Die IEC 62443 ist eine international anerkannte Normenreihe, die einen ganzheitlichen Ansatz für Industrial Security im Umfeld der Prozess- und Automatisierungsindustrie verfolgt. Sie richtet sich an Betreiber, Integratoren und Hersteller industrieller Automatisierungssysteme und enhält Verfahren zur Implementierung sicherer „Industrial Automation and Control Systems“ (IACS). Da diese entscheidend für die Sicherheit der gesamten Produktionsanlage sind, besteht das Ziel der IEC 62443 darin, Betreibern, Integratoren und Herstellern Kriterien an die Hand zu geben, mit denen sie die Integrität und Verfügbarkeit von Komponenten und Systemen verbessern sowie sichere IACS implementieren können.

Ziel der ISA/IEC 62443-Reihe ist es, die Sicherheit, Zuverlässigkeit, Integrität und Sicherheit von IACS durch einen risikobasierten, methodischen und vollständigen Prozess über den gesamten Lebenszyklus zu verbessern. Die ISA/IEC 62443-Reihe beschreibt eine Reihe allgemeiner Begriffe und Anforderungen, die von Anlageneigentümern, Produktlieferanten und Dienstleistern zur Sicherung ihrer Steuerungssysteme und der eingesetzten Geräte (EUC = equipment under control) verwendet werden können.

Der internationale Standard strebt die Verbesserung der Integrität und Verfügbarkeit von Komponenten und Systemen an sowie eine sichere Implementierung von IACS. Zur Erreichung dieses Ziels stellt die IEC 62443 entsprechende Sicherheitskriterien bereit.

Im Fokus der Norm steht die Cybersecurity von „Industrial Automation and Control Systems“ (IACS), die entscheidend für die Sicherheit der gesamten Produktionsanlage sind. Daher umfasst der Begriff IACS alle Bestandteile, wie Systeme, Komponenten und Prozesse, die für den sicheren und zuverlässigen Betrieb einer Automatisierungslösung notwendig sind.

Darüber hinaus berücksichtigt die IEC 62443 auch die organisatorischen Prozesse, die hinter dem Aufbau und Betrieb dieser stehen.

Der internationale Standard richtet sich an Betreiber, Integratoren und Hersteller industrieller Automatisierungssysteme. Innerhalb der Norm kommen diesen drei Instanzen bestimmte Rollen und Aufgaben zu. Ziel ist es, durch die Beteiligung aller Akteure einen möglichst umfassenden Schutz über mehrere Ebenen zu erreichen.

Der internationale Standard besteht aus den folgenden vier zusammenhängenden Normteilen:

• IEC 62443-1: Allgemeine Grundlagen (Grundlegende Konzepte und Modelle der Normserie, genutzte Begriffe und Abkürzungen, Kennzahlen)

• IEC 62443-2: Sicherheitsanforderungen für Betreiber & Dienstleister (Spezifische Leitlinien für eine wirksame Umsetzung eines IACS-Cyber-Sicherheitsmanagementsystems)

• IEC 62443-3: Sicherheitsanforderungen an Automatisierungssysteme (Anwendung verschiedener Sicherheitstechnologien)

• IEC 62443-4: Sicherheitsanforderungen an Automatisierungskomponenten (Anforderungen an sichere Produkte, Komponenten und Systeme)

Ein IACS umfasst mehr als die Technologie, aus der ein Steuerungssystem besteht. Es umfasst die Personen und Arbeitsprozesse, die erforderlich sind, um die Sicherheit, Integrität, Zuverlässigkeit und Sicherheit des Steuerungssystems zu gewährleisten. Ohne ausreichend geschultes Personal, risikogerechte Technologien, Gegenmaßnahmen und Arbeitsprozesse im gesamten Sicherheitslebenszyklus könnte ein IACS anfälliger für Cyberangriffe sein.

• Sicherheitsprogramm – IEC62443-2-1
• Risikobewertung – IEC62443-3-2
• zones and conduits
• Spezifikation der Cybersicherheitsanforderungen – Cybersecurity Requirements Specification (CRS)
• Modellierung der Bedrohung (threat modeling) – IEC62443-4-1
• Grundlegende Anforderungen (Foundational Requirements (FR))
• Sicherheitsstufen (security levels) – IEC62443-3-3
• Reifegradmodell

• Defense in Depth
• Secure by Design
• Angriffsfläche reduzieren
• Wesentliche Funktionen

Der IEC 62443-Standard definiert drei verschiedene Rollen:

• Hersteller oder Produktlieferant
• Der Systemintegrator
• Betreiber oder Anlageneigentümer

Diese Rollen bilden die Grundlage für die Definition und Zusammenspiel der verschiedenen Teile in der Reihe von IEC 62443.

Der Produktlieferant ist für die Entwicklung und Prüfung des Steuerungssystems verantwortlich, das aus der Anwendung (Antivirus, Whitelisting usw.), dem eingebetteten Gerät (SPS, DCS usw.) und dem Netzwerkgerät (Firewalls, Router, Switches usw.) und Host-Geräte (Bedienerstationen, Engineering-Stationen usw.) besteht, die als System oder Subsystem gemäß IEC 62443 3-3, IEC 62443 4-1, IEC 62443 4-2 zusammenarbeiten.

Der Systemintegrator ist für die Integration und Inbetriebnahme des Produkts in eine Automatisierungslösung unter Verwendung eines Prozesses gemäß IEC 62443 2-4, IEC 62443 3-2, IEC 62443 3-3 verantwortlich. Eine Automatisierungslösung ist der Satz von Hardware und Software, unabhängig von der Produktverpackung, der zur Steuerung eines physischen Prozesses (z. B. kontinuierlich oder in der Fertigung) verwendet wird, die vom Anlageneigentümer definiert wurde.

Mit Hilfe von Richtlinien und Verfahren, welche in IEC 62443 2-1, IEC 62443 2-3 und IEC 62443 2-4 für eine Automatisierungslösung definiert wurden, ist der Anlageneigentümer für die Betriebs- und Wartungstätigkeiten verantwortlich.