Cyber Security: Aktuelle Entwicklungen bei der IEC 62443

Verschiedene Teilnormen, unterschiedliche Entwicklungsstände

Obwohl die Ursprünge der Normenreihe schon mehr als zwanzig Jahre zurückliegen, hat sich in den letzten Jahren durch die steigende Bedeutung von OT Security auch bei der Entwicklung der IEC 62443 eine neue Dynamik ergeben.

Wie in vielen konsensorientierten Normungsgremien gibt es auch bei der IEC 62443 immer wieder Verzögerungen und Planänderungen, weshalb es für Außenstehende oft schwer ist, den aktuellen Stand im Auge zu behalten. Daher wollen wir in diesem Newsletter einen Überblick über aktuelle und kommende Entwicklungen in der IEC 62443 geben.


Einführung
Die IEC 62443 besteht aus einer Reihe von Teilnormen, und der Entwicklungsstand der einzelnen Teile ist ganz unterschiedlich. Während bei einigen Teilen die Veröffentlichung der aktuell gültigen Version schon eine Weile zurückliegt, wurden andere vor nicht allzu langer Zeit veröffentlicht, und wieder andere Teile wurden zwar geplant bzw. angekündigt, aber noch gar nicht veröffentlicht.

Nachfolgend konzentrieren wir uns auf jene Teile, bei denen gerade intensiv an der Veröffentlichung der ersten bzw. einer neuen Version gearbeitet wird. Daher enthält die folgende Auflistung nicht alle aktuell verfügbaren Teile der Norm. Für die nicht angeführten, bereits veröffentlichten Teile wurde im letzten Plenary Meeting des TC 65 im März 2023 die weitere Gültigkeit bestätigt.


IEC 62443-1-5 – Scheme for IEC 62443 cyber security profiles
In vielen Anwendungsbereichen und Technologiefeldern existiert zwar grundsätzlich der Bedarf an Standardisierung im Bereich OT Security, die Anforderungen können sich im Detail jedoch je nach Anwendungsdomäne bzw. Technologiefeld unterscheiden. Daher entstand der Bedarf, durch Profile eine bereichsspezifische Konkretisierung der Anwendung der Standards zu ermöglichen.

Um aber einen Wildwuchs bei der Definition dieser Profile zu verhindern, wurden mit der Norm 62443-1-5 die Rahmenbedingungen für die Definition von Profilen festgelegt. Nach zügiger Entwicklungsarbeit wurde im April 2023 über den finalen Entwurf abgestimmt. Der Entwurf wurde einstimmig mit einigen wenigen Kommentaren angenommen. Somit wird die Veröffentlichung voraussichtlich im Sommer 2023 erwartet.


IEC 62443-2-1 – Security program requirements for IACS asset owners
Da die aktuelle Version der 62443-2-1 (Edition 1) aus dem Jahr 2010 stammt, wurde schon vor einigen Jahren damit begonnen, einen Entwurf für eine neue Version dieser Norm zu erarbeiten, welcher den Nationalkomitees und anderen Arbeitsgruppen zur Kommentierung vorgelegt wurde. Hunderte Kommentare, die alle im Detail bearbeitet werden müssen, wurden eingesammelt.

Aufgrund von Ressourcenengpässen in der Arbeitsgruppe kam es zu Verzögerungen, sodass die Veröffentlichung schon sehnsüchtig erwartet wird. In den letzten Monaten hat die Arbeit an der neuen Version wieder Fahrt aufgenommen; der „Final Draft“ (FDIS) soll demnächst in die Abstimmung durch die Nationalkomitees gehen.

Die Veröffentlichung der neuen Version der 62443-2-1 (Edition 2) wird für das zweite Halbjahr 2023 erwartet.


IEC 62443-2-4 – Security program requirements for IACS service providers
Die 62443-2-4 (Edition 1) wurde 2015 veröffentlicht und 2017 durch ein Amendment ergänzt. Für diesen Standard gab und gibt es eine hohe Nachfrage nach Zertifizierungen von Organisationen, die ihre Compliance zu diesem Standard unabhängig überprüfen und nachweisen lassen wollen.

Im Rahmen dieser praktischen Umsetzung der Normanforderungen sind Unschärfen in den Formulierungen zu Tage getreten, weshalb beschlossen wurde, eine neue Version zu erarbeiten, um die Anforderungen eindeutiger und klarer zu formulieren. Die Arbeiten schreiten voran, der finale Entwurf (FDIS) soll demnächst in die Abstimmung gehen. Damit sollte Edition 2 der IEC 62443-2-4 gegen Ende dieses Jahres veröffentlicht werden.


IEC 62443-6-1 – Security evaluation methodology for IEC 62443 – Part 2-4: Security program requirements for IACS service providers
Wie schon zuvor bei der 62443-2-4 erwähnt, gibt es seit einigen Jahren den verstärkten Bedarf an Zertifizierungen im Cyber Security-Bereich. Dabei soll durch eine unabhängige Prüf- bzw. Zertifizierungsstelle die Umsetzung der Anforderungen einer Norm geprüft und anschließend zertifiziert werden.

Im Zuge dieses Prozesses stellt sich immer wieder auch die Frage, wie gewisse Aspekte bzw. Formulierungen in den Normtexten zu interpretieren sind, und insbesondere auch, wie die korrekte Umsetzung der Anforderungen zu überprüfen ist. Derzeit sind alle Teile der IEC 62443 als Anwendungsnormen verfasst; die Festlegung der Art der Überprüfung obliegt daher den Prüf- und Zertifizierungsprogrammen der jeweiligen Institute bzw. Akkreditierungsstellen.

