ISA Studie zur Zertifizierung von vernetzten Komponenten anhand IEC 62443

Das amerikanische Standardisierungsinstitut ISA hat eine Studie zur Anwendbarkeit der Norm ISA/IEC 62443 für die Zertifizierung von industriellen IoT-Komponenten durchgeführt. Dies ist insofern relevant, da auch hierzulande schon die ersten Hersteller ihre Automatisierungskomponenten zertifizieren lassen, oder zumindest die Grundlagen dafür legen wollen. Die Studie legte neben allgemeinen vernetzten Geräten einen besonderen Fokus auf IoT-Gateways. Aufgebaut wurde auf Untersuchungen von anerkannten Institutionen wie ENISA oder NIST sowie von renommierten Anbietern im Bereich Product Security.

Was sind die Kernaussagen des Berichts?

Kurz gesagt, stellt die Norm ISA/IEC 62443 eine gute Basis zur Zertifizierung dar. Allerdings werden tatsächlich noch weitere Anforderungen empfohlen, die über die der Normteile 4-1 und 4-2 hinausgehen. Dazu gehören beispielsweise Software Updates über Fernzugriff und die zugehörige Steuerung der Updatefunktionen.

Als Begründung für die zusätzlichen Anforderungen werden eine Reihe von Entwicklungen seit der Veröffentlichung der ISA/IEC 62443 genannt, insbesondere

  • Die zunehmend ermöglichte direkte Verbindung zum Internet
  • Ungeschützter physischer Zugriff
  • Zunehmende Miniaturisierung der Komponenten
  • Zunehmende Virtualisierung und damit einhergehende Integration von Funktionen auf der gleichen Hardware-Plattform, anstatt der Aufteilung in Komponenten mit klassischen Zonen und Zonenübergängen („Conduits“)
  • Hohe Produktionszahlen von baugleichen Komponenten

Weiterhin wird eine Zertifizierung entlang von 2 Niveaus skizziert: Ein „Core Tier“ Niveau, das dem Security Level SL2 mit einigen Anpassungen entspricht (d.h. stellenweise mit Anforderungen aus SL3 und SL4), und ein „Advanced Tier“ Niveau, das durchgehend SL4 entspricht.

Welche Anforderungen werden über die bisher veröffentlichten Normteile hinaus empfohlen?

  1. Trennung von Funktionen („Compartmentalization“), um Auswirkungen von Angriffen zu begrenzen (z.B. auch Trennung der Ausführungsumgebungen von Software-Bausteinen)
  2. Klare Default Security Einstellungen für die Erstinbetriebnahme (“Secure by default“)
  3. Authentisierung von maschinellen Nutzern bei Zugriff aus nicht vertrauenswürdigen Netzen
  4. Individuelle Zugangsdaten für jedes Gerät (anstatt bei Herstellung vergebenen identischen Zugangsdaten für alle Geräte einer Baureihe)
  5. Schutz von Daten in Verarbeitung (zusätzlich zum Schutz von Daten, die gespeichert sind oder übertragen werden)
  6. Updates/Upgrades über Fernzugriff
  7. Konfigurationsmöglichkeit, um automatische Software-Updates auszuschalten
  8. Erhalt der Security-Konfiguration bei Software-Updates
  9. Filterung von Netzwerkzugriffen auf Management- und Konfigurationsfunktionen, und zwar auf Port-, Protokoll- und Applikationsebenen
  10. Keine Speicherung von Informationen wie Schaltkreisen oder anderen Entwicklungsdaten, die ein Reverse Engineering des Geräts bei physischem Zugang ermöglichen würden
  11. Erkennung von fehlenden Komponenten, z.B. an abgelegenen Standorten
  12. Erhalt von relevanten Funktionen bei Abtrennung von Internet

Stand heute stellt die Studie noch lange keine verbindlichen Richtlinien dar, sondern hat eher Empfehlungscharakter, und vereinfacht damit natürlich auch nicht unbedingt das Leben von Product Security Managern. Es werden aber viele gute Fragen aufgeworfen, die bei der Prüfung der eigenen Security-Konzepte genutzt werden können. Unsere Experten rechnen damit, dass eine Variante der o.g. Empfehlungen in eine Neufassung der ISA/IEC 62443 einfließen wird.