Component Use-Cases für die Praktische Anwendung der IEC 62443
Als Anwender stehen Sie häufig vor der Frage, wie Sie die Security-Anforderungen für Ihre Anwendung bewerten und beurteilen können – und welche Kriterien für die Auswahl von Security-Produkten und -Lösungen entscheidend sind. Mit den hier vorgestellten Component Use-Cases erhalten Sie nun praxisnahe Konzepte anhand von zwei konkreten Beispielen – einer Industrial Firewall und eines Security Gateways.
Was in der Praxis immer wieder Fragen aufwirft, ist der Normteil IEC 62443-4-2. Hier geht es um die Zertifizierung der Komponenten und der Geräte, die in der Steuerungs- und Automatisierungstechnik eingesetzt werden – genauer um die Abdeckung der IT-Sicherheit bezogen auf ein definiertes Sicherheitslevel solcher Produkte. Die Norm ist einerseits für Systemintegratoren, Maschinenbauer und Anlagenbetreiber wichtig, welche die Security-Aspekte ihrer Anwendung betrachten müssen – und andererseits für Gerätehersteller, die Router, Gateways und andere Komponenten für die Automatisierungsindustrie entwickeln.
Ein einheitliches Prüfschema gibt es derzeit noch nicht. Einige Anwender nutzen die vereinfachte Sicht auf die vier Security Level, um die Security Anforderungen zu beurteilen. Dieser eher allgemeine Ansatz führt in der Praxis kaum zu Antworten, die alle Aspekte einer Anwendung abdecken. Ein anderer Ansatz ist eine Risikoanalyse auf Systemebene. Damit lassen sich die Security Anforderungen zwar exakt beschreiben, jedoch nicht so allgemeingültig, dass sie sich einfach auf weitere Anwendungen übertragen lassen.
Um dieses Dilemma zu lösen, ist die Arbeitsgruppe „Smart Grids/Industrial Security“ von Teletrust aktiv geworden. Ziel ist es, 62443-Component Use-Cases zu definieren, welche beide oben genannten Ansätze berücksichtigen. Im ersten Schritt werden die Funktionalität und der Verwendungszweck der Komponente festgelegt. Anschließend wird die Anwendung und das Einsatzumfeld betrachtet, um daraus die Security Anforderungen entsprechend der IEC 62443-4-2 abzuleiten. Das erfolgt aus zwei Blickrichtungen – aus Security Level-Sicht und aus Sicht der Applikation. Abschließend werden im Use-Case konkrete Punkte und Schritte festgelegt, wie der Test der fertigen Lösung im Rahmen der internen Qualitätssicherung abzulaufen hat.
Um die praktische Anwendung zu vereinfachen, wurden die Use-Cases nicht allgemein entwickelt, sondern anhand zweier konkreter Beispiele – eine Industrial Firewall und ein Security Gateway. Die beiden Use-Cases unterscheiden sich dahingehend, dass bei dem Use-Case Industrial Firewall auf die praktischen Erfahrungen mit bestehenden Produkten aufgebaut werden kann – während beim Use-Case Security Gateway aufgrund der neuen Anwendungsfelder und Produkte noch kaum Erfahrungswerte vorliegen.
Mit den beiden Use-Cases erhalten Sie ein fertiges Konzept für einen strukturierten Prozess zur Evaluierung der Security Anforderungen in Ihrer Anwendung – und wie Produkte und Lösungen dafür ausgewählt werden können. Anhand der Use-Cases können Sie wesentlich praxisnaher und effektiver arbeiten als mit den allgemein allumfassenden und abstrakten Component Types der IEC 62443-4-2.
MB connect line ist Mitglied in der Teletrust Industrial Security Arbeitsgruppe und war zusammen mit anderen Herstellern, dem TÜV und Pentestern aktiv an der Erstellung des Industrial-Firewall Use-Cases beteiligt. Die Dokumente zu den beiden Use-Cases sowie einer Mustervorlage für die Entwicklung eigener Use-Cases stehen bei Teletrust kostenlos zum Download bereit.