{"id":2274,"date":"2026-06-01T19:18:07","date_gmt":"2026-06-01T19:18:07","guid":{"rendered":"https:\/\/www.pickplace.de\/?post_type=glossary&#038;p=2274"},"modified":"2026-06-01T19:21:00","modified_gmt":"2026-06-01T19:21:00","slug":"iec-62443","status":"publish","type":"glossary","link":"https:\/\/www.pickplace.de\/de\/glossar\/iec-62443\/","title":{"rendered":"IEC 62443"},"content":{"rendered":"<p class=\"wp-block-paragraph\">IEC 62443 ist eine internationale Normenreihe f&#xFC;r die <a href=\"https:\/\/www.pickplace.de\/embedded-systems-cyber-security\/\" data-type=\"page\" data-id=\"954\">Cybersicherheit<\/a> industrieller Automatisierungs- und Steuerungssysteme. Sie beschreibt Begriffe, Modelle, Prozesse und technische Anforderungen f&#xFC;r Industrial Automation and Control Systems, kurz IACS. F&#xFC;r Embedded-Systeme und Industrieelektronik ist sie vor allem dort ma&#xDF;geblich, wo Steuerungen, Sensoren, Gateways, Industrie-PCs, Netzwerkger&#xE4;te oder Softwarekomponenten in Produktionsanlagen eingesetzt werden.<\/p>\n\n\n\n<div class=\"wp-block-rank-math-toc-block\" id=\"rank-math-toc\"><h2>Inhalt<\/h2><nav><ul><li class=\"\"><a href=\"#was-bedeutet-iec-62443\">Was umfasst die IEC 62443?<\/a><\/li><li class=\"\"><a href=\"#wie-funktioniert-iec-62443\">Wie funktioniert die IEC 62443?<\/a><\/li><li class=\"\"><a href=\"#die-wichtigsten-teile-fur-produkthersteller\">Die wichtigsten Teile der Norm f&#xFC;r Produkthersteller<\/a><ul><li class=\"\"><a href=\"#iec-62443-3-2\">IEC 62443-3-2<\/a><\/li><li class=\"\"><a href=\"#zones-und-conduits-nach-iec-62443\">Zones und Conduits<\/a><\/li><li class=\"\"><a href=\"#warum-zones-und-conduits-wichtig-sind\">Bedeutung f&#xFC;r ICAS-Hersteller<\/a><\/li><li class=\"\"><a href=\"#iec-62443-4-1\">IEC 62443-4-1<\/a><\/li><li class=\"\"><a href=\"#iec-62443-4-2\">IEC 62443-4-2<\/a><\/li><\/ul><\/li><li class=\"\"><a href=\"#verwendungsrahmen-der-iec-62443\">Verwendungsrahmen der IEC 62443<\/a><\/li><li class=\"\"><a href=\"#grenzen-und-typische-missverstandnisse\">Grenzen und typische Missverst&#xE4;ndnisse<\/a><\/li><\/ul><\/nav><\/div>\n\n\n\n<h2 id=\"was-bedeutet-iec-62443\" class=\"wp-block-heading\">Was umfasst die IEC 62443?<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Die IEC 62443 behandelt Cybersicherheit im industriellen Umfeld. Sie richtet sich an mehrere Rollen: Betreiber von Anlagen, Integratoren von Automatisierungssystemen und Hersteller von Komponenten. Die Normenreihe trennt dabei zwischen Anforderungen an Organisationen, Systeme, Entwicklungsprozesse und einzelnen Komponenten.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Der Begriff IACS umfasst Automatisierungs- und Steuerungssysteme, die industrielle Prozesse &#xFC;berwachen, regeln oder steuern. Dazu geh&#xF6;ren etwa Steuerungen, Bedienstationen, Engineering-Systeme, Netzwerkinfrastruktur, industrielle Software und eingebettete Ger&#xE4;te. Die IEC 62443 betrachtet solche Systeme nicht nur als IT-Systeme, sondern als Bestandteile technischer Anlagen, bei denen Verf&#xFC;gbarkeit, Integrit&#xE4;t, kontrollierter Zugriff und Schutz vor Manipulation technische Folgen haben k&#xF6;nnen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">F&#xFC;r Embedded-Ger&#xE4;te und Industrieelektronik sind besonders drei Teile der Normenreihe pr&#xE4;gend:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>IEC 62443-3-2 f&#xFC;r die Security-Risikobeurteilung beim Systemdesign<\/li>\n\n\n\n<li>IEC 62443-4-1 f&#xFC;r den sicheren Produktentwicklungsprozess<\/li>\n\n\n\n<li>IEC 62443-4-2 f&#xFC;r technische Sicherheitsanforderungen an