IEC 62443: Die internationale Normenreihe für Cybersecurity in der Industrieautomatisierung
Was ist IEC 62443?
Die IEC 62443 ist eine internationale Normenreihe, die sich mit der Cybersecurity in industriellen Automatisierungs- und Steuerungssystemen (IACS) beschäftigt. Ganz gleich, ob Sie Maschinenbauer, Betreiber oder Systemintegrator sind – IEC 62443 bietet Ihnen einen strukturierten Leitfaden, um Ihre Systeme gegen Cyberangriffe abzusichern.
Was ist die IEC 62443?
Ursprünglich aus dem US-amerikanischen Standard ISA-99 hervorgegangen, wurde IEC 62443 im Jahr 2010 von der International Electrotechnical Commission (IEC) übernommen. Sie verfolgt einen ganzheitlichen Ansatz, der sowohl technische als auch organisatorische Maßnahmen berücksichtigt. Die Norm ist heute weltweit einer der wichtigsten Standards für Industrial Security, insbesondere auch in kritischen Infrastrukturen (KRITIS).
Welches Ziel verfolgt die Normenreihe IEC 62443?
Die Normenreihe hilft Unternehmen,
- Risiken durch Cyberangriffe zu minimieren,
- Produktionsausfälle zu verhindern,
- Anlagen sicher zu betreiben und
- maßgeschneiderte Schutzmaßnahmen umzusetzen.
Dies geschieht durch Risikoanalysen, definierte Security-Level und strukturierte Prozesse für Entwicklung, Betrieb und Wartung.
Normen und Standards für sichere & innovative Informationssysteme
Die IEC 62443 ergänzt Normen wie ISO/IEC 27001, die auf die Informationssicherheit im Unternehmen (IT) abzielen. IEC 62443 hingegen fokussiert sich auf den OT-Bereich (Operational Technology). Idealerweise kombinieren Sie beide Standards, um Ihre Organisation ganzheitlich abzusichern.
Wie ist die Normenreihe IEC 62443 aufgebaut?
Die Norm ist in sechs Hauptbereiche unterteilt:
IEC 62443-1: Allgemeine Grundlagen
IEC/TS 62443-1-1
Einführung in Begriffe, Modelle und Konzepte (z. B. Defense-in-Depth).
IEC 62443-1-2 bis 1-5
Glossar, Sicherheitsmetriken, Use Cases und Profile.
IEC 62443-2: Anforderungen für Betreiber und Dienstleister
IEC 62443-2-1
Sicherheitsprogramme für Anlagenbetreiber
IEC 62443-2-2
Security Protection Rating – Bewertung technischer und organisatorischer Maßnahmen
IEC/TR 62443-2-3
Patch-Management im IACS-Umfeld
IEC 62443-2-4
Sicherheitsanforderungen für Dienstleister
IEC 62443-3: Anforderungen an Automatisierungssysteme
IEC/TR 62443-3-1
Bewertung moderner Security-Technologien
IEC 62443-3-2
Risikobasierte Systemarchitektur mit Zonen & Conduits
IEC 62443-3-3
Technische Systemanforderungen und Security-Level
IEC 62443-4: Anforderungen an Komponenten
IEC 62443-4-1
Secure Development Lifecycle für Produkte
IEC 62443-4-2
Sicherheitsanforderungen für Geräte und Komponenten
IEC 62443-6: Evaluationsmethodik
IEC/TS 62443-6-1 & -6-2
Bewertungsmethoden zur Konformitätsprüfung für Komponenten und Dienstleister
Das Spannungsfeld von Information Technology und Operational Technology
IT (Informationssicherheit) legt den Fokus auf Vertraulichkeit.
OT (industrielle Steuerung) hingegen auf Verfügbarkeit und Integrität.
Die IEC 62443 bringt beide Bereiche zusammen – und hilft Ihnen, Ihre IT- und OT-Systeme in Einklang zu sichern.
Defense-in-Depth: Ein ganzheitlicher Ansatz zum Schutz vor Cyberangriffen
Mit Defense-in-Depth bauen Sie mehrstufige Sicherheitsbarrieren auf – wie bei einer mittelalterlichen Festung. Dazu gehören:
- Mitarbeiter-Schulungen
- Rollenkonzepte
- Netzwerksegmentierung
- Sichere Produktentwicklung
Alle Beteiligten – Hersteller, Integratoren, Betreiber – tragen gemeinsam zur Sicherheit bei.
Zones & Conduits ermöglichen einen individuellen Schutzbedarf
Zonen gruppieren Komponenten mit ähnlichem Schutzbedarf.
Conduits sind klar definierte Kommunikationswege zwischen diesen Zonen.
So können Sie passgenaue Sicherheitsmaßnahmen für jede Zone umsetzen und Schnittstellen gezielt absichern.
Securitylevel als Tool zur Umsetzung des Defense-in-Depth-Ansatzes
Die Securitylevel helfen Ihnen, das richtige Schutzniveau zu wählen:
- SL1: Schutz vor unbeabsichtigten Störungen
- SL2: Schutz vor einfachen gezielten Angriffen
- SL3: Schutz vor gezielten Angriffen mit höherem Aufwand
- SL4: Schutz vor professionellen, hochmotivierten Angreifern
Die Entscheidung erfolgt auf Basis einer strukturierten Risikoanalyse.
Security Normenreihe IEC 62443
Normative & gesetzliche Anforderungen an Industrial Security
IEC 62443 gewinnt auch auf gesetzlicher Ebene an Bedeutung – durch neue EU-Verordnungen und Standards.
Die wichtigsten Normenteile im Überblick:
- Hersteller: IEC 62443-4-1, 4-2
- Integratoren: IEC 62443-3-2, 3-3
- Betreiber: IEC 62443-2-1, 2-4
Weitere Security-relevante Normen
- ISO/IEC TS 63074: Verbindung zwischen Safety & Security
- ISO/IEC 27001: Managementsystem für Informationssicherheit
Security Gesetze und Verordnungen
Maschinenverordnung 2023/1230
Verpflichtet Hersteller zu Sicherheitsmaßnahmen – inkl. Cybersecurity.
NIS 2 Richtlinie
Regelt Cybersecurity-Anforderungen für Unternehmen ab 50 Mitarbeitenden oder 10 Mio. EUR Umsatz.
Cyber Resilience Act
Verpflichtet Hersteller zur Sicherheits-Pflege über den gesamten Produktlebenszyklus.
FAQs über IEC 62443
Ist IEC 62443 verpflichtend?
Nicht direkt – aber oft Teil von Zertifizierungen und Anforderungen in Projekten. Sie sollten IEC 62443 kennen und anwenden, um auf der sicheren Seite zu sein.
Was ist der Unterschied zu ISO 27001?
IEC 62443 ist speziell für OT-Umgebungen gemacht, ISO 27001 für klassische Unternehmens-IT. Zusammen sichern sie Ihre Organisation umfassend ab.
FAQs über DataFuelsGrowth GmbH
Wer ist DataFuelsGrowth GmbH?
Wir sind ein Partner für den deutschen Mittelstand, der Ihnen hilft, Gerätedaten nutzbar zu machen – für neue Geschäftsmodelle, optimierte Serviceprozesse und digitale Transformation.
Wie funktioniert der Einstieg?
Ganz einfach: Mit einem kostenlosen Prototyp, den wir gemeinsam mit Ihnen live umsetzen – auf Basis Ihrer Daten.
