Herr Dettmer, inwiefern ist es von Bedeutung, Safety und Security nicht getrennt voneinander zu betrachten?
Hendrik Dettmer: Um größtmögliche Sicherheit zu gewährleisten. Grundsätzlich ist IEC62443 eine Security-Norm, sie steigert aber auch die funktionale Sicherheit. Denn bei einer Risikoabschätzung der Security laufen viele Aussagen auch in die Safety-Analyse mit ein, weshalb es unverantwortlich wäre, das eine ohne das andere durchzuführen. Die Verknüpfung ist einfach heutzutage viel zu stark.
Als ganzheitliche Norm gilt sie auch als Standard zum sicheren Datenaustausch in der Produktions-IT. Welche Unternehmen sind hiervon betroffen?
Dettmer: Alle Unternehmen, die OT-Produkte herstellen oder vertreiben und natürlich auch solche, die diese in der Produktion selbst nutzen. So wird die Security der gesamten Kette von der Norm abgedeckt: angefangen von der Entwicklung eines Produkts bis hin zum Einsatz in der Produktionsanlage. Das umfasst auch Serviceanbieter, die etwa für Software-Updates zuständig sind, und alle weiteren, die Zugriff auf entsprechende Schnittstellen haben. Dabei werden nahezu alle Bereiche in den betroffenen Unternehmen einbezogen.
Auf welche Weise profitieren Unternehmen davon?
Dettmer: Zunächst erhält das Unternehmen eine höhere Resilienz. Es weist nach, Angriffe entsprechend abwehren zu können und somit sicher zu produzieren, was das Vertrauen der Kunden in die Produkte erhöht und dementsprechend Wettbewerbsvorteile bringen kann. Zudem können negative Schlagzeilen durch Cyberangriffe und deren Folgen weitestgehend verhindert werden. Darüber hinaus ergeben sich auch unmittelbare monetäre Vorteile. So werden zertifizierte Unternehmen bei diversen Versicherungen oft günstiger eingestuft und natürlich vermeidet man hohe Kosten und Verluste, die durch erfolgreiche Angriffe entstehen.
Warum stellt die Sicherung von OT-Systemen eine besondere Herausforderung dar?
Dettmer: Hierbei spielt die unterschiedliche Herangehensweise eine entscheidende Rolle. Regelmäßige Updates oder Überwachungsmöglichkeiten wie sie in der IT gang und gäbe sind, werden in der OT oft nicht eingesetzt. Doch um die Produktionstechnik fit für Industrie 4.0 zu machen, werden häufig alte Maschinen so verknüpft, dass sich Sicherheitslücken ergeben. Die Herausforderung besteht also darin, alte und neue Anlagen in Bezug auf Safety und Security so einzubinden, dass sicherheitsrelevante Nachteile der alten Komponenten nicht übernommen oder durch entsprechende Gegenmaßnahmen neutralisiert werden. Die IEC62443 kann hier als Grundlage für die Planung dienen.
Was sagt die Norm als Sicherheitsstandard konkret aus?
Dettmer: Der Sicherheitsstandard wird durch eine Zertifizierung nach IEC62443 nachgewiesen. Zertifizierte Unternehmen können dadurch die Sicherheit ihrer Produktionsumgebungen auf einem Sicherheitslevel von 1 bis 4 nachweisen, was eine allgemeingültige und greifbare Aussage ist und auch an Kunden kommuniziert werden darf und sollte. Auch wenn die Zertifizierung noch keine Pflicht ist, ist die IEC62443 bereits heute Standard in der IT-Security. Große Konzerne produzieren schon heute nur noch nach dieser Norm und dienen oft kleineren Herstellern, die nachziehen wollen, als Best-Practice-Beispiel.
Was raten Sie Unternehmen, die den ersten Schritt in Richtung einer Zertifizierung nach IEC62443 gehen wollen?
Dettmer: Zunächst sollten sie unbedingt bei der Einführung neuer Produkte oder Produktionsumgebungen die Norm als Orientierung für sicherheitsrelevante Fragen heranziehen. Das gilt auch und insbesondere für große Neuerungen. Darüber hinaus ist es natürlich fast unabdingbar, sich mit dem Thema umfassend auseinanderzusetzen und immer up-to-date zu sein.