// Protokoll · Protokoll

IEC 62443: Zonen & Conduits

IEC 62443 ist die Normenreihe für OT-Security: Zonen bilden, Übergänge kontrollieren, Schutzhöhe nach Risiko wählen.

IEC 62443: Anlagen werden zu Zonen gruppiert, Conduits mit Firewall sind die einzigen ÜbergängeFabrik-NetzSPSHMISensorSPSRoboterSensorSCADAHistorian
Tempo:

Schritt 1 von 7

Eine Fabrik als Ganzes: viele Anlagen, ein flaches Netz. Fällt ein Gerät, ist potenziell alles erreichbar — genau das will IEC 62443 ändern.

// Teste dich

Frage 1 von 3

Was ist die Kernidee der Normenreihe IEC 62443?

In 30 Sekunden

IEC 62443 ist die international massgebende Normenreihe für die Sicherheit industrieller Automatisierungssysteme (IACS). Ihre Kernidee: Anlagen mit gleichem Schutzbedarf werden zu Zonen gruppiert, und zwischen den Zonen gibt es nur noch Conduits — kontrollierte Übergänge, etwa über eine Firewall. Security Level von SL 1 bis SL 4 legen fest, gegen wen eine Zone schützen muss: vom zufälligen Fehler bis zum staatlich unterstützten Angreifer. Die Norm verteilt die Pflichten klar auf drei Rollen: Hersteller, Integrator und Betreiber. So wird OT-Security planbar statt Bauchgefühl.

Der Alltagsvergleich:

Ein Schiff wird nicht als eine grosse Wanne gebaut, sondern mit wasserdichten Schotten: Läuft ein Abteil voll, bleibt das Schiff schwimmfähig. Die Abteile sind die Zonen, die verschliessbaren Schotten-Türen die Conduits — und je gefährlicher die Fracht in einem Abteil, desto dicker die Wände: das ist der Security Level. Gebaut wird das Schiff von der Werft (Hersteller), zusammengestellt vom Ausrüster (Integrator), sicher gefahren vom Kapitän (Betreiber).

Wo trifft man IEC 62443: Zonen & Conduits an?

Fertigungsindustrie

Produktionslinien werden als eigene Zonen geführt. Beispiel: Ein Ransomware-Befall in der Verpackungslinie bleibt dort eingedämmt, weil die Montagelinie nur über einen Conduit mit Firewall erreichbar ist.

Energie und Versorger

Leittechnik, Stationen und Verwaltungs-IT bilden getrennte Zonen mit unterschiedlichem Schutzbedarf. Beispiel: Die Netzleitstelle erhält einen höheren Security Level als das Verwaltungsnetz.

Wasser und Abwasser

Aussenstationen (Pumpwerke, Reservoirs) werden als eigene Zonen mit kontrollierten Fernwirk-Verbindungen geführt. Beispiel: Die Anbindung eines Pumpwerks läuft über einen definierten Conduit statt über offene Mobilfunk-Router.

Pharma und Chemie

Anlagen mit Gefahrenpotenzial erhalten hohe Security Level und streng geregelte Übergänge. Beispiel: Das Sicherheitssystem (SIS) einer Reaktoranlage liegt in einer eigenen Zone, getrennt von der Prozessleittechnik.

Maschinen- und Anlagenbau

Hersteller entwickeln nach IEC 62443-4-1 (sicherer Entwicklungsprozess) und liefern Komponenten nach 62443-4-2. Beispiel: Ein Steuerungshersteller weist die sichere Entwicklung per Zertifikat nach — zunehmend eine Voraussetzung in Ausschreibungen.

Kritische Infrastrukturen und Regulierung

Aufsichten und Gesetzgeber verlangen zunehmend nachweisbare OT-Security; IEC 62443 liefert das anerkannte Gerüst dafür. Beispiel: Ein Betreiber dokumentiert sein Zonenkonzept als Teil des Sicherheitsnachweises.

Gut geeignet für

  • Für Betreiber, die OT-Security systematisch angehen wollen, weil die Reihe einen gangbaren Fahrplan vorgibt: Risikoanalyse, Zonen bilden, Massnahmen je Zone festlegen.
  • Für gewachsene Anlagen mit Altgeräten, weil sich Zonen auch um nicht patchbare Systeme legen lassen — die Zone schützt dann das Gerät, das sich selbst nicht schützen kann.
  • Für die Zusammenarbeit über Firmengrenzen hinweg, weil die Rollen Betreiber, Integrator und Hersteller mit klaren Pflichten definiert sind.
  • Für Ausschreibungen und Beschaffung, weil sich Anforderungen präzise als Security Level formulieren lassen statt als vage «muss sicher sein».
  • Für Hersteller als Nachweis, weil Entwicklungsprozesse und Komponenten zertifizierbar sind und das im Markt zunehmend verlangt wird.

