Der Normenteil 2-4 der IEC 62443 definiert Security-Anforderungen für Dienstleister in der Automatisierung und kann helfen, die Zusammenarbeit von Hersteller, Integrator und Betreiber in Hinsicht auf Security entscheidend zu verbessern.

Aufbau und Betrieb chemischer Großanlagen sind Projekte, bei denen ein partnerschaftliches Mitein­ander und gute Kommunikation des Betreibers mit einer Vielzahl von Dienstleistern oft maßgeblich für den Erfolg ist. Qualität von Komponenten und Leistungen wird erwartet, aber oftmals nicht explizit gefordert – unter anderem auch hinsichtlich der Prozesse, die die ISO 9000 adressiert.

Dabei werden Systeme zur Produktionssteuerung und deren Überwachung geplant, verbaut, betrieben und in vielfältiger Weise der Betrieb unterstützt. Da es sich hierbei um Angriffsziele für Cyberattacken handelt, setzt der Betreiber auf Normen, Unternehmensrichtlinien und Trainings zur Qualifikation und zur Awareness. Selten erstrecken sich diese Anstrengungen jedoch auch auf die Dienstleister, Integratoren von Herstellerprodukten und die Hersteller.

Anforderungen an Security-Dienstleister

Vor mehr als zwei Jahren ist der Teil 2-4 aus der Normenreihe IEC 62443 veröffentlicht worden. Normengeber ist die „Internationale Elektrotechnische Kommission“ (IEC), eine internationale Normungsorganisation für Normen im Bereich der Elek­trotechnik und Elektronik mit Sitz in Genf. Wie einige andere Normen wurde die Reihe 62443 gemeinsam mit der „Internationalen Organisation für Normung“ (ISO) entwickelt. Teil 2-4 formuliert Anforderungen an ein im Sinne der Angriffssicherheit ordnungsgemäßes Vorgehen der Dienstleister bzw. Hersteller.

Qualität zu leben bedeutet auch, Konformität mit dem Standard zu dokumentieren bzw. zunächst einmal herzustellen. Es ist zudem eine gute Möglichkeit, einen Wettbewerbsvorteil zu erarbeiten. Bislang sind aber noch keine Zertifizierer akkreditiert worden, die ein entsprechendes Gütesiegel ausstellen könnten. Die Aufgaben der Konformitätstests und Zertifizierung lässt die IEC durch ihr Standardisierungsorgan IECEE ausführen, die als „Conformity Assessment Board“ (CAB) auch Prüfunternehmen an den Start bringen muss. Auch wenn das bislang noch nicht geschehen ist: Die Sinnhaftigkeit der Norm hat Bestand. Es steht sogar das erste Update bevor. Jedem Unternehmen ist unbenommen, seine Konformität damit selbst zu bewerten und zu dokumentieren. Einkäufer der meisten Betreiberunternehmen haben inzwischen erkannt, dass auch Security-Aspekte von Service-Level-­Agreements abgedeckt werden müssen.

Ein Dienstleister muss die Normen nicht explizit berücksichtigen, wenn er ohnehin grundsätzlich die Security-Anforderungen des Betreibers erfüllt. Was aber, wenn der Auftraggeber nicht im Detail festgelegt hat, dass z. b. privilegierte Zugänge nicht mit voreingestellten Passwörtern geschützt sein dürfen und dass grundsätzlich starke Passwörter zu wählen sind? Dann muss qualifiziertes Personal des Dienstleisters „Good Security Practices“ walten lassen und darf keine Schwachstellen in Kauf nehmen.

Zertifizierung: ja oder nein?

Im Hinblick auf Betreiber ist eine zögerliche Haltung zu erkennen bis Zertifikate nach IEC 62443-2-4 erhältlich sind. Das ist inzwischen allerdings der Fall: Der TÜV SÜD bietet als einer der ersten Anbieter die entsprechenden Prüfungen und Zertifizierungen von Systemintegratoren an, aber der Akkreditierer ist die Deutsche Akkreditierungsstelle (DAkkS). Und die kann einstweilen nicht die Konformität mit den Prüfungen des Normengebers einfordern, weil es die ja noch nicht gibt. In der Rechtsnachfolge von Wurldtech, deren Zertifizierungsprogramm „Achilles“ einen de facto Standard darstellte, bietet GE (General Electric Company) Härtungsmaßnahmen entlang IEC 62443-2-4 während der Installation von Steuerungsanlagen in der Petrochemie an.

Security-Zertifizierungen werden hinsichtlich des Sicherheitsniveaus, das sie belegen, oft kritisch gesehen, weil die Bedrohungslage zunimmt. Stattdessen sollen Ingenieure des Betreibers, die entsprechende Schulungen durchlaufen haben, Security-Aspekte in der Praxis mitbehandeln. Die Fülle an Kriterien und Prüfungen einer Zertifizierung (mehr als 120 Kriterien bedingen mehr als 500 Prüfungen) können sie allerdings nicht leisten.

Sicherheitskultur jetzt aufbauen

Prüfungen und Zertifizierungen sind kostenträchtig. Und es steht zu erwarten, dass Dienstleister ihre diesbezüglichen Aufwendungen an ihre Kunden auf die eine oder andere Weise weitergeben. Die niederländische WIB als Anwenderverband für Prozess-Automatisierung schlägt vor, dass Betreiberunternehmen Assessments der Dienstleister nach der IEC-Norm sponsern, etwa durch eine jährliche Mitgliedsgebühr und im Gegenzug auch das Lagebild der gemeinsamen Dienstleister miteinander teilen. Die WIB hat die „Industrial Cyber Security Service“ gegründet, die als non-Profit-Unternehmen die Organisation in die Hand nimmt. Dabei wird der Aufwand für die Dienstleistungsunternehmen minimiert, indem ein Self-Assessment angestoßen wird, das bei einer späteren Zertifizierung nach IEC 62443-2-4 anrechenbar ist. Hier könnte ein dringend gebrauchter Zuwachs an Sicherheitskultur entstehen.