Security Level und Anforderungen nach IEC 62443

Von /

Security Level und Anforderungen nach IEC 62443

Die Security Levels bilden ein zentrales Konzept der IEC 62443-3-3. Aus dieser Skala der Bedrohungsstärke ergeben sich viele Maßnahmen und Maßnahmenverstärkungen. Die Security Levels reichen von SL 1 bis SL 4. SL 0 wird zwar in der Übersicht erwähnt, gilt aber im eigentlichen Sinn nicht als Schutzstufe, weil dabei vor „nichts“ geschützt wird. Als Beispiel für SL 0 wird genannt, dass kein Zugang für Benutzer von außerhalb besteht, etwa kein Zugang über das Internet.

Security Level im Lebenszyklus

Im Lebenszyklus der IEC 62443 werden drei Begriffe unterschieden: SL-C, SL-T und SL-A.

SL-C bedeutet Security Level – Capability. Gemeint ist das Security Level, das eine Komponente bei korrekter Verwendung und Konfiguration erreichen kann. Dieses Level ist vom Hersteller bestimmbar.

SL-T bedeutet Security Level – Target. Gemeint ist das zu erreichende Security Level. Es kann ein Ergebnis der Bedrohungs- oder Risikoanalyse sein. Der Betreiber bestimmt dieses erforderliche Security Level in der Regel in Zusammenarbeit mit dem Integrator auf Grundlage einer Risikoanalyse. Es beschreibt das Schutzbedürfnis für die Maschine oder Anlage.

SL-A bedeutet Security Level – Achieved. Gemeint ist das erreichte und messbare Security Level im Gesamtsystem. Dieses wird durch das Systemdesign des Integrators oder Maschinenherstellers erreicht.

Für Maschinen gilt dabei: Das Security Level – Achieved wird für die Maschine bestimmt. Das Security Level – Capability wird für die Komponenten bewertet. Zusätzlich wird festgehalten, dass eine Maschine auch dann ein bestimmtes SL-A erfüllen kann, wenn die verwendeten Komponenten nicht in allen Punkten den spezifischen SL-C-Anforderungen entsprechen.

Übersicht über die Security Levels

Die Security Levels werden mit Angreifergruppen und Schutzwirkung beschrieben.

SL 1 steht für Schutz gegen zufällige Fehlanwendung. Als Angreifer werden „jeder Nutzer“ und zufällige Ereignisse genannt.

SL 2 steht für Schutz gegen absichtliche Versuche mit einfachen Mitteln. Genannt werden interessierte Einzelpersonen und Unternehmen mit generischen Securitykenntnissen.

SL 3 steht für Schutz gegen absichtliche Versuche mit erweiterten Kenntnissen und erweiterten Mitteln. Genannt werden Experten und Unternehmen, die effektive, aber kostenorientierte Angriffsszenarien mit klaren Zielen entwickeln und einsetzen.

SL 4 steht für Schutz gegen absichtliche Versuche mit spezifischen Kenntnissen und erheblichen Ressourcen. Genannt werden staatliche Organisationen, die sich darauf konzentrieren, ein spezifisch ausgewähltes Ziel fast zu jedem Preis zu erreichen.

Für die Festlegung der Security Levels SL 2 bis SL 4 werden vier Aspekte berücksichtigt: Mittel, Ressourcen, Wissen und Motivation. Diese Aspekte werden insbesondere zur Bestimmung des SL-T herangezogen.

Dabei wird die Fähigkeit des Angreifers konkretisiert:

  • Mittel als Werkzeuge
  • Ressourcen als Kapital
  • Kenntnisse als Personen beziehungsweise Wissensstand
  • Motivation in Bezug auf das Zielobjekt

Für SL 2 werden einfache Mittel, begrenzte Ressourcen, allgemeine Kenntnisse und niedrige Motivation genannt.
Für SL 3 werden anspruchsvolle Mittel, mittlere Ressourcen, domänenspezifische Kenntnisse und mittlere Motivation genannt.
Für SL 4 werden anspruchsvolle Mittel, umfangreiche Ressourcen, domänenspezifische Kenntnisse und hohe Motivation genannt.

