SecureEdge Pro offiziell nach IEC 62443-4-2 zertifiziert: Was bedeutet das für Maschinenbauer?

Wir sind stolz, bekannt geben zu können, dass IXONs SecureEdge Pro nun offiziell nach IEC 62443-4-2 zertifiziert ist. Dies ist ein wichtiger Meilenstein, da diese Norm weltweit als Maßstab für die Cyber-Security von Industriekomponenten anerkannt ist. Nach einem umfangreichen Audit-Prozess, der von der unabhängigen Partei Bureau Veritas durchgeführt wurde, haben wir kürzlich das offizielle Zertifikat erhalten.

Doch was genau beinhaltet diese Zertifizierung? Und vor allem: Was bedeutet das für Sie als Maschinenbauer ? Sehen Sie sich das Video an, um einen kurzen Überblick zu erhalten, oder Lesen Sie den Artikel weiter unten, um mehr zu erfahren.

In diesem Blog werden wir auf die folgenden Fragen eingehen:

• Was ist IEC 62443-4-2?
• Warum ist diese Zertifizierung für Maschinenbauer wichtig?
• Was hat IXON getan, um die Zertifizierung zu erhalten?
• Welche Anforderungen erfüllt der SecureEdge Pro nachweislich?
• Wie arbeitet IXON kontinuierlich an der Sicherheit?
• Wollen Sie selbst die IEC 62443-3-3 einhalten?

Außerdem beantworten wir eine Reihe von häufig gestellten Fragen zur IEC 62443.

Was ist IEC 62443-4-2?

IEC 62443 ist eine Reihe von Standards mit spezifischen Cyber-Security-Anforderungen für die industrielle Automatisierung. Während Normen wie ISO oder NIS2 vor allem Rahmenbedingungen vorgeben, geht die IEC 62443 mehr in die Tiefe.

Da IXON industrielle Komponenten liefert, ist die IEC 62443-4-2 der logische Standard. Eine zwingende Grundlage dafür ist die IEC 62443-4-1 für sichere Softwareentwicklung, die IXON bereits erfolgreich umgesetzt hat.

Die IEC 62443-Norm besteht aus mehreren Teilnormen, die jeweils auf eine andere Ebene abzielen und von denen nur eine begrenzte Anzahl zertifizierbar ist:

• IEC 62443-4-1: Anforderungen an sichere Softwareentwicklungsprozesse
• IEC 62443-4-2: Anforderungen an sichere industrielle Komponenten
• IEC 62443-3-3: Anforderungen für komplette Systeme oder Maschinen
• IEC 62443-2-4: Anforderungen an Service- und Wartungsprozesse von Systemintegratoren

Für den SecureEdge Pro bedeutet dies, dass er mit dem IEC 62443-4-2-Zertifikat die höchsten Anforderungen an die Sicherheit einzelner Industriekomponenten erfüllt.

Warum ist diese Zertifizierung für Maschinenbauer wichtig?

Immer mehr Fabriken und industrielle Endkunden erwarten, dass die Maschinen der IEC 62443-3-3 entsprechen. Wenn Sie Komponenten verwenden, die bereits 4-2-zertifiziert sind, gehen Sie nachweislich einen großen Schritt in Richtung Erfüllung der Systemanforderungen und können als Maschinenbauer leichter nachweisen, dass Sie die Anforderungen erfüllen. Dies bringt eine Reihe von Vorteilen mit sich:

1. Schnellere Akzeptanz beim Endkunden
   Endkunden fragen zunehmend explizit nach der IEC-Kompatibilität. Mit einem offiziellen 4-2-Zertifikat können Sie sofort nachweisen, dass Ihre Maschinenarchitektur bereits mit 3-3 konform ist.
2. Leichtere Einhaltung von NIS2, CRA und anderen EU-Richtlinien
   Neue EU-Richtlinien beziehen sich zunehmend auf IEC-Anforderungen. Wenn Sie Komponenten verwenden, die bereits IEC-zertifiziert sind, können Sie die Einhaltung der Verpflichtungen aus NIS2, dem Cyber Resilience Act und anderen EU-Anforderungen schneller nachweisen.
3. Geringere Risiken und sicherere Maschinen
   Die IEC-Anforderungen sind spezifisch, gründlich und basieren auf den besten Praktiken der Branche. Dies verringert das Risiko von Zwischenfällen und macht Ihre Arbeit deutlich sicherer.

Was hat IXON getan, um die Zertifizierung zu erhalten?

Um offiziell nach IEC 62443-4-2 zertifiziert zu werden, musste IXON die Einhaltung der Anforderungen der IEC 62443-4-1 für sichere Softwareentwicklung nachweisen.

