Hendrik Dettmer, Experte der TÜV TRUST IT GmbH Unternehmensgruppe TÜV AUSTRIA, über die Bedeutung und Vorteile dieser neuen Richtlinie für Unternehmen.

Herr Dettmer, die Norm IEC 62443 verfolgt das Ziel, Safety und Security gleichermaßen abzubilden. Inwiefern ist es von Bedeutung, diese beiden Faktoren nicht getrennt voneinander zu betrachten?

Richtig, die Norm ist ein ganzheitlicher Ansatz, der die beiden wichtigen Faktoren als Einheit betrachtet, um maximale Sicherheit zu gewährleisten. Grundsätzlich ist IEC 62443 eine Security-Norm, steigert aber auch den Safety-Faktor im Unternehmen. Denn bei einer Risikoabschätzung der Security laufen viele Aussagen auch in die Safety-Analyse mit ein, weshalb es unverantwortlich wäre, das eine ohne das andere durchzuführen. Die Verknüpfung ist einfach heutzutage viel zu stark.

Als eine solch ganzheitliche Norm gilt sie auch als Standard zum sicheren Datenaustausch in der Produktions-IT. Welche Unternehmen sind hiervon insbesondere betroffen?

Kurz gesagt, alle Unternehmen, die OT-Produkte herstellen oder vertreiben und natürlich auch solche, die diese in der Produktion selbst nutzen. So wird die Security der gesamten Kette von der Norm abgedeckt: angefangen von der Entwicklung eines OT-Produkts bis hin zum Einsatz in der Produktionsanlage. Das umfasst neben Entwicklern und Nutzern auch Serviceunternehmen, die beispielsweise für Software-Updates zuständig sind sowie alle weiteren, die Zugriff auf entsprechende Schnittstellen haben. Dabei werden nahezu alle Bereiche in den betroffenen Unternehmen einbezogen. Bei Herstellern betrifft es vorwiegend die Entwicklung, bei Nutzern insbesondere die Produktivumgebung. Da wir hier von einem ganzheitlichen Ansatz sprechen, sind mehr oder weniger gesamte Unternehmen betroffen und profitieren demnach auch von der Umsetzung der Norm.

Auf welche Weise profitieren Unternehmen unmittelbar davon?

Zunächst hat das Unternehmen einen ganz klaren Nutzen von der höheren Resilienz. Es weist nach, Angriffe entsprechend abwehren zu können und somit sicher zu produzieren, was das Vertrauen der Kunden in die Produkte erhöht und dementsprechend einen gewissen Wettbewerbsvorteil bringen kann. Auch liest man immer wieder von Unternehmen, die mit Cyberangriffen und deren Folgen in der Presse sind, was durch die Einhaltung dieser Norm weitestgehend verhindert werden kann. Und es ergeben sich auch unmittelbare monetäre Vorteile. So werden zertifizierte Unternehmen bei diversen Versicherungen oft günstiger eingestuft und natürlich vermeidet man hohe Kosten und Verluste, die durch einen Angriff entstehen können.

Warum stellt insbesondere die Sicherung von OT-Systemen vor solchen Angriffen eine besondere Herausforderung für Unternehmen dar?

Hierbei spielt die unterschiedliche Herangehensweise zu einer IT-Umgebung eine entscheidende Rolle. Regelmäßige Updates, Back-Up-Strategien, Überwachungsmöglichkeiten etc., welche in der IT gang und gäbe sind, werden in der OT nicht eingesetzt. Um die OT nun aber an die Industrie 4.0 anzupassen, werden häufig alte Maschinen einer bestehenden IT-Umgebung mit neuen verknüpft, wodurch sich Sicherheitslücken ergeben. Die Herausforderung besteht also darin, alte und neue Anlagen in Bezug auf Safety und Security so zu verknüpfen, dass sicherheitsrelevante Nachteile der alten Komponenten nicht übernommen oder durch entsprechende Gegenmaßnahmen neutralisiert werden. Das ist oft mit einem enormen Aufwand verbunden. Da liegt der Vorteil neuer Fertigungsumgebungen auf der Hand: Die Norm kann hier als Grundlage für die Planung dienen, so dass die neuen Anlagen von Grund auf einen gewissen Sicherheitsstandard erfüllen.

Was sagt dieser „gewisse Sicherheitsstandard“ konkret aus und wie können Unternehmen diesen in der Praxis für sich nutzen?

Der Sicherheitsstandard, von dem wir hier reden, wird ja erst einmal durch eine Zertifizierung nach IEC 62443 nachgewiesen. Zertifizierte Unternehmen können dadurch die Sicherheit ihrer Produktionsumgebungen auf einem Sicherheitslevel von 1–4 nachweisen, was eine allgemeingültige und greifbare Aussage ist und auch an Kunden kommuniziert werden darf und sollte. Dadurch ergibt sich der Wettbewerbsvorteil, den wir zuvor schon angesprochen haben. Und auch wenn die Zertifizierung noch keine Pflicht ist, ist IEC 62443 bereits heute die Standard-Norm in der IT-Security und wird immer herangezogen, wenn von Anforderungen in diesem Bereich die Rede ist. Große Konzerne produzieren schon heute nur noch nach dieser Norm und dienen oft kleineren Herstellern, die nachziehen wollen, als Best Practice Beispiel.

Ein solches Vorhaben verlangt nach Struktur. Was würden Sie Unternehmen raten, die den ersten Schritt in Richtung einer Zertifizierung nach IEC 62443 gehen wollen?

Zunächst würde ich unbedingt dazu raten, bei der Einführung eines jeden neuen Produkts oder einer neuen Produktionsumgebung diese Norm als Orientierung und Vorbild in Bezug auf sicherheitsrelevante Fragen heranzuziehen. Das gilt auch und insbesondere für große Neuerungen. Im Gegensatz dazu rate ich jedoch davon ab, hier in alte Prozesse zu investieren und stattdessen eher zukunftsweisend zu denken und die Norm künftig mit einzubeziehen. Und darüber hinaus ist es natürlich fast unabdingbar, sich mit dem Thema umfassend auseinanderzusetzen und immer up-to-date zu sein.

Wie kann die TÜV TRUST IT Unternehmen auf dem Weg zu einer Zertifizierung unterstützen?

Als Experte auf diesem Gebiet stehen wir betroffenen Unternehmen bei allen Schritten in Richtung einer Zertifizierung nach IEC 62443 zur Seite. Das beginnt bei einer umfassenden individuellen Beratung hinsichtlich des Status Quo und der Möglichkeiten in dem entsprechenden Unternehmen, oft verbunden mit einer Risikoanalyse. Darüber hinaus bieten wir Hilfe beim Aufbau von neuen Entwicklungsumgebungen, Systemen und Produktionsanlagen nach IEC 62443 Standard sowie bei der Produktentwicklung. Und selbstverständlich führen wir auch Zertifizierungsaudits aller Anlagen und Produkte durch.

Vielen Dank für das Interview, Herr Dettmer.

Hendrik Dettmer, Head of IoT Security Lab