OVE Vorträge zur IEC 62443 – Security for Industrial Automation and Control Systems

Von |

In den Räumen der OVE (Österreichischer Verband für Elektrotechnik) im Wiener Palais Eschenbach fand am 29.11.2017 eine Vortragsserie zur IEC 62443 – „Security for Industrial Automation and Control Systems“ statt.

Vortragende von Thales Austria, Siemens AG, Phoenix Contact, Sprecher Automation und der Energie AG OÖ berichteten über ihren Erfahrungen und über die praktische Anwendbarkeit der einzelnen Normteile. Zum Abschluss gab es eine anregende Diskussion zwischen den ca. 50 fachkundigen Gästen der OVE und den am Podium versammelten Referenten.

Um die Awareness für diese Norm in Österreich weiter zu steigern, und einen Erfahrungsaustausch zwischen aktuellen und möglicherweise künftigen Anwendern sowie generell an dem Thema interessierten Personen zu ermöglichen, wurde unter der Leitung von Herrn DI Thomas Bleier, MSc  OVE-GIT Arbeitsgruppenleiter „Cyber Security“ diese Veranstaltung organisiert.

Seit einigen Jahren wird von der IEC unter der Nummer 62443 eine Normenserie entwickelt, die eine Reihe von Standards für die Sicherheit von Steuer- und Automatisierungstechnik im Bereich industrieller Systeme definiert. Der OVE ist als nationales Gremium des IEC für Österreich an dieser Entwicklung beteiligt – die Arbeitsgruppe OVE MR 65 stellt das nationale Spiegelkomitee des IEC TC 65 (Technical Committee) dar, in welchem die Normenreihe entwickelt wird.

Die IEC 62443 besteht aus inzwischen 13 Subnormen in unterschiedlichen Reifegraden, die auf vier Ebenen Vorgaben für die Umsetzung von Sicherheitsmaßnahmen in industriellen Umgebungen machen: von allgemeinen Konzepten über Sicherheitsmanagementprozesse bis hin zur Implementierung auf System- und Komponentenebene. Dabei werden die unterschiedlichen Rollen und Aufgaben von Komponentenherstellen, Integratoren und Betreibern von industriellen Automatisierungs- und Steuerungssystemen berücksichtigt und im Standard abgebildet.

Rollen und Aufgabenverteilung in der IEC 62443

In Zukunft wird die Norm ein Referenzwerk für den „Stand der Technik“ bei der Absicherung von industriellen Umgebungen gegenüber IT-basierten Angriffen sein. Auch in Österreich gibt es bereits einige Unternehmen, die trotz der unterschiedlichen Reifegrade der einzelnen Normteile diese bereits in Projekten einsetzen.  Phoenix Contact nutzt auch selbst einzelne Standards aus der IEC 62443.

Hier die Themen der Vorträge:

Umsetzung von Safety & Security – ein Erfahrungsbericht aus der Praxis

Security & Safety – dabei treffen zwei Welten aufeinander die auf der einen Seite sehr viel Gemeinsamkeiten haben und auf der anderen Seite nicht immer kompatibel sind. Ein Erfahrungsbericht aus dem Alltag soll ihnen vermitteln wie man intern als auch extern mit dem Thema umgehen kann, dabei spielt natürlich die IEC 62443 eine tragende Rolle.

Alexander Szoenyi
Cybersecurity Authority for the Global Business Unit “Ground Transportation Systems”
Thales Austria GmbH

 

Anwendung der IEC-62443 am Beispiel eines Assessments in der Industrie

Der Vortrag gibt einen Einblick in die Anwendung der IEC 62443 bei Security-Assessments in industriellen Umgebungen. Nach einer grundsätzlichen Betrachtung der Unterschiede zwischen IT und OT (Operating Technology) wird die Auslegung des Defense-in-Depth Konzepts im Rahmen von Assessments behandelt. Weiters wird der typische Ablauf solcher Assessments vorgestellt sowie Beispiele und Ergebnisse präsentiert. Abschließend wird auf die Einbindung des Security-Konzepts in die Digitalisierungsstrategie eingegangen.