Komponenten<\/li>\n<\/ul>\n\n\n\n<div class=\"wp-block-stackable-image stk-block-image stk-block stk-d6fa40e\" data-block-id=\"d6fa40e\"><style>.stk-d6fa40e .stk-img-figcaption{text-align:center !important;}.stk-d6fa40e .stk-img-wrapper{width:null% !important;height:nullpx !important;}<\/style><figure><span class=\"stk-img-wrapper stk-image--shape-stretch\"><img loading=\"lazy\" decoding=\"async\" class=\"stk-img wp-image-2277\" src=\"https:\/\/www.pickplace.de\/wp-content\/uploads\/2026\/06\/image.png\" width=\"1049\" height=\"645\" alt=\"Diagramm der IEC 62443 Sicherheitsbausteine f&#xFC;r IACS: General, Policies, System, Component; Fokus auf embedded software.\" srcset=\"https:\/\/www.pickplace.de\/wp-content\/uploads\/2026\/06\/image.png 1049w, https:\/\/www.pickplace.de\/wp-content\/uploads\/2026\/06\/image-300x184.png 300w, https:\/\/www.pickplace.de\/wp-content\/uploads\/2026\/06\/image-1024x630.png 1024w, https:\/\/www.pickplace.de\/wp-content\/uploads\/2026\/06\/image-768x472.png 768w, https:\/\/www.pickplace.de\/wp-content\/uploads\/2026\/06\/image-18x12.png 18w\" sizes=\"auto, (max-width: 1049px) 100vw, 1049px\"\/><\/span><figcaption class=\"stk-img-figcaption\"><em>Vorl&#xE4;ufige Gliederung der IEC 62443 (Quelle: <a href=\"https:\/\/www.evs.ee\/en\/en-iec-62443-4-2-2019-praa-2026\" target=\"_blank\" rel=\"noopener\">EVS<\/a>)<\/em><\/figcaption><\/figure><\/div>\n\n\n\n<h2 id=\"wie-funktioniert-iec-62443\" class=\"wp-block-heading\">Wie funktioniert die IEC 62443?<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Die Normenreihe arbeitet risikoorientiert. Zun&#xE4;chst wird der betrachtete Gegenstand beschrieben. In der IEC 62443-3-2 wird daf&#xFC;r das System under Consideration, kurz SUC, abgegrenzt. Dieses System wird mit seiner Umgebung, seinen Schnittstellen und seiner Architektur betrachtet.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Anschlie&#xDF;end wird das System in Zonen und &#xDC;berg&#xE4;nge unterteilt. Eine Zone fasst Bestandteile mit vergleichbaren Sicherheitsanforderungen zusammen. Ein &#xDC;bergang beschreibt die Verbindung zwischen Zonen. F&#xFC;r jede Zone und jeden &#xDC;bergang werden Risiken analysiert. Dabei werden Schwachstellen, Bedrohungen, vorhandene Gegenma&#xDF;nahmen und m&#xF6;gliche Folgen betrachtet.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Aus dieser Bewertung wird ein Ziel-Sicherheitslevel abgeleitet. Dieser Security Level beschreibt, welches Schutzniveau f&#xFC;r eine Zone, einen &#xDC;bergang, ein System oder eine Komponente angestrebt wird. Der Security Level ist keine allgemeine Qualit&#xE4;tsnote. Er bezieht sich auf Bedrohungsprofile, Ressourcen und F&#xE4;higkeiten m&#xF6;glicher Angreifer sowie auf den vorgesehenen Einsatzkontext.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Bei Produkten erg&#xE4;nzt die IEC 62443-4-1 diese Sicht durch Anforderungen an den Entwicklungsprozess. Sie beschreibt, wie Hersteller Sicherheitsanforderungen erfassen, sichere Architektur- und Implementierungsentscheidungen treffen, Sicherheitspr&#xFC;fungen durchf&#xFC;hren, Schwachstellen behandeln, Updates verwalten und Sicherheitsdokumentation bereitstellen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die IEC 62443-4-2 setzt an der Komponente an. Sie beschreibt, welche technischen Sicherheitsfunktionen industrielle Komponenten bereitstellen m&#xFC;ssen, wenn sie f&#xFC;r einen bestimmten Security Level ausgelegt werden. Die Norm betrachtet dabei etwa Embedded Devices, Host Devices, Network Devices und Software Applications.