Phoe­nix Con­tact wur­de vom TÜV Süd als eines der ers­ten Unter­neh­men in Deutsch­land nach der Norm­rei­he für IT-Sicher­heit IEC 62443–4-1 und 2–4 zer­ti­fi­ziert. Dies bestä­tigt, dass das Unter­neh­men:

  • die Ent­wick­lung von Secu­re-by-Design-Pro­duk­ten ent­spre­chend dem Pro­zess IEC 62443–4-1, sowie
  • das Design von siche­ren Auto­ma­ti­sie­rungs­lö­sun­gen ent­spre­chend dem Pro­zess IEC 62443–2-4

durch­führt.

Die­se Zer­ti­fi­zie­run­gen unter­strei­chen die Stra­te­gie von Phoe­nix Con­tact, stan­dar­di­sier­te Secu­ri­ty in Pro­duk­ten, Indus­trie­lö­sun­gen und Bera­tungs­dienst­leis­tun­gen anzu­bie­ten, um einen zukunfts­si­che­ren Betrieb von Maschi­nen, Anla­gen und Infra­struk­tu­ren zu ermög­li­chen.

Bei Secu­re-by-Design-Pro­duk­ten wer­den Sicher­heits­an­for­de­run­gen an Soft- und Hard­ware schon wäh­rend der Ent­wick­lungs­pha­se eines Pro­duk­tes berück­sich­tigt. So wer­den spä­te­re Sicher­heits­lü­cken ver­hin­dert. Die­se Sicher­heits­me­cha­nis­men wer­den immer wich­ti­ger, da Gerä­te und Sen­so­ren zuneh­mend über das Inter­net ver­netzt sind. Da immer mehr Pro­zes­se über Soft­ware lau­fen, öff­nen sich neue Angriffs­flä­chen.

Die zen­tra­len Ele­men­te in der Norm zur IT-Sicher­heit Teil 4–1und 2–4 sind zum einen eine Bedro­hungs- und Risi­ko­ana­ly­se auf Basis des Anwen­dungs­sze­na­ri­os. D.h. es wer­den für Gerä­te und Sys­te­me Anwen­dungs­bei­spie­le und die erfor­der­li­chen Här­tungs­maß­nah­men fest­ge­legt. Für Auto­ma­ti­sie­rungs­lö­sun­gen wird ein Sicher­heits­kon­zept mit den erfor­der­li­chen Schutz­maß­nah­men erar­bei­tet. Zum ande­ren wird ein Pro­dukt- oder Lösungs­ent­wick­lungs­pro­zess eta­bliert, mit dem sicher nach­voll­zo­gen wer­den kann, dass alle iden­ti­fi­zier­ten Secu­ri­ty-Anfor­de­run­gen imple­men­tiert, veri­fi­ziert und doku­men­tiert wer­den.

Zusätz­lich sind Gerä­te­her­stel­ler dazu auf­ge­for­dert, auf Secu­ri­ty-Schwach­stel­len ange­mes­sen zu reagie­ren und ver­läss­lich Secu­ri­ty-Updates zu ver­öf­fent­li­chen. Die­se Anfor­de­rung wird bei Phoe­nix Con­tact durch das neu eta­blier­te Pro­duct Secu­ri­ty Inci­dent Respon­se Team (PSIRT) über­nom­men. Die­ses Team infor­miert Anwen­der von Phoe­nix Con­tact-Pro­duk­ten über bekann­te Sicher­heits­lü­cken und ist zur glei­chen Zeit die Stel­le, bei der Anwen­der gefun­de­ne Sicher­heits­lü­cken ver­trau­lich mel­den kön­nen. PSIRT hält sich bei der Bear­bei­tung, Bewer­tung und Ver­öf­fent­li­chung von Reports und Updates an die Pro­zess­ket­te, die in der IEC 62443 gefor­dert wird.

