Standards & Safety 3 min read

IEC 62443 Cybersicherheit industrieller Steuerungssysteme: Patch- und Wartungsanforderungen

Technical analysis: Cyber security IEC 62443 for industrial control systems: patching and maintenance

Кібербезпека промислових систем управління за IEC 62443: вимоги до патчингу та технічного обслуговування - UNITEC-D Industrial MRO
Стаття розглядає практичні вимоги стандарту IEC 62443 до патч-менеджменту та технічного обслуговування промислових систем управління на українських підприємствах. Включено чек-лист відповідності, вимо

Einführung: Warum die Cybersicherheit von ATS ein Wartungsproblem ist

Industrielle Kontrollsysteme (ICS/ACU TP) in ukrainischen Unternehmen arbeiten unter Bedingungen ständiger Cyber-Bedrohungen. Laut CERT-UA wurden im Zeitraum 2023–2024 mehr als 2.500 Vorfälle registriert, die kritische Infrastruktureinrichtungen betrafen. Die Norm IEC 62443 (eine Reihe von 14 Dokumenten, die letzte konsolidierte Ausgabe – 2024) definiert einen systematischen Ansatz zum Schutz industrieller Netzwerke auf allen Ebenen – von Komponenten bis hin zu Organisationsrichtlinien.

Für einen Servicetechniker ist Cybersicherheit keine abstrakte IT-Aufgabe. Jeder offene Patch auf der Steuerung, jede nicht aktualisierte Firmware des HMI-Panels, jeder ungeschützte Ethernet-Port am Antrieb ist ein Angriffsvektor. Die IEC 62443-2-3:2015 (Patch-Management im IACS-Umfeld) regelt direkt die Verfahren zur Aktualisierung der Software von ACS-Komponenten im Rahmen der planmäßigen Wartung.

Am 1. Januar 2024 ist in der Ukraine das Gesetz „Über kritische Infrastrukturen“ (Nr. 1882-IX) in Kraft getreten, das Betreiber kritischer Infrastruktureinrichtungen dazu verpflichtet, Cyberschutzsysteme nach internationalen Standards zu implementieren. DSTU EN IEC 62443 wird durch die Bestätigungsmethode als nationale Norm übernommen.

Geltungsbereich und Verpflichtung

Wer soll verantwortlich sein?

  • Betreiber kritischer Infrastrukturobjekte (Kategorien A, B, C gemäß Beschluss der CMU Nr. 1109)
  • Unternehmen mit ACS TP, die an Unternehmensnetzwerke angeschlossen sind
  • Produktion mit SCADA, DCS, SPS-Systemen der Level 0-3 nach dem Purdue-Modell
  • Lieferanten von ACS TP-Komponenten (Anforderungen IEC 62443-4-1 und 4-2)

Welche Ausrüstung wird von den Anforderungen abgedeckt?

  • Speicherprogrammierbare Steuerungen (SPS) – Siemens S7-1500, Allen-Bradley ControlLogix, ABB AC500
  • Bedienpanels (HMI) – Siemens Comfort/Unified, Weintek, Schneider Magelis
  • Frequenzumrichter mit Netzwerkschnittstellen (Profinet, EtherNet/IP, Modbus TCP)
  • Industrielle Schalter und Router (Hirschmann, Moxa, Phoenix Contact)
  • Sensoren und Wandler mit HART/Foundation Fieldbus/IO-Link
  • Industrie-PCs, SCADA-Server, Historian-Systeme

Branchen

Energie, Wasserversorgung, chemische Industrie, Metallurgie, Lebensmittelindustrie, Zementproduktion, Bergbauindustrie – jede Produktion mit automatisierter Verwaltung technologischer Prozesse.

Hauptanforderungen der Norm

DokumentAnforderungUmsetzungszeitraumverantwortlich
IEC 62443-2-1:2010+AMD1:2024Cyber Security Management System (CSMS) – Richtlinien, Verfahren, Rollen12 Monate ab dem Zeitpunkt der ObjektkategorisierungLeiter des Unternehmens
IEC 62443-2-3:2015Patch-Management-Verfahren für die IACS-Umgebung6 Monate nach der CSMS-ImplementierungIngenieur ACS TP / IT-Sicherheit
IEC 62443-3-3:2013Sicherheitsanforderungen auf Systemebene (SL 1-4)Beim Entwerfen/ModernisierenProjektingenieur
IEC 62443-4-2:2019Technische Anforderungen an Komponenten (SL-C)Beim Kauf neuer KomponentenBeschaffungsabteilung / MRO
DSTU ISO/IEC 27001:2023Integration von ISMS mit CSMSParallel zu IEC 62443-2-1CISO / verantwortlich für IS

