ISA/IEC-62443: Von der Norm zur Praxis: Security-Level als Schlüssel zur Resilienz
DORA, NIS-2, Data Act und KRITIS – bei all den Anforderungen verlieren Unternehmen leicht den Überblick: Wo anfangen, wie Prioritäten setzen? Die Normenreihe ISA/IEC 62443, die sich mit dem Schutz von industriellen Automatisierungs- und Steuerungssystemen befasst, kann mit ihren Security-Leveln helfen, Cybersicherheit strategisch zu planen. Unsere Autoren zeigen, wie Unternehmen durch eine klare Sicherheitsarchitektur, Zonierung und eine schrittweise Implementierung ihre Widerstandsfähigkeit langfristig verbessern können.
Hinweis: Dieser Artikel stammt aus der Ausgabe 6/2024 der Zeitschrift IT-SICHERHEIT. Das komplette Heft können Sie hier herunterladen. (Registrierung erforderlich)
Es ist allgemein bekannt, dass Cybersicherheit für den Erfolg und die Zukunft von Unternehmen entscheidend ist. Der Schutz sensibler Informationen und die Abwehr von Bedrohungen sind nicht nur technische, sondern strategische Notwendigkeiten. Besonders der deutsche Mittelstand steht vor der Herausforderung, seine digitale Infrastruktur abzusichern.
Die Komplexität der heutigen digitalen Landschaft, einschließlich Industrial Internet of Things (IIoT) und Operational Technology (OT) in der Produktion, und die Vielzahl potenzieller Schwachstellen können dabei überwältigend sein. EU- und deutsche Regularien wie DORA, NIS-2, Data Act und KRITIS unterstreichen die Notwendigkeit zusätzlich, sich intensiv mit dem Thema auseinanderzusetzen.
Oft ist es jedoch schwierig, bei dieser Vielzahl an Anforderungen den Überblick zu behalten: Wo beginnt man, wie priorisiert man? Die ISA/IEC-62443-Normen bieten einen initialen Ansatzpunkt, um Cybersicherheit strategisch zu planen. Sie behandeln den Schutz von industriellen Automatisierungs- und Steuerungssystemen (IACS).[1] Die Normenreihe legt umfassende Schutzmaßnahmen für diese Systeme fest und bietet eine strukturierte Methode zur Bewertung und Verbesserung der Sicherheit. Darüber hinaus liefert sie auch für Unternehmen außerhalb dieses Bereichs wertvolle Ansätze für ein systematisches Sicherheitsmanagement.
Besonders das Konzept der darin beschriebenen Security-Level kann ein wesentliches Instrument darstellen, um den Schutzbedarf von Vermögenswerten wie Informationen oder Systemen zu ermitteln und passende Sicherheitsmaßnahmen zu planen und zu implementieren. Im Folgenden werden der Einfachheit halber nur die IT-Vermögenswerte (IT-Assets) betrachtet.
Wie helfen Security-Level bei der Cybersicherheit?
Im Allgemeinen können Security-Level es Unternehmen ermöglichen,
- den Grad der Sicherheit oder den Schutzbedarf ihrer IT-Assets zu ermitteln sowie entsprechende Maßnahmen zu implementieren und so dazu beitragen die Vertraulichkeit, Integrität und Verfügbarkeit von IT-Assets zu gewährleisten.
- Sicherheitsmaßnahmen festzulegen, die auf die spezifischen Bedrohungen und potenziellen Auswirkungen jedes Systems abgestimmt sind, und diese nachvollziehbar und gezielt umzusetzen.
- sicherzustellen, dass kritische IT-Assets dort stärkeren Schutz erhalten, wo es nötig und angemessen ist.
- mit einem niedrigeren Security-Level zu beginnen und ihre Sicherheitsmaßnahmen im Laufe der Zeit schrittweise zu verbessern. Dieser gestufte Ansatz macht Sicherheitsverbesserungen handhabbarer, ermöglicht eine phasenweise Implementierung und bietet die notwendige Skalierbarkeit und Flexibilität, um mit dem Unternehmen zu wachsen.
