Industrial IT Security-Kompetenz bestätigt

Mark Clemens (links) und Reinhard Mayr, Mitglieder des Security-Management-Teams bei Copa-Data, freuen sich über das IEC 62443-4-1-Zertifikat, welches das Know-how des Softwareunternehmens rund um Industrial IT Security unterstreicht.

Der von der gemeinnützigen Berufsvereinigung International Society of Automation (ISA) entwickelte und von der International Electronical Commission (IEC) verabschiedete Standard ISA/IEC 62443 bietet einen Rahmen, um Sicherheitslücken in industriellen Automatisierungs- und Steuerungssystemen präventiv und systematisch aufzudecken und zu mindern. Im Januar 2018 wurde ein neuer Standard der internationalen Normenreihe veröffentlicht, ISA/IEC 62443-4-1:2018, Security for industrial automation and control systems, Part 4-1: Secure product development lifecycle requirements, welcher die Prozessanforderungen für Unternehmen zur sicheren Entwicklung von Produkten spezifiziert. Ziel des Standards ist es, den gesamten Lebenszyklus von Produkten sicherer zu machen. Dazu zählen die Definition von Sicherheitsanforderungen, sicheres Design sowie sichere Implementierung einschließlich Codierungsrichtlinien, Verifizierung und Validierung, Mängelmanagement, Patch-Management und der Umgang mit Produktabkündigungen.

Ein Anwendungsfall als Zertifizierungsbasis

Damit Copa-Data nach dem neuesten IEC 62443-4-1-Standard zertifiziert werden konnte, musste das Projektteam rund um Reinhard Mayr, Head of Information Security & Research Operation bei Copa-Data, einen branchenneutralen, realistischen Anwendungsfall erarbeiten. Im Zwiebelprinzip wurden in diesem praxisnahen Beispiel die verschiedenen Systeme einer modernen Produktionsstätte Schicht für Schicht zu einem sicheren Gesamtsystem zusammengebaut. „Unser Ziel war, einen Use Case zu definieren, der zum einen dem realen Einsatz unserer Software in einem vernetzten Produktionsumfeld entspricht und unsere Investitionen in Security-Features der letzten Jahre berücksichtigt, zum anderen den Vorgaben der Norm gerecht wird“, sagt Reinhard Mayr.

Das Herzstück des Anwendungsfalls ist eine Produktionszelle in einem Fertigungsprozess. Diese muss bestmöglich vor schädlichen Einflüssen aus den an sie angeschlossenen Produktionsbereichen, wie überwachender Leitstände, Netzwerk- und Managementebenen oder Cloud-Lösungen, geschützt werden. Angelehnt an allgemeine IT-Sicherheitskonzepte des Standards IEC 27001 beinhaltet das zur Zertifizierung herangezogene Beispiel deshalb auch eine auf zenon-Technologie basierende demilitarisierte Zone (DMZ). „Die DMZ trennt den operativen Betrieb von Außeneinflüssen und stärkt die IT-Sicherheit. Unsere Strategien und Konzepte, die wir bereits viele Jahre in der zenon-Entwicklung verfolgen, wie Security by Design und Defense in Depth, unterstützen hier zusätzlich. Außerdem können wir es Angreifern dank der vielen nativen zenon-Protokolle erschweren, ernsthaften Schaden anzurichten“, erläutert Reinhard Mayr.

Security als Teamaufgabe

Um Industrial IT Security als Thema im Softwareentwicklungsprozess noch stärker zu etablieren, wurde das Copa-Data Security-Management-Team erweitert und mit zusätzlichen Befugnissen ausgestattet. Mit dem neuen Zertifikat und den jährlichen Rezertifizierungen steht der gesamte Copa-Data Security-Lifecycle permanent auf dem Prüfstand. Reinhard Mayr erklärt: „Als fixer Bestandteil der Unternehmensstrategie verpflichtet sich Copa-Data seit jeher der stetigen Verbesserung im Bereich Security. Wenn es darauf ankommt, betreiben wir aktive Aufklärung in enger Zusammenarbeit mit Behörden und anderen Herstellern.“

Security bleibt ein Thema, mit dem sich alle Unternehmensbereiche und Komponentenhersteller einer Gesamtanlage beschäftigen müssen. Alle über ein IT-Netzwerk miteinander verbundenen Bestandteile müssen grundlegende Sicherheitsstandards erfüllen, sowohl Menschen und Unternehmen als auch Hardware und Software. „Wir tun unser Bestes, die Security-Strategien unserer Kunden zu unterstützen und sie im Rahmen unserer Möglichkeiten vor Cyber-Attacken zu schützen“, so Reinhard Mayr.