IEC 62443: Cybersicherheit in Industrie und Automatisierung

Sie möchten sich kostenfrei und unverbindlich zu Industrial Security / 62443 beraten lassen?
Beratungstermin mit einem Industrial-Security-Experten online buchen

Für ein erstes Gespräch zur IEC 62443 bieten wir unseren kostenfreien 62443-Workshop an, welchen wir auf Sie zugeschnitten in unseren Räumlichkeiten anbieten. Hierzu vereinbaren wir gerne einen Termin, weiteres finden Sie unter Workshop.

Sie sind Hersteller einer ICS/OT-Komponente wie z.B. einer Industrial Firewall und möchten Ihren Entwicklungsprozess normkonform gestalten oder zertifizieren lassen? Wir begleiten Sie auf dem Weg zu einer praxisgerechten Umsetzung nach IEC 62443-4-1. Dabei gibt es – je nach Ausgangslage – verschiedene Modelle:

Sie suchen einen Weg, Security by Design umzusetzen? Wenn Sie mit der IEC 62443-4-1 noch nicht vertraut sind und herausfinden möchten, ob diese Norm zu Ihnen passt, bieten wir Ihnen einen Kick-Starter-Workshop an. Hier stellen wir Ihnen die Anforderungen der Norm vor und zeigen auf, was die nächsten Schritte auf dem Weg zu einem sicheren Entwicklungsprozess sein können. Ein sicherer Entwicklungsprozess (SDL) ist die Grundlage für nachhaltig sichere Produkte. SDL bedeutet Sicherheit in allen Phasen der Entwicklung. Dieser Prozess beinhaltet Elemente wie Bedrohungsmodellierung und Sicherheitstests. Die Normenreihe IEC 62443 definiert die Anforderungen an einen SDL im Teil IEC 62443-4-1.

Wenn Sie bereits über eine Zertifizierung nachgedacht haben, aber erst einmal wissen wollen, wo Sie stehen, ist unser typischer Einstieg eine Gap-Analyse. In einem Workshop untersuchen wir den bestehenden Entwicklungsprozess (z.B. Designphase und Testing) und identifizieren Abweichungen von den Anforderungen. Damit Sie optimal weiterarbeiten können, dokumentieren wir die Ergebnisse und arbeiten die wesentlichen Punkte für Sie heraus.

Wenn Sie bereits in den Startlöchern stehen und einen sicheren Entwicklungsprozess nach IEC 62443-4-1 einführen wollen oder müssen, helfen wir Ihnen gerne dabei. Wir empfehlen die Weiterentwicklung der Entwicklungsprozesse entlang der bestehenden Unternehmenskultur. Die Erarbeitung neuer Prozesse erfolgt kooperativ zwischen secuvera und Ihnen. Eine wesentliche Stellschraube für den Aufwand ist, wie viel Projektarbeit von Ihnen und wie viel von uns geleistet wird.

Wenn Sie das Security Testing einer industriellen Komponente nicht komplett selbst abdecken können und aufgrund der geforderten Unabhängigkeit beim Pentesting teilweise auch nicht dürfen, unterstützen wir Sie bei den Testaktivitäten nach dem Kapitel Security Verification and Validation (SVV) der IEC 62443-4-1.

Sie streben eine Produktzertifizierung nach IEC 62443-4-2 an? Als Einstieg bieten wir Ihnen eine Gap-Analyse an. Hier können wir zwei verschiedene Schwerpunkte setzen.

Option 1 ist ein standardisiertes Prüfpaket, in dem wir die Komponente bei uns im Labor testen und einen Prüfbericht erstellen. Danach kennen Sie den Sicherheitsreifegrad (Security Level) des Produkts unter anderem mit Abgleich zur IEC 62443-4-2. Eine spezielle Projektvorbereitung durch Sie als Hersteller ist nicht notwendig. Als BSZ-Prüfstelle des BSI sind wir insbesondere für die Durchführung von Blackbox-Produktprüfungen qualifiziert..