<\/p>\n\n\n\n<h2 id=\"die-wichtigsten-teile-fur-produkthersteller\" class=\"wp-block-heading\">Die wichtigsten Teile der Norm f&#xFC;r Produkthersteller<\/h2>\n\n\n\n<h3 id=\"iec-62443-3-2\" class=\"wp-block-heading\">IEC 62443-3-2<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">IEC 62443-3-2 behandelt die Security-Risikobeurteilung f&#xFC;r das Systemdesign. Sie liefert eine Methode, um Sicherheitsanforderungen aus einer konkreten industriellen Architektur abzuleiten.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Der Ablauf beginnt mit der Beschreibung des betrachteten Systems. Danach werden Zonen und &#xDC;berg&#xE4;nge festgelegt. F&#xFC;r diese Bereiche werden Risiken bestimmt und bewertet. Daraus entstehen Ziel-Security-Levels und daraus abgeleitete Sicherheitsanforderungen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Typische Bedrohungen im industriellen Umfeld betreffen die Verf&#xFC;gbarkeit, Integrit&#xE4;t und Vertraulichkeit. Beispiele sind Eingriffe in Steuerungsfunktionen, blockierte sicherheitsbezogene Einrichtungen, unterdr&#xFC;ckte Warnmeldungen, ver&#xE4;nderte Messwerte, manipulierte Betriebsparameter oder ausgesp&#xE4;hte Zugangsdaten. Die IEC 62443-3-2 ordnet solche Bedrohungen nicht isoliert ein, sondern im Zusammenhang mit Systemarchitektur, Schwachstellen und bereits vorhandenen Schutzma&#xDF;nahmen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">F&#xFC;r Embedded- und Industrieelektronik ist dieser Teil der Norm bedeutsam, weil die Anforderungen an ein Ger&#xE4;t oft aus der Systemumgebung entstehen. Eine Steuerung, ein Sensor oder ein Gateway kann in einer abgeschotteten Zone andere Anforderungen haben als in einer Architektur mit direkter Verbindung zu &#xFC;bergeordneten Systemen oder externen Diensten.<\/p>\n\n\n\n<h3 id=\"zones-und-conduits-nach-iec-62443\" class=\"wp-block-heading\">Zones und Conduits<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Das Konzept der Zones and Conduits ist eines der zentralen Architekturprinzipien im Risiko-Teil. Es dient dazu, industrielle Systeme nicht als ein gro&#xDF;es, einheitliches Netzwerk zu betrachten, sondern in sicherheitstechnisch sinnvolle Bereiche aufzuteilen. Ziel ist nicht nur eine bessere &#xDC;bersicht, sondern vor allem die kontrollierte Begrenzung von Kommunikation, Zugriffen und m&#xF6;glichen Angriffsauswirkungen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Eine Zone ist eine Gruppe von Systemen, Komponenten oder Netzwerksegmenten, die aus Security-Sicht &#xE4;hnlich behandelt werden sollen. Die Systeme innerhalb einer Zone haben also vergleichbare Schutzanforderungen, &#xE4;hnliche Funktionen oder vergleichbare Risiken. Eine Zone kann zum Beispiel aus mehreren Steuerungen einer Maschine bestehen, aus einem HMI mit den zugeh&#xF6;rigen Controllern, aus einem Engineering-Netzwerk oder aus einem Bereich mit besonders kritischen Prozessfunktionen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Wichtig ist: Eine Zone ist nicht zwingend identisch mit einem IP-Subnetz, einem Schaltschrank oder einer physischen Anlage. Solche Merkmale k&#xF6;nnen bei der Definition helfen, sie sind aber nicht allein entscheidend. Eine Zone ist in erster Linie eine Security- und Architekturentscheidung. Sie beschreibt, welche Systeme gemeinsam betrachtet werden und welches Schutzprofil f&#xFC;r diese Systeme gelten soll.