Was regelt die IEC 62443?
Die IEC 62443 ist der internationale Standard für Cybersecurity in industriellen Automatisierungssystemen. Sie definiert Zonenmodelle, Security-Levels und Anforderungen an Hersteller, Integratoren und Betreiber — und wird zunehmend zur Voraussetzung für den Marktzugang industrieller Produkte.
IEC 62443 umsetzen: DevSecOps & OT-SecurityDie IEC 62443 ist die international maßgebliche Normenreihe für Cybersecurity in industriellen Automatisierungs- und Steuerungssystemen (IACS). Anders als generische IT-Sicherheitsstandards berücksichtigt sie die Besonderheiten von Operational Technology: lange Lebenszyklen, Echtzeitanforderungen, Verfügbarkeit als oberste Priorität und die Tatsache, dass ein Sicherheitsvorfall hier physische Folgen haben kann. Die Reihe adressiert mehrere Rollen — Betreiber, Integratoren und Produkthersteller — mit jeweils eigenen Anforderungen.
Zentrale Konzepte sind das Zonen- und Conduit-Modell sowie die Security Levels (SL 1 bis SL 4). Eine Anlage wird in Sicherheitszonen segmentiert, die über definierte, kontrollierte Übergänge (Conduits) kommunizieren. Jeder Zone wird ein Security Level zugewiesen, der den Schutzbedarf gegen unterschiedlich motivierte und ausgestattete Angreifer beschreibt. Dieses Modell ist die Grundlage dafür, wie OT-Netze segmentiert und CI/CD-Deployments in diese Netze hinein abgesichert werden.
Für Industrial DevOps ist die IEC 62443 deshalb hochrelevant: Eine Pipeline, die Software in OT-Zielsysteme deployt, muss die Zonensegmentierung respektieren statt sie aufzuweichen. Das gelingt etwa über OT-Proxy-Agents in der Fertigungs-DMZ, die Deployment-Befehle kontrolliert über Conduits weiterleiten, mit Zertifikats-Authentifizierung absichern und jede Aktion protokollieren. Zunehmend wird die Norm zur Voraussetzung für den Marktzugang industrieller Produkte.
Typische Stolpersteine: Die Norm wird als reines Netzwerk-Thema missverstanden, obwohl sie ebenso sichere Entwicklungsprozesse (IEC 62443-4-1) und Produkteigenschaften (4-2) adressiert. Oder Unternehmen streben pauschal einen hohen Security Level an, ohne eine Risikobetrachtung pro Zone vorzunehmen — was Aufwand erzeugt, ohne den Schutz dort zu verbessern, wo er wirklich nötig ist.
Zonengerechtes Deployment über OT-Proxy-Agent
Ein Anlagenbetreiber deployt SPS-nahe Software über einen Agent in der Fertigungs-DMZ, der die Conduit-Übergänge respektiert, Befehle über TLS mit Zertifikats-Auth weiterleitet und jede Aktion auditierbar protokolliert — die Segmentierung nach IEC 62443 bleibt intakt.
Sicherer Entwicklungsprozess nach IEC 62443-4-1
Ein Steuerungshersteller belegt mit einer DevSecOps-Pipeline (Secret-Scanning, SCA, SBOM, dokumentierte Reviews) den geforderten sicheren Entwicklungslebenszyklus und nutzt die automatisch erzeugten Artefakte als Nachweis im Zertifizierungsaudit.
- Was bedeuten die Security Levels SL 1 bis SL 4?
- Sie beschreiben den Schutzbedarf gegen zunehmend fähige Angreifer: SL 1 gegen zufällige oder versehentliche Verstöße, SL 2 gegen einfache absichtliche Angriffe, SL 3 gegen Angreifer mit spezifischem IACS-Wissen und SL 4 gegen Angreifer mit hohem Aufwand und erheblichen Ressourcen. Das Ziel-Level wird pro Zone aus einer Risikobetrachtung abgeleitet.
- Wer in der Lieferkette muss die IEC 62443 erfüllen?
- Die Norm verteilt Verantwortung auf drei Rollen: Produkthersteller (sichere Komponenten, 4-1 und 4-2), Systemintegratoren (sichere Lösung aus Komponenten) und Betreiber (sicherer Betrieb über den Lebenszyklus). Jede Rolle hat eigene Teile der Reihe, die ineinandergreifen.
- Wie verhält sich die IEC 62443 zu NIS2 und zum Cyber Resilience Act?
- Sie ergänzen sich: NIS2 und der CRA setzen regulatorische Pflichten, die IEC 62443 liefert den technisch-organisatorischen Rahmen, um diese im industriellen Kontext umzusetzen. In der Praxis wird die Norm häufig als anerkannter Stand der Technik herangezogen, um die Konformität mit den gesetzlichen Vorgaben zu belegen.
- Was ist der Unterschied zwischen IEC 62443 und ISO 27001?
- ISO 27001 beschreibt ein generisches Informationssicherheits-Managementsystem (ISMS) für die klassische IT und ist branchenneutral. Die IEC 62443 ist speziell auf industrielle Automatisierungs- und Steuerungssysteme (OT) zugeschnitten und berücksichtigt deren Besonderheiten — Verfügbarkeit als oberste Priorität, Echtzeit, lange Lebenszyklen, physische Folgen. In OT-Umgebungen ist die IEC 62443 daher die passendere Referenz, beide lassen sich aber kombinieren.
Erstgespräch.
Kostenlos.
90 Tage zum Ergebnis.
Wir klären gemeinsam, wie Sie in 90 Tagen die ersten messbaren Industrial-DevOps-Erfolge erzielen.
Industrie · Automotive · Finance