Das industrielle Internet der Dinge (IIoT) hat bestimmte Bereiche der Betriebstechnologie (OT) revolutioniert, indem es Sensoren, Aktoren, Steuerungen und Edge-/Cloud-Analyseplattformen miteinander verbindet. Diese Konvergenz von OT und IT hat jedoch auch die Angriffsfläche erheblich erweitert. Legacy-OT-Systeme, die für Isolation konzipiert wurden, sehen sich nun einer direkten oder indirekten Internetexposition gegenüber, und traditionelle Perimeterschutzmaßnahmen sind nicht mehr ausreichend oder sicher genug.

Um IIoT-Umgebungen systematisch zu sichern, bietet die IEC 62443, der internationale Standard für industrielle Cybersicherheit, ein strukturierteres und ganzheitliches Rahmenwerk. In diesem Artikel erkunden wir einen technischen Fahrplan zur Implementierung der IEC 62443, um eine verletzungsresistente IIoT-Umgebung zu schaffen.

Warum die IEC 62443 für die IIoT-Sicherheit in Betracht ziehen?

Die IEC 62443 ist eine Reihe von Standards, die von der Internationalen Elektrotechnischen Kommission (IEC) entwickelt wurden, um industrielle Automatisierungs- und Steuersysteme (IACS) zu sichern. Im Gegensatz zu allgemeinen IT-Standards behandelt sie die einzigartigen Einschränkungen und spezifischen Sicherheitsherausforderungen, die mit industriellen Umgebungen verbunden sind: deterministische Abläufe, Sicherheitsauswirkungen, Legacy-Systeme, Sicherheitsverantwortung, Sicherheit auf Vermögenswertebene und heterogene Gerätestrukturen.

Die IEC 62443 ist insbesondere für IIoT-Umgebungen effektiv, weil:

• Sie Sicherheitsanforderungen für Geräte (Komponentenebene) durch Design abdeckt.

• Sie Strategien zur Zonen- und Leitungssegmentierung ermöglicht.

• Sie ein Verteidigung-in-Tiefe-Modell unterstützt.

• Sie granulare, risikobasierte Sicherheitsstufen (SL 1–4) erlaubt.

• Sie die Definition von Sicherheitsrollen und -verantwortlichkeiten sowie Leitlinien für industrielle Einrichtungen zur Sicherung ihrer Systeme ermöglicht.

IEC 62443: Kernkomponenten

Der Standard ist in vier Hauptkategorien strukturiert:

• Allgemein (IEC 62443-1-x): Terminologie, Konzepte, Metriken.

• Richtlinien und Verfahren (IEC 62443-2-x): Managementsystem und Governance.

• Systemebene (IEC 62443-3-x): Risikobewertung, Sicherheitsarchitektur.

• Komponentenebene (IEC 62443-4-x): Produktentwicklungszyklus (sichere Produkte entwickeln) und technische Sicherheitskontrollen.

Für IIoT-Umgebungen sind die IEC 62443-3-2, 3-3 und 4-2 am relevantesten für die technische Umsetzung.

Schritt-für-Schritt-Anwendung der IEC 62443 für IIoT

Schritt 1: Definieren der Systemgrenzen und Beteiligten

Beginnen Sie mit der Identifizierung aller Komponenten im IIoT-Ökosystem:

• Edge-Geräte (Sensoren, PLCs, RTUs)

• Gateways und Protokollkonverter

• Netzwerkhierarchie

• Cloud-Schnittstellen und APIs

• HMI/SCADA-Plattformen

• Ingenieurarbeitsplätze

• Kommunikationsverbindungen und -protokolle (verkabelt, drahtlos, Satellit)

Kartieren Sie alle Beteiligten: OEMs, Systemintegratoren, Anlagenbesitzer, Werkleiter, Betriebsmitarbeiter, Cloud-Dienstleister usw.

Die IEC 62443-1-1 hilft, die Definitionen für eine klare Verantwortung der Beteiligten zu standardisieren.

Schritt 2: Risikobasierte Zuweisung von Sicherheitslevels (IEC 62443-3-2)

Führen Sie eine Zonen- und Leitungsanalyse durch:

• Gruppieren Sie Komponenten mit ähnlichen Sicherheitsanforderungen in Zonen.