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ein Conduit beschreibt dagegen die Verbindung zwischen Zonen. &#xDC;ber einen Conduit findet Kommunikation zwischen zwei oder mehreren Zonen statt. Das k&#xF6;nnen physische Netzwerkverbindungen, Firewall-Regeln, VPN-Verbindungen, Remote-Access-Strecken, Protokoll&#xFC;berg&#xE4;nge oder auch Applikationsschnittstellen sein. Der Conduit ist damit nicht nur &#x201E;das Kabel&#x201C; zwischen zwei Bereichen, sondern die definierte und kontrollierte Kommunikationsbeziehung zwischen Zonen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Der entscheidende Punkt ist: Nicht jede Zone darf frei mit jeder anderen Zone kommunizieren. Stattdessen wird festgelegt, welche Kommunikation erforderlich ist, welche Protokolle genutzt werden d&#xFC;rfen, welche Systeme miteinander sprechen d&#xFC;rfen und welche Schutzma&#xDF;nahmen am &#xDC;bergang notwendig sind. Genau an diesen &#xDC;berg&#xE4;ngen entstehen die wichtigsten Security-Mechanismen einer segmentierten industriellen Architektur.<\/p>\n\n\n\n<div class=\"wp-block-stackable-image stk-block-image stk-block stk-2eb4588\" data-block-id=\"2eb4588\"><style>.stk-2eb4588 .stk-img-figcaption{text-align:center !important;font-style:italic !important;}.stk-2eb4588 .stk-img-wrapper{width:70% !important;}<\/style><figure><span class=\"stk-img-wrapper stk-image--shape-stretch\"><img loading=\"lazy\" decoding=\"async\" class=\"stk-img wp-image-2278\" src=\"https:\/\/www.pickplace.de\/wp-content\/uploads\/2026\/06\/cra-iec-62443-zone-conduit-concept.jpg\" width=\"1000\" height=\"750\" alt=\"Zonen und Conduit Modell in der IEC 62443\" srcset=\"https:\/\/www.pickplace.de\/wp-content\/uploads\/2026\/06\/cra-iec-62443-zone-conduit-concept.jpg 1000w, https:\/\/www.pickplace.de\/wp-content\/uploads\/2026\/06\/cra-iec-62443-zone-conduit-concept-300x225.jpg 300w, https:\/\/www.pickplace.de\/wp-content\/uploads\/2026\/06\/cra-iec-62443-zone-conduit-concept-768x576.jpg 768w, https:\/\/www.pickplace.de\/wp-content\/uploads\/2026\/06\/cra-iec-62443-zone-conduit-concept-16x12.jpg 16w\" sizes=\"auto, (max-width: 1000px) 100vw, 1000px\"\/><\/span><figcaption class=\"stk-img-figcaption\">Zonen und Conduit Modell in der IEC 62443<\/figcaption><\/figure><\/div>\n\n\n\n<p class=\"wp-block-paragraph\">Eine Zone kann in der Praxis zum Beispiel ein Anlagennetz sein, in dem eine oder mehrere SPSen, dezentrale I\/O-Module, Antriebe, Sensorik, Feldbusse und gegebenenfalls auch drahtlose Schnittstellen zusammengefasst werden. Die Zone beschreibt dann einen funktionalen und sicherheitstechnischen Bereich der Anlage. <\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Zonen&#xFC;berg&#xE4;nge sind die Punkte, an denen Kommunikation mit anderen Zonen m&#xF6;glich wird. Dazu z&#xE4;hlen zum Beispiel Verbindungen zu einem HMI-Netz, einem Engineering-Netzwerk, einem Leitsystem, einer Cloud-Anbindung oder einem Fernwartungszugang. Solche &#xDC;berg&#xE4;nge werden im IEC-62443-Kontext als Conduits betrachtet oder zumindest &#xFC;ber Conduits beschrieben.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Wichtig ist dabei: Auch Wartungsschnittstellen, Service-Ports, USB-Zug&#xE4;nge, drahtlose Schnittstellen, Diagnoseadapter, tempor&#xE4;re Engineering-Verbindungen oder Remote-Access-L&#xF6;sungen k&#xF6;nnen Einstiegspunkte in eine Zone sein. Aus Angreifersicht sind genau diese Punkte interessant, weil sie Kommunikation in einen gesch&#xFC;tzten Bereich erm&#xF6;glichen. Es muss somit auch dokumentiert werden, welche Kommunikationswege in die Zone hinein und aus der Zone heraus existieren, welche davon dauerhaft aktiv sind, welche nur f&#xFC;r Wartung oder Inbetriebnahme genutzt werden und welche Schutzma&#xDF;nahmen an diesen &#xDC;berg&#xE4;ngen greifen. <\/p>\n\n\n\n<h3 id=\"warum-zones-und-conduits-wichtig-sind\" class=\"wp-block-heading\">Bedeutung f&#xFC;r