Auswirkungen auf Wartungsvorgänge

Patchen im Rahmen der geplanten Wartung

IEC 62443-2-3 erfordert einen formalisierten Software-Update-Prozess für Industriekomponenten. Das bedeutet:

  1. Inventarisierung aller Software-Assets (SPS-Firmware, HMI-Betriebssystem, SCADA-Versionen)
  2. Überwachung von Sicherheitsbulletins von Herstellern (Siemens ProductCERT, Rockwell Knowledgebase, ABB Cybersecurity Advisory)
  3. Risikobewertung vor dem Anbringen des Pflasters (CVSS-Score ≥ 7,0 – kritisch, Verschlusszeit ≤ 30 Tage)
  4. Patchtests auf Backup-Hardware vor der Bereitstellung in der Produktion
  5. Dokumentation jedes Updates im Changelog

Änderungen in der Ersatzteilbeschaffung

Die Norm IEC 62443-4-2 legt vier Sicherheitsstufen für Komponenten fest (SL-C 1–4). Beim Austausch der Steuerung, des Schalters oder des HMI-Panels müssen Sie:

  • Suchen Sie nach einem ISASecure-Zertifikat (EDSA/SSA/SDLA) oder einer Konformitätserklärung nach IEC 62443-4-2
  • Stellen Sie sicher, dass die Firmware ein sicheres Update (signiertes Firmware-Update) unterstützt.
  • Fordern Sie beim Lieferanten eine Dokumentation zu den Härtungsrichtlinien an
  • Behalten Sie die Integrität der Lieferkette bei – kaufen Sie nur bei autorisierten Händlern

Dokumentation

Jedes Wartungsverfahren im Zusammenhang mit cyber-physischen Systemen muss Folgendes enthalten:

  • Asset-ID und aktuelle Firmware-Version
  • Liste der angewendeten Patches mit Datum
  • Ergebnisse der Integritätsprüfung (Hash-Summen, digitale Signaturen)
  • Unterschrift einer verantwortlichen Person mit Qualifikationen (GICSP-Zertifikat, ISA/IEC 62443 Cybersecurity-Zertifikat)

Komponentenanforderungen und Zertifizierung

Komponenten mit obligatorischer Cybersicherheitszertifizierung

KomponententypAnforderungen gemäß IEC 62443-4-2Mindest-SL-CBeispiele zertifizierter Lösungen
SPS / Sicherheits-SPSFR 1–7 (Identifizierung, Autorisierung, Datenintegrität, Auditierung)SL-C 2 (typische Produktion), SL-C 3 (kritische Infrastruktur)Siemens S7-1500 (TÜV SÜD zertifiziert), Allen-Bradley GuardLogix 5580
Industrielle SchalterFR 1, FR 2, FR 5 (Beschränkung des Datenflusses)SL-C 2Hirschmann EAGLE40, Phoenix Contact FL MGUARD
HMI-PanelsFR 1, FR 3, FR 4 (Vertraulichkeit, Integrität)SL-C 2Siemens Unified Comfort Panels (V18+)
Frequenzumrichter mit EthernetFR 1, FR 7 (Verfügbarkeit von Ressourcen)SL-C 1ABB ACS880, Siemens G120 mit CU250S-2
Industrielle Router/FirewallsFR 1–7 (vollständiger Satz)SL-C 3Fortinet FortiGate Rugged, Cisco IE-3400

Mechanische und elektrische Komponenten

Anforderungen an die Cybersicherheit heben klassische Zertifizierungen nicht auf. Für Komponenten, die in einer ACS TP-Umgebung betrieben werden, ist Folgendes weiterhin obligatorisch:

  • CE-Kennzeichnung (Richtlinie 2014/35/EU für Niederspannungsgeräte)
  • UkrSEPRO-Zertifikat für Geräte, die in der Ukraine einer Zertifizierungspflicht unterliegen
  • Einhaltung der DSTU EN 60529 (Schutzart IP) für Automatisierungsschränke
  • DSTU EN 61439-1:2017 für Niederspannungs-Komplettgeräte
  • Lager, Dichtungen, Anschlüsse – Einhaltung von ISO 9001 und spezifischen Normen (ISO 15:2017 für Wälzlager)