Option 2 ist eine Vor-Evaluierung gegen die Messlatte der späteren Zertifizierung. Wir arbeiten hier nach Prüfschema (zukünftig nach IEC 62443-6-2, sobald dieser Prüfteil veröffentlicht wird) und führen eine Gap-Analyse durch. Mit dem Ergebnis können Sie sich optimal auf die Produktzertifizierung vorbereiten. In einem Interview haben wir den neuen Normteil bereits vorgestellt. Zuvor hatten wir schon das TeleTrusT-Prüfschema für die IEC 62443-4-2 als Koordinator vorangetrieben.

Sie brauchen ein Sicherheits-Konzept für eine Anlage? Eine Maschine, Anlage oder Systeme bildet die Summe vieler Komponenten und hat einen speziellen Zweck. Die Analyse zur Cybersicherheit stellt fest, welche Risiken bestehen, die das Erreichen des Anlagenzwecks verhindern können.

Wir entwickeln mit Ihnen ein Sicherheits-Konzept für eine Anlage und nutzen dabei die IEC 62443-Konzepte der Risikoanalyse, Zonierung, Nutzung von Security Levels und Entwicklung eines Defense-in-depth-Konzepts. Als Einstieg führen wir typischerweise eine Bedrohungs- und Risikoanalyse (Threat and Risk Analysis, kurz TARA) durch. Dies haben wir hinsichtlich des Prozesses weitestgehend standardisiert, was uns ermöglicht, mit Ihnen zügig und effektiv Bedrohungen und Risiken zu identifizieren. Falls gewünscht, arbeiten wir mit Ihnen danach Maßnahmen zur Behandlung der Bedrohungen und Risiken aus.

Unsere Vorgehensweise richten wir an den wesentlichen Normteilen der IEC 62443 aus.

Sie wollen industrielle Komponenten oder ganze Systeme testen lassen?

Auf alle OT-Komponenten und Industrial Automation and Control Systems (IACS) wirken verschiedene Bedrohungen ein, die es zu behandeln gilt. Um herauszufinden, wo der größte Handlungsbedarf besteht, werden diese Bedrohungen via Threat Modelling dokumentiert und entsprechende Mitigationen vorgeschlagen.

Ob diese Mitigationen erfolgreich waren, nun für ausreichend OT-Security gesorgt wurde und ob weitere Schwachstellen bestehen, wird durch gründliches Testen abgesichert. Diese Tests können an einzelnen OT-Komponenten oder an ganzen IACS-Systemen vor dem produktiven Einsatz durchgeführt werden. Die Überprüfung erfolgt aus einem kombinierten Einsatz von automatischen Tools und manuellen Tests durch secuvera. Durch unser breites Know-How können die Tests spezifisch für Ihre Komponente oder Ihr IACS konzipiert und durchgeführt werden.

Sie möchten in die Welt der IEC 62443 einsteigen oder Ihre bereits gesammelten Erfahrungen und Kenntnisse erweitern? Unsere jahrelange Praxiserfahrung in der Anwendung von Normen, und im Speziellen mit der IEC 62443, teilen wir gerne in Schulungen mit unseren Kunden. Zur IEC 62443 haben wir eine Schulung aus verschiedenen Modulen konzeptioniert. Diese Schulung richtet sich primär – aber nicht ausschließlich – an Hersteller von Komponenten. Die Schulung bieten wir als Inhouse-Schulung sowohl in deutscher als auch in englischer Sprache an. Kontaktieren Sie uns gerne und wir unterbreiten Ihnen ein individuelles Angebot. Wenn Sie nur wenige Teilnehmende haben, eine Schulung für eine Person suchen oder den Austausch mit anderen Teilnehmenden bevorzugen: Wir bieten unsere IEC 62443 Praxis Schulung auch über unseren Partner heise academy in einer verkürzten Form 4x im Jahr an.