ICAS-Hersteller<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Hersteller von Industrieelektronik sollten im Rahmen der IEC-62443-Betrachtung fr&#xFC;h einordnen, welche Rolle ihr Device in der sp&#xE4;teren Anlagenarchitektur &#xFC;bernimmt. Ein Ger&#xE4;t kann ein Asset innerhalb einer Zone sein, zum Beispiel eine Steuerung, ein Sensor, ein Aktor, ein HMI oder ein Embedded Gateway innerhalb eines funktionalen Anlagenteils. Es kann aber auch eine &#xDC;bergangsfunktion zwischen zwei Zonen &#xFC;bernehmen, etwa wenn es Kommunikation weiterleitet, Protokolle &#xFC;bersetzt, Fernzugriff erm&#xF6;glicht, Daten in Richtung IT, Cloud oder Historian &#xFC;bertr&#xE4;gt oder als Gateway zwischen Maschinen- und Leitebene eingesetzt wird.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Diese Unterscheidung ist sicherheitstechnisch relevant. Ein Device innerhalb einer Zone muss zu den Schutzanforderungen dieser Zone passen. Ein Device im Conduit dagegen beeinflusst unmittelbar, welche Kommunikation zwischen Zonen m&#xF6;glich ist und welche Angriffswege dadurch entstehen. In diesem Fall geht es nicht nur um die Absicherung des Ger&#xE4;ts selbst, sondern auch um Zugriffskontrolle, Protokollbegrenzung, Authentisierung, Logging, Updatef&#xE4;higkeit und die Frage, ob unerw&#xFC;nschte Kommunikation zwischen Zonen verhindert werden kann.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">F&#xFC;r Hersteller bedeutet das: Die Security-Anforderungen an ein Produkt h&#xE4;ngen nicht nur von dessen Funktion ab, sondern auch von dessen architektonischer Rolle im Gesamtsystem. Ein identisches Embedded Device kann je nach Einsatzfall unterschiedlich bewertet werden. Als lokaler Teilnehmer innerhalb einer Zone gelten andere Anforderungen als bei einem Ger&#xE4;t, das zwei Netzbereiche verbindet oder Daten aus einer OT-Zone in andere Systeme &#xFC;bertr&#xE4;gt. Deshalb sollte bereits in der Produktentwicklung dokumentiert werden, f&#xFC;r welche Einsatzszenarien das Device vorgesehen ist, welche Kommunikationsbeziehungen unterst&#xFC;tzt werden und welche Schutzmechanismen an Zonengrenzen verf&#xFC;gbar sind.<\/p>\n\n\n\n<h3 id=\"iec-62443-4-1\" class=\"wp-block-heading\">IEC 62443-4-1<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">IEC 62443-4-1 beschreibt Anforderungen an einen Secure Product Development Lifecycle. Der Normteil behandelt damit den Entwicklungsprozess, nicht einzelne technische Funktionen eines Produkts.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Anforderungen sind in Praktiken gegliedert. Dazu geh&#xF6;ren Sicherheitsmanagement, Spezifikation von Sicherheitsanforderungen, sicheres Design, sichere Implementierung, Sicherheitsverifizierung und -validierung, Behandlung sicherheitsbezogener Probleme, Sicherheits-Update-Management und Sicherheitsdokumentation.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Der Ansatz entspricht dem Prinzip Security by Design. Sicherheitsanforderungen sollen in der Anforderungsanalyse, im Design, in der Implementierung, beim Test, bei der Freigabe und w&#xE4;hrend der Wartung ber&#xFC;cksichtigt werden. F&#xFC;r Hersteller von Embedded-Systemen bedeutet das etwa, dass Authentifizierung, Update-Mechanismen, Protokollierung, sichere Standardkonfigurationen oder der Umgang mit Schwachstellen nicht erst nach der Produktfreigabe betrachtet werden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die IEC 62443-4-1 verwendet au&#xDF;erdem Maturity Levels. Diese beschreiben, wie Entwicklungsprozesse umgesetzt und gesteuert werden. Die Stufen reichen von ad-hoc gepr&#xE4;gten Abl&#xE4;ufen &#xFC;ber dokumentierte und organisationsweit definierte Prozesse bis zu Prozessen, die anhand von Messgr&#xF6;&#xDF;en und R&#xFC;ckmeldungen verbessert werden.