OT-Security nach IEC 62443

Information Security

Kommunikationsnetzwerke in Industrieanlagen sind immer häufiger Hacker-Angriffen ausgesetzt. Für die Security von Operational Technology (OT) ist die Norm IEC 62443 relevant. Diese gilt auch für Schiffe, wo ab Januar 2024 eine verschärfte Norm gilt – beispielsweise für die Steuerung der Dieselmotoren.

  • Ausgangslage

    Ab Januar 2024 gelten für Schiffe verschärfte Anforderungen an die OT-Security. WinGD muss diese als Hersteller von Schiffsmotoren erfüllen. Zuerst sollte analysiert werden, wie gross der Aufwand ist.

  • Lösung SCS

    SCS erstellte ein Gap-Analyse: Wie viel braucht es, damit die Motorensteuerung die verschärften Anforderungen an die OT-Security nach IEC 62443-3-3 erfüllt? Wie gross ist der Aufwand für das nächsthöhere Security Level 3?

  • Mehrwert

    Cyber Security wird nicht nur durch Technologie, sondern auch durch definierte Prozesse erreicht. So hält sich der technische Aufwand in Grenzen und das nächsthöhere Security Level 3 für autonomes Fahren ist machbar.

Projekteinblicke

Ein Schiffsdiesel ist nicht direkt mit dem Internet verbunden. Die Steuerung ist im Motorenraum untergebracht, nahe des Motors im Schiffsinnern. Trotzdem kann es sein, dass beispielsweise über einen Service-Laptop eine Schadsoftware bis in den Maschinenraum kommt. Deshalb ist die OT-Security für alle elektronischen Geräte auf einem Schiff geregelt über die International Association of Classification Societies (IACS). Deren Unified Requirements UR E26 und UR E27 zu Cyber Resilience of Ships und On-Board Systems treten ab Januar 2024 in Kraft. Die Norm für die Schifffahrt lehnt sich dabei stark an die allgemeine Norm IEC 62443-3-3 zu OT-Security von Industrial Communication Networks an. Bisher galten für Schiffe Anforderungen des Security Level (SL) 1. Ab Januar 2024 gelten für alle Anforderungen entsprechend SL 2. Für WinGD stand zur Frage, ob es sich nicht lohnen würde, SL 3 anzustreben, das gefordert wird, wenn das Schiff autonom fahren soll.

Ab Januar 2024 müssen alle Schiffe das Security Level SL 2 erfüllen. SL 3 gilt für Schiffe, die autonom fahren. Bild DNV

Neu müssen die Systeme auf dem Schiff die Kommunikation überwachen (Intrusion Detection System) und Denial of Service Attacken erkennen und abwehren können. Der Unterschied von SL 2 zu SL 3 liegt beispielsweise darin, dass bei SL 3 das System nicht autorisierte Benutzer identifizieren und dem verantwortlichen Personal melden soll.

In einem ersten Schritt ging es um eine Gap-Analyse, um den Aufwand zu analysieren, den es braucht, um die bestehende Motorensteuerung gemäss SL 2 anzupassen und zu zertifizieren. Damit die zwingenden Anforderungen im Januar 2024 erfüllt werden. Der zweite Schritt ist das SL 3: Lohnt es sich, gleich auf SL 3 zu gehen?

Die Gap-Analyse zeigte, dass viele sicherheitsrelevante Mechanismen schon in der Motorensteuerung eingesetzt werden. Die Kommunikation ist bereits verschlüsselt und Benutzer müssen sich authentifizieren. Auch die Zugriffe der Benutzer und Services waren nach dem Least Privilege-Prinzip eingeschränkt. Eine Herausforderung zeigte sich aber bei der Überwachung.

Wichtig bei der Arbeit mit Normen und der anschliessenden Zertifizierung ist, dass passende Lösungen gefunden werden. Die Anforderungen sollen erfüllt werden, mit dem passenden Aufwand, nicht zu viel und nicht zu wenig. Entscheidend dabei ist auch die Abgrenzung des Systems: Der Maschinenraum in einem Schiff ist nicht denselben Angriffen ausgesetzt wie ein öffentliches WLAN.

Sicherheit wird nicht nur durch Technologie wie Verschlüsselung und Authentifizierung erreicht, sondern auch durch definierte Prozesse und geschultes Personal.  Bild DNV

Die Gap-Analyse zeigte, dass es möglich ist, direkt das SL 3 zu erfüllen. Es muss auch nicht jede Anforderung mit zusätzlicher Hardware oder Code erfüllt werden. Es können auch Prozesse sein: Ein Passwort darf beispielsweise nicht weitergegeben werden. Dazu gehört natürlich die Schulung des Personals. Bei der Analyse half die Erfahrung von SCS mit der Zertifizierung ähnlicher Systeme nach IEC 62443, insbesondere auch der bestehenden Motorensteuerung für das Security Level SL 1.

Haben Sie Fragen zu OT-Security von Operational Technology oder müssen Sie ihre eigene Anwendung absichern nach der Norm IEC 62443? Nehmen Sie mit Jérôme Stettler Kontakt auf!

Verwandte Projekte

Medienarchiv SRF

Das Medienarchiv für das Schweizer Radio und Fernsehen SRF ermöglicht den Jounalist:innen auf Archivmaterial bis in die 1950er-Jahre ... mehr erfahren

Medizinisches Spektrometer mit elektro-optischer Leiterplatte

Ein elektrooptisches Spektrometer wurde miniaturisiert, damit es bei den engen Platzverhältnissen auf einer Intensivstation eingesetzt werden kann. ... mehr erfahren

IOBnet – Austauschplattform für Augenärzte

Die Plattform IOBnet bietet Ophthalmologen die Möglichkeit, sich jederzeit mit Experten über anonymisierte Fälle auszutauschen. Mit der Erstellung ... mehr erfahren

Cloud-Plattform für medizinische Messdaten

Die Spirometrie-Geräte der ndd Medizintechnik AG tragen wesentlich zur Früherkennung von Lungenkrankheiten bei. Deren Messdaten werden immer ... mehr erfahren

SDAT Datahub für die Schweizer Strombranche

Die Datendrehscheibe vereinfacht und standardisiert die Marktkommunikation. Für die Firma Swisseldex AG, einem Zusammenschluss verschiedener ... mehr erfahren
Alle Projekte anzeigen
Jérôme Stettler Digital Transformation Wie kann ich Ihnen weiterhelfen?