- durch eine klare Strukturierung und Segmentierung der digitalen Infrastruktur Transparenz und Kontrolle zu gewinnen. Dies erlaubt es Unternehmen, ihre Risiken gezielt zu managen und ihre Sicherheitsinvestitionen zu priorisieren, wodurch Ressourcen effizient zugewiesen und dort eingesetzt werden, wo sie am dringendsten benötigt werden.
- eine schnelle und gezielte Reaktion bei einem Sicherheitsvorfall zu erleichtern.
Sicherheitszonen für mehr Transparenz und Schutz
Um eine strukturierte und effiziente Sicherheitsarchitektur zu gewährleisten, empfiehlt sich besonders die Erstellung eines umfassenden Zonierungskonzepts. Die zuvor definierten Security-Level dienen dabei als Grundlage, um abzuleiten, welche Sicherheitszonen innerhalb der IT-Infrastruktur eingerichtet werden sollten.
Eine Sicherheitszone ist eine logische Gruppierung von physischen, informationellen und anwendungsbezogenen IT-Assets, die gemeinsame Sicherheitsanforderungen teilen. Während Security-Level es ermöglichen, Schutzmaßnahmen gezielt auf die Bereiche mit dem höchsten Risiko zu konzentrieren, sorgen Sicherheitszonen dafür, dass sensible Daten in hochsicheren Bereichen isoliert werden.
Diese Zonen gewährleisten eine strukturierte und systematische Verwaltung der Sicherheitsmaßnahmen, indem sie ähnliche Ressourcen zusammenfassen und so die Anwendung spezifischer Sicherheitsrichtlinien ermöglichen. Dies trägt maßgeblich dazu bei, das Risiko von Datenverlusten und -diebstählen zu minimieren und unterstützt zudem die Einhaltung regulatorischer Anforderungen.
Kanäle sind eine besondere Art von Sicherheitszone, die Kommunikationswege gruppiert, die logisch in eine Gruppierung von Informationsflüssen innerhalb und außerhalb einer Zone organisiert werden können. Ein Kanal kann ein einzelner Dienst sein, wie beispielsweise ein einzelnes Ethernet-Netzwerk, oder aus mehreren Datenübertragungswegen bestehen, wie mehreren Netzwerkkabeln und direkten physischen Zugängen. Diese Kanäle ermöglichen eine gezielte Kontrolle und Überwachung der Informationsflüsse, um die Sicherheit und Integrität der Daten zu gewährleisten.
Security-Level: Ein Leitfaden zur Umsetzung
Um Security-Level in einem Unternehmen effektiv umzusetzen und die Unternehmensinfrastruktur nachhaltig zu stärken, kann ein systematischer Vier-Schritte-Ansatz angewendet werden. Dieser beinhaltet die Erstellung eines umfassenden Bestandsverzeichnisses, die Ermittlung des Schutzbedarfs, die Kategorisierung der IT-Assets in Zonen und Kanäle sowie die Umsetzung eines Implementierungsplans basierend auf den festgelegten Sicherheitszielen.
Die Umsetzung dieser Methode führt nicht nur zu einer strukturierten Sicherheitsarchitektur, die auf die bestehende Infrastruktur und die spezifischen Anforderungen des Unternehmens abgestimmt ist, sondern trägt auch wesentlich zu einer signifikanten Erhöhung des Gesamtschutzes der Unternehmensinfrastruktur bei und stärkt die Widerstandsfähigkeit gegenüber potenziellen Bedrohungen erheblich.
Schritt 1: Bestandsaufnahme
Zunächst sollte man eine umfassende Bestandsaufnahme der IT-, IoT- und OT-Umgebungen durchführen, um die IT-Assets im Geltungsbereich zu identifizieren. Dazu gehört die Dokumentation der IT-Assets, inklusive aller relevanten Systeme, Geräte und Netzwerke, hinsichtlich ihrer Art, ihres Werts, ihres Standorts und ihres Eigentümers sowie deren Interaktionen und Abhängigkeiten.
Dabei ist eine genaue Katalogisierung in einem Bestandsverzeichnis im Rahmen des IT-Assetmanagements ratsam. So lassen sich die erforderlichen Security-Level und angemessenen Schutzmaßnahmen je nach Kritikalität der IT-Assets ableiten und priorisieren. Unterstützung bieten dabei Configuration Management Databases (CMDB), IT-Asset-Management-Tools oder entsprechende Softwarelösungen, die eine effiziente und präzise Verwaltung der IT-Assets ermöglichen.
