https://www.teletrust.de/…

Die IEC 62443 hat sich als Normenreihe für Security in Automatisierungssystemen etabliert. Der Normteil 4-2 enthält dabei Anforderungen in Bezug darauf, welche Security-Fähigkeiten Industrie-Komponenten auf technischer Ebene bereitstellen können müssen.

Das von TeleTrusT veröffentlichte Dokument präzisiert dies für eine industrielle Firewall mit Router-Funktionalität, wie sie hauptsächlich Anwendung findet, jeweils für die Security Level SL 2 und SL 3. Daneben sind im veröffentlichten Vorschlag enthalten:

– eine klare Abgrenzung, was zum Anwendungsbereich gehört und was nicht,

– welche zusätzlichen Risiken eingeführt werden könnten,

– übliche Assets,

– ein typisches Anwendungszenario im Zones-and-Conduits-Konzept sowie

– weiterführende Erklärungen und Beispiele zu den einzelnen Komponenten-Anforderungen.

Zwar bietet die IEC 62443-4-2 bereits eine Konkretisierung der Anforderungen mit den Component Types, jedoch erreichen diese nicht die Ebene, die in der Praxis nötig ist.

Auf Ebene des Profils gibt es nun weniger Interpretationsspielraum, es gibt einheitliche Anforderungen für alle Hersteller, nach denen auch Zertifizierungsstellen die Konformität einheitlicher prüfen können. Das schafft Klarheit in der Entwicklung, bei der Zertifizierung und bei Kunden.

Bisher erfolgte die Interpretation der IEC 62443-4-2 innerhalb der technischen Fachverbände und bei den Anwendern. TeleTrusT hat sich das Ziel gesetzt, mit einem Update des bestehenden Use Case diese Diskussion zu beschleunigen und zielgerichtet zu unterstützen. Die Veröffentlichung wird als Vorschlag für ein Profil (Normteil 62443-5) eingereicht und berücksichtigt die in der IEC 62443-1-5 gegebenen Vorgaben an die Erstellung von Profilen. Somit liegt nun eine Profilschema-konforme Umsetzung vor. Für die Erfüllung des Cyber Resilience Act ist die Verwendung von horizontalen sowie vertikalen Normen angestrebt. Die Veröffentlichung durch TeleTrusT soll als eine fundierte Zuarbeit für die Entwicklung einer solchen vertikalen Norm dienen.

Steffen Heyde, secunet, Leiter der TeleTrusT-AG "Smart Grids/Industrial Security": "Damit wird die IT-Sicherheit von Produkten im Umfeld der Automatisierungstechnik, auch wenn sie bei unterschiedlichen Prüfstellen zertifiziert wurden, vergleichbar".

Luise Werner, secuvera, federführende Moderatorin des TeleTrusT-Profil-Projekts: "Als Hersteller kann man nun auf eine präzise Auswahl an technischen Security-Anforderungen bei der Entwicklung einer industriellen Firewall zurückgreifen, basierend auf Erfahrungen aus der Praxis, zugeschnitten auf eine industrielle Firewall mit Router-Funktionalität."

Bundesverband IT-Sicherheit e.V. (TeleTrusT) veröffentlicht Leitfaden "Software Bill of Materials"

"Software Bills of Materials" (SBOMs) sind ein relativ neues Werkzeug in der IT-Sicherheit. Die Einsatzmöglichkeiten werden sich in den kommenden Jahren deutlich erweitern. Der jetzt veröffentlichte TeleTrusT-Leitfaden "Software Bill of Materials" beschreibt verfügbare SBOM-Tools sowie zukünftige Anforderungen an diese Werkzeuge. Die Publikation entstand in der TeleTrusT-AG "Cloud Security".

https://www.teletrust.de/…

"Software Bill of Materials" sind ein entscheidender Schritt zur Verbesserung der Transparenz und Sicherheit in der IT-Lieferkette. Die aktuell verfügbaren Werkzeuge konzentrieren sich jedoch auf Software im engeren Sinne und berücksichtigen die erweiterten Anforderungen durch die Nutzung von Cloud Services, sei es als SaaS, über Cloud APIs oder durch die dynamische Einbindung gehosteter Softwarebibliotheken, bisher nur unzureichend oder gar nicht. Auch Bedrohungen durch Schwachstellen in der eingesetzten Hardware oder Netzwerkkomponenten werden durch SBOMs nicht berücksichtigt. Lieferanten und deren Komponenten genießen oft ein hohes Vertrauen und weitgehende Rechte. Die Transparenz über die genaue Zusammensetzung dieser Komponenten ist häufig unzureichend.

