Grundsatz für die Prüfung und Zertifizierung von Industrial Security-Aspekten in der funktionalen Sicherheit

Projekt-Nr. IFA 5149

Status:

abgeschlossen 12/2019

Zielsetzung:

Zurzeit existiert keine Prüfgrundlage, die es ermöglicht, Security-Aspekte bei Komponenten der funktionalen Sicherheit (Safety-Komponenten) zu bewerten. Da immer mehr Safety-Komponenten digitale Schnittstellen besitzen und der Vernetzunsgrad in einer Produktionsstätte immer weiter zunimmt, kann nicht mehr ausgeschlossen werden, dass Safety-Komponenten über diese digitalen Schnittstellen angegriffen bzw. manipuliert werden. Mit diesem Grundsatz sollen die Security-Anforderungen aus den bereits bestehenden Normen IEC 62443-4-1:2018 (Security for industrial automation and control systems –¬ Part 4-1: Secure product development lifecycle requirements) und IEC 62443-4-2:2019 (Security for industrial automation and control systems – Part 4-2: Technical security requirements for IACS components) in Bezug auf Komponenten der funktionalen Sicherheit herausgearbeitet werden. Die Normenreihe IEC 62443 führt zur Bewertung der Security sogenannte Security Levels (0-4) ein, wobei die Anforderungen mit steigendem Security Level zunehmen. Der neue Prüfgrundsatz soll zunächst die Anforderungen für einen Security Level 1 enthalten, da hiermit viele aktuelle Security Probleme gelöst werden können. Nach der Fertigstellung des Prüfgrundsatzes soll eine erste Praxistauglichkeit an ausgewählten Komponenten getestet werden. Eine Erweiterung der Anforderungen gemäß einem Security Level 2 sind angedacht.

Aktivitäten/Methoden:

Erarbeitung eines Prüfgrundsatzes für Security-Anforderungen gemäß Security Level 1 (IEC 62443-4-2 und IEC 62443-4-1) in einem Arbeitskreis des DGUV Test unter Beteiligung von BG ETEM, BGHM, BGN, BG RCI, DGUV Test und IFA: Hierbei werden zunächst nur Komponenten der funktionalen Sicherheit und noch keine Gesamtmaschinen bzw. Systeme betrachtet. Veröffentlichung des Prüfgrundsatzes als IFA-Prüfgrundsatz und Anwendung des abgestimmten Prüfgrundsatzes an ausgewählten Produkten: Hierbei werden zunächst nur Komponenten der funktionalen Sicherheit betrachtet und keine Standardkomponenten oder Netzwerke. Eine Erweiterung des Prüfgrundsatzes für Security-Anforderungen gemäß Security Level 2 (IEC 62443-4-2 bzw. IEC 62443-4-1) ist angedacht. Ob eine Erweiterung notwendig ist, hängt von der aktuellen Marktentwicklung im Bereich Security ab.

Ergebnisse:

Der Prüfgrundsatz zur Zertifizierung von umgesetzten Maßnahmen bzgl. Security-Anforderungen gemäß Security Level 1 (IEC 62443-4-2 und IEC 62443-4-1) von Komponenten der Funktionalen Sicherheit wurde im Arbeitskreis der DGUV Test fertiggestellt. Das Gremium kam zu der Entscheidung, dass der Prüfgrundsatz nur vom IFA veröffentlicht werden soll. Änderungen am Prüfgrundsatz können aber nur mit der Zustimmung des Arbeitskreises und nicht alleinig vom IFA erfolgen. Eine Veröffentlichung ist für Mitte Februar mit der Bezeichnung GS-IFA-M24 geplant. Mit diesem Prüfgrundsatz ist es nun möglich, Komponenten der Funktionalen Sicherheit auch unter Security Aspekten zu prüfen und eine zusätzliche Prüfbescheinigung der DGUV Test sowie ein DGUV Test Zeichen mit der Bezeichnung „Sicherheit geprüft/tested safety/industrial security tested“ zu vergeben. Nach Veröffentlichung des Prüfgrundsatzes werden die ersten Prüfungen zeigen, ob eine Erweiterung des bestehenden Prüfgrundsatzes auf Maschinen oder weitere Security Levels vom Markt benötigt werden. Einige Firmen haben Ihr Interesse bereits bekundet, Produkte nach dem neuen Prüfgrundsatz prüfen zu lassen, es gibt aber noch keine finalen Prüfaufträge.

Stand:

28.04.2020

Projekt

Gefördert durch:
  • Deutsche Gesetzliche Unfallversicherung e. V. (DGUV)
Projektdurchführung:
  • Institut für Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung (IFA)
  • Berufsgenossenschaft Energie Textil Elektro Medienerzeugnisse (BGETEM)
  • Berufsgenossenschaft Holz und Metall (BGHM)
  • Berufsgenossenschaft Nahrungsmittel und Gastgewerbe (BGN)
  • Berufsgenossenschaft Rohstoffe und chemische Industrie (BG RCI)
  • DGUV Test
Branche(n):

-branchenübergreifend-

Gefährdungsart(en):

Gefährdungsübergreifende Fragestellungen

Schlagworte:

Maschinensicherheit

Weitere Schlagworte zum Projekt:

Security, Prüfgrundsatz

Kontakt

Weitere Informationen

Beitrag im DGUV-Forum 04/2019: Prüfung und Zertifizierung der industriellen IT-Sicherheit. Posterausstellung Euro-Shnet 2019: Testing and Certification of Security in Industrial Control Systems