• Definieren Sie Leitungen für die interzonale Kommunikation.

• Weisen Sie den Ziel-Sicherheitslevels (SL-T) jeder Zone basierend auf dem Risiko zu.

Die Sicherheitslevels reichen von SL1 (gelegentliche Verletzung) bis SL4 (eleganter Angreifer mit hohen Ressourcen). Beispiel:

Führen Sie eine Risiko- und Gap-Analyse durch, um das Risikoexposure zu bestimmen und die Auswirkungen (Sicherheit, Ausfallzeiten, Datenklau) und die Wahrscheinlichkeit (Bedrohungslandschaft, potenzielles für einen Vorfall) und Lücken zu berücksichtigen.

Schritt 3: Implementierung grundlegender Anforderungen (IEC 62443-3-3)

Die IEC 62443-3-3 definiert 7 grundlegende Anforderungen (FRs), jede mit abgeleiteten Anforderungen, die auf SLs zugeordnet sind.

FR 1: Identifizierungs- und Authentifizierungskontrolle (IAC)

• Führen Sie ein aktuelles Inventar

• Verlangen Sie eindeutige Identitäten für alle Geräte und Benutzer.

• Verwenden Sie X.509-Zertifikate, sicheres Booten mit TPM oder HSMs.

• Multi-Faktor-Authentifizierung für Cloud-/Remote-Schnittstellen.

FR 2: Nutzungsverhalten (UC)

• Rollenbasierte Zugriffskontrolle (RBAC) mit minimalen Berechtigungen.

• Deaktivieren Sie ungenutzte Dienste und Ports.

• Beenden Sie Sitzungen, wenn die Notwendigkeit endet. Keine Sitzungen dürfen unbegrenzt fortgesetzt werden.

• Alle Sitzungen werden überwacht.

FR 3: Systemintegrität (SI)

• Sicheres Booten und Firmware-Signierung.

• Lösungen zum Posture Management, um Netzwerksicherheitsanfälligkeiten oder -probleme zu überprüfen.

• Runtime-Integritätsüberwachung (z. B. ARM TrustZone, Intel SGX).

• Periodische VAPT.

FR 4: Datenvertraulichkeit (DC)

• Verschlüsseln Sie sensible Daten im Transit (TLS 1.3, MQTT über TLS) und im Ruhezustand (AES-256).

• Verwenden Sie Zero-Trust-Datenflüsse in Verbindung mit Verteidigung-in-Tiefe-Prinzipien; gehen Sie davon aus, dass Netzwerke und Benutzer feindlich sind.

• Dunkelnetz-Scans zur Bestimmung von Lecks.

FR 5: Eingeschränkter Datenfluss (RDF)

• Implementieren Sie Firewalls für interzonale Leitungen.

• Whitelisting-basiert genehmigte Kommunikation (MAC/IP/Protokoll).

FR 6: Zeitnahe Reaktion auf Ereignisse (TRE)

• Zentralisierte Protokollsammlung.

• Anomalieerkennung mithilfe von ML-basierten Netzwerk-erkennung- und Reaktionssystemen.

• Messung der Wirksamkeit der Vorfallreaktion durch Sicherheitsübungen.

FR 7: Ressourcenverfügbarkeit (RA)

• Ratenbegrenzung und DDoS-Schutz für exponierte IIoT-Schnittstellen.

• Redundanz- und Failover-Konfigurationen für Hochverfügbarkeit.

• SAT-Tests für alle Geräte vor der Bereitstellung.

Schritt 4: Sicherer Produktentwicklungszyklus (IEC 62443-4-1)

Gilt für Geräte- und Softwareanbieter:

• Bedrohungsmodellierung und Überprüfung der sicheren Architektur.

• Code-Analyse (statisch/dynamisch), Fuzz-Tests.

• Lieferkettensicherheit: Software-Rezeptur (SBOM), Prüfung dritter Komponenten.

• Sicherheitsmanagement und Patch-Liefermechanismen sowie kontinuierliche Sicherheitsüberprüfungen.

Adoptieren Sie DevSecOps-Pipelines, die mit sicheren Entwicklungslebenszyklus-Prozessen (SDL) übereinstimmen.

