Tagung zur Cyber-Sicherheit industrieller Automatisierungssysteme

Save the date: Der OVE lädt zu einem Nachmittag rund um die IEC 62443

Nach einer COVID-bedingten Pause im vergangenen Jahr dürfen wir am 10. November 2021 ab 13:00 Uhr wieder alle, die am Thema Sicherheit industrieller Automatisierungssysteme interessiert sind, zu interessanten Vorträgen und zum Erfahrungsaustausch in den OVE einladen. Die Veranstaltung findet heuer hybrid statt, d. h. es gibt die Möglichkeit, sowohl vor Ort im OVE in der Eschenbachgasse 9 persönlich teilzunehmen als auch per Livestream die Vorträge zu verfolgen. Im vorliegenden Newsletter lesen Sie, welche Vorträge wir für Sie geplant haben.

Weitere Infos zur Veranstaltung und die Möglichkeit zur Anmeldung finden Sie auf der Website der OVE Academy hier.  Wir würden uns freuen, Sie bei der Veranstaltung begrüßen zu können.

Dipl.-Ing. Thomas Bleier, MSc.
OVE Informationstechnik, Arbeitsgruppenleiter „Cyber Security“
OVE-OEK Vorsitzender der AG MR 65 Industrial Automation & Control System Security
„Chief Security Improvement Officer” und Geschäftsführer der B-SEC better secure KG
Kontakt:
t@b-sec.net

 

Aktuelle Entwicklungen bei der IEC 62443
Thomas Bleier, B-SEC better secure KG / OVE MR65 IACS Security

Die Arbeitsgruppen der IEC (International Electrotechnical Commission) und der ISA (International Society for Automation), die sich mit der Weiterentwicklung der ISA/IEC 62443-Standards beschäftigen, haben in den letzten Monaten trotz (oder vielleicht gerade wegen) ausschließlicher Online-Meetings auf Hochtouren gearbeitet und in vielen Bereichen der Standardreihe entscheidende Entwicklungen vorangetrieben. Die neue Version der 62443-2-1 mit den Anforderungen an ein Managementsystem für IACS steht kurz vor der Veröffentlichung, Überarbeitungen weiterer Teile wurden begonnen und für bisher noch nicht betrachtete Aspekte wie die Definition von Profilen oder einheitliche Verfahren für die Prüfung der Compliance zu den Anforderungen der Norm wurden neue Normteile entwickelt. Auch an einer Strategie für die mittelfristige Weiterentwicklung und Harmonisierung der Standardreihe wird gearbeitet. Der Vortrag gibt nach einer kurzen allgemeinen Einführung in die Standards der IEC 62443-Serie einen Überblick über die wesentlichen demnächst erscheinenden Neuerungen und einen Ausblick auf die künftige Weiterentwicklung.

IEC 62443-Blueprint-Zertifizierung für Integratoren und Maschinenbauer
Enrico Seidel, TÜV SÜD Product Service GmbH

Wie können Anlagenintegratoren und (Sonder-)Maschinenbauer die IEC 62443-Konformität ihrer Automatisierungsanlagen bzw. Maschinen nachweisen, ohne dass jede projektspezifische Anlage bzw. Maschine vom TÜV geprüft und zertifiziert werden muss? In diesem Vortrag geben wir einen Einblick in den Zertifizierungsablauf beim Produkthersteller, zeigen die Arbeitsweise der Integratoren/Maschinenbauer und stellen Analogien zwischen diesen auf. Darauf aufbauend präsentieren wir eine Lösung für die Eingangsfrage.

Analog zur Produktherstellung durchläuft eine Anlage/Maschine die Lebenszyklusphasen Design, Implementierung und Test und wird mit einer Dokumentation ausgeliefert. Im Unterschied zum Hersteller, der das gleiche Produkt kontinuierlich weiterentwickelt, pflegt der Integrator/Maschinenbauer Vorlagen für die genannten Phasen und passt diese projektspezifisch an die Wünsche seiner Kunden (Betreiber) an. Das Resultat ist eine kundenspezifische Anlage/Maschine, die aus diesen Vorlagen, genannt Blueprint, hervorgegangen ist. Durch die Einhaltung der IEC 62443-2-4 für den Integrationsprozess seiner Anlage/Maschine, die auf einer IEC 62443-3-3-konformen Vorlage basiert, kann der Integrator/Maschinenbauer die IEC 62443-Zertifizierung erhalten, ohne dass jede projektspezifische Lösung einzeln geprüft werden muss.

Automatisiertes Cyber Security Risk Assessment nach IEC 62443-3-2 mit Threatget
Christoph Schmittner, AIT Austrian Institute of Technology GmbH

Am AIT wurde in den letzten Jahren gemeinsam mit Partnern ein Tool für die Durchführung von Risk Assessments erstellt, das in diesem Vortrag vorgestellt wird.