Schritt 2: Definition der Security-Level
Nach der umfassenden Analyse der bestehenden IT-, IoT- und OT-Umgebungen können im nächsten Schritt die unternehmensspezifischen Security-Level und konkrete Sicherheitsmaßnahmen festgelegt werden. Um dabei zu gewährleisten, dass alle Sicherheitsaspekte berücksichtigt und die Maßnahmen effektiv umgesetzt werden können, empfiehlt sich die Durchführung einer Risikoanalyse.
Zudem sollten Security-Level im Einklang mit eventuell bereits vorhandenen Schutzbedarfsanalysen im Rahmen eines Informationssicherheits-Managementsystems (ISMS) sowie weiteren branchenspezifische Standards und Vorschriften definiert werden. Auf diese Weise wird garantiert, dass die entworfenen Sicherheitslevel und die damit verbundenen konkreten Sicherheitsmaßnahmen internationalen Normen und Best Practices entsprechen.
Bei der Definition der Security-Level sollte zudem die Heterogenität verschiedener Unternehmensstandorte berücksichtigt werden. Jeder Standort sollte individuell betrachtet und eventuell standortspezifische Anforderungen festgelegt werden.
Um die Security-Level und die damit verbundenen konkreten Sicherheitsmaßnahmen auf die spezifischen Bedrohungen abzustimmen, denen das Unternehmen ausgesetzt ist, empfiehlt es sich in der Regel, die Security-Level nach ihrem Schutz gegen verschiedene Bedrohungsakteure zu definieren. Dabei bietet jedes Security-Level einen stärkeren Schutz vor Akteuren, die die Sicherheitsziele Verfügbarkeit, Integrität oder Vertraulichkeit des Systems gefährden können. Die Bedrohungsakteure unterscheiden sich in den Dimensionen Mittel, Ressourcen, Fähigkeiten und Motivation, wobei das Spektrum von unbeabsichtigtem Missbrauch bis zu staatlich geförderten Gruppen reicht.
Beispielsweise geht Security-Level 0 davon aus, dass kein Risiko einer Beeinträchtigung oder Manipulation besteht und erfordert daher keine besonderen Anforderungen oder Schutzmaßnahmen. Security-Level 1 hingegen schützt vor unbeabsichtigtem oder versehentlichem Missbrauch. Die darüber liegenden Security-Level bieten Schutz vor aktiven Angreifern mit unterschiedlichen Mitteln, Ressourcen, Fähigkeiten und Motivationen. Dies reicht von absichtlichem Missbrauch mit einfachen Mitteln, geringen Ressourcen, allgemeinen Fähigkeiten und niedriger Motivation bis hin zu Schutzmaßnahmen gegen absichtlichen Missbrauch mit ausgeklügelten Mitteln, umfangreichen Ressourcen, branchenspezifischem Wissen und hoher Motivation.
Diese Security-Level sind auch abhängig von den unternehmensspezifischen Risiken. Nachdem die allgemeinen Security-Level definiert wurden, können die Ziel-Security-Level der einzelnen IT-Assets von dem Schutzbedarf dieser abgeleitet werden. Es ist ratsam, für jedes zuvor identifiziertes Asset eine Risikoanalyse durchzuführen. Diese sollte den Schutzbedarf bewerten, der anhand der Kriterien Vertraulichkeit, Integrität und Verfügbarkeit (CIA) bestimmt wird. Auf dieser Grundlage kann jedes IT-Asset entsprechend klassifiziert werden.
Die konkreten Sicherheitsmaßnahmen, die für das Ziel-Security-Level notwendig sind, werden durch die festgelegten Security-Level und die spezifischen regulatorischen Anforderungen oder Standards bestimmt. Die Security-Level geben dabei den Umfang der Maßnahmen vor.
Schritt 3: Entwicklung des Zonierungskonzepts
Nachdem die IT-Assets identifiziert, der Schutzbedarf ermittelt und in Security-Level übersetzt sowie das Ziel-Security-Level für jedes IT-Asset festgelegt wurden, ist ein optionaler Schritt die Kategorisierung der Assets in Zonen und Kanäle. Diese Klassifizierung ist hilfreich, da sie die Grundlage für den Netzwerkplan vorbereitet. Man kann IT-Assets in Sicherheitszonen gruppieren, indem man Assets mit ähnlichen Sicherheitsanforderungen und Schutzbedarfen zusammenfasst. Diese Gruppierung lässt sich anhand weiterer Kriterien wie der betrieblichen Funktion, der physischen oder logischen Position oder der kritischen Bedeutung des IT-Assets anpassen.
