IEC 62443, Glossar zur Energieindustrie und Energiewende

IEC 62443 ist eine internationale Normenreihe für die Cybersicherheit industrieller Automatisierungs- und Steuerungssysteme. Gemeint sind Systeme, die technische Prozesse überwachen, steuern oder absichern, etwa Netzleitsysteme, Schutz- und Steuergeräte in Umspannwerken, Kraftwerksleittechnik, industrielle Steuerungen, Fernwirktechnik oder Anlagensteuerungen von Speichern und Erzeugungsanlagen. Im Stromsystem betrifft IEC 62443 damit vor allem den Bereich der operativen Technik, häufig als OT bezeichnet, im Unterschied zur klassischen Büro-IT.

Die Normenreihe beschreibt keine einzelne technische Maßnahme, sondern ein Modell für Rollen, Prozesse, Sicherheitsanforderungen und Systemarchitekturen. Sie richtet sich an Betreiber, Systemintegratoren, Hersteller und Dienstleister. Diese Aufteilung ist wesentlich, weil industrielle Cybersicherheit selten an einer einzelnen Stelle entsteht. Ein Netzbetreiber kann sichere Betriebsprozesse einführen, bleibt aber abhängig von den Eigenschaften der eingesetzten Komponenten. Ein Hersteller kann sichere Produkte entwickeln, kennt aber nicht jede spätere Anlagenarchitektur. Ein Integrator verbindet Komponenten zu einem lauffähigen System und schafft dabei Schnittstellen, Berechtigungen und Kommunikationswege, die sicherheitsrelevant werden.

IEC 62443 verwendet dafür den Begriff Industrial Automation and Control Systems, kurz IACS. Dazu gehören nicht nur speicherprogrammierbare Steuerungen, Schutzgeräte oder Bedienoberflächen, sondern auch Server, Engineering-Stationen, Netzwerktechnik, Fernwartungszugänge, Protokollkonverter und die Kommunikationsbeziehungen zwischen ihnen. Der Begriff ist weiter als einzelne Leittechnik und enger als allgemeine Unternehmens-IT. Er beschreibt den Bereich, in dem digitale Systeme unmittelbar auf physische Prozesse wirken.

Zonen, Conduits und Sicherheitsniveaus

Ein zentrales Element der IEC 62443 ist die Einteilung einer Anlage in Zonen und Conduits. Eine Zone fasst Systeme zusammen, die ein vergleichbares Schutzbedürfnis haben und ähnlich behandelt werden können. Ein Conduit beschreibt die kontrollierte Verbindung zwischen solchen Zonen. In einem Umspannwerk kann eine Zone etwa aus Schutz- und Steuergeräten bestehen, eine andere aus einer Stationsbedienung, eine weitere aus Fernwirkverbindungen zum Netzleitsystem. Zwischen ihnen liegen definierte Kommunikationswege mit bestimmten Regeln, etwa Protokollfilterung, Authentisierung, Protokollierung oder Fernzugriffsbeschränkung.

Diese Denkweise unterscheidet sich von einer rein produktbezogenen Sicherheitsbetrachtung. Eine Komponente kann für sich genommen robuste Sicherheitsfunktionen besitzen und trotzdem in einer unsicheren Architektur betrieben werden. Umgekehrt kann eine ältere Komponente ohne moderne Kryptografie in einer streng begrenzten Zone mit kontrollierten Verbindungen vertretbar betrieben werden, wenn Risiko, Prozessbedeutung und Schutzmaßnahmen sauber bewertet wurden. IEC 62443 zwingt damit zu einer Architekturbetrachtung: Welche Systeme dürfen miteinander sprechen, welche Funktionen sind betrieblich notwendig, welche Pfade wären für einen Angriff nutzbar, und welche Auswirkungen hätte ein Ausfall oder eine Manipulation?

Die Norm arbeitet außerdem mit Security Levels. Diese Sicherheitsniveaus beschreiben, gegen welche Art von Angreiferfähigkeit ein System geschützt werden soll oder welche Sicherheitsfähigkeit ein Produkt besitzt. Ein Security Level ist keine allgemeine Güteklasse wie „sicher“ oder „unsicher“. Er ergibt erst im Zusammenhang mit einer Risikobewertung Sinn. Ein lokales Bediengerät in einer abgeschotteten Zone kann ein anderes Zielniveau haben als ein zentraler Fernwartungszugang oder eine Verbindung zwischen Netzleitstelle und Umspannwerk. Die relevante Frage lautet nicht, ob überall das höchste Niveau erreicht wird, sondern welches Sicherheitsniveau für welche Funktion, welche Exposition und welche Schadensfolge erforderlich ist.

