IEC 62443: Security schon während der Produktentwicklung
Die Notwendigkeit von Security Schutzmaßnahmen im Office-IT-Umfeld ist für uns alle schon lange selbstverständlich. Firewall, Virenscanner, Verschlüsselung von Daten: Office-IT ist ohne diese Aspekte nicht mehr denkbar.
Relativ neu dagegen ist, dass auch Embedded (Software) Systeme hinsichtlich möglicher bösartiger Angriffe schutzbedürftig sind. Lange Zeit gab es schlicht keine technischen Möglichkeiten, solche Systeme anzugreifen. Ob Flugzeug, Auto oder Zug, all das war - wenn überhaupt - nur durch eine konkrete Manipulation am individuellen System angreifbar. Seit geraumer Zeit gehen aber diese Systeme immer mehr „online“. Es wird also beispielsweise möglich, ganze Fahrzeugflotten online zu manipulieren. Dies erhöht wiederum die Attraktivität solcher Systeme für mögliche Angreifer.
Diese Problematik wirft unter anderem die folgenden Fragen auf:
Können und sollen die Schutzmechanismen aus der Office-IT Welt übernommen werden? Ergibt das Sinn?
Gibt es spezifische Fragestellungen, die ausschließlich auf Embedded Systeme zutreffen?
Mit der IEC 62443 gibt es jetzt eine Norm, die sich mit den spezifischen Security Fragen für Embedded Systeme beschäftigt. Es ist eine Norm, die auf die Bedürfnisse der Industrieautomatisierung zugeschnitten ist und somit dort ihre Anwendung finden wird. In der Automobilbranche hingegen wird mit der SAE J 3061 gearbeitet, welche in eine ISO 27xxx Norm überführt werden soll.
IEC 62443 – Ein Überblick
Erfolgreiche Security-Implementierungen entstehen durch ein funktionierendes Zusammenspiel aus Prozessen, Technologien und Personen.
Teil 1 der IEC 62443 definiert grundlegende Begriffe und beschreibt übergreifende und generelle Themen. Teil 2 beschäftigt sich mit den Prozessen und Teil 3 und 4 mit den notwendigen Technologien.
Anmerkung: IACS = Industrial Automation and Control Systems
Bei Industrieanlagen unterscheidet man zwei grundsätzliche Gruppen, welche zur Sicherheit einer Anlage beitragen:
Anlagenersteller und -betreiber, Systemintegrator und Wartungsverantwortlicher
Produktlieferant und ggf. Service Provider
Für die drei Bereiche Prozesse, Technologien und Personen ergeben sich für jede dieser Gruppen eigene Fragestellungen, die in der IEC 62443 entsprechend behandelt werden.
Im Bereich Technologie verantwortet der Anlagenbetreiber beispielsweise die gewählten funktionalen Security-Fähigkeiten der Anlage. Der Produktlieferant ist verantwortlich für die aus Security-Sicht korrekte Entwicklung der Produkte bzw. Komponenten.
Ähnlich verhält es sich im Bereich der Prozesse. Der Anlagenbetreiber muss sicherstellen, dass für die Inbetriebnahme, den Betrieb und die Wartung der Anlage die richtigen und angemessenen Prozesse zur Sicherstellung der Security definiert sind. Der Produktlieferant ist dagegen dafür verantwortlich, dass die notwendigen Prozesse zur Erreichung von Security bereits während der Produktentwicklung vorhanden sind.
Eine entscheidende Rolle für die Sicherung spielen auch die mit den Prozessen und Technologien in Berührung kommenden Personen. Hier gibt die Norm allerdings wenig Hinweise. Zwei Fragen wird man sich in diesem Bereich insbesondere stellen müssen:
Wie kompetent ist das Personal?
Wie stellt man sicher, dass die definierten Prozesse und implementierten Technologien konsequent angewendet werden?
Fazit
Die IEC 62443 definiert für den Bereich der Industrieautomatisierung ein Vorgehen bestehend aus Prozessen und Technologien sowohl für Anlagenbetreiber, als auch für Produktlieferanten.
Industrieübergreifend relativ neu ist der Teil 4 der IEC 62443. Die finale Version davon ist auch noch gar nicht veröffentlicht. Darin wird erstmals definiert, was im Entwicklungsprozess von Embedded Komponenten getan werden kann, um schon hier Security-Aspekte richtig zu implementieren.
Insbesondere die Umsetzung der „Defense-in-depth-strategy“ erfordert solch ein integriertes Vorgehen. In Kurzform bedeutet diese Strategie: Jeder, der an einem Produkt und Projekt beteiligt ist, muss alles in seinen Möglichkeiten stehende tun, um einen insgesamt möglichst hohen Grad an Security für das Endprodukt zu erreichen.