Weniger geeignet für

  • Für die klassische Büro-IT, weil dort ISO 27001 und verwandte Standards etabliert sind; besser beide Welten kombinieren — ISO 27001 fürs Unternehmen, IEC 62443 für die Anlagen.
  • Als schnelles Rezept für den Feierabend, weil die Reihe aus vielen umfangreichen Teilen besteht; besser mit der Risikoanalyse (Teil 3-2) und einem groben Zonenmodell starten statt alles auf einmal.
  • Für Kleinstbetriebe ganz in Eigenregie, weil Interpretation und Umsetzung Erfahrung brauchen; besser einen Integrator beiziehen oder mit einfachen Grundschutz-Massnahmen (Segmentierung, Fernwartung absichern) beginnen.

Fakten

Voller Name
IEC 62443 — Security for industrial automation and control systems (IACS)
Herkunft
entstanden aus ISA-99 (International Society of Automation), heute internationale IEC-Normenreihe
Aufbau
vier Teil-Gruppen: 1-x Grundlagen, 2-x Richtlinien & Prozesse, 3-x System, 4-x Komponente
Kernkonzept
Zonen (gleicher Schutzbedarf) und Conduits (kontrollierte Übergänge dazwischen)
Security Level
SL 1 bis SL 4 — vom zufälligen Verstoss bis zum Angreifer mit staatlichen Mitteln
Rollen
Betreiber, Integrator, Hersteller — jede Rolle mit eigenen Normteilen und Pflichten
Grundprinzip
Defense in Depth: mehrere gestaffelte Verteidigungslinien statt einer einzigen Mauer
Zertifizierung
Prozesse und Produkte zertifizierbar, z. B. nach IEC 62443-4-1 und 62443-4-2

Im Detail

Eine Normenreihe, kein einzelnes Dokument

IEC 62443 ist eine ganze Familie von Normteilen, entstanden aus der amerikanischen ISA-99-Arbeit und heute international unter dem Dach der IEC gepflegt. Die Teile sind in vier Gruppen geordnet: Grundlagen und Begriffe (1-x), Richtlinien und Prozesse für den Betrieb (2-x), Anforderungen an Systeme und deren Risikoanalyse (3-x) sowie Anforderungen an einzelne Komponenten und deren Entwicklung (4-x). Niemand liest die Reihe von vorne nach hinten — man greift die Teile heraus, die zur eigenen Rolle passen.

Zonen und Conduits: das Herz der Norm

Eine Zone fasst Anlagen und Systeme zusammen, die den gleichen Schutzbedarf haben — etwa eine Produktionslinie, das Leitsystem oder ein Sicherheitssystem. Ein Conduit ist die definierte Verbindung zwischen Zonen: ein kontrollierter Übergang mit klaren Regeln, technisch meist eine Firewall, ein Datendioden- oder Gateway-Übergang. Alles, was nicht als Conduit definiert ist, existiert nicht — genau dadurch bleibt ein Vorfall in seiner Zone eingedämmt, statt sich durchs ganze Werk zu fressen.

Security Level: gegen wen schütze ich mich?

Die Norm denkt in Gegnern, nicht in Produkten. SL 1 schützt gegen zufällige, unbeabsichtigte Verstösse — den Bedienfehler, das falsch gesteckte Kabel. SL 2 schützt gegen einfache absichtliche Angriffe mit geringen Mitteln und allgemeinen Kenntnissen. SL 3 richtet sich gegen gezielte Angreifer mit anlagenspezifischem Wissen und moderaten Mitteln. SL 4 schliesslich gegen Angreifer mit umfangreichen Ressourcen — bis hin zu staatlich unterstützten Gruppen. Jede Zone erhält aus der Risikoanalyse ihr Ziel-Level; nicht jede Zone braucht SL 4, und genau das spart Geld und Aufwand.

Drei Rollen, klare Pflichten

Der Hersteller entwickelt Komponenten nach einem sicheren Entwicklungsprozess (Teil 4-1) und stattet sie mit den nötigen Sicherheitsfunktionen aus (Teil 4-2). Der Integrator entwirft das Zonenkonzept, baut die Anlage sicher zusammen und weist die System-Anforderungen nach (Teile 2-4 und 3-3). Der Betreiber schliesslich hält die Sicherheit im Alltag aufrecht: Patches, Zugriffe, Fernwartung, Notfallpläne (Teil 2-1). Der Clou: Keiner kann die Verantwortung auf die anderen abschieben — sichere Komponenten nützen nichts in einem schlechten Konzept, und das beste Konzept nichts ohne sauberen Betrieb.

Defense in Depth als Grundhaltung

IEC 62443 verlässt sich nie auf eine einzige Massnahme. Zonen, Conduits, Zugriffskontrolle, Härtung der Geräte und Überwachung bilden gestaffelte Verteidigungslinien: Fällt eine, greift die nächste. Das ist dieselbe Denkweise, die das Purdue-Modell mit seinen Ebenen vorgezeichnet hat — die Norm macht daraus prüfbare Anforderungen.

Der praktische Einstieg ist unspektakulär: erst eine Risikoanalyse nach Teil 3-2 — was ist da, was wäre der Schaden, wer sind realistische Angreifer? Daraus entsteht das Zonen- und Conduit-Modell mit Ziel-Security-Leveln, und erst dann folgen die technischen Massnahmen. Wer umgekehrt vorgeht und zuerst Produkte kauft, schützt oft das Falsche — die Norm zwingt zur richtigen Reihenfolge.