Abgrenzung zu ISO 27001, BSI-Vorgaben und Produktzertifikaten

IEC 62443 wird häufig mit allgemeinen Informationssicherheitsstandards verwechselt. ISO/IEC 27001 beschreibt ein Informationssicherheits-Managementsystem für Organisationen. Sie regelt, wie Risiken systematisch erfasst, Verantwortlichkeiten festgelegt, Maßnahmen kontrolliert und Verbesserungen organisiert werden. IEC 62443 ist näher an industriellen Anlagen, Steuerungssystemen und technischen Architekturen. Beide Ansätze können sich ergänzen: Ein Betreiber kann ein Managementsystem nach ISO 27001 nutzen und für seine OT-Umgebung Anforderungen und Architekturen nach IEC 62443 konkretisieren.

Auch nationale Vorgaben, etwa aus dem BSI-Umfeld, KRITIS-Regeln oder Anforderungen aus NIS2, sind nicht dasselbe wie IEC 62443. Sie definieren rechtliche Pflichten, Nachweisanforderungen oder Mindeststandards für bestimmte Betreibergruppen. IEC 62443 liefert dafür technische und organisatorische Begriffe, mit denen sich OT-Sicherheit in Anlagenplanung, Beschaffung, Betrieb und Wartung übersetzen lässt. Die Norm ersetzt keine regulatorische Pflicht, sie kann aber helfen, diese fachlich belastbar umzusetzen.

Ein weiteres Missverständnis betrifft Zertifikate. Ein nach IEC 62443 entwickeltes oder zertifiziertes Produkt macht eine Anlage nicht automatisch sicher. Ein Produktzertifikat kann belegen, dass bestimmte Entwicklungsprozesse eingehalten wurden oder dass eine Komponente definierte Sicherheitsfunktionen besitzt. Die konkrete Sicherheit einer Anlage hängt aber von Parametrierung, Netzsegmentierung, Benutzerverwaltung, Protokollierung, Patch-Prozessen, Fernwartung, Backup-Konzepten und betrieblichen Notfallverfahren ab. IEC 62443 ist daher kein Gütesiegel, das die Systemverantwortung ersetzt.

Bedeutung im Stromsystem

Im Stromsystem hat Cybersicherheit eine besondere Qualität, weil digitale Angriffe technische Wirkungen auslösen können. Eine manipulierte Schalthandlung, eine verfälschte Messwertübertragung oder der Ausfall eines Leitsystems betrifft nicht nur Datenvertraulichkeit. Betroffen sein können Netzbetrieb, Anlagensicherheit, Versorgungssicherheit und Wiederaufbauprozesse nach Störungen. Bei Leittechnik zählt deshalb neben Vertraulichkeit vor allem Integrität und Verfügbarkeit: Messwerte müssen stimmen, Befehle müssen autorisiert sein, Schutzfunktionen müssen zuverlässig arbeiten, und Bedienpersonal muss im Störungsfall handlungsfähig bleiben.

Die Relevanz steigt mit der stärkeren Vernetzung des Energiesystems. Dezentrale Erzeugungsanlagen, steuerbare Verbrauchseinrichtungen, Batteriespeicher, Ladeinfrastruktur, Direktvermarktung, Redispatch-Prozesse und digitale Netzführung erzeugen mehr Kommunikationsbeziehungen. Diese Verbindungen sind betrieblich nützlich, können aber neue Angriffswege eröffnen. IEC 62443 hilft, solche Verbindungen nicht als nachträgliches IT-Problem zu behandeln, sondern als Teil der technischen Systemgestaltung. Wer eine Anlage ausschreibt, muss Sicherheitsanforderungen früh festlegen, sonst entstehen spätere Abhängigkeiten von proprietären Schnittstellen, unsicheren Fernwartungswegen oder nicht patchbaren Altkomponenten.

Das betrifft auch die wirtschaftliche Seite. Sicherheitsanforderungen beeinflussen Beschaffung, Lieferantenwahl, Integrationsaufwand, Inbetriebnahme, Wartungsfenster und Lebenszykluskosten. Eine scheinbar günstige Steuerung kann teuer werden, wenn sie keine rollenbasierte Benutzerverwaltung unterstützt, Sicherheitsupdates nicht planbar sind oder Protokolle nur über unsichere Übergangslösungen angebunden werden können. IEC 62443 macht solche Kosten nicht verschwinden, sie macht sie früher sichtbar. Damit verschiebt sich die Betrachtung von nachträglicher Absicherung zu sicherheitsgerechter Planung.

