Die Normenlandschaft der Cybersecurity in der Automatisierung besteht aus einem Kern standardisierter OT-Security-Anforderungen und mehreren ergänzenden Regelwerken, die Informationssicherheit, funktionale Sicherheit, Maschinenbau und praktische Umsetzung verbinden. Im Zentrum steht die IEC 62443. Ergänzt wird sie durch die ISO/IEC-27000-Familie, durch IEC TS 63074 und IEC TR 63069 sowie durch ISO/TR 22100-4 und VDI/VDE 2182. Daneben werden in der Übersicht auch europäische und nationale Akteure, Leitlinien und gesetzliche Bezüge genannt.
IEC 62443
Die IEC 62443 wird als Normenreihe für die Cybersecurity industrieller Automatisierungssysteme dargestellt. Ihr Schwerpunkt liegt auf OT-Security. Sie fördert mehrschichtige Securitykontrollen zum Schutz vor Cyber-Bedrohungen, konzentriert sich auf die Bewertung und Abschwächung von Risiken, die spezifisch für OT-Umgebungen sind, und adressiert alle Rollen: Betreiber, Integrator und Komponentenhersteller. Zusätzlich wird hervorgehoben, dass sie ursprünglich für die Automatisierungstechnik in der Prozessindustrie entwickelt wurde, heute aber alle Industriebereiche abdeckt. Als weitere Eigenschaften werden die Kompatibilität mit internationalen IT-Securitystandards wie ISO 27001 und ISO 27002, umfangreiche und konkrete Maßnahmen für IACS sowie die Rollenabdeckung für Maschinen- und Anlagenbauer, Komponentenhersteller und Betreiber genannt.
ISO/IEC-27000-Familie
Die ISO/IEC-27000-Familie wird als Reihe von Normen zur Informationssicherheit beschrieben, insbesondere mit Bezug auf ISO 27001 und ISO 27002. Sie wird als der international am weitesten verbreitete Securitystandard bezeichnet. Ihr Nutzen liegt in verbessertem Risikomanagement, höherer Widerstandsfähigkeit gegenüber Cyber-Bedrohungen, dem Aufbau eines strukturierten Konzepts für Informationssicherheit, kontinuierlicher Überwachung und Verbesserung sowie der Unterstützung von Audit- und Compliance-Berichten. In dieser Normenlandschaft steht die ISO/IEC-27000-Familie damit für den allgemeinen Rahmen der Informationssicherheit, während die IEC 62443 den OT-spezifischen Schwerpunkt bildet.
IEC TS 63074
Die IEC TS 63074 wird als Regelwerk zu Aspekten der Cybersicherheit in Verbindung mit der funktionalen Sicherheit sicherheitsrelevanter Steuerungssysteme beschrieben. Sie ergänzt die IEC 62443 um die Perspektive der funktionalen Sicherheit. Außerdem arbeitet sie mit der IEC 61508 zusammen, um sicherzustellen, dass Safetyfunktionen nicht durch Cyber-Bedrohungen gefährdet sind. Damit verbindet sie Security mit sicherheitsbezogenen Steuerungssystemen und richtet den Blick auf die Frage, wie Cyber-Bedrohungen die Fähigkeit eines Systems beeinträchtigen können, seine Safetyfunktion aufrechtzuerhalten.
IEC TR 63069
Die IEC TR 63069 wird als Rahmenwerk für funktionale Sicherheit und IT-Security in industrieller Prozessleit-, Steuerungs- und Automatisierungstechnik dargestellt. Ihr Schwerpunkt liegt auf bewährten Verfahren für die Entwicklung segmentierter industrieller Netzwerke. Außerdem wird genannt, dass sie die seitliche Verlagerung von Cyber-Bedrohungen innerhalb von Industrienetzen verhindern soll. In dieser Übersicht nimmt sie damit die Rolle eines verbindenden Rahmens zwischen Security, Safety und Netzwerkarchitektur ein.
ISO/TR 22100-4
ISO/TR 22100-4 wird als Leitlinie für Maschinenhersteller beschrieben. Sie dient der Berücksichtigung von IT-Sicherheits- beziehungsweise Cybersicherheitsaspekten im Zusammenhang mit ISO 12100. Genannt wird insbesondere, dass sie Maschinenherstellern einen Leitfaden zur Integration der Cybersecurity-Risikobewertung in den bestehenden Prozess der Risikobewertung von Maschinen bietet. Zusätzlich wird erläutert, dass diese Risiken in Übereinstimmung mit ISO 12100 behandelt werden können. Die Norm wirkt damit an der Schnittstelle zwischen klassischer Maschinen-Risikobewertung und Cybersecuritybewertung.
VDI/VDE 2182
VDI/VDE 2182 wird als Regelwerk beschrieben, das zeigt, wie konkrete Maßnahmen umgesetzt werden können, um die IT-Security von automatisierten Maschinen und Anlagen zu gewährleisten. Sie richtet sich ausdrücklich an Betreiber, Integratoren und Hersteller. Gleichzeitig wird festgehalten, dass sie ein hohes Maß an Securityexpertise erfordert, insbesondere bei der Risikoanalyse. In dieser Übersicht erscheint sie damit als praxisorientierte Umsetzungshilfe mit starkem Bezug zur konkreten Anwendung in automatisierten Maschinen und Anlagen.
Institutionen, Ebenen und internationale Bezüge
Die Übersicht führt nicht nur einzelne Normen auf, sondern auch die institutionelle Umgebung der Cybersecurity. Genannt werden auf europäischer Ebene EU, CEN/CENELEC, EN-Normen, Leitlinien, ETSI, ENISA und EU NIS2. Für Deutschland werden DKE, DIN & VDE/VDI, DIN SPEC 27070, TeleTrusT, Leitlinien, Empfehlungen, das BSI, das IT-Sicherheitsgesetz, Bedrohungen und technische Leitlinien genannt. Ergänzend erscheinen internationale Bezüge zu den USA mit NIST 800-53, dem NIST Cybersecurity Framework und NIST SP 800-82 Rev. 2 sowie zu China, Südkorea, Kanada, Indien und Australien mit jeweils benannten Cybersecuritygesetzen oder Schutzgesetzen für kritische Infrastrukturen. Damit wird deutlich, dass die Normenlandschaft nicht auf einzelne Dokumente beschränkt ist, sondern in ein breiteres Geflecht aus Gesetzen, Standards, Leitlinien und Institutionen eingebettet ist.
Einordnung
Die dargestellten Normen erfüllen unterschiedliche Funktionen. IEC 62443 bildet den OT-spezifischen Kern. Die ISO/IEC-27000-Familie liefert den allgemeinen Rahmen der Informationssicherheit. IEC TS 63074 und IEC TR 63069 verbinden Cybersecurity mit funktionaler Sicherheit und Netzwerksegmentierung. ISO/TR 22100-4 und VDI/VDE 2182 übertragen Cybersecurity in den Maschinen- und Anlagenkontext und unterstützen die praktische Umsetzung für Hersteller, Integratoren und Betreiber. Zusammen bilden diese Regelwerke ein mehrschichtiges Normensystem für Industrial Security.