Compliance-Checkliste für den Service Manager

  1. Es wurde eine vollständige Bestandsaufnahme der Software-Assets des automatischen Steuerungssystems (SPS, HMI, SCADA, Netzwerkgeräte) durchgeführt – Firmware-Versionen wurden dokumentiert
  2. Es wurde ein Vermögensverzeichnis mit Klassifizierung nach Sicherheitszonen (Zonen) und Kommunikationskanälen (Conduits) gemäß IEC 62443-3-2 erstellt
  3. Für jede Zone wird eine Zielsicherheitsstufe (SL-T) definiert
  4. Ernennte Person, die für das Patch-Management von ACS TP verantwortlich ist (keine allgemeine IT-Abteilung)
  5. Unterzeichnet auf dem Sicherheitsbulletin aller Hersteller der installierten Geräte
  6. Vor der Anwendung des Pflasters wurde ein Risikobewertungsverfahren entwickelt (Risikobewertungsvorlage).
  7. Es wurde eine Staging-Umgebung erstellt, um Patches vor der Produktion zu testen
  8. Die maximalen Zeiträume für das Schließen von Schwachstellen sind definiert: CVSS ≥ 9,0 – 14 Tage, CVSS 7,0–8,9 – 30 Tage, CVSS 4,0–6,9 – 90 Tage
  9. Vor jedem Update wurde ein Backup-Verfahren für SPS-/HMI-Konfigurationen implementiert
  10. Der physische Schutz der Programmieranschlüsse (USB, serielle Anschlüsse) ist gewährleistet – Stecker, Schrankschlösser
  11. Für alle neu gekauften Komponenten wurde auf IEC 62443-4-2-Zertifikate geprüft
  12. Implementierte Netzwerksegmentierung (VLANs, Firewalls) zwischen Zonen der Ebenen 0-3 und dem Unternehmensnetzwerk
  13. Die Protokollierung von Sicherheitsereignissen mit zentraler Erfassung (Syslog/SIEM) ist konfiguriert
  14. Das Wartungspersonal wurde in den Grundlagen der Cyber-Hygiene geschult (Standardpasswörter ändern, USB-Sticks verbieten)
  15. Es wurde ein Vorfallreaktionsplan mit der Definition der Rollen des Wartungspersonals entwickelt
  16. Verträge mit Ersatzteillieferanten wurden auf Anforderungen an die Integrität der Lieferkette überprüft
  17. Es wurde eine Prüfung der Altsysteme durchgeführt – für Systeme ohne Patch-Unterstützung wurden Ausgleichsmaßnahmen ermittelt
  18. Alle Remote-Verbindungen zu ACS TP (VPN, Modems) werden dokumentiert – auf das erforderliche Minimum reduziert
  19. Änderungsmanagement ist implementiert – kein Update ohne genehmigten Änderungsantrag
  20. Geplant ist eine jährliche Prüfung der Einhaltung der IEC 62443 unter Einbindung eines externen Prüfers

Von Prüfern festgestellte typische Inkonsistenzen

1. Fehlendes Patch-Management als Prozess

Bei 78 % der ukrainischen Unternehmen (laut Schätzung von DSSZZI, 2023) wird das SPS-Firmware-Update gar nicht oder nur bei größeren Reparaturen durchgeführt. Controller laufen mit Firmware, die 5–10 Jahre alt ist und bekannte Schwachstellen (CVE) aufweist.

2. Standardpasswörter

Siemens S7-300/400 ohne Passwortschutz, HMI-Panels mit Admin/Admin-Login, Switches mit werkseitig voreingestellten Anmeldeinformationen. Verstoß gegen FR 1 (Identifikations- und Authentifizierungskontrolle) IEC 62443-4-2.

3. Mangelnde Netzwerksegmentierung

SPS und Unternehmensnetzwerk im selben VLAN. Keine DMZ zwischen den Schichten 3 und 4. Direkter Verstoß gegen IEC 62443-3-3, SR 5.1 (Netzwerksegmentierung).

4. Inkonsistenz der gekauften Komponenten

Ersetzen eines ausgefallenen Switches durch einen (nicht verwalteten) Haushalts-Switch ohne ACL-, VLAN- und 802.1X-Unterstützung. Kauf gefälschter oder nicht autorisierter Komponenten ohne Dokumentation.

5. Fehlende Änderungsprotokolle

Unfähigkeit zu verfolgen, wer, wann und was sich im SPS-Programm geändert hat. Fehlende Projektversionierung.

Haftung und Sanktionen

Administrative Verantwortung

Das Gesetz der Ukraine „Über kritische Infrastrukturen“ (Artikel 27) sieht Folgendes vor:

  • Bußgeld bei Nichteinhaltung der Cyberschutzanforderungen – von 3.400 bis 51.000 UAH (100–1.500 NMDH) für Beamte
  • Bußgeld für juristische Personen – bis zu 2 % des Jahresumsatzes (analog zur NIS2-Richtlinie 2022/2555 bei Integration in den europäischen Markt)

Strafrechtliche Haftung

Artikel 363-1 des Strafgesetzbuches der Ukraine (Eingriff in die Arbeit von Informationssystemen) – wenn Untätigkeit zu einem Vorfall mit schwerwiegenden Folgen führte: bis zu 5 Jahre Haft.