Grob zusammengefasst haben wir folgende Maßnahmen umgesetzt:

• Unser gesamter Softwareentwicklungsprozess wurde umgestaltet
• Mehr als 65 Dokumente entwickelt und aktualisiert
• Erstellung eines umfassenden Sicherheitsdesigns, eines Testplans und eines Testberichts
• Mehrere Audits mit Bureau Veritas abgeschlossen
• Zusätzliche Sicherheitsfunktionen für SecureEdge Pro entwickelt

Es war ein intensiver Prozess, aber ein wichtiger Schritt auf dem Weg zu einem noch besseren und sichereren Support für Maschinenbauer.

Lesen Sie mehr über unsere IEC 62443-4-1-Zertifizierung.

Welche Anforderungen erfüllt der SecureEdge Pro nachweislich?

Neben der starken Verschlüsselung und dem Schutz vor DoS- und bösartigen Angriffen bietet SecureEdge Pro erweiterte Funktionen, von denen Sie direkt profitieren:

1. Lokale Rollen und Berechtigungen
   Legen Sie einfach mehrere Benutzer über die lokale Weboberfläche an und bestimmen Sie genau, was jemand ändern darf und was nicht. Ideal für Situationen, in denen Sie Endkunden begrenzten administrativen Zugriff gewähren möchten.
2. Funktionalitäten deaktivieren (geringste Funktionalität)
   Sie können jetzt Protokolle, Dienste und Schnittstellen selbst deaktivieren. Alles, was Sie nicht verwenden, kann sicher abgeschaltet werden, um Ihre Angriffsfläche zu minimieren.
3. Verbesserte Audit-Protokollierung
   Das Edge Gateway zeichnet noch detailliertere Informationen darüber auf, wer was wann tut. Dies ist wichtig für die Analyse von Vorfällen.

Wie IXON kontinuierlich an der Sicherheit arbeitet

Bei IXON sehen wir Sicherheit als eine Voraussetzung für alles, was wir bauen. Als Cloud-Plattform für den Fernzugriff schaffen wir bewusst ein Tor zu Industrieanlagen. Das bietet große Vorteile, birgt aber auch Risiken. Deshalb ist Sicherheit kein separates Feature oder Projekt, sondern die Grundlage unserer Plattform.

Das bedeutet, dass wir uns ständig an neue Entwicklungen im Bereich der Cyber-Security anpassen, unseren Kunden zuhören und Sicherheit strukturell in unsere Prozesse einbinden: von einem engagierten Sicherheitsteam und jährlichen Audits bis hin zu wöchentlichen Management-Meetings und der Integration in jede F&E- und Produktentscheidung.

Gleichzeitig ist es für IXON wichtig, dass Sie das richtige Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit finden können. Deshalb bietet Ihnen SecureEdge Pro standardmäßig ein hohes Maß an Flexibilität: Sie entscheiden, welche Funktionen Sie aktivieren, wie streng Sie Ihre Benutzer verwalten und welche Risiken für Ihre Situation akzeptabel sind. Um Sie dabei zu unterstützen, hat IXON zwei Konfigurationsleitfäden entwickelt.

"Wir legen nicht fest, was für Sie ein akzeptables Risiko ist. Wir geben Ihnen alle Optionen, damit Sie die richtige Wahl für Ihre Situation treffen können."

- Dylan Eikelenboom, Security Officer bei IXON

Möchten Sie die IEC 62443-3-3 einhalten?

Durch den Zertifizierungsprozess, den wir selbst durchlaufen haben, haben wir viele Erkenntnisse gewonnen, die wir gerne mit Maschinenbauern teilen möchten, die den Prozess selbst durchlaufen wollen.

Ein paar praktische Tipps:

• Fangen Sie früh an: IEC ist umfassend und braucht Zeit.
• Wenn möglich, sollten Sie die Sicherheit gleich in den Entwurf einbeziehen.
• Arbeiten Sie mit einem erfahrenen Berater zusammen: Das beschleunigt den gesamten Prozess.
• Verwenden Sie IEC-zertifizierte Komponenten wie SecureEdge Pro, um die Einhaltung der IEC 62443-3-3 zu erleichtern.

Möchten Sie selbst mit IEC 62443 beginnen? Laden Sie unser kostenloses Security Kit herunter, um sofort mit einer ersten Analyse Ihrer Maschine zu beginnen. Haben Sie Fragen oder möchten Sie Ihre Situation besprechen? Kontaktieren Sie unser Security Desk, wir helfen Ihnen gerne weiter.

Häufig gestellte Fragen

Was ist der Unterschied zwischen IEC 62443-4-2 und 62443-3-3?

Diese beiden Normen sind sehr ähnlich, konzentrieren sich aber auf unterschiedliche Ebenen innerhalb einer Industrieanlage.

• IEC 62443-4-2 befasst sich mit einer einzelnen spezifischen Komponente, z. B. einem Edge-Gateway, einer SPS oder einem HMI. Die Norm legt sehr genau fest, welche Sicherheitsfunktionen ein solches Gerät unterstützen muss.
• IEC 62443-3-3 befasst sich mit dem Gesamtsystem, zum Beispiel mit einer gesamten Maschinensteuerung oder Produktionslinie.

