OVE-IEC 62443-Cybersecurity-Tagung

Thomas Bleier, B-SEC better secure KG

Zu Beginn der Veranstaltung durfte ich wie jedes Jahr den aktuellen Entwicklungsstand und die derzeit laufenden Aktivitäten rund um die IEC 62433 darstellen. Angriffe auf Industrieanlagen erfolgen meist in einer Reihe von Aktivitäten, beginnend vom Office-IT-Netz bis zu den Industrieanlagen durch Lateral Movement.

Die IEC 62443 versucht deshalb, hier als Rahmenwerk zu zeigen, wie Industrielle Automatisierungsanalagen und die Verbindungen zu den Office-IT-Netzwerken sicher gestaltet werden können, um Angriffe bestmöglich zu verhindern. In der letzten Zeit wurde die Untergliederung der Norm von vier auf sechs Ebenen erweitert.

Die bekannten Ebenen beinhalten allgemeine Definitionen, Standards für die Betreiber von Systemen, Best Practices beim Systemdesign und Anforderungen an Komponenten und deren Entwicklungsprozesse.

Hinzu kommt nun eine Ebene mit Prüfnormen (6-1 und 6-2). Diese soll dabei helfen, die Umsetzung der Maßnahmen aus den anderen Normen zu validieren und mehr Einheitlichkeit in den Zertifizierungsprozessen schaffen.

Die erfreulichste Neuerung im heurigen Jahr ist aber sicherlich die Veröffentlichung der zweiten Version der IEC 62443-2-1, welche nun nach langer Entwicklungszeit komplett überarbeitet zur Verfügung steht. Erfreulicherweise etabliert sich die IEC 62443 immer mehr als Basisnorm für verschiedenste Branchen – von Gesundheit bis hin zum Energiesektor.

Die Arbeit an der Norm geht natürlich weiter, beispielsweise ist die Entwicklung so genannter „Harmonisierter Standards“ auf Basis der IEC 62443 für den europäischen Binnenmarkt in Vorbereitung auf den Cyber Resilience Act derzeit eines der wichtigen Themen in den Normungsarbeitsgruppen.

Arno Spiegel, Bundeskanzleramt

Arno Spiegel vom Bundeskanzleramt berichtete über die neuesten Entwicklungen rund um die NIS 2-Richtline und den Cyber Resilience Act (CRA) und beantwortete auch die zahlreichen Fragen der Veranstaltungsteilnehmer.

Die NIS 2-Richtlinie sollte bis Stichtag 17.10.2024 in nationales Recht umgesetzt werden, was sich in Österreich leider nicht ausgegangen ist. Allerdings sind wir damit in der EU nicht alleine: Bisher haben nur die beiden EU-Mitgliedstaaten Belgien und Zypern die NIS 2 vollständig in ihr jeweiliges nationales Recht eingebunden.

In Bezug auf die aktuellen Entwicklungen wurde festgestellt, dass sich im Rahmen der Begutachtung viele neue Erkenntnisse ergaben, die bereits auch teilweise umgesetzt wurden. Zu den Anpassungen gehört, dass die in der NIS 2-Richtlinie vorgesehene Höchststrafe nur angesetzt wird, wenn eine oder beide der folgenden Kernverpflichtungen verletzt werden: Meldepflicht innerhalb von 72 Stunden nach Bekanntwerden eines Vorfalls sowie nachweisbares Risikomanagement.

Es wurden auch interessante Einblicke in die Erarbeitung der NIS 2 in Zusammenarbeit mit dem europäischen Parlament gegeben.

Günter Böhm, Siemens

Günter Böhm von der Firma Siemens gab erkenntnisreiche Einblicke in die praktische Umsetzung der IEC 62443 und den dazugehörigen Zertifizierungsprozess in seinem Unternehmen. Siemens ist seit 2016 aktiv dabei, sich nach IEC 62443 zertifizieren zu lassen und wurde dieses Jahr zusätzlich nach 4-2 zertifiziert.

In der Praxis erwies es sich als besonders hilfreich, mit Leitprodukten in den Zertifizierungsprozess zu starten, da es einen sehr positiven Einfluss auf die weiteren Produkte haben kann, wenn man Blueprints erstellt, welche mehrfach angewandt werden können.

Im Rahmen von Rezertifizierungen ist das Eintauchen in spezielle Gebiete der IEC 62443 besonders lehrreich, um eine kontinuierliche Gesamtverbesserung zu erreichen. Das Besondere und Effektive an der IEC 62443 ist, dass sie alle relevanten Stakeholder - von Anlagenbetreiber über Systemintegrator bis Produkthersteller - direkt anspricht und unterstützend auf die gesamte Kette einwirkt.