Es gibt drei Methoden, um den Security-Level einer Zone zu bestimmen:
- Maximalprinzip: Das Security-Level einer Zone wird durch das IT-Asset mit dem höchsten Security-Level bestimmt. Da dieses Prinzip so sicherstellt, dass der Schutzbedarf aller enthaltenen IT-Assets erfüllt wird, bildet es die Grundlage für jede Zonenbewertung.
- Akkumulationseffekt: Diese Methode berücksichtigt, dass das Zusammenfassen mehrerer IT-Assets mit mittlerem Sicherheitsbedarf in einer Zone das Gesamtrisiko erhöht. Ein Ausfall in dieser Zone könnte erhebliche Auswirkungen auf andere Bereiche haben. Um diesen kumulierten Risiken gerecht zu werden, wird das Security-Level der gesamten Zone erhöht.
- Verteilungseffekt: Der Verteilungseffekt tritt auf, wenn IT-Assets mit einem hohen Security-Level in einer Zone zusammengefasst werden und redundante Backups in anderen Zonen vorhanden sind. Ein Ausfall in der Zone kann daher durch eine verbundene Zone kompensiert werden, wodurch das Security-Level der Zone aufgrund der reduzierten Verluste in der betroffenen Zone verringert wird.
Eine Unternehmensarchitektur, die nach dem IIoT Purdue Model[2] strukturiert ist, kann beispielsweise in fünf hierarchische Sicherheitszonen unterteilt werden. Das Modell ist ein Rahmenwerk zur Strukturierung und Segmentierung von Industrial Control Systems (ICS) und OT-Netzwerken. Es unterteilt industrielle Netzwerke in verschiedene Ebenen (Schichten), die jeweils spezifische Funktionen erfüllen und ähnliche Sicherheitsanforderungen haben.
Daraus ergeben sich folgende Sicherheitszonen:
Die externe Zone ist der Bereich, der mit dem Internet, Drittanbieter-Cloud-Diensten, Peer-Standorten und Backup- oder Remote-Offsite-Einrichtungen verbunden ist. Diese Zone hat die niedrigste Priorität und die höchste Anzahl an Risiken.
Die Unternehmenszone umfasst die interne Kommunikation im Unternehmen, einschließlich E-Mail- und DNS-Server. Ferner enthält sie dieGeschäftsplanung und Logistiknetzwerke, die unter anderem Software-as-a-Service-(SaaS)-, Enterprise-Resource-Planning-(ERP)- und Customer-Relationship-Management-(CRM)-Systeme einschließen. Die Integration zahlreicher Systeme in dieser Zone führt zu vielen Risiken.
Die Produktions- und Datenzone ist der Bereich, in dem der Produktionsbetrieb und das Produktionsmanagement stattfinden. Sie ist entscheidend für die Kontinuität und die Verwaltung des Steuerungsnetzwerks und steht im Mittelpunkt der Betriebsabläufe. Diese Zone umfasst Endgeräte und erfüllt die geschäftlichen Anforderungen.
In der Steuerungszone befinden sich die Bereichsüberwachung und -steuerung sowie die Produktionssteuerung. Die Überwachung und Steuerung der Bereiche erfolgt durch SCADA/DCS-Systeme, die industrielle Prozesse direkt steuern. Diese Systeme nutzen speicherprogrammierbare Steuerungen (SPS), Mensch-Maschine-Schnittstellen (HMI) und Fernsteuerungseinheiten (RTU). Die Produktionssteuerung umfasst Sensoren und Aktoren. Da in dieser Zone die Funktionen der physischen Endgeräte konfiguriert werden, ist die Sicherheitspriorität hier besonders hoch.