Diese Kombination führt dazu, dass Unternehmen kaum in der Lage sind, Risiken in der IT Supply Chain proaktiv zu erkennen oder entsprechende Angriffe abzuwehren. Vielmehr müssen sie sich weitgehend auf ihre Zulieferer verlassen.

Software Bills of Materials, also Software-Stücklisten, bieten hier eine Lösung, indem sie eine detaillierte Auflistung der in einem Gerät, einer Software oder einem Dienst verwendeten Software-Komponenten liefern und so die Transparenz der Supply Chain erhöhen. Dies ermöglicht es Unternehmen, potentielle Sicherheitslücken selbst und möglichst automatisiert zu bewerten und gezielte Schutzmaßnahmen zu ergreifen.

SBOMs liefern außerdem Informationen über die Lizenzen der verwendeten Komponenten und unterstützen so den Abgleich der tatsächlichen Nutzung mit den Lizenzvorgaben. Zukünftig könnten SBOMs auch dazu beitragen, die Transparenz im Datenschutz zu erhöhen, indem sie Informationen darüber enthalten, welche Daten von welchen Systemen verarbeitet und gespeichert werden.

Oliver Dehning, Leiter der TeleTrusT-AG "Cloud Security": "Software Bills of Materials sorgen für Transparenz in der IT Supply Chain. Ohne sie ist eine angemessene Einschätzung von Risiken aus IT-Diensten praktisch unmöglich. Unternehmen sollten deshalb die Bereitstellung von SBOMs konsequent von ihren IT-Lieferanten fordern und auf allen Ebenen der IT im Rahmen von Sicherheitsüberwachung und Risikomanagement nutzen. Der jetzt veröffentlichte neue TeleTrusT-Leitfaden soll dabei unterstützen."

https://www.teletrust.de/podcasts/

Im jetzt veröffentlichten TeleTrusT-Podcast "Cybersicherheit in Industrieanlagen" behandeln Moderator Carsten Vossel (CCVOSSEL) und Interviewgast Frank Sauber (secunet) u.a. diese Inhalte:

– Welche Entwicklungen und Trends gibt es im Bereich Cybersicherheit in Industrieanlagen?
– Was ist der Unterschied zwischen Security und Safety in der Industrie?
– Was genau ist NIS 2 im größeren Sinne und wer ist betroffen?
– Welche Vorgänge werden sich durch die NIS 2 verändern?
– Inwiefern ergänzt NIS 2 die KRITIS-Gesetzgebung?
– Wie können Unternehmen die neue Vorgaben am besten umsetzen?

Frank Sauber, Global Head of Sales & Business Enablement Division Industry bei der secunet Security Networks AG: "Cybersecurity ist kein Projekt, sondern ein Prozess. Gerade die oberste Führungsebene ist in der Verantwortung, die Bedeutung des Themas zu erkennen und entsprechende Maßnahmen zu ergreifen. Der Gesetzgeber macht es durch Regularien wie NIS 2 oder CRA Cybersecurity zur Chefsache".

Der sogenannten "Fiskalisierung" liegen verschiedene Rechtsnormen, Verwaltungsvorschriften, Technische Richtlinien des BSI sowie Common-Criteria-Schutzprofile zugrunde.

Für eine betriebsbereite Technische Sicherheitseinrichtung (TSE) sind aktuell mindestens 5 Zertifizierungen zu durchlaufen. Die Zertifizierungsgrundlagen haben jeweils ihren eigenen Lebenszyklus und die Zertifizierungen haben unterschiedliche Laufzeiten von 3 Jahren mit jährlicher Auditierung bis hin zu 8 Jahren.

Die Betriebserlaubnis der TSE ist nur gegeben, solange sämtliche Zertifizierungen noch gültig sind und die TSE in einem sogenannten "zertifizierten Modus" eingesetzt wird. Dabei sind bestimmte Einsatzbedingungen einzuhalten.

Diese Aufzählung zeigt, dass die Umsetzung der Fiskalisierung für Kassen- und TSE-Hersteller, Integratoren und Steuerpflichtige eine komplexe Angelegenheit ist, die Zertifizierungs- und Einsatzbedingungen sich stetig wandeln und die Verwender von TSE aufgrund der unterschiedlichen Zertifikatslaufzeiten mit der ständigen Unsicherheit leben müssen, wie lange die eingesetzte TSE noch verwendet werden darf.

Viele der beteiligten Parteien klagen darüber, dass die geschilderte Komplexität sie überfordert und sie die TSE nicht oder nicht wie vorgeschrieben – also im zertifizierten Modus – betreiben können.

Um die Komplexität der Fiskalisierung zu verringern und sie für alle beteiligten Parteien handhabbar zu gestalten, entwickelt eine TeleTrusT-Arbeitsgruppe (https://www.teletrust.de/arbeitsgremien/fiskalisierung/) ein Fiskalisierungs-Framework als Handreichung für die Praxis. Ziel ist die Veröffentlichung einer ersten Version dieses Frameworks zu Anfang 2024.