<\/p>\n\n\n\n<h3 id=\"iec-62443-4-2\" class=\"wp-block-heading\">IEC 62443-4-2<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">IEC 62443-4-2 beschreibt technische Sicherheitsanforderungen an Komponenten industrieller Automatisierungs- und Steuerungssysteme. Der Normteil betrifft einzelne Produkte, zum Beispiel Steuerungen, Sensoren, Switches, industrielle Firewalls, Gateways, Host-Systeme oder Softwareanwendungen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Norm unterscheidet Komponentenklassen wie Software Applications, Embedded Devices, Host Devices und Network Devices. Embedded Devices sind f&#xFC;r die Industrieelektronik besonders naheliegend, weil viele Steuerungs-, Mess-, Kommunikations- und Feldger&#xE4;te als eingebettete Systeme ausgef&#xFC;hrt sind.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die IEC 62443-4-2 gliedert ihre technischen Anforderungen in sieben Foundational Requirements:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Identification and Authentication Control<\/li>\n\n\n\n<li>Use Control<\/li>\n\n\n\n<li>System Integrity<\/li>\n\n\n\n<li>Data Confidentiality<\/li>\n\n\n\n<li>Restricted Data Flow<\/li>\n\n\n\n<li>Timely Response to Events<\/li>\n\n\n\n<li>Resource Availability<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Diese Anforderungen betreffen unter anderem Identifikation und Authentifizierung, Zugriffskontrolle, Schutz der Systemintegrit&#xE4;t, Vertraulichkeit von Daten, Begrenzung von Datenfl&#xFC;ssen, Reaktion auf sicherheitsbezogene Ereignisse und Verf&#xFC;gbarkeit von Ressourcen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die IEC 62443-4-2 steht in enger Beziehung zur IEC 62443-4-1. Eine Komponente, die Konformit&#xE4;t mit IEC 62443-4-2 beansprucht, muss nach einem Entwicklungsprozess erstellt worden sein, der IEC 62443-4-1 entspricht. Technische Sicherheitsfunktionen und Entwicklungsprozess werden damit zusammen betrachtet.<\/p>\n\n\n\n<h2 id=\"verwendungsrahmen-der-iec-62443\" class=\"wp-block-heading\">Verwendungsrahmen der IEC 62443<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">IEC 62443 wird in industriellen Automatisierungsumgebungen verwendet. Dazu z&#xE4;hlen Fertigungsanlagen, Prozessanlagen, Energieversorgung, Maschinen, industrielle Netzwerke, Steuerungstechnik und Systeme mit IT-OT-Kopplung.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Bei Betreibern unterst&#xFC;tzt die Normenreihe die Strukturierung von Schutzma&#xDF;nahmen f&#xFC;r Anlagen und Steuerungssysteme. Bei Integratoren hilft sie, Systeme in Zonen und &#xDC;berg&#xE4;nge aufzuteilen und Sicherheitsanforderungen in Architekturentscheidungen zu &#xFC;berf&#xFC;hren. Bei Herstellern dient sie als Bezugsrahmen f&#xFC;r Entwicklungsprozesse und technische Sicherheitsfunktionen von Komponenten.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">F&#xFC;r Industrieelektronik entsteht der Bezug h&#xE4;ufig &#xFC;ber Komponentenanforderungen. Ein IIoT-Gateway, eine industrielle Firewall, eine speicherprogrammierbare Steuerung oder ein Condition-Monitoring-Sensor kann Funktionen enthalten, die nach IEC 62443-4-2 bewertet werden. Bei IIoT-Komponenten kommen zus&#xE4;tzliche Fragen hinzu, weil solche Ger&#xE4;te oft mit Cloud-Diensten kommunizieren, mehrere Funktionen in einem Ger&#xE4;t b&#xFC;ndeln oder &#xFC;ber Netzwerkschnittstellen dauerhaft erreichbar sind.