Kurzanleitung für Maschinenbauer: So erkennen Sie ein gültiges Cybersecurity-zertifikat

In der heutigen Industrielandschaft ist Cybersecurity kein Wettbewerbsvorteil mehr, sondern eine markt- und behördliche Anforderung. Allerdings sind nicht alle Dokumente, die wie Zertifikate aussehen, auch tatsächlich welche. Wenn Sie den Unterschied kennen, können Sie zuverlässige Lieferanten auswählen und technische, rechtliche sowie Reputationsrisiken vermeiden.

Allgemeine Zertifizierungen wie ISO 27001 bescheinigen die Organisation des Unternehmens, bestätigen jedoch nicht, dass ein bestimmtes Produkt gegen Cyberangriffe sicher ist. Aus diesem Grund ist eine spezifische Produktzertifizierung (IEC 62443-4-2) erforderlich.
Sie sollten daher nicht davon ausgehen, dass ein Produkt sicher ist, nur weil der Lieferant über eine ISO 27001-Zertifizierung verfügt. Überprüfen Sie stets die spezifische IEC 62443-Zertifizierung der Komponente.

In diesem Blog gehen wir auf folgende Themen ein:

• Was eine echte Zertifizierung ist
• Warnsignale bei „Selbsterklärungen“
• Wie man einen Lieferanten schnell überprüft
• Unterstützung für Maschinenbauer

Was ist eine echte Zertifizierung?

Am Beispiel des Zertifikats nach IEC 62443-4-2 , das die SecureEdge-Gateways von IXON erhalten haben , lassen sich die Merkmale einer echten Zertifizierung für industrielle Cybersecuriry erkennen:

• Es wird von einer akkreditierten, unabhängigen Zertifizierungsstelle ausgestellt (z. B. Bureau Veritas, TÜV oder UL)
• Es entspricht einer offiziellen internationalen Norm, wie beispielsweise der von der IECEE (IEC-System zur Konformitätsbewertung elektrotechnischer Geräte und Komponenten) verwalteten Norm:
  
• Es kann über globale Datenbanken öffentlich überprüft werden:
  
  
  Beispiel für eine Suche anhand des IEC 62443-4-2-Zertifikats von IXON
  
  
• Es gibt eindeutig Auskunft über:

Die zertifizierte Norm (beispielsweise ein bestimmter Abschnitt der Norm) sowie die erreichte Sicherheitsstufe oder Reifegradstufe, je nach Art der Zertifizierung

• Das Produkt oder die Komponente, auf die sich die Zertifizierung bezieht
  

Stellen Sie sich einen Führerschein vor.
Eine „Erklärung“ ist einfach nur, wenn ein Freund sagt, dass du ein guter Autofahrer bist.
Eine „Zertifizierung“ ist das offizielle Dokument, das von der zuständigen Behörde ausgestellt wird, nachdem Sie die Prüfung bestanden haben.

Erfahren Sie mehr über unsere Zertifizierung nach IEC 62443-4-2.

Warnsignale bei „Selbsterklärungen“

Eine Konformitätserklärung oder eine nicht akkreditierte Erklärung:

• Kann von Beratungsunternehmen oder nicht autorisierten Dritten ausgestellt werden
• Beinhaltet keine anerkannten unabhängigen Prüfungen
• Führt oft zahlreiche Standards auf (z. B. NIST, BSI, OWASP), ohne jedoch tatsächlich einen davon zu zertifizieren
• Lässt sich nicht in offiziellen Registern überprüfen.

Kurz gesagt: Es handelt sich um eine Erklärung, nicht um einen Nachweis.

So überprüfen Sie einen Anbieter schnell

Wenn ein Lieferant angibt, zertifiziert zu sein, sollten Sie stets die folgenden Nachweise anfordern, die Sie beispielsweise in unserem Zertifikat nach IEC 62443-4-1 zur sicheren Softwareentwicklung finden:

• Die offizielle Zertifikatsnummer

• Die Zertifizierungsstelle
• Erreichte Norm und Sicherheitsstufe bzw. Reifegrad (je nach Zertifizierung)
• Überprüfung anhand globaler Datenbanken: certificates.iecee.org

Beispiel für eine Suche anhand des IEC 62443-4-1-Zertifikats von IXON. Weiterlesen.

Wenn diese Informationen oder ein direkter Link zum Zertifikat im Register nicht bereitgestellt werden können, handelt es sich wahrscheinlich nicht um eine echte Zertifizierung.

Unterstützung für Maschinenbauer

Eine echte Zertifizierung belegt die von unabhängigen Dritten überprüfte Konformität. Die SecureEdge-Gateways von IXON gehören zu den weltweit ersten nach IEC 62443-4-2 zertifizierten Edge-Gateways. Der Einsatz zertifizierter Industriekomponenten vereinfacht den Zertifizierungsprozess nach IEC 62443-3-3 für die Maschine, der von Endkunden im Industriesektor zunehmend gefordert wird.

Tatsächlich verweisen neue europäische Vorschriften zunehmend auf IEC-Anforderungen. Durch den Einsatz bereits IEC-zertifizierter Komponenten lässt sich die Einhaltung der Verpflichtungen aus NIS2, dem Cyber Resilience Act (CRA) und der neuen Maschinenrichtlinie (EU) 2023/1230 schneller nachweisen.