Cyber Security: IEC 62443 – Security for Industrial Automation and Control Systems

Thomas Bleier, B-SEC better secure KG

Bisher waren hauptsächlich IT-Umgebungen in Unternehmen von Cyber-Angriffen betroffen. Doch dies könnte sich bald ändern: Auch Produktionsumgebungen können Ziele von Cyber-Attacken werden. Deshalb definiert die IEC 62443 Best Practices, wie ein System sicher gestaltet und gemanagt werden kann.

Die Norm ist in vier Ebenen unterteilt. Mit dieser Unterteilung hilft sie Unternehmen dabei, Security-Prozesse zu gestalten, unterstützt beim Design neuer Systeme und definiert Sicherheitsvorgaben für Produkte.
Es kommen laufend neue Teilnormen hinzu, und ältere Normteile werden überarbeitet.

Dieses Jahr wurde die IEC 62443-1-5 vorgestellt, welche sich mit der Erstellung von Profilen für die Verwendung der IEC 62443 in spezifischen Anwendungsdomänen befasst. Weiters wurde die IEC 62443-2-4 überarbeitet, mit dem Ziel, gewisse Unschärfen zu beseitigen und präzisere Formulierungen zu finden.

Die Norm befindet sich in ihrer finalen Phase. Ebenfalls kurz vor der Veröffentlichung stehen die Normen IEC 62443-6-1 und IEC 62443-6-2, welche Vorgaben zur Evaluierung und Zertifizierung anderer Normteile (konkret 2-4 und 4-2) enthalten.

Jakob Zanol, Bundeskanzleramt

Der Entwurf für die NIS 2-Richtlinie zur Netzwerk- und Informationssicherheit ist weit fortgeschritten, aber noch nicht finalisiert. Der Anwendungsbereich der Richtlinie wird von sieben auf 18 Industriesektoren ausgeweitet, wobei der Fokus auf großen und mittleren Unternehmen liegt.

Neu sind die Verantwortung des Top-Managements und eine Unterscheidung in wesentliche und wichtige Unternehmen. Die Pflichten für Unternehmen umfassen Risikomanagement und Berichterstattung sowie neue Schulungsverpflichtungen für das Top-Management.

Neben der Cyber-Sicherheit ist auch die physische Sicherheit ein Thema. Die Sätze für die Höchststrafen sind an das Schema der DSGVO angelehnt und auf mindestens 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes festgelegt. Die Berichtspflichten werden ähnlich wie bei NIS 1 gestaltet werden.

Erhebliche Sicherheitsvorfälle müssen über private CERTs (Cyber Emergency Response Team) an die Behörden gemeldet werden. Die NIS-Behörde wird Lageberichte auf nationaler und europäischer Ebene erstellen.

Christian Brauner, OMICRON electronics GmbH

Die vermehrte Verschmelzung von IT und OT stellt besondere Herausforderungen in puncto Sicherheit und Risikomanagement dar. Viele Betreiber von OT-Systemen arbeiten noch mit alter Firmware, da das Risiko eines Software-Updates oft als zu hoch eingeschätzt wird. In diesem Kontext sind Schutz- und Leittechnikgeräte besonders komplex, da sie aus Hunderten von Software-Komponenten bestehen.

OT-Betreiber müssen deshalb Sicherheitsberichte (so genannte „Advisories“) von verschiedenen Herstellern sorgfältig prüfen, was einen hohen Arbeitsaufwand bedeutet. Um dies zu erleichtern, bietet Omicron Tools für automatisierte Inventaraufnahmen durch Netzwerk-Discovery an. Darüber hinaus hat das Unternehmen eine spezielle Schwachstellendatenbank in Zusammenarbeit mit Herstellern entwickelt.

Kunden erhalten so nur relevante Schwachstellenmeldungen für ihre spezielle Anlagensituation. Das Hauptziel ist die Ermöglichung eines effektiven Patch-Managements. Omicron betont, dass kein System vollständig sicher ist und empfiehlt daher zusätzlich zu Firewalls auch spezielle Angriffserkennungssysteme.

Durch den Einsatz ihres Tools „Station Guard“ minimiert Omicron die Anzahl der Fehlalarme („false positives“) und macht das Tool leicht anwendbar für OT-Techniker. Damit wird eine ganzheitliche Lösung für das Inventar- und Risikomanagement im komplexen Bereich der Stromnetzüberwachung angeboten.