Typische Stolpersteine auf dem Weg zur IEC 62443-4-1
Peter Panholzer, Limes Security GmbH

Wer glaubt die Entwicklung der IEC 62443-4-1 scheitert an Secure Coding-Regeln oder dem neuesten Security-Testwerkzeug liegt weit daneben. Viele Entwicklungsteams stehen vor viel weniger augenscheinlichen Herausforderungen: Prozessbeschreibungen sind „im Entstehen“ (seit vielen Jahren), „agil“ wird verstanden als „Planen und Dokumentieren ist nicht agil“, Security „macht Heiko und außerdem ist eh noch nichts passiert“... Was daraus folgt ist für viele Teams die Erkenntnis, dass der Weg zur Zertifizierung weiter ist als gedacht und nicht nur Security Know-how, sondern vor allem auch ein gesteigertes Qualitätsbewusstsein braucht. Dieser Vortrag soll typische Probleme aufzeigen und Anregungen für Lösungen liefern. Am Ende braucht es vor allem eines, um mit IEC 62443-4-1 erfolgreich zu sein: Verständnis für Security als Qualitätsthema und die Bereitschaft zu Veränderung.

Security Monitoring im industriellen Umfeld
Oliver Mann, Kapsch BusinessCom AG

Industrial Cyber Security im Produktions- und Automationsbereich auf Basis der Norm IEC 62443 ist für Industrie-Unternehmen ein essentielles Thema und ein wichtiger Schritt auf dem Weg, den angestrebten Sicherheitslevel in den eigenen OT-Umgebungen zu erreichen. Um hier jedoch die passende Strategie sowie die benötigten Maßnahmen zu identifizieren, fehlen Betreibern von Steuer- und Automatisierungstechnik oft wichtige Einblicke in den aktuellen Stand der OT-Umgebung und ihrer zugehörigen Komponenten. Diese essentiellen Informationen darüber, wie es aktuell in der zu schützenden Umgebung aussieht und welche Sicherheitsrisiken hier wirklich vorhanden sind, liefern enormen Mehrwert und sind essentiell für eine aussagekräftige Betrachtung anhand der Norm. Ein für die OT-Umgebung rückwirkungsfreier Weg, diese Informationen zu erhalten, ist im Rahmen von Security Monitoring auf Basis des Netzwerkverkehrs.
Im Rahmen des Vortrags wird demonstriert, wie Security Monitoring in industriellen Umgebungen effektiv dazu genutzt werden kann, den Weg zu einem sicheren IT-Betrieb von Produktionsanlagen auf Basis der Norm IEC 62443 zu unterstützen und in weiterer Folge den angestrebten Sicherheitslevel zu halten und stetig zu verbessern.


EU CyberSecurity Act und IEC 62443-4: das IACS Components Cybersecurity Certification Scheme (ICCS)
Claudia Lutze, Thales Austria GmbH

Der Vortrag befasst sich mit der Frage, wie sich IEC 62443-4-konforme Produkte und Prozesse der kritischen Infrastruktur „Verkehr“ im durch den EU-Rechtsakt zur Cybersicherheit neugeschaffenen europäischen Schema für die Cybersicherheitszertifizierung – ICCS – widerspiegeln. Die Vortragende berichtet aus Sicht der security & safety-kritischen Domäne „Eisenbahn“ und bezieht sich auf das EU-Forschungsprojekt X2Rail-3.

IEC TC65: Smart Manufacturing Standardization Landscape – Cybersecurity Challenges
Erwin Schoitsch, AIT Austrian Institute of Technology GmbH / IEC TC65 WG23

Im Vortrag wird die ganze Spannweite von „Smart Manufacturing“ (SM) kurz dargestellt. Smart Manufacturing-Standardisierung wird hauptsächlich in IEC TC65 WG23, spezielle Aspekte werden noch in WG 24 (Asset Administration Shell for Industrial Applications) und in TC65 IEC JWG21 (Smart Manufacturing Reference Models, mit ISO TC 184) behandelt. Der grundlegende SM-Standard ist die IEC 63283-Serie. Diese umfasst derzeit drei Teile (teilweise noch „under development“), zwei weitere werden als Reports in Task Forces vorbereitet (oder später in andere integriert). Cyber Security basierend auf IEC 62443 und Elementen der ISO 27000 spielt eine Schlüsselrolle, wobei die Ansätze, wie sie derzeit in klassischen Fertigungssystemen aller Art eingesetzt werden, für die spezifischen Cyber Security-Herausforderungen von SM nicht ausreichen. IEC DTR 63283-3 (Industrial-process measurement, control and automation – Smart Manufacturing – Part 3: Challenges for Cybersecurity) versucht diese Lücke zu schließen: Die Ergebnisse werden näher beleuchtet und anhand eines ausgewählten USE-Cases dargestellt sowie abgeleitete Empfehlungen zur Verbesserung/Ergänzung der IEC 62443 für SM vorgestellt.

Security ist Teamsport – Zusammenarbeit von Betreiber, Integrator und Hersteller nach IEC 62443 in Kundenprojekten
Markus Hirsch, Fortinet GmbH

Die IEC 62443 ist in den Köpfen der Verantwortlichen und in den zu implementierenden Systemen angekommen. Aber wie wird sie tatsächlich angewandt bzw. umgesetzt? Von der Planung über die Produktauswahl, von der Architektur zur Implementierung und letztendlich zum Betrieb werden verschiedene Ziele und damit auch verschiedene Ansätze verfolgt. In diesem Vortrag beleuchten wir die unterschiedlichen Ansätze aus den verschiedenen Sichtweisen. Wir betrachten die Anforderungen mit den Augen eines anonymisierten Netzbetreibers, beantworten die Anforderung aus der Sicht des System-Integrators und gleichen die Architektur mit den Produkten von Fortinet und unserem Partner Sprecher Automation ab.