KonradinMediengruppe
Aufrufe
vor 1 Jahr
Flag

KEM Konstruktion 01-02.2023

  • Text
  • Steuerungstechnik
  • Fluidtechnik
  • Hydraulikzylinder
  • Automatisierung
  • Digitalisierung
  • Engineering
  • Kem
  • Antriebstechnik
  • Dehnungssensoren
  • Konstruktion

TRENDS » Perspektiven

TRENDS » Perspektiven » Security höher seien die Kompetenzen und Ressourcen der identifizierten Angreifer. Die ML wiederum bildeten den Vollständigkeitsgrad der Umsetzung der IEC62433- Anforderungen ab. Sei das Level niedrig, würden die Anforderungen der Norm beispielsweise nur unstrukturiert bzw. unvollständig umgesetzt, während bei einem hohen Level alle Prozesse und Produkte vollständig gemäß den Anforderungen der IEC62443 entwickelt, produziert Bild: Sick Wolfgang Stadler, Product Security Architect, Sick AG, Waldkirch und betrieben würden. „Dieser Ansatz erlaubt es dem Produkthersteller, Anlagenbauer und dem Betreiber sich auf eine gemeinsame Sprache und damit auf ein verständliches Mindestmaß an Anforderungen zu verständigen“, führt Dennis Ritter weiter aus. ‚Secure‘ Produktentwicklung Ganz ähnlich beurteilt Frank Eberle von Pilz die Situation. So könne im Rahmen einer Zertifizierung geprüft werden, ob beispielsweise eine Komponente die Anforderungen der 62443-4-2 und 62443-4-1 erfülle. Frank Eberle: „Für die ‚secure‘ Produktentwicklung beschreibt die untergeordnete Norm IEC62443-4-1 die Anforderungen an einen sogenannten ‚Security Development Lifecycle Prozess‘ (SDL-Prozess), der sicherstellen soll, dass Schwachstellen während des gesamten Lebenszyklus von System und Einzelkomponenten erkannt und ausgeschlossen werden.“ Erforderlich für diesen Prozess sei jedoch, dass Entwickler entsprechend qualifiziert und geschult seien, dass die Security-Anforderungen bis hin zur Implementierung nachvollziehbar seien und dass alle notwendigen Security-Tests durchgeführt würden. Durch solche Zertifizierungen, wie sie beispielsweise der TÜV Süd anbiete, könne der Kunde erkennen, ob ein Hersteller zumindest ein Mindestmaß an Security-Anforderungen erfüllt und Qualitätsstandards bei der Entwicklung einhalte. „Jedes Unternehmen muss letztendlich selbst für die Sicherheitsqualität der Prozesse und technischen Lösungen sorgen“, meint dazu Dr. Lutz Jänicke: „Die Zertifizierung durch eine unabhängige Stelle »Einfach gesagt: ein Security-Management- System hilft, nichts Wichtiges zu vergessen.« bestätigt lediglich die vorhandene Qualität und belegt dies gegenüber Geschäftspartnern.“ Die Zertifizierer, beispielsweise TÜV Nord oder TÜV Süd, greifen auf die Dokumente des Unternehmens zurück und prüfen die Umsetzung. Sie selbst müssen ihre Qualifikation zum Beispiel durch Akkreditierung bei der DAkkS nachweisen. Als nationale Akkreditierungsstelle der Bundesrepublik Deutschland hat die DAkkS einen gesetzlichen Auftrag: Die Akkreditierung solcher Konformitätsbewertungsstellen. Zertifizierung und Dienstleistung Bei Pilz in Ostfildern hat der TÜV Süd die Entwicklungsprozesse gemäß der Norm IEC62443-4-1 geprüft. Pilz erfüllt die Anforderungen der Norm, betrachtet vorausschauend mögliche Risiken und stellt so die Security seiner Produkte bereits bei der Entwicklung sicher. Als Hersteller von Safety-Komponenten ist der Prozess bereits entsprechend gestaltet und ausführlich dokumentiert. „Damit war die Erweiterung um die Security-Anforderungen vergleichsweise einfach“, meint dazu Frank Eberle: „Die Zertifizierung unterstreicht die Bedeutung der Industrial Security und ist strategisch von gleicher Wichtigkeit wie die Zertifizierungen zur Funktionalen Sicherheit. Security schützt Safety und Safety schützt den Menschen. Diese Kette ist durch die nun erfolgte Zertifizierung unserer Entwicklungstätigkeit gemäß IEC62443-4-1 geschlossen und bietet so unseren Kunden die Industrial Security, wie sie die Industrie im Zeitalter der internationalen Datenvernetzung benötigt.“ Auch Phoenix Contact ist laut Dr.-Ing. Lutz Jänick für die Komponenten- und Lösungsentwicklung sowie Security- Dienstleistung nach den entsprechenden Teilen der IEC62443 zertifiziert. Jänicke: „Damit weisen wir, bestätigt durch einen unabhängigen Zertifizierer, die Qualität unserer Prozesse nach.“ Das Dienstleistungsangebot des Unternehmens umfasst die Beratung von Kunden zur Security im Automatisierungsbereich.“ Phoenix Contact selbst bietet aber keine Zertifizierung als Dienstleistung an. Endress + Hauser mit seinen Produktionsumgebungen ist bereits ebenfalls nach IEC62443-4-1 zertifiziert. Endress+Hauser Digital Solutions, das Kompetenzzentrum der Unternehmens-Gruppe für digitale Lösungen, ist zudem nach ISO27001-zertifiziert. Dennis Ritter: „Wir sind überzeugt, dass beide Normen einen enormen Mehrwert für unsere Kunden bieten.“ Dienstleistungen zur Erreichung der entsprechenden Zertifizierung bietet das Unternehmen aktuell noch nicht an. „Dennoch unterstützen wir bereits heute unsere Kunden und Partner auf ihren Wegen zu einem höheren Sicherheitsniveau“, erläutert Ritter: „Unsere Prozesse entsprechen dem höchsten Industriestandard, was auch durch unsere Zertifizierungen bestätigt wird. Mittels einem holistischen und kollaborativen Ansatz unterstützen wir Anlagenbetreiber dabei, eine entsprechend sichere Umgebung aufzubauen.“ INFO Allgemeine Informationen zu KRITIS: hier.pro/bQqEB 52 KEM Konstruktion » 01/02 | 2023