Olaf Mischkovsky, Fortinet

Fortinet hat sich bereits seit einigen Jahren vom Firewall-Anbieter zu einem breit aufgestellten Hersteller im Bereich der Operational Technology(OT)-Sicherheit entwickelt. Zentral für ihre Sicherheitsstrategie ist die „Fortinet Security Fabric“, ein integriertes System, das neben Firewalls auch andere Sicherheitstechnologien wie Threat Detection und Threat Protection umfasst.

Dieses System ist auch darauf ausgelegt, mit externen Geräten wie beispielsweise jenen von Omicron zu kommunizieren, um ein ganzheitliches Sicherheitsnetzwerk zu schaffen. Ein wesentlicher Aspekt hierbei ist die Netzwerksegmentierung.

Fortinet bietet die Möglichkeit, jedes einzelne Asset im Netzwerk zu identifizieren und abzusichern. Dies wird durch eine Asset-Ermittlungsfunktion unterstützt, die das Monitoring und die Segmentierung der Netzwerkelemente ermöglicht. Ein spezielles Feature ist das „Asset Identity Center“, welches eine visuelle Darstellung bietet, wie verschiedene Geräte miteinander kommunizieren. Zusätzlich bietet Fortinet „Virtual Patching“ an.

Diese Funktion ermöglicht es, schädlichen Datenverkehr zu blockieren, sodass Geräte, die anfällig für bestimmte Sicherheitslücken sind, dennoch sicher betrieben werden können. Fortinet legt großen Wert darauf, genaue Einblicke in den Netzwerkverkehr zu bieten.

Dadurch können Sicherheitseinstellungen sehr spezifisch angepasst werden, bis hin zur Kontrolle, welche Arten von Datenpaketen durch bestimmte Ports fließen dürfen. Als einer der führenden Anbieter im Bereich der OT-Sicherheit bearbeitet Fortinet seine Lösungen im Einklang mit internationalen Sicherheitsstandards und der IEC 62443-3-3 für eingebettete Systeme.

Peter Panholzer, Limes Security

In der IEC 62443-4-2 stellt die Norm eine Definition von Sicherheitsanforderungen für Komponenten bereit. Diese Anforderungen decken Aspekte wie Authentifizierung und Integrität ab und sollten idealerweise von den Betreibern an die Hersteller weitergegeben werden. Wichtig ist das Management dieser Anforderungen, da sie den Betrieb der Systeme nicht beeinträchtigen sollten.

Die Norm 62443-1-1 definiert verschiedene „Security Levels“, wobei eine starre Zuordnung nicht immer möglich ist. In der Praxis können spezielle Profile hilfreich sein, um Anforderungen zu bündeln. Als Beispiel für die Relevanz dieser Anforderungen wurde ein Angriff auf Herzschrittmacher gezeigt, welche Daten in die Cloud übertragen.

Sie können durch DDoS-Angriffe kompromittiert werden, was Lücken in den bestehenden Normen und deren Durchsetzung, insbesondere bei der Authentifizierung der Client-Seite, aufzeigt. Die Einhaltung dieser Normen ist essenziell für OT-Komponentenhersteller, um hohe Sicherheitsstandards bei gleichbleibender operationeller Effizienz zu gewährleisten.

Christoph Schmittner, AIT

Der Cyber Resilience Act ist ein Gesetz zur Stärkung der Cyber-Sicherheit auf Produktebene. Das Gesetz setzt einen straffen Zeitplan: Innerhalb von 20 Monaten sollen alle Prozesse, und nach 40 Monaten die komplette Hardware und Software gewissen Anforderungen entsprechen. Das erforderliche Sicherheitsniveau wird durch eine Risikobewertung festgelegt. Sollte für eine Domäne (noch) kein spezifischer Standard existieren, wird empfohlen, sich an ähnlichen Standards zu orientieren. Ein wesentlicher Aspekt bei der Umsetzung wird die Verpflichtung sein, Entscheidungen für Sicherheitsmaßnahmen nachvollziehbar zu dokumentieren. Das AIT bietet auch Tools an, welche diese Dokumentation vereinfachen sollen. Ein weiterer zentraler Punkt ist die verpflichtende Risikoanalyse auf Produktlevel. Der Act betont auch die Bedeutung von Tools für das Threat Modeling zur dynamischen Risikoanalyse. Zusammenfassend schafft der Cyber Resilience Act ein Rahmenwerk zur Verbesserung der Cyber-Sicherheit, welches Unternehmen in kurzer Zeit umsetzen müssen. Er fördert eine ausgewogene Sicherheitsstrategie, die auf gründlichen Risikobewertungen basiert.