International zeigt sich, dass mehrere andere Standards, wie der indische Standard „Cybersecurity in Power Sector Guidlines“ und der amerikanische Executive Order 14028, ein direktes Mapping auf die IEC 62443-Konformität einfordern, was ein wichtiger und relevanter Faktor für ein weltweit agierendes Unternehmen wie Siemens ist.

Simon Rommer, OMICRON

Simon Rommervon der Firma OMICRON berichtete über die Anwendungsgebiete von Network Intrusion Detection Systems (NIDS) im OT-Bereich. NIDS finden in allen Bereichen der OT Anwendung.

Aus praktischen Erfahrungen zeigte sich, dass die dokumentierten Netzwerkpläne von OT-Anlagen meist veraltet sind und eine geringe Halbwertszeit aufweisen. Die Verwendung eines NIDS kann dabei helfen die aktuellen Data Flows detailliert nachzuvollziehen und auf Basis dieser ein realitätsgetreues und aktuelles Netzwerkdiagramm zu erstellen.

In Kombination mit 2-3 der IEC 62433 kann auch ein effektives Vulnerability Assessment durchgeführt werden.

Als Kernbotschaft des Vortrags wurde hervorgehoben, dass IT/OT-Verantwortliche möglichst alle Features der verwendeten NIDS-Lösung anwenden sollten, zumal die IT/OT-Security in der Regel budgetären Limitierungen unterliegt.

Jedoch wurde auch darauf hingewiesen, begründet durch die Funktionsweise eines NIDS, dieses mit Bedacht einzusetzen. Beim Auftreten von „false positives“ kann es zu unerwünschten Verhaltensweisen bis hin zu Ausfällen von Anlagenteilen kommen.

Daher sollten NIDS so konfiguriert werden, dass sie beispielsweise auf Basis von Alarmen zwar Regeln vorbereiten, diese aber durch autorisierte Personen wie einen Security Engineer überprüft und dann erst aktiv geschaltet werden.

Florian-Sebastian Prack, TÜV Austria

Florian-Sebastian Prack von TÜV Austria gab Einblicke in den Zertifizierungsprozess der IEC 62443. Aktuell führt der TÜV Zertifizierungen für die Normteile 2-1, 2-4, 3-2, 3-3, 4-1 und 4-2 der IEC 62443 durch. In Rahmen der 62443-2-1 werden vor allem Themen wie Risk Assessment, Access Control und Netzwerksegmentierung geprüft. Bei der 62443-3-2 stehen Themen wie das Systemdesign im Vordergrund, die 62443-4-2 beleuchtet im Zertifizierungsprozess die Eigenschaften eines sicheren Produkts.

In Rahmen der Zertifizierung ergeben sich vor allem Probleme durch gewachsene Strukturen, die Eingrenzung des zu zertifizierenden Scopes sowie auch verfügbarer Ressourcen wie z. B. Zeit.

Der allgemeine Zertifizierungsprozess startet mit einer Machbarkeitsprüfung und einer Festlegung des Zertifizierungsrahmens. Anschließend folgen die Erstellung eines Angebots sowie die Inspektion des Produkts und dann die Zertifizierung. Die Durchlaufzeit des gesamten Prozesses ohne Vorbereitungsmaßnahmen wird auf vier bis sechs Monate geschätzt. Aufgrund der Entwicklung der IT/OT-Sicherheitslage ist auch ein größerer Anstieg an Zertifizierungsanfragen und ein größeres Bewusstsein für die Thematik in der Industrie wahrzunehmen.

Erich Kronfuss, Phoenix Contact

Erich Kronfuss von Phoenix Contact veranschaulichte den Wirkungsbereich des Cyber Resilience Acts (CRA) und den aktuellen Stand der Entwicklungen. Der Cyber Resilience Act wird Einfluss auf alle Produkte mit digitalen Elementen, welche in den europäischen Markt eingeführt werden sollen, nehmen. Das bedeutet, dass alle Produkte die Daten erfassen, speichern, versenden und/oder weiterverarbeiten vom CRA betroffen sein werden. Die Konformität mit dem CRA wird am Gerät durch die bekannte CE-Kennzeichnung erkennbar sein.

Die betroffenen Produkte werden in einer der folgenden Klassifizierungen eingeordnet: Unterschieden wird zwischen nicht kritischen, kritischen (Klasse 1 und Klasse 2) und hochkritischen Produkten. Produkte mit kritischer Klassifizierung müssen eine Zertifizierung nach Cyber Resilience Act durchführen. Dabei müssen neue Produkte ohne bekannte Schwachstellen ausgeliefert und bis zu fünf Jahre kostenlos Sicherheits-Updates bereitgestellt werden, sofern die erwartete Nutzungsdauer nicht kürzer ist.