Der Inhalt der Normen überschneidet sich erheblich. Deshalb ist eine 4-2-zertifizierte Komponente äußerst hilfreich, wenn Sie als Maschinenbauer nachweisen müssen, dass Ihr Gesamtsystem 3-3-konform ist. Da die technische Grundlage für diese Anforderungen bereits geschaffen und validiert wurde, wird der Nachweis für das Gesamtsystem wesentlich vereinfacht.

Wie funktionieren die Sicherheitsstufen innerhalb der IEC 62443?

Die IEC-Norm verwendet vier Sicherheitslevel (SL1 bis SL4). Diese geben die Art des Angriffs an, dem eine Komponente oder ein System widerstehen können muss:

• SL1: Schutz gegen zufällige Angriffe
• SL2: Schutz gegen organisierte Angriffe
• SL3: Schutz gegen fortgeschrittene Angreifer
• SL4: Schutz gegen z.B. staatlich gesponserte Angriffe

IXONs SecureEdge Pro ist für die Sicherheitsstufe 2 (SL2) zertifiziert. Das bedeutet, dass eine Komponente einem Angriff standhalten kann, der gezielt vorgeht, über Grundkenntnisse verfügt und allgemein verfügbare Tools verwendet. SL2 ist genau die Bedrohungsstufe, die in der Branche am häufigsten vorkommt.

Warum hat IXON die Sicherheitsstufe 2 gewählt?

Sicherheitsstufe 2 ist die Stufe, die am häufigsten von Maschinenbauern, OEMs und industriellen Endkunden gefordert wird. SL3 und SL4 werden hauptsächlich in kritischen Sektoren verwendet, wo die Sicherheitsanforderungen viel strenger sind und in der Praxis weniger für den Standardmaschinenbau geeignet sind. SL2 bietet daher das beste Gleichgewicht: ein hohes Maß an Sicherheit, praktische Anwendbarkeit und Anpassung an die Marktanforderungen.

Da viele unserer Kunden in Sektoren wie Wasseraufbereitung, Lebensmittel- und Getränkeindustrie sowie Energie tätig sind, haben wir auch einige SL3-Anforderungen aufgenommen. Dadurch ist SecureEdge Pro in vielen Fällen ausreichend sicher für Umgebungen, in denen SL3 normalerweise erforderlich ist, obwohl ein Auditor immer feststellt, ob das Gesamtsystem letztendlich SL3-konform ist.

Wie hilft mir IEC 62443-4-2 bei der Einhaltung von NIS2 oder dem Cyber Resilience Act?

NIS2 und das Cyber Resilience Act schreiben nicht vor, wie Sie etwas absichern müssen, aber sie verlangen von Ihnen, dass Sie nachweisbare Maßnahmen ergreifen. Genau hier passt die IEC 62443 perfekt ins Bild.

Da die IEC 62443 über die europäische Gesetzgebung hinausgeht, hilft die Verwendung von IEC-zertifizierten Komponenten, die technischen Sicherheitsanforderungen der NIS2 und des Cyber Resilience Acts nachweislich zu erfüllen.

Kann IXON mir helfen, wenn ich mich selbst nach IEC 62443 zertifizieren lassen möchte?

Wir können beraten, Erfahrungen austauschen und IEC-zertifizierte Komponenten liefern. Wir bieten keine offiziellen Beratungsdienste an, aber unser Security Desk hilft gerne bei der Erläuterung der Norm. Darüber hinaus hat IXON eine kostenlose Excel-Tabelle(Security Kit) mit Erklärungen erstellt, so dass Sie sofort mit einer ersten IEC 62443-Analyse Ihrer Maschine beginnen können.

Ist IEC 62443 für meine Maschine obligatorisch?

Nein, die Norm ist nicht rechtsverbindlich. Allerdings nehmen immer mehr Fabriken die IEC 62443 in ihre Einkaufsbedingungen auf. In der Praxis bedeutet dies, dass sie immer mehr zu einem "Muss" wird.

Muss ich selbst etwas tun, um SecureEdge Pro sicher einzurichten?

SecureEdge Pro wird mit sicheren Standardeinstellungen geliefert, aber Sie können die Sicherheit mit unserer Software weiter erhöhen:

• Secure Baseline Guide für eine möglichst sichere Grundkonfiguration.
• Advanced Hardening Guide für zusätzliche Informationen und Vorschläge für Situationen, in denen Sie bewusst andere Entscheidungen treffen möchten.

So können Sie selbst bestimmen, wie sicher Ihre Installation sein soll. Sie können Funktionen deaktivieren, Zugriffsrechte festlegen und den Router so konfigurieren, dass er für den Einsatz in SL2-Umgebungen und höher geeignet ist.