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">IEC 62443 trennt zwischen Systembetrachtung, Prozessanforderungen und technischen Komponentenanforderungen. Diese Trennung verhindert, dass eine einzelne Komponente ohne Kenntnis ihrer Umgebung pauschal als ausreichend gesch&#xFC;tzt betrachtet wird.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Normenreihe verwendet Security Levels. Diese Levels beschreiben das angestrebte Schutzniveau bezogen auf Bedrohungen und Einsatzkontext. Ein h&#xF6;herer Security Level ist nicht automatisch f&#xFC;r jedes Produkt oder jede Zone erforderlich. Die Auswahl entsteht aus der Risikobeurteilung.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Zonen und &#xDC;berg&#xE4;nge bilden ein Architekturmodell f&#xFC;r industrielle Systeme. Sie helfen, Kommunikationsbeziehungen, Schutzbedarf und technische Ma&#xDF;nahmen r&#xE4;umlich oder logisch zu strukturieren.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">F&#xFC;r Hersteller verbindet die Normenreihe Entwicklungsprozess und Produktfunktion. Die IEC 62443-4-1 beschreibt, wie sichere Produkte entwickelt werden. Die IEC 62443-4-2 beschreibt, welche Sicherheitsfunktionen Komponenten bereitstellen m&#xFC;ssen.<\/p>\n\n\n\n<h2 id=\"grenzen-und-typische-missverstandnisse\" class=\"wp-block-heading\">Grenzen und typische Missverst&#xE4;ndnisse<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Ein h&#xE4;ufiges Missverst&#xE4;ndnis besteht darin, IEC 62443 als reine Checkliste zu behandeln. Die Normenreihe verlangt eine Betrachtung von Systemgrenzen, Einsatzkontext, Architektur, Bedrohungen und Entwicklungsprozessen. Ohne Risikobeurteilung l&#xE4;sst sich ein Security Level nicht fachgerecht begr&#xFC;nden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ein weiteres Missverst&#xE4;ndnis betrifft Security Levels. Sie beschreiben kein allgemeines G&#xFC;tesiegel. Sie beziehen sich auf definierte Bedrohungsannahmen und Anforderungen. Eine Komponente mit einem bestimmten Security Level kann in einem anderen Systemkontext zus&#xE4;tzliche Ma&#xDF;nahmen ben&#xF6;tigen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Bei regulatorischen Anforderungen kann IEC 62443 eine Grundlage bilden, sie deckt aber nicht automatisch jeden Rechtsrahmen vollst&#xE4;ndig ab. In den Quellen wird etwa beschrieben, dass IEC 62443-4-1 prozessuale Anforderungen des <a href=\"https:\/\/www.pickplace.de\/cyber-resilience-act\/\" data-type=\"page\" data-id=\"1867\">Cyber Resilience Act<\/a> unterst&#xFC;tzen kann, f&#xFC;r technische Anforderungen aber weitere Normen erforderlich sein k&#xF6;nnen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Genau dieser Aspekt wird immer wieder missverstanden, wenn Hersteller IEC 62443 als direkten Nachweis f&#xFC;r ein &#x201E;cyber-sicheres Produkt&#x201C; zu verstehen. Die Normenreihe beschreibt jedoch vor allem Prozesse, Rollen, Verantwortlichkeiten und Vorgehensweisen zur Entwicklung, Integration und zum Betrieb sicherer industrieller Systeme. Sie ist damit eher ein Management-System als eine Anforderungsdeokument.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ein Hersteller kann sich beispielsweise attestieren oder zertifizieren lassen, dass seine Entwicklungsprozesse nach IEC 62443 ausgerichtet sind. Das bedeutet aber zun&#xE4;chst nur, dass bestimmte organisatorische und technische Entwicklungsprozesse definiert, dokumentiert und angewendet werden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Der <a href=\"https:\/\/www.tuvsud.com\/de-de\/dienstleistungen\/produktpruefung-und-produktzertifizierung\/zertifizierung-nach-iec62443\" target=\"_blank\" rel=\"noopener\">T&#xDC;V S&#xFC;d<\/a> bietet explizit folgendes Leistungsspektrum an.