Produkthersteller sind ebenfalls dazu verpflichtet, eine detaillierte technische Dokumentation über das Produkt sowie die sicherheitstechnischen Maßnahmen zu erstellen. Diese Dokumentation muss noch zehn Jahre nach dem Verkauf der letzten Einheit des Produkts gespeichert und verwahrt bleiben.

Werden Schwachstellen gefunden, die aktiv genutzt werden, müssen diese innerhalb von 24 Stunden an die Europäische Agentur für Cybersicherheit (ENISA) gemeldet werden. Der europäische Rat hat den CRA am 10.10.2024 verabschiedet. Dieser hat nun nach der Veröffentlichung im Amtsblatt einen Umsetzungszeitrahmen von 36 Monaten. Es wird erwartet, dass der CRA in Q4 2027 in Kraft treten wird.

In Bezug auf den gesamten Prozess helfen die Teilnormen 4-1, 4-2 und 3-3 der IEC 62433 und geben Anforderungen für einen sicheren Produktlebenszyklus bis hin zu Systemsicherheit und Sicherheitsstufen vor. Die Europäische Union hat zudem die Gruppe „Cyberstand“ gegründet, um bei KMUs das Verständnis für den CRA zu stärken.

Peter Panholzer, Limes Security

Peter Panholzer von Limes Security zeigte auf, wie verborgene Risiken in der OT zu verstehen sind und welche Maßnahmen Unternehmen treffen können, um diese effektiv zu minimieren bzw. zu verhindern. Sowohl in der NIS 2-Richtline als auch im CRA ist das Thema der Risikoeinschätzung ein Kernelement. In der IT/OT-Sicherheit ist es wichtig, nicht nur von Problemen, wie z. B. nicht gepatchten Anlagen, zu wissen, sondern vielmehr das Risiko dieses Umstands auch zu bewerten, zu dokumentieren und sich anschließend über die möglichen Auswirkungen bewusst zu werden.

Nicht jeder Anwendungsfall erfordert die gleichen Maßnahmen, sondern muss dem Risiko angemessen sein. Aufgrund dieser Tatsache sind die Elemente des Risikomanagements und der Security sehr eng miteinander verbunden. Hier gibt die IEC 62443 auch einen Rahmen vor, der Unternehmen dabei unterstützt, das Risiko zu bewerten und je nach Kritikalität eine Priorisierung zu treffen. In Bezug auf die Priorisierungen werden die „Top 10 industrial security threats“ in der aktuellen Fassung von 2022 vom deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) erwähnt.

Am Anfang dieses Prozesses empfiehlt sich immer, eine High-Level-Analyse der erwarteten Auswirkungen und eine Einschätzung, ob diese tolerierbar wären. Sind die Auswirkungen nicht tolerierbar, muss ein detailliertes Assessment, auch durch Threat Modelling unterstützt, gemacht werden. Um verborgene Risiken zu finden, sollte man sich im ersten Schritt damit befassen, wie die Zusammensetzung des zu untersuchenden Objekts ist. Auch elementare Fragen, wie z. B. „Was ist das zu untersuchende Objekt überhaupt?“, sind zu stellen.

Im zweiten Schritt sollte man überprüfen, was bei dem System under Consideration (SuC) schiefgehen gehen kann, welche Missbrauchsoptionen es gibt, und wo diese auftreten könnten. Die dritte Frage, welche man sich im Threat Modelling-Prozess stellen sollte, ist, wie man gegen die Gefahren vorgehen kann. Abschließend sollte man hinterfragen, ob man eine vollständige Betrachtung durchgeführt hat. In der Praxis zeigt sich oft, dass Threat Modelling oft an Frage 1 scheitert und somit verborgene Risiken bestehen. Die IEC 62443-4-1 versucht, genau diese Ideen auch aufzugreifen.

Abschließend wurde betont, dass Annahmen immer verschriftlicht und dokumentiert werden müssen, um einen gemeinsamen Konsens zu finden.

Die Veranstaltung war auch in diesem Jahr gut besucht, und an dieser Stelle möchte ich mich wieder bei allen Vortragenden für ihre Beiträge, bei den Sponsoren für die Unterstützung und beim Organisationsteam des OVE für die Durchführung der Veranstaltung bedanken.

Auch im nächsten Jahr wollen wir die Tradition fortsetzen und im Herbst 2025 eine IEC 62443-Cybersecurity-Tagung durchführen. Wir freuen uns natürlich auch jetzt schon über Beiträge dazu – bitte einfach ein kurzes Mail an t@b-sec.net senden.