Die Schutzzone hat die höchste Priorität und umfasst Hardware- und Software-Kontrollen, die ein System bei einer Gefahr in einen sicheren Zustand versetzen können. Sie umfasst auch gezielte Abschaltungen, Notfallverfahren und Not-Aus-Schalter. Die mit dieser Zone verbundenen Risiken sind typischerweise gering, aber die zunehmende Nutzung von TCP/IP (etwa Fernüberwachung) kann problematisch sein.
Schritt 4: Implementierungsplanung
Im vierten Schritt, der Implementierungsplanung, wird geprüft, ob die vorhandenen Sicherheitsmaßnahmen das angestrebte Ziel-Security-Level erreichen. Dazu vergleicht man die in Schritt zwei entstandenen Anforderungsliste mit den tatsächlich implementierten Maßnahmen. Zusätzlich kann auch das Security-Level bestimmt werden, das Komponenten oder Systeme bei korrekter Konfiguration bieten sollen. So wird klar, ob eine bestimmte Komponente oder ein System in der Lage ist, das angestrebte Ziel-
Security-Level zu erreichen, wenn es ordnungsgemäß konfiguriert und integriert ist, oder ob zusätzliche Maßnahmen erforderlich sind.
Unerfüllte Anforderungen oder notwendige kompensatorische Maßnahmen führen zu spezifischen Aufgaben, die den verantwortlichen Personen zur Umsetzung zugewiesen werden. Dadurch kann das Security-Level der einzelnen IT-Assets schrittweise auf das angestrebte Niveau angehoben werden, was Sicherheitsverbesserungen handhabbarer und eine fortlaufende Optimierung der gesamten Unternehmensinfrastruktur ermöglicht.
Fazit: Langfristige Widerstandsfähigkeit stärken
Die Etablierung von Security-Level bietet Unternehmen eine strukturierte und systematische Methode, um ihre Cybersicherheit zu verbessern und ihre digitale Infrastruktur zu schützen. Mit der Festlegung klar definierter Security-Level können sie den konkreten Schutzbedarf ihrer IT-Assets ermitteln und passende Sicherheitsmaßnahmen effizient planen und schrittweise umsetzen. Diese Methode ermöglicht die Entwicklung einer unternehmensspezifischen Risikomanagementstrategie, eine gezielte Priorisierung von Sicherheitsinvestitionen und eine flexible Anpassung an sich verändernde Bedrohungslagen.
Weiterhin führt die Ableitung von Sicherheitszonen zu einer robusteren und widerstandsfähigeren Sicherheitsarchitektur, die den Herausforderungen der modernen Bedrohungslandschaft gewachsen ist. Besonders für den deutschen Mittelstand stellt der Ansatz eine wertvolle Methode dar, um den komplexen Anforderungen der digitalen Landschaft und regulatorischen Vorgaben gerecht zu werden. Er verbessert die langfristige Abwehr von Cyberbedrohungen und ist ein guter Ausgangspunkt für die kontinuierliche Sicherheitsentwicklung.
Literatur
[1] International Society of Automations. ISA/IEC 62443 Series of Standards. URL: https://www.isa.org/standards-and-publications/isa-standards/isa-iec-62443-series-of-standards
[2] T.J. Williams, The Purdue Enterprise Reference Architecture, IFAC Tagungsbände, Band 26, Ausgabe 2, Teil 4, 1993, Seiten 559–564, https://doi.org/10.1016/S1474-6670(17)48532-6.
Florian Thiessenhusen, Senior Manager Cyber Security & Resilience KPMG AG
Er berät bei der KPMG AG zu komplexen technischen, organisatorischen und prozeduralen Sicherheitsfragen, die die Sicherheit und Integrität von IT- und OT-Infrastrukturen betreffen. Sein Schwerpunkt liegt besonders auf der Entwicklung maßgeschneiderter Lösungen, die Mandanten sowohl bei der Wiederherstellung nach Cyber-Angriffenals auch bei der Prävention solcher
Sicherheitsvorfälle unterstützen.
Lina Ebelt, Junior Consultant Cyber Security & Resilience KPMG AG
Sie beschäftigt sich seit vier Jahren mit Cyber Security und absolviert derzeit ihr Masterstudium in Cyber Security. Bei der KPMG AG konzentriert sie sich auf Cyber-Security-Analysen und die Beratung im Bereich Cloud-Security. Ihre Fachkenntnisse umfassen dabei sowohl technische als auch strategische Aspekte
der Cyber Security.