Typische Fehlinterpretationen

Eine verbreitete Verkürzung besteht darin, OT-Sicherheit wie klassische IT-Sicherheit zu behandeln. In Büro-IT-Systemen können Patches oft vergleichsweise schnell verteilt, Endgeräte ersetzt oder Dienste kurzfristig abgeschaltet werden. In industriellen Anlagen gelten andere Randbedingungen. Steuerungen haben lange Lebenszyklen, Anlagen dürfen nur in bestimmten Zeitfenstern verändert werden, und Änderungen müssen getestet werden, weil ein fehlerhaftes Update die Prozessführung beeinträchtigen kann. Sicherheitsmaßnahmen müssen deshalb mit Betriebssicherheit, Arbeitsschutz, Anlagenverfügbarkeit und technischen Zulassungen zusammenpassen.

Ebenso ungenau ist die Gleichsetzung von Netzwerksegmentierung mit Sicherheit. Segmentierung ist wichtig, aber nur wirksam, wenn die Übergänge kontrolliert, dokumentiert und betrieben werden. Ein Firewall-Regelwerk, das nach mehreren Erweiterungen niemand mehr fachlich verantwortet, kann die Architektur eher verschleiern als schützen. IEC 62443 verlangt deshalb nicht nur technische Barrieren, sondern auch Zuständigkeiten, Änderungsprozesse und regelmäßige Überprüfung.

Ein weiterer Fehler liegt in der Annahme, Cybersicherheit betreffe vor allem externe Angriffe aus dem Internet. In OT-Umgebungen entstehen Risiken auch über Wartungslaptops, Wechseldatenträger, Dienstleisterzugänge, Fehlkonfigurationen, unklare Benutzerrechte, alte Engineering-Software oder nicht dokumentierte Verbindungen zwischen Anlagenbereichen. Für das Stromsystem sind diese Pfade relevant, weil viele kritische Funktionen über gewachsene Infrastrukturen betrieben werden. Die Ursache liegt häufig nicht in einer einzelnen Schwachstelle, sondern in der Art, wie Anlagen über Jahre erweitert, modernisiert und mit neuen betrieblichen Anforderungen verbunden werden.

Rollen und Verantwortung

IEC 62443 ordnet Sicherheit entlang von Rollen. Betreiber verantworten den sicheren Betrieb und müssen Risiken bewerten, Zonen festlegen, Prozesse etablieren und Anforderungen an Lieferanten formulieren. Hersteller müssen Produkte so entwickeln, dass Sicherheitsfunktionen, Schwachstellenmanagement und sichere Entwicklungsprozesse nachvollziehbar sind. Integratoren müssen aus Komponenten eine Architektur bauen, die den vorgesehenen Schutzbedarf erfüllt. Dienstleister, etwa für Fernwartung oder Betrieb, werden Teil des Sicherheitsmodells, sobald sie Zugriff auf Systeme oder Informationen erhalten.

Diese Rollentrennung ist für kritische Infrastruktur besonders wichtig. Ein Netzbetreiber kann Sicherheitsanforderungen nicht vollständig an Lieferanten auslagern, weil die Auswirkungen eines Vorfalls im eigenen Netzbetrieb entstehen. Hersteller können nicht jede Einsatzumgebung absichern, wenn Betreiber unsichere Verbindungen einrichten oder Standardkonten nicht deaktivieren. Integratoren können technische Lösungen liefern, brauchen aber klare Vorgaben zu Schutzbedarf, Betriebsprozessen und zulässigen Kommunikationsbeziehungen. Der Konflikt entsteht dort, wo technische Möglichkeit, Marktregel und politische Zuständigkeit auseinanderfallen.

IEC 62443 präzisiert Cybersicherheit im Stromsystem, indem sie die Verbindung zwischen Risiko, Architektur, Produktanforderung und Betrieb herstellt. Der Begriff steht für eine Arbeitsweise, bei der industrielle Sicherheit nicht als Zusatzfunktion einzelner Geräte verstanden wird, sondern als geplante Eigenschaft einer Anlage über ihren Lebenszyklus. Wer IEC 62443 sinnvoll verwendet, spricht daher nicht nur über Normkonformität, sondern über nachvollziehbare Sicherheitsziele, klare Zonen, kontrollierte Verbindungen, belastbare Zuständigkeiten und die Fähigkeit, kritische technische Prozesse auch unter digitalen Störbedingungen beherrschbar zu halten.