Kleine und mittlere Zulieferer aus dem Bereich der Automatisierungstechnik (KMU) stehen vor der wachsenden Herausforderung, dass Kundinnen und Kunden vermehrt Produkte fordern, die im Sinne der IT-Sicherheit „sicher“ entwickelt wurden. Das bedeutet, dass diese KMU ihre unternehmenseigenen Prozesse im Hinblick auf die sichere Produktentwicklung zunächst analysieren und anschließend ggf. anpassen müssen. Dies geht mit einem hohen Arbeitsaufwand einher, der KMU vor besondere Herausforderungen stellt.
Die Norm IEC 62443-4-1
Häufig wird durch Kundinnen und Kunden für Automatisierungskomponenten die Umsetzung der Norm IEC 62443-4-1 gefordert. Die Norm beschreibt Anforderungen an den gesicherten Entwicklungslebenszyklus eines Produkts und ist Teil der Normreihe IEC 62443, die sich allgemein mit der Informationssicherheit in Automatisierungssystemen beschäftigt. Die IEC 62443-4-1 betrachtet den gesamten Lebenszyklus einer Komponente: von der Idee über die Produktentwicklung und die Betriebsphase bis hin zur Außerbetriebnahme eines Produktes. Besonderer Fokus liegt hierbei auf den Themen Entwurf (engl. Security by Design) und Umsetzung eines Defense-in-Depth-Konzepts.
Abbildung 1: Sicherer Entwicklungslebenszyklus, angelehnt an Waldeck, Boris: Zertifizierter Entwicklungsprozess nach 62443-4-1.
Abbildung 1 beschreibt den in der IEC 62443-4-1 definierten Produktlebenszyklus. Dieser läuft sukzessive mit der Umsetzung der in der Norm dargestellten Anforderungen ab, wobei das Security Management für den gesamten gesicherten Entwicklungslebenszyklus gilt. Andere Anforderungen gelten hingegen ausschließlich für bestimmte Bereiche des Lebenszyklus. Die Anforderungen werden in Anforderungsklassen zusammengefasst, die in der Abbildung mit Hilfe von verschiedenen Kurzbezeichnern in den grauen Boxen dargestellt werden. Jede Anforderung der IEC 62443-4-1 ist einer Anforderungsklasse zugeordnet.
Zertifizierung
Bei einer Zertifizierung nach IEC 62443-4-1 können Reifegrade (Maturity Level) von 1 bis 4 erreicht werden, wobei 1 den niedrigsten und 4 den höchsten Reifegrad darstellt. Der Reifegrad beschreibt, in welchem Umfang der sichere Entwicklungsprozess im Unternehmen eingeführt und aktuell umgesetzt wird.
Derzeit führt das Mittelstand-Digital Zentrum Hannover ein digitales Langläuferprojekt durch, in dem eine Musterprozessbeschreibung für einen sicheren Entwicklungslebenszyklus nach ISO 62443-4-1 entwickelt und Unternehmen im Anschluss zur Verfügung gestellt werden soll. Weiterhin unterstützt das Mittelstand-Digital Zentrum Hannover Sie bei Herausforderungen im Kontext der IEC 62443-4-1. Hierzu kommen wir im Rahmen eines Firmengesprächs kostenfrei zu Ihnen, um beispielsweise Anforderungen und Prozesse der Norm zu erläutern und Bedarfe zu besprechen. Kontaktieren Sie uns gerne.