Foundational Requirements

Die Foundational Requirements (FR) sind Basisanforderungen. Sie bieten eine Checkliste von Securityfunktionalitäten einer Komponente oder eines Systems. Für industrielle Automatisierungssysteme werden sieben Foundational Requirements genannt:

  1. IAC – Identification and Access Control
    Identifizierung und Authentifizierung
  2. UC – Use Control
    Nutzungskontrolle
  3. SI – System Integrity
    Systemintegrität
  4. DC – Data Confidentiality
    Vertraulichkeit der Daten
  5. RDF – Restricted Data Flow
    Eingeschränkter Datenfluss
  6. TRE – Timely Response to Events
    Rechtzeitige Reaktion auf Ereignisse
  7. RA – Resource Availability
    Ressourcenverfügbarkeit

Diese sieben Foundational Requirements bilden die Grundstruktur der Security-Anforderungen.

System Requirements

Zu jedem Foundational Requirement gibt es mehrere System Requirements (SR). Diese beschreiben die spezifischen Anforderungen an das System, also an die Maschine oder Anlage. Zusätzlich wird darauf hingewiesen, dass sich System Requirements (SR) nur geringfügig von Component Requirements (CR) unterscheiden.

Als Beispiele innerhalb der System Requirements werden genannt:

  • Identifizierung und Authentifizierung von menschlichen Nutzern
  • Identifizierung und Authentifizierung von Softwareprozessen und Geräten
  • Nutzerkontenverwaltung
  • Verwaltung der Bezeichner
  • Zugriff über nicht vertrauenswürdige Netze

Die System Requirements konkretisieren damit die Foundational Requirements auf Systemebene.

Requirement Enhancements

Je nach Security Level SL 1 bis SL 4 sind unterschiedliche Anforderungen pro Basisanforderung zu implementieren. Dazu werden Requirement Enhancements (RE) verwendet. Eine SR beziehungsweise CR wird je nach Security Level durch solche Erweiterungen ergänzt.

Am Beispiel von FR 1 – Identifizierung und Authentifizierung (IAC) werden folgende Punkte genannt:

  • SR 1.1 Identifizierung und Authentifizierung von menschlichen Nutzern
  • SR 1.1 RE 1 Eindeutige Identifizierung und Authentifizierung
  • SR 1.1 RE 2 Multifaktor-Authentifizierung über nicht vertrauenswürdige Netzwerke
  • SR 1.1 RE 3 Multifaktor-Authentifizierung über alle Netzwerke

Außerdem werden unter FR 1 weitere Anforderungen genannt:

  • Identifizierung und Authentifizierung von Softwareprozessen und Geräten
  • Nutzerkontenverwaltung
  • Verwaltung der Kennungen
  • Verwaltung der Authentifikatoren
  • Management drahtloser Zugriffsverfahren

Die Requirement Enhancements dienen also der schrittweisen Verstärkung von Anforderungen mit steigender Schutzstufe.

Anforderungen und Security Level

Die Anforderungen werden über mehrere Foundational Requirements hinweg jeweils mit SRs und REs den Security Levels zugeordnet.