Um hier eine einheitlichere Evaluierungsmethodik zu definieren, wurden zwei Arbeitsgruppen für die beiden Teile der IEC 62443, für die der Bedarf an Zertifizierungen derzeit am größten ist, gestartet.

Einer der beiden Teile ist die IEC62443-2-4 (Anforderungen an Service Provider). Der Prüfstandard für diese Norm soll die Nummer IEC 62443-6-1 bekommen. Die Arbeiten schreiten zügig voran, über den ersten Entwurf wurde bereits abgestimmt, und die entsprechenden Kommentare wurden eingearbeitet.

In den nächsten Wochen soll der finale Entwurf zur Abstimmung an die Nationalkomitees ausgesandt werden. Die Veröffentlichung sollte damit im Frühjahr 2024 erfolgen, wenn der Zeitplan eingehalten wird.


IEC 62443-6-2 – Security evaluation methodology for IEC 62443 – Part 4-2: Technical security requirements for IACS components
Analog zur zuvor beschriebenen Norm 62443-2-4 gibt es auch für die 62443-4-2, die die Sicherheitsanforderungen für IACS-Komponenten beschreibt, eine hohe Nachfrage nach Zertifizierungen. Daher wurde mit der Arbeit an der IEC 62443-6-2 begonnen; Ziel ist es, eine Evaluierungsmethodik festzulegen.

Auch hier sind die Arbeiten zügig vorangegangen, der Projektplan sieht ähnlich wie beim Standard 62443-6-1 aus: In den nächsten Wochen wird der finale Entwurf erwartet, die Norm soll im Frühjahr 2024 veröffentlicht werden.


Weitere Roadmap und horizontale Standards
Neben diesen konkreten Entwicklungsprojekten in den Arbeitsgruppen gibt es in den Gremien, in denen die Norm IEC 62443 entwickelt wird (WG 10 des IEC TC 65 und ISA99) langfristigere Diskussionen über die weitere Roadmap und Entwicklungsstrategie für die IEC 62443-Normenreihe.

Ein großer Diskussionspunkt ist dabei die Idee eines „horizontalen Standards“, also die Weiterentwicklung der IEC 62443 zu einer Basisnorm, auf der dann domänenspezifische Normen aufsetzen und konkrete Anforderungen definieren können. Ein ähnliches System existiert ja bereits mit der IEC 61508 aus derselben Arbeitsgruppe, welche als Basisstandard für funktionale Sicherheit dient, worauf dann Normen für spezifische Domänen (z. B. IEC 61511 oder ISO 26262) aufsetzen.

Weiters wird auch an der Anwendung der IEC 62443 für das „Industrial Internet of Things“ gearbeitet. Eine Arbeitsgruppe in der ISA99 hat dazu einen ersten Vorschlag für ein Standardisierungsprojekt erarbeitet, darauf aufbauend soll ein weiterer Teil der Reihe entwickelt werden – nach aktuellem Planungsstand soll dieser die Nummer IEC 62443-4-3 bekommen. Daneben gibt es auch für einige weitere Teile der Norm Pläne, Arbeitsgruppen für neue Editionen zu starten, welche aber noch nicht fixiert sind.


Die IEC 62443 im OVE
Das TSK MR65 hat bei den Abstimmungen zu den Arbeitsversionen (DC, CDV, FDIS) und auch bei den finalen Standards als nationales Spiegelgremium des IEC TC 65 ein Stimmrecht, weshalb die entsprechenden Arbeitsergebnisse in den Sitzungen des Komitees bzw. der AG MR65 IACS Security behandelt werden. Darüber hinaus bietet die OVE Academy regelmäßig Kurse zur IEC 62443 an, um interessierten Personen bzw. Unternehmen detailliertere Informationen zur Umsetzung der Anforderungen aus diesen Standards zu vermitteln.

Weiters veranstaltet die AG MR65 IACS Security gemeinsam mit der Gesellschaft für Informations- und Kommunikationstechnik im OVE seit einiger Zeit auch eine Konferenz zu diesem Thema, um sowohl Herstellern als auch Betreibern von industriellen Automatisierungssystemen eine Plattform zum Erfahrungsaustausch zu OT-Security (natürlich auch mit einem Fokus auf die IEC 62443) zu bieten.

Die nächste Veranstaltung ist für den 9. Oktober 2023 geplant. Dazu möchten wir im Rahmen eines „Call for Talks“ sowohl Betreiber von Automatisierungssystemen als auch Hersteller und Dienstleister einladen, über ihre Erfahrungen bei der Absicherung von OT-Systemen zu berichten.

Bitte senden Sie ein kurzes E-Mail an Thomas Bleier (t@b-sec.net) mit dem Thema bzw. Titel des Vortrags – wir würden uns freuen, Sie bei der Veranstaltung begrüßen zu dürfen. Weiters wollen wir mit diesem „Save the date“ natürlich auch allen interessierten Besucher:innen die Möglichkeit geben, sich den Termin schon frühzeitig im Kalender zu notieren.

Dipl.-Ing. Thomas Bleier, MSc
OVE Informationstechnik, Arbeitsgruppenleiter „Cyber Security“
OVE-OEK Vorsitzender des TSK MR65 Mess- und Regeltechnik und der
AG MR 65 Industrial Automation & Control System Security
„Chief Security Improvement Officer” und Geschäftsführer der B-SEC better secure KG