muss die System Security Anforderungen in IEC 62443-3-3 durchsetzen. Geben Sie ihnen keinen dauerhaften VPN-Tunnel. Geben Sie ihnen eine "Just-in-Time"-verfügbare, überwachte und protokollierte Verbindung.

  • Die Herausforderung mit Altsystemen: Sie haben wahrscheinlich Controller, die auf Windows XP oder 98 oder proprietären OSs laufen und seit Ihrem Schulball nicht mehr aktualisiert wurden. Sie können nicht daran denken, sie zu ersetzen.

    • Die Lösung: Nutzen Sie das Sicherheitsstufe (SL)-Konzept. Wenn das Asset SL-3 (hoch kritisch) ist, aber nicht gepatcht werden kann, müssen Sie es in eine "digitale Decke" einwickeln oder einfach ausgedrückt physisch die Schaltschränke verschließen, es möglicherweise air-gapped halten oder hinter einer unidirektionalen Steuerung (Diodensperre) platzieren oder wie zuvor erwähnt Verkehrsbeschränkungen etablieren.

Der menschliche Faktor: Rollen und Verantwortlichkeiten

Governance ohne Verantwortlichkeit ist wie Tanzen ohne Partner oder gar wie ein interstellares Objekt mit einem Anti-Schweif.

Hier ist also eine Liste von Aufgaben für jeden

Der CISO (Chief Information Security Officer)

  • Die Rolle: Der Stratege.

  • Die Änderung: Der CISO muss aufhören, die Anlage als "größeres Büronetzwerk" zu betrachten.

  • Verantwortung: Entwickelt das CSMS (Cyber Security Management System). Meldet Cyberrisiken an den Vorstand in der Sprache von Produktionsausfällen und Sicherheitsvorfällen, nicht nur von "Datenverletzungen".

  • Hauptaufgabe: Harmonisierung von IT-Sicherheitstools mit OT-Einschränkungen (z.B. sicherstellen, dass der Antivirenscan das HMI nicht abstürzt).

Der Anlagenleiter / Asset Manager

  • Die Rolle: Der Verantwortliche.

  • Die Änderung: Muss akzeptieren, dass "Cybersicherheit" nun Teil der "Prozesssicherheit" ist.

  • Verantwortung: Trägt das Risiko. Wenn die Anlage durch Ransomware ausfällt, steht es in ihrer Erfolgsrechnung. Sie genehmigen das Budget für Segmentierung und Ausfallzeiten für Sicherheits-Upgrades.

  • Hauptaufgabe: Sicherstellen, dass Cyber-Drills in Standard-Notfallübungen integriert werden.

Der Automatisierungs-/Instrumentierungsingenieur

  • Die Rolle: Der Verteidiger.

  • Die Änderung: Kein "Sicherheit durch Verbergen" mehr.

  • Verantwortung: Umsetzung der Zonen, Konfiguration der Firewalls und Verwaltung der "Schlüssel zum Schloss" (PLC-Passwörter).

  • Hauptaufgabe: Pflege des Asset-Inventars. Sie können nicht schützen, was nicht bekannt ist.

Der "No-Fluff" IEC 62443 Implementierungs-Checkliste

Bereit für den Start? Versuchen Sie nicht, den Herd zu kochen (statt die Brühe). Beginnen Sie mit diesen einfachen 7 Schritten:

  • Asset-Erkennung: Führen Sie einen passiven Scan (für OT sicher) durch, um jede IP-Adresse zu finden. Sie werden schockiert sein, wie viele "Schurken"-Raspberry Pis und Anbieterlaptops in Ihrem Netzwerk sind.

  • IEC62443-basierte Risikobewertung: Identifizieren Sie Ihre "Kronjuwelen". (wie das ESD-System für die Destillationskolonne).

  • Zonendefinition: Ziehen Sie die Linien. Trennen Sie Sicherheit (SIS) von Kontrolle (BPCS) von Überwachung (HMI/SCADA) von Unternehmensnetzwerk (IT).

  • Leitungssperre: Verbieten Sie standardmäßig allen Verkehr. Setzen Sie nur die spezifischen Protokolle (z.B. Modbus TCP, OPC UA) auf die Whitelist, die für den Betrieb erforderlich sind.

  • Überprüfung des Fernzugriffs: Prüfen Sie jede externe Verbindung. Wenn ein Anbieter sich seit 30 Tagen nicht eingeloggt hat, deaktivieren Sie einfach das Konto.

  • Backup-Verifizierung: Stellen Sie sicher, dass Ihre "Gold Copy"-Backups für PLCs und SCADA-Konfigurationen offline und getestet sind. Ransomware verschlüsselt gerne zuerst Online-Backups.

  • Die "USB-Kleber"-Richtlinie: Wenn ein Anschluss nicht benötigt wird, blockieren Sie ihn physisch oder deaktivieren Sie ihn logisch. USBs sind der Hauptvektor für luftgegappte Systeme. Prüfen Sie, ob eine Mediendurchsuchungslösung möglich ist

  • Achten Sie auf Bedrohungswarnungen und Verstöße, die andere Unternehmen betreffen

OT-Sicherheit im Jahr 2026

Die Integration von IEC 62443 bedeutet nicht, Ihre OT-Infrastruktur im Jahr 2026 "unhackbar" zu machen. Stattdessen geht es darum, sie widerstandsfähig und ereignissicher zu gestalten. Es geht auch darum, sicherzustellen, dass, wenn der digitale Sturm eintrifft, Ihre Sicherheitssysteme halten, Ihr Rohöl weiterfließt, Ihr Umspannwerk die Lichter anbehält, Ihre Flughäfen weiterhin Passagiere abfertigen und Ihre Mitarbeiter sicher nach Hause gehen. Wir schulden es den Menschen, die unser Geschäft am Laufen halten.

Erfahren Sie mehr über unser IEC 62443-Angebot.
Erfahren Sie mehr über Shieldworkz’ OT Security Solution

 

Wöchentlich erhalten

Ressourcen & Nachrichten

Dies könnte Ihnen auch gefallen.

Wie iranische Bedrohungsakteure ohne Konnektivität operieren

Prayukth K V

Während globale Konflikte eskalieren, ändern sich die APT-Strategien leise.

Prayukth K V

Iranische Bedrohungsakteure kehren zurück; eigentlich waren sie nie weg

Prayukth K V

NERC CIP-015-2 erklärt

NERC CIP-015-2 Erklärt: Erweiterung von INSM auf EACMS und PACS

Shieldworkz-Logo

Team Shieldworkz

Sicherung kritischer Infrastrukturen vor APT-Gruppen während geopolitischer Ereignisse

Prayukth K V

Entschlüsselung der strategischen Zurückhaltung iranischer Cybergruppen

Team Shieldworkz

BG image

Jetzt anfangen

Skalieren Sie Ihre CPS-Sicherheitslage

Nehmen Sie Kontakt mit unseren CPS-Sicherheitsexperten für eine kostenlose Beratung auf.

Demo anfordern

BG image

Jetzt anfangen

Skalieren Sie Ihre CPS-Sicherheitslage

Nehmen Sie Kontakt mit unseren CPS-Sicherheitsexperten für eine kostenlose Beratung auf.

Demo anfordern

BG image

Jetzt anfangen

Skalieren Sie Ihre CPS-Sicherheitslage

Nehmen Sie Kontakt mit unseren CPS-Sicherheitsexperten für eine kostenlose Beratung auf.

Demo anfordern