Für FR 2 – Nutzungskontrolle (UC) werden unter anderem genannt:

  • Nutzungskontrolle von Funkverbindungen
  • Nutzungskontrolle von tragbaren und mobilen Geräten
  • Mobiler Code
  • Sitzungssperrung
  • Beendigung einer Fernzugriffssitzung
  • Begrenzung der Anzahl gleichzeitiger Sitzungen
  • prüfbare Ergebnisse und deren Aufzeichnung
  • Speicherkapazität für Aufzeichnungen
  • Reaktion auf ausgefallene Ereignisdatenverarbeitung
  • Zeitstempel
  • Nichtabstreitbarkeit

Für FR 3 – Systemintegrität (SI) werden unter anderem genannt:

  • Kommunikationsintegrität
  • kryptographische Schutzmaßnahmen zur Bewahrung der Integrität
  • Schutz vor Schadcode
  • Schutz vor Schadcode an Eingangs- und Ausgangspunkten
  • zentrales Management und Meldewesen zum Schutz vor Schadcode
  • Verifikation der IT-Sicherheitsfunktionalität
  • Verifikation der IT-Sicherheitsfunktionalität im laufenden Betrieb
  • Software- und Informationsintegrität
  • automatisierte Hinweise auf IT-Sicherheitsverstöße
  • Eingabevalidierung
  • vorbestimmte Zustände der Ausgänge
  • Fehlerbehandlung
  • Sitzungsintegrität
  • Schutz von Prüfinformationen

Für FR 4 – Vertraulichkeit der Daten (DC) werden genannt:

  • Vertraulichkeit von Informationen
  • Schutz der Vertraulichkeit bei der Speicherung oder Übertragung über nicht vertrauenswürdige Netze
  • Schutz der Vertraulichkeit über Zonengrenzen hinweg
  • Dauerhaftigkeit von Informationen
  • Säuberung gemeinsam genutzter Speicher
  • Verwendung von Verschlüsselung

Für FR 5 – Eingeschränkter Datenfluss (RDF) werden genannt:

  • Netzaufteilung
  • physikalische Netzaufteilung
  • Unabhängigkeit von nicht-automatisierungstechnischen Netzen
  • logische und physikalische Isolierung kritischer Netze
  • Schutz der Zonengrenze
  • Deny by default, allow by exception
  • Inselmodus
  • Fail close
  • Beschränkung der Verwendung der persönlichen Kommunikation
  • Verbot der Verwendung der persönlichen Kommunikation
  • Partitionierung von Anwendungen

Für FR 6 – Rechtzeitige Reaktion auf Ereignisse (TRE) werden genannt:

  • Zugriffsmöglichkeit auf Ereignisprotokolle
  • programmgesteuerter Zugriff auf Ereignisprotokolle
  • kontinuierliche Überwachung

Für FR 7 – Ressourcenverfügbarkeit (RA) werden genannt:

  • Schutz gegen DoS-Auswirkung auf andere Systeme oder Netze
  • Netzbelastung steuern
  • DoS-Auswirkungen auf andere Systeme oder Netze begrenzen
  • Ressourcenmanagement
  • Datensicherung im Automatisierungssystem
  • Verifikation der Datensicherung
  • Automatisierung der Datensicherung
  • Wiederherstellung des Automatisierungssystems
  • Notstromversorgung
  • Netzwerk- und IT-Sicherheitseinstellungen
  • maschinenlesbare Meldungen der momentanen IT-Sicherheitseinstellungen
  • geringste Funktionalität
  • Verzeichnis der Komponenten eines Automatisierungssystems

Grundstruktur der Anforderungen

Die Anforderungen folgen damit einer festen Logik:

  • FR beschreiben die Basisbereiche der Securityfunktionalität.
  • SR beschreiben die konkreten Anforderungen an das System.
  • RE ergänzen diese Anforderungen je nach Security Level.

Die Security Levels bestimmen, wie stark Anforderungen ausgeprägt oder erweitert werden müssen. Betreiber legen das erforderliche Schutzniveau als SL-T fest. Hersteller geben die Fähigkeiten ihrer Komponenten als SL-C an. Integratoren oder Maschinenhersteller erreichen durch das Systemdesign das SL-A des Gesamtsystems. Genau daraus entsteht die Verbindung zwischen Risikoanalyse, Anforderungsdefinition und technischer Umsetzung.

Nach oben scrollen