Supply-Chain-Attacken haben in letzter Zeit deutlich zugenommen und betreffen auch bekannte Unternehmen. Die Attacken erfolgen über vertrauenswürdig eingestufte Komponenten und IT Services Dritter und sind daher von Anwendern schwer zu verhindern. Der jetzt veröffentlichte TeleTrusT-Leitfaden beschreibt neben Software Bill of Materials (SBOM) weitere Schutzmaßnahmen, die von Anwenderunternehmen zur Verbesserung der Cloud Supply Chain Security getroffen werden können.

In der IT ist die Supply Chain die Lieferkette aller Teilprodukte und Lieferungen, aus denen sich ein IT Service oder eine Anwendung zusammensetzt. Für jede Art von Software, aber insbesondere für Cloud-Dienste, besteht eine solche Lieferkette aus unzähligen Lieferanten und Produkten, die entweder direkt oder indirekt genutzt werden oder zur Erstellung oder Ausführung der Teile beitragen. Im besten Fall wird der Produzent oder Anbieter der Teile die direkt genutzten Komponenten selbst auf Sicherheitseigenschaften überprüfen. Der Anwender hat aber normalerweise weder die Möglichkeit, die Nutzung einer betroffenen Komponente festzustellen, noch auf eine Behebung von Schwachstellen hinzuwirken – ein inakzeptabler Zustand.

Um das Problem der mangelnden Transparenz zu lösen, führt der Weg über die Software Bill of Materials (SBOM). Eine SBOM ist eine Aufstellung aller Komponenten, die in einer Software-Anwendung enthalten sind. Wenn neue Erkenntnisse zu Fehlern und Schwachstellen in diesen Komponenten auftauchen, können Anwender schnell ermitteln, ob sie möglicherweise betroffen sind und die von ihnen genutzten Anwendungen gefährdet sind. Es wird erwartet, dass sich die Bereitstellung von SBOMs durch Lieferanten und Betreiber von Software und Services zum Marktstandard entwickelt.

Oliver Dehning, Leiter der TeleTrusT-AG "Cloud Security": "Aktuelle Software Bill of Materials (Software-Stücklisten, SBOM) sind die Basis für mehr Transparenz in der Cloud Supply Chain und damit für mehr Sicherheit bei der Nutzung von Cloud Services. Anwender können einen erheblichen Beitrag zur Verbesserung der Sicherheit in ihrer Cloud Supply Chain leisten, wenn sie die Bereitstellung von SBOMs durch Provider in ihren Anforderungskatalog aufnehmen. Provider sollten ihrerseits ihren Anwendern diese Informationen zur Verfügung stellen und damit aktives Management von Cybersicherheit auch in der Cloud ermöglichen."

Informationstechnik und klassische Automatisierungstechnik im industriellen Umfeld verschmelzen immer mehr. Zusätzlich steigt der Bedarf hinsichtlich Zugriffsmöglichkeiten für Dienstleister oder Mitarbeiter auf industrielle Anlagen. Dabei werden an die Security-Mechanismen in der Automatisierungstechnik andere Anforderungen gestellt als in der IT-Welt.

Die zentrale Norm ist dabei IEC 62443. Die Norm besteht aus mehreren Teilen und deckt alle IT-sicherheitsrelevanten Aspekte der industriellen Automatisierungstechnik ab. Der Normteil IEC 62443-4-2 beinhaltet Security-Anforderungen für Komponenten, wirft in der Praxis aber immer wieder Fragen auf. Dabei geht es insbesondere um die Spezifizierung und später auch Zertifizierung von Komponenten und Geräten, die in der Steuerungs- und Automatisierungstechnik eingesetzt werden. Auch die Frage nach dem richtigen IT-Sicherheits-Level solcher Produkte stellt sich regelmäßig bei der Anwendung der Norm.

Die TeleTrusT-Arbeitsgruppe "Smart Grids/Industrial Security" hat in der Vergangenheit bereits ein Prüfschema erarbeitet, um eine einheitliche und vereinfachte Sicht auf Security-Anforderungen zu definieren. Die praxisnahe Anwendung des Prüfschemas auf spezifische Use Cases wie "Industrial Firewall" und "Security Gateway" wurde bereits veröffentlicht. Als dritter Use Case wurde in der Arbeitsgruppe nun ein Dokument zur Anwendung bei Remote Access Devices erarbeitet, das die Security-Anforderungen speziell für die Absicherung des Remote Access auf Anlagen in industriellen Netzwerken adressiert.

Download: https://www.teletrust.de/publikationen/teletrust-iec-62443-4-2/