Produktentwicklung mit Fokus auf IT-Sicherheit wird immer wichtiger – gerade für Zulieferer von Automatisierungskomponenten. Deren Kund*innen fordern häufig die Umsetzung der Norm IEC 62443-4-1, welche Anforderungen an einen gesicherten Produktentwicklungslebenszyklus beschreibt.
Ein neuer Musterprozess soll kleine und mittleren Unternehmen (KMU) dabei unterstützen, die Anforderungen der Norm im Unternehmen umzusetzen. Entwickelt wurde der Prozess von den IT-Sicherheitsexpert*innen des Mittelstand-Digital Zentrums Hannover in einem digitalen Langläufer-Projekt gemeinsam mit der SSV Software Systems GmbH. Der Musterprozess für einen sicheren Produkt-Entwicklungslebenszyklus nach IEC 62443-4-1 berücksichtigt IT-Security Anforderungen über den gesamten Lebenszyklus eines Produktes.
Warum sind Musterprozesse wichtig?
Die Entwicklung von guten Prozessen – einschließlich der Prozessdokumente – ist gerade für KMU zweitaufwändig und kostenintensiv. Deswegen ist es umso wichtiger, dass Prozesse und Vorlagen entwickelt werden, die sich KMU mit geringem Aufwand erschließen und anschließend im eigenen Unternehmen mit kleinen Anpassungen anwenden können.
Der hier beschriebene Musterprozess im Hinblick auf einen sicheren Entwicklungslebenszyklus soll dies ermöglichen und richtet sich somit primär an Unternehmen, welche Komponenten für den Einsatz in der Energie- oder Automatisierungstechnik entwickeln. Der Musterprozess wurde folglich am Beispiel eines Embedded Systems (eingebettetes System) entwickelt.
Der Aufbau des Musterprozesses
Das Dokument mit dem Titel „Musterprozess für einen sicheren Produkt-Entwicklungslebenszyklus nach IEC 62443-4-1“ gliedert sich in die folgenden Kapitel:
- Einleitung
- Einführung in die IEC 62443 Normreihe
- Fokus auf die IEC 62443-4-1
- Inhalt und Struktur der IEC 62443-4-1
- Musterprozess zur IEC 62443-4-1
- Verzeichnisse
Während die Kapitel eins bis vier bereits im Blogbeitrag „Einen sicheren Entwicklungslebenszyklus planen und implementieren“ thematisch aufgegriffen wurden, beschäftigt sich dieser Blogbeitrag mit Kapitel fünf. Dieses Kapitel orientiert am chronologischen Ablauf eines Entwicklungszyklusses, beginnend mit grundlegenden Prozessen und der Produktidee über die Produktentwicklung und den Betrieb bis hin zur Produktaußerdienststellung.
Welche Vorlagen und Muster sind enthalten?
Neben der Erstellung von Vorlagen und Mustern legt der Musterprozess einen besonderen Fokus auf die Bereitstellung von wichtigen Informationen und Details. Beispielsweise wird detailliert die Durchführung einer Bedrohungsanalyse samt Datenflussdiagramm aufgezeigt, auf deren Basis anschließend eine Risikoanalyse aufbaut. Eine Mustertabelle zur Risikobewertung kann dem Dokument zur eigenen Verwendung entnommen werden.
Weitere wichtige Inhalte in Bezug auf die Einführung eines sicheren Produktentwicklungslebenszyklusses sind die Ermittlung von Security-Anforderungen mit einer daraus folgenden Security-Requirement-Specification, der anschließenden Umsetzung von Schutzmaßnahmen sowie der darauffolgenden Überprüfung dieser, unter anderem mit dem Durchführen von Penetrationstests.
Eine Auswahl an möglichen Vorlagen, die dem Dokument zu entnehmen sind, sind:
- Tabelle zu Prozessen und Verantwortlichkeiten
- Muster des Security-Kontextes
- Muster Risikobewertung
- Gliederung einer Security-Requirement-Specification
- Gliederung eines Security-Handbuchs
Musterprozess für einen sicheren Produkt-Entwicklungslebenszyklus herunterladen
Den Musterprozess inklusive detaillierter Erklärungen, Mustern und Prozessen können Sie hier kostenfrei herunterladen.
Sie möchten mehr über IT-Sicherheit erfahren oder wollen eine konkrete Herausforderung besprechen, vor der Ihr Unternehmen steht? Dann vereinbaren Sie gern einen Termin für ein kostenfreies Firmengespräch – vor Ort in Ihrem Unternehmen oder alternativ online – oder kontaktieren Sie unseren Experten für IT-Sicherheit, Jan-Niklas Puls, unter puls@mitunsdigital.de oder telefonisch unter 0511 9296 1629.