Versicherungsfolgen

Bei nachweislicher Nichteinhaltung von Cybersicherheitsstandards verweigern Versicherungen die Auszahlung. Ein typischer Schaden durch einen Cyberangriff auf ein Industrieunternehmen liegt zwischen 500.000 und 5.000.000 Euro (Daten aus dem Allianz Global Industrial Report 2024).

Vertragsrisiken

Europäische Kunden verlangen als Vertragsbedingung einen Nachweis der Konformität mit IEC 62443. Nichteinhaltung = Verlust von Exportverträgen.

Praktische Empfehlungen zur Umsetzung

Schritt 1: Aktueller Status-Audit (1-2 Monate)

Inventar aller Komponenten von ACS TP. Ermittlung des aktuellen Sicherheitslevels (SL-A – erreicht). Identifizierung der Lücke zwischen SL-A und Ziel-SL-T.

Schritt 2: Richtlinienentwicklung (2-3 Monate)

Erstellen eines Patch-Management-Verfahrens gemäß IEC 62443-2-3. Integration in das bestehende geplante Wartungssystem (CMMS). Definition von Rollen und Verantwortlichkeiten.

Schritt 3: Technische Umsetzung (3–6 Monate)

Netzwerksegmentierung. Austausch von Geräten, die die Sicherheitsanforderungen nicht erfüllen. Überwachungseinstellungen. Implementierung eines sicheren Fernzugriffs.

Schritt 4: Kauf der entsprechenden Komponenten

Im Falle eines geplanten Austauschs oder einer Modernisierung – die Auswahl von Komponenten mit bestätigter Konformität zu IEC 62443-4-2. Industrielle Schalter, Steuerungen, Frequenzumrichter, Sensoren mit Netzwerkschnittstellen – alles muss über eine Dokumentation verfügen, die die implementierten Sicherheitsfunktionen (Sicherheitsfunktionen) beschreibt.

Ergebnis

Cybersicherheit industrieller Steuerungssysteme ist keine optionale IT-Initiative. Dies ist ein obligatorischer Bestandteil der technischen Wartung, der durch die Gesetzgebung der Ukraine und internationale Standards festgelegt ist. IEC 62443-2-3 definiert Patching explizit als Wartungsverfahren. Bei jedem Austausch einer ACS TP-Komponente müssen Cybersicherheitsanforderungen sowie elektrische und mechanische Eigenschaften berücksichtigt werden.

Die UNITEC-D GmbH gewährleistet die Lieferung zertifizierter Industriekomponenten – von Lagern und Dichtungen bis hin zu Netzwerkgeräten und Automatisierungssystemelementen – mit vollständiger Dokumentation der Konformität zu CE, ISO und Industriestandards. Verwenden Sie den UNITEC-D E-Katalog, um Komponenten auszuwählen, die Ihren Sicherheitsanforderungen entsprechen.

Liste der normativen Dokumente

  • IEC 62443-2-1:2010+AMD1:2024 – Sicherheit für industrielle Automatisierungs- und Steuerungssysteme – Teil 2-1: Einrichtung eines IACS-Sicherheitsprogramms
  • IEC 62443-2-3:2015 – Patch-Management in der IACS-Umgebung
  • IEC 62443-3-2:2020 – Sicherheitsrisikobewertung für Systemdesign
  • IEC 62443-3-3:2013 – Systemsicherheitsanforderungen und Sicherheitsstufen
  • IEC 62443-4-1:2018 – Sichere Anforderungen an den Lebenszyklus der Produktentwicklung
  • IEC 62443-4-2:2019 – Technische Sicherheitsanforderungen für IACS-Komponenten
  • Gesetz der Ukraine „Über kritische Infrastrukturen“ Nr. 1882-IX vom 16. November 2021
  • CMU-Beschluss Nr. 1109 vom 9. Oktober 2020 „Zur Genehmigung des Verfahrens zur Erstellung einer Liste kritischer Infrastrukturobjekte“
  • DSTU ISO/IEC 27001:2023 (ISO/IEC 27001:2022, IDT)
  • Richtlinie (EU) 2022/2555 (NIS2) – für Unternehmen mit europäischen Verträgen
  • NIST SP 800-82 Rev. 3 (2023) – Leitfaden zur OT-Sicherheit (Referenz)

Related Articles