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Produkthersteller<\/strong>&#xA0;k&#xF6;nnen sich nach IEC 62443-4-1 (sichere Produktentwicklung) zertifizieren lassen.&#xA0;<\/li>\n\n\n\n<li><strong>Integratoren und Dienstleister<\/strong>&#xA0;k&#xF6;nnen ein Zertifikat nach IEC 62443-2-4 (Sicherheitsprogramm von Dienstleistern) erhalten.&#xA0;<\/li>\n\n\n\n<li><strong>F&#xFC;r Betreiber<\/strong>&#xA0;werden Zertifizierungen nach IEC 62443-2-1 angeboten<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Daraus folgt nicht automatisch, dass jedes Produkt dieses Herstellers cyber-sicher ist oder in jeder Anlage sicher eingesetzt werden kann. <\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ein Produkt kann nach einem IEC-62443-konformen Entwicklungsprozess entstanden sein und trotzdem Schwachstellen enthalten, f&#xFC;r den konkreten Einsatzfall falsch konfiguriert sein oder nicht zu den Schutzanforderungen einer bestimmten Zone passen. <\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Eine Hersteller- oder Lieferantenattestierung ist f&#xFC;r Integratoren damit ein hilfreicher Nachweis, ersetzt aber nicht die eigene Risikoanalyse und auch nicht die Pr&#xFC;fung, ob das konkrete Device zur vorgesehenen Zone oder zum vorgesehenen Conduit passt. Umgekehrt sollten Hersteller klar dokumentieren, was ihre Produkte tats&#xE4;chlich leisten: Welche Schnittstellen sind vorhanden? Welche Security-Funktionen werden unterst&#xFC;tzt? Welche Annahmen gelten f&#xFC;r den Betrieb? Welche Konfigurationen sind sicherheitsrelevant? Welche Anforderungen m&#xFC;ssen durch den Betreiber oder Integrator erf&#xFC;llt werden?<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">IEC 62443 ist damit kein G&#xFC;tesiegel, das ein Produkt pauschal sicher macht. Sie ist ein Rahmenwerk, mit dem Security systematisch behandelt werden kann. Der eigentliche Sicherheitsnachweis entsteht aber erst im konkreten Kontext: f&#xFC;r ein bestimmtes Produkt, eine bestimmte Systemarchitektur, eine bestimmte Bedrohungslage und einen definierten Betrieb.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>IEC 62443 ist eine internationale Normenreihe f\u00fcr die Cybersicherheit industrieller Automatisierungs- und Steuerungssysteme. Sie beschreibt Begriffe, Modelle, Prozesse und technische Anforderungen f\u00fcr Industrial Automation and Control Systems, kurz IACS. F\u00fcr Embedded-Systeme und Industrieelektronik ist sie vor allem dort ma\u00dfgeblich, wo Steuerungen, Sensoren, Gateways, Industrie-PCs, Netzwerkger\u00e4te oder Softwarekomponenten in Produktionsanlagen eingesetzt werden. Was umfasst die IEC [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"menu_order":0,"template":"","meta":{"footnotes":""},"class_list":["post-2274","glossary","type-glossary","status-publish","hentry"],"blocksy_meta":[],"_links":{"self":[{"href":"https:\/\/www.pickplace.de\/de\/wp-json\/wp\/v2\/glossary\/2274","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.pickplace.de\/de\/wp-json\/wp\/v2\/glossary"}],"about":[{"href":"https:\/\/www.pickplace.de\/de\/wp-json\/wp\/v2\/types\/glossary"}],"author":[{"embeddable":true,"href":"https:\/\/www.pickplace.de\/de\/wp-json\/wp\/v2\/users\/1"}],"version-history":[{"count":3,"href":"https:\/\/www.pickplace.de\/de\/wp-json\/wp\/v2\/glossary\/2274\/revisions"}],"predecessor-version":[{"id":2279,"href":"https:\/\/www.pickplace.de\/de\/wp-json\/wp\/v2\/glossary\/2274\/revisions\/2279"}],"wp:attachment":[{"href":"https:\/\/www.pickplace.de\/de\/wp-json\/wp\/v2\/media?parent=2274"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}