Stefan Bauregger, NVISO

Advanced Persistent Threats (APT) sind Angriffe im Bereich der Operational Technology (OT). Ein APT-Angriff vollzieht sich in der ersten Phase innerhalb von sieben Schritten, gefolgt von Entwicklung und Ausführung. Um solche Angriffe zu simulieren und damit die eigene Sicherheitsinfrastruktur zu testen, kommen üblicherweise drei Teams zum Einsatz: Red Team, White Team und Blue Team.

Das Red Team ist für die Simulation des Hacker-Angriffs verantwortlich und folgt aus Sicherheitsgründen einem vorgefertigten Testplan. Als praxisnahes Fallbeispiel gab es den Versuch, eine ferngesteuerte Brücke zu manipulieren.

Ein solcher Angriff könnte ganz traditionell mit einer Phishing-E-Mail beginnen, die einen nicht realen Anmelde-Server enthält. Sobald z. B. ein Office PC infiziert wurde, versucht man auf kritischere interne Netzwerke zu springen, um größeren Schaden zu verursachen. Weiters streng betont wurde die Verwendung von scheinbar sicheren, aber tatsächlich leicht zu knackenden Passwörtern.

Beispielsweise hatte ein IT-Mitarbeiter das Passwort „P@$$word1!“ verwendet, welches zwar komplex aussieht, aber natürlich relativ einfach zu brechen ist. Das Hauptaugenmerk des Beitrags liegt auf der Erkenntnis, dass selbst scheinbar sichere Systeme und Passwörter potenzielle Schwachstellen aufweisen können.

Realistische Simulationsangriffe zeigen die Notwendigkeit auf, die eigene Infrastruktur ständig zu überprüfen und zu aktualisieren, um gegen fortgeschrittene, andauernde Bedrohungen gewappnet zu sein.

Erich Kronfuss, Phoenix Contact

Der Cyber Resilience Act (CRA) ist eine EU-Regelung zur Steigerung der Cyber-Sicherheit. Der CRA zielt darauf ab, Software und Hardware sicherer zu machen und legt unterschiedliche Klassen von Produkten (Default und Klasse 1 oder 2) fest. Besonderes Augenmerk wird auf die Sicherheit der Lieferkette gelegt. Lieferketten müssen spezielle Pflichten erfüllen, insbesondere im B2B-Bereich.

In Zukunft wird die Erfüllung der CRA-Anforderungen verpflichtend für die Nutzung des CE-Kennzeichens werden. Hersteller müssen auch proaktiv auf Sicherheitslücken reagieren. Ein weiterer wichtiger Punkt ist die Software Bill of Materials (SBOM), welche alle Komponenten eines Produkts auflistet. Unternehmen sind angehalten, sich mit diesen neuen Anforderungen vertraut zu machen.

Florian Wolff von Schutter, TÜV SÜD

Auch die Funkanlagenrichtlinie ist ein Teil der CE-Zertifizierung. Ab dem 1. August 2025 sollen Cyber-Sicherheitsanforderungen für Funkanlagen im CRA hinzukommen. Diese umfassen den Schutz von Netzwerken, personenbezogenen Daten und Betrugsprävention.

Konformität kann in Zukunft durch Selbsterklärung oder bereits jetzt durch eine so genannte benannte Stelle, wie z. B. den TÜV Süd, bestätigt werden. Die EU-Kommission hat spezifische Erwartungen an diese Normen, welche in der Cyber-Sicherheit nicht leicht umzusetzen sind.

Bestehende Normen wie 4-1 und 4-2 sind nicht vollständig kompatibel mit der Funkanlagenrichtlinie. Bis diese neuen Normen etabliert werden, sind Unternehmen weiterhin auf benannte Stellen für Zertifizierungen angewiesen.