Dipl.-Ing. Adrian Pinter
Plant Data Services
Siemens Aktiengesellschaft Österreich

 

Aktuelles Patch-Management in der Energieautomation

Aktives Patch-Management ist eine grundlegende Anforderung, um die Sicherheit eines Systems langfristig zu gewährleisten. Dies erfordert sowohl betreiberseitige Prozesse für Informationsbeschaffung, Risikobewertung, sowie Tests- und Rollouts von Patches, aber ebenfalls detaillierte Konzepte bei Komponentenherstellern um Sicherheitslücken zu identifizieren, zu behandeln, und gegenüber Kunden zu kommunizieren. Nur durch ein funktionierendes Zusammenspiel mit gelebten Kommunikationswegen zwischen Betreiber und Komponentenhersteller kann ein erfolgreiches Patch-Management effektiv umgesetzt werden.

Der Vortrag geht auf aktuelle Umsetzungen von Patch-Management Prozessen in der Energiewirtschaft ein. Darauf aufbauend wird analysiert, wie diese durch herstellerseitige Maßnahmen unterstützt werden können und welche Prozesse beim Hersteller bis hin zur Produktentwicklung gemäß IEC 62443 notwendig sind, um Patchmanagement zu ermöglichen

DI(FH) Dr.techn. Stephan Hutterer
Product Manager IT-Security
Sprecher Automation GmbH

 

Netzwerkdesign in der Industrie nach IEC 62443

Im Bereich von Industrie 4.0 Projekten ergeben sich durch Sicherheitsanforderungen an die Cyber-Physischen Systemen auch neue Herausforderungen für das Design der Netze, um Betriebs- und Wartungsprozesse bei ausreichender Sicherheit effizient zu unterstützen. Phoenix Contact hat beim Netzwerkdesign für die gemeinsam mit der TU Wien entwickelte „Pilotfabrik Industrie 4.0“ die Anforderungen aus der IEC 62443 umgesetzt, um die notwendige Sicherheit für die dort eingesetzten Systeme zu erreichen. Der Vortrag berichtet über die dabei gewonnenen Erkenntnisse, und welche Erfahrungen man daraus für neue Projekte mitnehmen kann.

Erich Kronfuss
Industrial IT-Security Specialist
Phoenix Contact GmbH

 

Praxisbericht aus der Umsetzung der IEC 62443 in der Energiewirtschaft

In der Energie AG werden schon seit mehreren Jahren Security-Prozesse auf Basis etablierter Standards umgesetzt. Vor einiger Zeit wurde im Unternehmen damit begonnen, die Anwendbarkeit der IEC 62443 für die eigenen Anforderungen zu evaluieren, und Teilbereiche der Norm für die Umsetzung von Sicherheitsvorgaben und -maßnahmen anzuwenden. Der Vortrag berichtet von den dabei gemachten Erfahrungen aus der praktischen Anwendung der Standards.

Ing. Guido Lehmann
Chief Information Security Officer
Energie AG OÖ Telekom

Die Vorträge der Unternehmen wurden zur Veröffentlichung bereitgestellt.

Erich Kronfuss

Über Erich Kronfuss

Erich Kronfuss, Industrial IoT Security Specialist at Phoenix Contact GmbH, introduces the local SecurityLab as well as the Phoenix Contact Academy as Cyber Security Practitioner. After more than 15 years as an expert in conventional IT security, he continued his education in 2015 as an Industrial Communications and Control System Security Consultant. In line with his new strategic focus on the business fields of industrial manufacturing, process industry and energy industry, he additionally deals with Functional Safety and Standardization today. As an IEC expert of the standardization organization ÖVE, he gets himself actively involved in the IEC 62443 (Industrial Communication Networks - Network and System Security) series of standards. As an IEC 62443 reference project, he implemented the network design of Pilotfabrik 4.0 in Seestadt Aspern in cooperation with the Vienna University of Technology. Furthermore for companies in IEC 62443 Best Practice Projects, indicated as KRIST (Critical Infrastructure) under the Austrian Cyber-Security Act.

2 Gedanken zu „OVE Vorträge zur IEC 62443 – Security for Industrial Automation and Control Systems

  1. compromise

    Howdy! Wοuld you mind if I share your blog with my myspace group?
    There’s a lot of people that I think woᥙlԀ rеally enjoy
    your content. Please let me knoѡ. Cheers

  2. Alyssia SteinhoffAlyssia Steinhoff

    Hello,
    please feel free to share our blog, every interested reader is very welcome.
    Best regards
    Alyssia

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.