Schritt 5: Technische Kontrollen auf Komponentenebene (IEC 62443-4-2)

Hersteller müssen Sicherheitsfunktionen in IIoT-Produkte einbetten, um die in Schritt 2 definierten SLs zu erfüllen. Beispiele sind:

• Edge Gateway: Verschlüsselte Konfigurationsspeicherung, sichere Firmware-Aktualisierung, Protokollierungsfähigkeiten.

• Sensor-Knoten: Eindeutige Identität, sichere Schlüsselspeicherung, Watchdog-Timer.

• IIoT-Cloud-Dienst: API-Zugriffssteuerung, Datenbereinigung, Ratenbegrenzung, SIEM-Integration.

Die Zuordnung dieser Funktionen zu technischen Sicherheitsanforderungen (TSRs) stellt die Einhaltung der SL-T-Erwartungen sicher.

Schritt 6: Kontinuierliche Überwachung und Vorfallreaktion

Einmal bereitgestellt, ist ein System niemals statisch. Die IEC 62443-2-1 umreißt betriebliche Best Practices:

• Führen Sie Vermögensinventare und Sicherheitsanfälligkeiten-Datenbanken.

• Setzen Sie Netzwerk-Erkennung- und Reaktionswerkzeuge (NDR) ein, die speziell für OT konzipiert sind und von OT-spezifischen Cyber-Bedrohungsinformationen unterstützt werden.

• Definieren Sie Vorfallreaktionshandbücher für häufige IIoT-Angriffszenarien (z. B. Firmware-Manipulation, Einfügung von unerlaubten Geräten).

• Führen Sie regelmäßige Sicherheitsprüfungen und die Wiedervalidierung gegenüber SL-Anforderungen durch.

Die Integration mit OT-SOC- oder MSSP-Diensten hilft, die Einhaltung und Bedrohungssichtbarkeit aufrechtzuerhalten.

Beispiel: Verletzungsfeste Architektur für eine intelligente Fertigungsanlage

Stellen Sie sich eine Einrichtung vor, die IIoT für vorausschauende Wartung einsetzt:

• Sensoren: Vibrations- und Temperatursonden an Motoren.

• Edge Gateway: Aggregiert Daten und wendet ML-Modelle an.

• Cloud-Dashboard: Vorausschauende Warnungen und Berichte.

Implementierungs-Höhepunkte:

• Sensoren führen signierte Firmware aus und berichten über MQTT-TLS an ein gehärtetes Edge-Gateway.

• Das Gateway authentifiziert sich mit einem Cloud-Zertifikat, das durch eine Firewall/VPN isoliert ist.

• Protokolle werden in nahezu Echtzeit an ein SIEM weitergeleitet.

• Der Zugriff auf Dashboards erfolgt über MFA und RBAC.

• Firmware-Update-OTA-Pipelines sind signiert und verschlüsselt.

Dieses Setup entspricht den SL2/SL3-Vorgaben über Zonen hinweg und balanciert Sicherheit mit Leistung und Verfügbarkeit.

Herausforderungen und Überlegungen

• Legacy-Integration: Viele IIoT-Umgebungen müssen mit unsicheren Protokollen (Modbus, DNP3) interagieren. Verwenden Sie Protokollkonverter und gateways auf Anwendungsebene.

• Ressourceneinschränkungen: Geräte haben möglicherweise nicht die Rechenleistung für vollständige TLS-Stapel. Ziehen Sie leichte kryptografische Frameworks in Betracht, wenn erforderlich.

• Patchbarkeit: Nicht aktualisierbare Geräte müssen unter Verwendung unidirektionaler Gateways oder Sandboxing isoliert werden.

• Bewerten und verbessern Sie ständig die Sicherheitslage.

• Behandeln Sie Sensibilisierungsprobleme der Mitarbeiter.

Fazit

IIoT-Systeme sind leistungsfähig, aber ihre Skalierung und Vernetzung schaffen auch ein signifikantes Cyberrisiko. Die IEC 62443 bietet ein tief technisches, anbieterneutrales Blueprint zur Sicherung jeder Schicht — von Edge-Sensoren bis zur Cloud. Durch rigoroses Anwenden ihrer Prinzipien — Zonierung, SLs, grundlegende Anforderungen, sichere Entwicklung und Überwachung — können Organisationen verletzungsresistente IIoT-Architekturen aufbauen, die widerstandsfähig, konform und sicher by Design sind.