Die IEC 62443 hat sich als Normenreihe für Security in Automatisierungssystemen etabliert. Der Normteil 4-2 enthält dabei Anforderungen in Bezug darauf, welche Security-Fähigkeiten Industrie-Komponenten auf technischer Ebene bereitstellen können müssen.
Das von TeleTrusT veröffentlichte Dokument präzisiert dies für eine industrielle Firewall mit Router-Funktionalität, wie sie hauptsächlich Anwendung findet, jeweils für die Security Level SL 2 und SL 3. Daneben sind im veröffentlichten Vorschlag enthalten:
– eine klare Abgrenzung, was zum Anwendungsbereich gehört und was nicht,
– welche zusätzlichen Risiken eingeführt werden könnten,
– übliche Assets,
– ein typisches Anwendungszenario im Zones-and-Conduits-Konzept sowie
– weiterführende Erklärungen und Beispiele zu den einzelnen Komponenten-Anforderungen.
Zwar bietet die IEC 62443-4-2 bereits eine Konkretisierung der Anforderungen mit den Component Types, jedoch erreichen diese nicht die Ebene, die in der Praxis nötig ist.
Auf Ebene des Profils gibt es nun weniger Interpretationsspielraum, es gibt einheitliche Anforderungen für alle Hersteller, nach denen auch Zertifizierungsstellen die Konformität einheitlicher prüfen können. Das schafft Klarheit in der Entwicklung, bei der Zertifizierung und bei Kunden.
Bisher erfolgte die Interpretation der IEC 62443-4-2 innerhalb der technischen Fachverbände und bei den Anwendern. TeleTrusT hat sich das Ziel gesetzt, mit einem Update des bestehenden Use Case diese Diskussion zu beschleunigen und zielgerichtet zu unterstützen. Die Veröffentlichung wird als Vorschlag für ein Profil (Normteil 62443-5) eingereicht und berücksichtigt die in der IEC 62443-1-5 gegebenen Vorgaben an die Erstellung von Profilen. Somit liegt nun eine Profilschema-konforme Umsetzung vor. Für die Erfüllung des Cyber Resilience Act ist die Verwendung von horizontalen sowie vertikalen Normen angestrebt. Die Veröffentlichung durch TeleTrusT soll als eine fundierte Zuarbeit für die Entwicklung einer solchen vertikalen Norm dienen.
Steffen Heyde, secunet, Leiter der TeleTrusT-AG "Smart Grids/Industrial Security": "Damit wird die IT-Sicherheit von Produkten im Umfeld der Automatisierungstechnik, auch wenn sie bei unterschiedlichen Prüfstellen zertifiziert wurden, vergleichbar".
Luise Werner, secuvera, federführende Moderatorin des TeleTrusT-Profil-Projekts: "Als Hersteller kann man nun auf eine präzise Auswahl an technischen Security-Anforderungen bei der Entwicklung einer industriellen Firewall zurückgreifen, basierend auf Erfahrungen aus der Praxis, zugeschnitten auf eine industrielle Firewall mit Router-Funktionalität."
Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) ist ein Kompetenznetzwerk, das in- und ausländische Mitglieder aus Indu-strie, Verwaltung, Beratung und Wissenschaft sowie thematisch verwandte Partnerorganisationen umfasst. Durch die breit gefächerte Mitgliederschaft und die Partnerorganisationen verkörpert TeleTrusT den größten Kompetenzverbund für IT-Sicherheit in Deutschland und Europa. TeleTrusT bietet Foren für Fachleute, organisiert Veranstaltungen bzw. Veranstal-tungsbeteiligungen und äußert sich zu aktuellen Fragen der IT-Sicherheit. TeleTrusT ist Träger der "TeleTrusT European Bridge CA" (EBCA; PKI-Vertrauensverbund), der Personenzertifikate "TeleTrusT Information Security Professional" (T.I.S.P.) und "TeleTrusT Professional for Secure Software Engineering" (T.P.S.S.E.) sowie der Vertrauenszeichen "IT Security made in Germany" und "IT Security made in EU". TeleTrusT ist Mitglied des European Telecommunications Standards Institute (ETSI). Hauptsitz des Verbandes ist Berlin.
Bundesverband IT-Sicherheit e.V. (TeleTrusT)
Chausseestraße 17
10115 Berlin
Telefon: +49 (30) 40054310
Telefax: +49 (30) 40054311
https://www.teletrust.de
Geschäftsführer
Telefon: +49 (30) 40054310
Fax: +49 (30) 40054311
E-Mail: info@teletrust.de