»Gemäß der KRITIS-Bestimmungen ist eine IEC27001-Zertifizierung verpflichtend.« Cybersecurity stellt auch einen Grundpfeiler des Sick-Lösungsangebots dar. Sick beschäftigt sich seit Jahren mit der Sicherheit neuer Sensorlösungen. Daraus ist ein sicherer und transparenter Prozess für die Entwicklung und den Lebenszyklus unserer Sensorlösungen geworden. Im August 2022 hat der TÜV Nord den Sick Security Development Lifecycle nach IEC 62443-4-1 zertifiziert. Der Hauptsitz der Sick AG verfügt über auch die ISO27001- Zertifizierung für zentrale Dienste in seinem Rechenzentrum. Bild: SSV Software Systems Klaus-Dieter Walter, Geschäftsführer, SSV Software Systems GmbH, Hannover SSV Software Systems zählt etliche Unternehmen im Bereich dezentraler Energiesysteme zu seinen Kunden, die oft auch eine kritische Infrastruktur betreiben. Deshalb bietet SSV seit Jahren eine umfangreiche Unterstützung und Beratung auf dem Weg zur Zertifizierung. „Ansonsten sehen wir uns als Produktund Lösungsanbieter. Daher streben auch wir die Zertifizierung unserer Prozesse nach IEC62443-4-1 an“, berichtet Klaus- Dieter Walter: „Das dafür erforderliche hausinterne Projekt läuft schon einige Zeit. Da wir hinsichtlich der Cybersecurity sehr weitreichende Ansprüche an unsere Technik stellen, bauen wir die Entwicklungsprozesse entsprechend um.“ Zukünftig soll deshalb jeder Entwicklung eine Bedrohungsanalyse, also einem Threat Modeling, vorangehen. Walter: „Daraus lassen sich Cybersecurity-Anforderungen ableiten, die dann die funktionalen Requirements einer Entwicklung ergänzen.“ (ge) www.endress.com www.phoenixcontact.com www.pilz.com www.sick.com www.ssv-embedded.de MODULARES STECKVERBINDERSYSTEM CombiTac world Plug into reliability Eine ganze Welt von hochwertigen modularen Steckverbindern, die exakt auf Ihre Bedürfnisse anpassbar sind. Unsere Experten stehen Ihnen vom Konzept über die Installation bis zur Kabelkonfektionierung zur Seite, damit Ihr CombiTac genau die Anforderungen Ihrer spezifischen Anwendung erfüllt. www.combitac.com Expertise at your side Simplicity when you want it. Customization where you need it. KEM Konstruktion » 01/02 | 2023 53

KEM Konstruktion

Leser login

AbbrechenAnmelden
Als Leser registrieren

Sign upAbbrechen
Suche