Bereits im Herbst 2018 wur­de der Ent­wick­lungs­pro­zess für Pro­duk­te bei Phoe­nix Con­tact nach der Norm IEC 62443–4-1 zer­ti­fi­ziert. Damit ist Secu­re-by-Design bei uns fes­ter Bestand­teil bei der Ent­wick­lung eines Secu­ri­ty-Pro­duk­tes“ hebt Roland Bent, CTO Phoe­nix Con­tact, die Maß­nah­men im Unter­neh­men her­vor. „Der nächs­te kon­se­quen­te Schritt ist nun auch getan. Mit der jetzt erfolg­ten Zer­ti­fi­zie­rung wird bestä­tigt, dass unser Bran­chen-Markt­ma­nage­ment siche­re Auto­ma­ti­sie­rungs­lö­sun­gen für unse­re Kun­den, ent­spre­chend der Norm IEC 62443–2-4, ent­wi­ckeln und umset­zen kann.“

Cyber Security ist in jeder Industrie relevant

Egal ob Her­stel­ler oder Betrei­ber, Indus­trie oder kri­ti­sche Infra­struk­tur – das The­ma Cyber Secu­ri­ty ist für alle wich­tig. Die Welt der Auto­ma­ti­sie­rungs­tech­nik wächst immer stär­ker mit der Welt der IT zusam­men. Anla­gen­gren­zen ver­schwim­men, die Men­ge der ver­füg­ba­ren Daten steigt und der Aus­tausch von Daten und Infor­ma­tio­nen wächst kon­se­quent an. Die­se zuneh­men­de Ver­net­zung und Anbin­dung indus­tri­el­ler Steue­rungs- und Auto­ma­ti­sie­rungs­sys­te­me (ICS) an das Inter­net sorgt auch dafür, dass die­se zuneh­mend Cyber-Angrif­fen aus­ge­setzt sind.

Die Fern­wirk­tech­nik ist ein wesent­li­cher Bestand­teil der Auto­ma­ti­sie­rung was­ser­wirt­schaft­li­cher Anla­gen. In Zuge der Digi­ta­li­sie­rung bie­ten Ether­net-basier­te Lösun­gen viel­fäl­ti­ge Vor­tei­le, beinhal­ten ande­rer­seits jedoch eini­ge Her­aus­for­de­run­gen. Via Ether­net wer­den oft­mals Daten mit den Außen­bau­wer­ken aus­ge­tauscht. Aller­dings kann die Ether­net-basier­te Ver­net­zung eben­falls ein­ge­setzt wer­den, um die Ver­füg­bar­keit der Tech­nik erheb­lich zu beein­flus­sen. Fast jeden Tag berich­ten die Medi­en von Angrif­fen mit Schad­soft­ware und deren gra­vie­ren­den Fol­gen. Die Digi­ta­li­sie­rung der Pro­zes­se muss also unbe­dingt mit einer guten Stra­te­gie zur Umset­zung der IT-Sicher­heit ein­her­ge­hen.

Ener­gie­ver­sor­gung und Netz­steue­rung sind Teil der Kri­ti­schen Infra­struk­tu­ren (KRITIS) in Deutsch­land. Feh­len Strom und Gas, kommt das öffent­li­che Leben inner­halb kür­zes­ter Zeit zum Erlie­gen und lebens­not­wen­di­ge Dienst­leis­tun­gen kön­nen nicht mehr erbracht wer­den. Die Funk­ti­ons­fä­hig­keit der Ener­gie­ver­sor­gung ist von einer intak­ten Infor­ma­ti­ons- und Kom­mu­ni­ka­ti­ons­tech­no­lo­gie abhän­gig. Dies macht IT-Sicher­heit in der Ener­gie­bran­che essen­ti­ell.

IEC 62443

Die Norm IEC 62443 ist eine Serie von Doku­men­ten und befasst sich mit der IT-Sicher­heit soge­nann­ter „Indus­tri­al Auto­ma­ti­on and Con­trol Sys­tems (IACS)“. Der Begriff IACS steht dabei für alle Bestand­tei­le, wie Sys­te­me, Kom­po­nen­ten und Pro­zes­se, die für den siche­ren Betrieb einer auto­ma­ti­sier­ten Pro­duk­ti­ons­an­la­ge erfor­der­lich sind. Durch ihre spe­zi­fi­sche Aus­rich­tung auf den Indus­trie­be­reich setzt sich die IEC 62443 auch mar­kant von der ISO 27001 ab, wel­che sich eher mit klas­si­schen IT-Sys­te­men beschäf­tigt.