Phoenix Contact strebt an, standardisierte Security in Produkten, Industrielösungen und Beratungsdienstleistungen anzubieten, um einen zukunftssicheren Betrieb von Maschinen, Anlagen und Infrastrukturen zu ermöglichen. Die Zertifizierungen durch den TÜV unterstreichen diese Strategie.
Bei Secure-by-Design-Produkten werden Sicherheitsanforderungen an Soft- und Hardware schon während der Entwicklungsphase eines Produktes berücksichtigt. So werden spätere Sicherheitslücken verhindert. Solche Sicherheitsmechanismen werden immer wichtiger, da Geräte und Sensoren zunehmend über das Internet vernetzt sind und immer mehr Prozesse über Software laufen. Dadurch eröffnen sich neue Angriffsflächen.
Security-Team als Ansprechpartner für Sicherheitslücken
Die zentralen Elemente in der Norm zur IT-Sicherheit Teil 4-1 und 2-4 sind zum einen eine Bedrohungs- und Risikoanalyse auf Basis des Anwendungsszenarios. Das heißt, es werden für Geräte und Systeme Anwendungsbeispiele und die erforderlichen Härtungsmaßnahmen festgelegt. Für Automatisierungslösungen wird ein Sicherheitskonzept mit den erforderlichen Schutzmaßnahmen erarbeitet. Zum anderen wird ein Produkt- oder Lösungsentwicklungsprozess etabliert, mit dem sicher nachvollzogen werden kann, dass alle identifizierten Security-Anforderungen implementiert, verifiziert und dokumentiert werden.
Zusätzlich sind Gerätehersteller dazu aufgefordert, auf Security-Schwachstellen angemessen zu reagieren und verlässlich Security-Updates zu veröffentlichen. Diese Anforderung wird bei Phoenix Contact durch das neu etablierte Product Security Incident Response Team (PSIRT) übernommen. Dieses Team informiert Anwender von Phoenix-Contact-Produkten über bekannte Sicherheitslücken und ist zur gleichen Zeit die Stelle, bei der Anwender gefundene Sicherheitslücken vertraulich melden können. PSIRT hält sich bei der Bearbeitung, Bewertung und Veröffentlichung von Reports und Updates an die Prozesskette, die in der IEC 62443 gefordert wird.
„Bereits im Herbst 2018 wurde der Entwicklungsprozess für Produkte bei Phoenix Contact nach der Norm IEC 62443-4-1 zertifiziert. Damit ist Secure-by-Design bei uns fester Bestandteil bei der Entwicklung eines Security-Produktes“ sagt Roland Bent, CTO Phoenix Contact. Mit der Zertifizierung werde nun bestätigt, „dass unser Branchen-Marktmanagement sichere Automatisierungslösungen für unsere Kunden, entsprechend der Norm IEC 62443-2-4, entwickeln und umsetzen kann.“
Cybersecurity ist in jeder Industrie relevant
Egal ob Hersteller oder Betreiber, Industrie oder kritische Infrastruktur: Das Thema Cybersecurity ist für jeden wichtig. Die Welt der Automatisierungstechnik wächst immer stärker mit der Welt der IT zusammen. Anlagengrenzen verschwimmen, die Menge der verfügbaren Daten steigt und der Austausch von Daten und Informationen wächst konsequent an. Diese zunehmende Vernetzung und Anbindung industrieller Steuerungs- und Automatisierungssysteme (ICS) an das Internet sorgt auch dafür, dass diese zunehmend Cyberangriffen ausgesetzt sind.
Die Fernwirktechnik ist ein wesentlicher Bestandteil der Automatisierung wasserwirtschaftlicher Anlagen. In Zuge der Digitalisierung bieten Ethernet-basierte Lösungen vielfältige Vorteile, beinhalten andererseits jedoch einige Herausforderungen. Via Ethernet werden oftmals Daten mit den Außenbauwerken ausgetauscht. Allerdings kann die Ethernet-basierte Vernetzung ebenfalls eingesetzt werden, um die Verfügbarkeit der Technik erheblich zu beeinflussen. Fast jeden Tag berichten die Medien von Angriffen mit Schadsoftware und deren gravierenden Folgen. Die Digitalisierung der Prozesse muss also unbedingt mit einer guten Strategie zur Umsetzung der IT-Sicherheit einhergehen.
Kritische Infrastrukturen als Schwachpunkte der Energiebranche
Energieversorgung und Netzsteuerung sind Teil der Kritischen Infrastrukturen (KRITIS) in Deutschland. Fehlen Strom und Gas, kommt das öffentliche Leben innerhalb kürzester Zeit zum Erliegen und lebensnotwendige Dienstleistungen können nicht mehr erbracht werden. Die Funktionsfähigkeit der Energieversorgung ist von einer intakten Informations- und Kommunikationstechnologie abhängig. Dies macht IT-Sicherheit in der Energiebranche essenziell.
Daten in Prozessanlagen müssen zugriffssicher sein
Die Daten bestehender Prozesstechnikanlagen für neue Technologien zu nutzen und so von den Mehrwerten Cloud-basierter Auswertungen zu profitieren, ist der Wunsch vieler Betreiber. Um Industrie-4.0-Technologien in einer vorhandenen prozesstechnischen Anlage einsetzen zu können, sind im ersten Schritt Daten aus dem Betrieb zusammenzutragen. Neue Analyse- und Überwachungsmethoden sind einfacher nutzbar, wenn der volle Zugriff auf die Daten der Prozessanlage vorhanden ist. Wichtig ist, dass der Datenzugriff sicher und rückwirkungsfrei ist.
Aber nicht nur aus dem Internet drohen Gefahren. Auch das Fehlverhalten durch Dienstleister oder der eigenen Mitarbeiter kann zu Störungen und Produktionsstillständen führen. Ausfälle, Sabotage oder Datenverlust können hohe wirtschaftliche Schäden verursachen. Denn Stillstandszeiten bedeuten nicht nur finanzielle Verluste, sondern gefährden zudem Liefertermine und folglich Image und Reputation des Unternehmens. Die ICS Security nimmt daher immer stärker an Bedeutung zu.
Hintergrund zur Norm IEC 62443
Die Norm IEC 62443 ist eine Serie von Dokumenten und befasst sich mit der IT-Sicherheit sogenannter Industrial Automation and Control Systems (IACS). Der Begriff IACS steht dabei für alle Bestandteile wie Systeme, Komponenten und Prozesse, die für den sicheren Betrieb einer automatisierten Produktionsanlage erforderlich sind. Durch ihre spezifische Ausrichtung auf den Industriebereich setzt sich die IEC 62443 auch markant von der ISO 27001 ab, welche sich eher mit klassischen IT-Systemen beschäftigt.
Für die Betreiber der kritischen Infrastruktur deckt die IEC 62443 alle Anforderungen an ein sicheres Lösungsdesign, Inbetriebnahme, Betrieb und Wartung ab. In der Prozessindustrie ist die IEC 62443 der „Hausstandard“ sowie der internationale Security-Standard für Automatisierungsanlagen.