Eine der häufigsten Fragen, die Hersteller bei der Arbeit mit der IEC 62443 stellen: „Welches Security Level muss unser Produkt erfüllen?” Die kurze Antwort: Das entscheiden nicht Sie allein. Die längere Antwort erfordert ein Verständnis davon, wie Security Levels in der IEC 62443 tatsächlich funktionieren, und warum die Frage nach „dem einen Level” bereits in die falsche Richtung führt.
Dieser Artikel nimmt bewusst die Entscheidungsperspektive ein: Wie leiten Sie als Hersteller das passende Security Level für Ihr Produkt ab? Wenn Sie zunächst verstehen möchten, was die einzelnen Security Levels inhaltlich bedeuten und wie man sie technisch erreicht, lesen Sie ergänzend unseren Grundlagenartikel Security Level in IEC 62443: Was sie bedeuten und wie man sie erreicht.
Inhalt
ToggleSecurity Levels sind kein Pauschalwert
Ein weit verbreitetes Missverständnis: Ein Produkt hat ein Security Level, ähnlich wie eine IP-Schutzklasse oder eine SIL-Einstufung. In der Praxis ist das Security Level in der IEC 62443 jedoch kein einzelner Wert, sondern ein Vektor. Das bedeutet: Für unterschiedliche Sicherheitsaspekte (etwa Authentifizierung, Integritätsschutz oder Verfügbarkeit) können unterschiedliche Stufen gelten.
Grundlage sind die sieben Foundational Requirements (FR), die in der IEC 62443 als Fundament aller Sicherheitsanforderungen dienen:
- FR 1: Identifikation und Authentifizierung (IAC)
- FR 2: Nutzungskontrolle (UC)
- FR 3: Systemintegrität (SI)
- FR 4: Vertraulichkeit (DC)
- FR 5: Eingeschränkter Datenfluss (RDF)
- FR 6: Rechtzeitige Reaktion auf Ereignisse (TRE)
- FR 7: Verfügbarkeit der Ressourcen (RA)
Für jedes dieser Foundational Requirements wird das Security Level separat bestimmt. Die konkreten technischen Anforderungen an Komponenten stehen in der IEC 62443-4-2, die entsprechenden Anforderungen an Systeme in der IEC 62443-3-3. Ein Produkt kann also beispielsweise für Authentifizierung SL 3 benötigen, für Vertraulichkeit aber nur SL 1, je nachdem, welche Bedrohungen im konkreten Einsatzkontext relevant sind.
Wer legt das Security Level fest?
Hier liegt der zweite zentrale Punkt, den viele Hersteller zunächst überrascht: Das Security Level wird nicht vom Hersteller definiert, sondern ergibt sich aus dem Einsatzkontext beim Betreiber. Die IEC 62443 unterscheidet dabei drei Perspektiven auf Security Levels:
- SL-T (Target): Das Ziel-Security-Level, das der Betreiber für seine Anlage oder Zone definiert. Es basiert auf einer Bedrohungs- und Risikoanalyse des konkreten Einsatzumfelds. Ein Sensor in einem öffentlich zugänglichen Gebäude hat andere Anforderungen als derselbe Sensor in einer abgeschotteten Produktionsanlage.
- SL-C (Capability): Das Security Level, das eine Komponente oder ein System technisch leisten kann. Das ist die Hersteller-Perspektive: Welche Sicherheitsfunktionen sind im Produkt implementiert?
- SL-A (Achieved): Das tatsächlich erreichte Security Level im laufenden Betrieb, abhängig von Konfiguration, Integration und organisatorischen Maßnahmen.
Für Hersteller ist die Unterscheidung zwischen SL-T und SL-C entscheidend: Der Betreiber definiert über SL-T, was er braucht. Der Hersteller muss mit SL-C nachweisen, was sein Produkt leisten kann. Die Aufgabe des Herstellers ist es, Produkte zu entwickeln, die ein bestimmtes Capability Level erreichen, damit Betreiber sie in entsprechenden Zonen einsetzen können.
Was unterscheidet SL 1 bis SL 4?
Die vier Security Levels beschreiben aufsteigende Bedrohungsszenarien und den damit verbundenen Schutzaufwand. Maßgeblich ist dabei das angenommene Angreiferprofil aus Mitteln, Ressourcen, Fähigkeiten und Motivation:
| Security Level | Bedrohung / Angreifer | Ressourcen | Know-how und Motivation | Typische Umgebung |
|---|---|---|---|---|
| SL 1 | Schutz gegen zufällige oder versehentliche Verletzung | gering | keine besonderen | Umgebungen mit geringem Bedrohungspotenzial |
| SL 2 | Absichtlicher Zugriff mit einfachen Mitteln | gering | generische Fähigkeiten, geringe Motivation | viele industrielle Anwendungen |
| SL 3 | Absichtlicher Zugriff mit fortgeschrittenen Mitteln | moderat | IACS-spezifische Fähigkeiten, mittlere Motivation | Anlagen mit erhöhtem Schutzbedarf |
| SL 4 | Absichtlicher Zugriff mit fortgeschrittenen Mitteln | umfangreich | IACS-spezifische Fähigkeiten, hohe Motivation | kritische Infrastrukturen |
Der Sprung zwischen den Levels ist nicht linear. Von SL 1 auf SL 2 sind die zusätzlichen Anforderungen überschaubar. Von SL 2 auf SL 3 steigt der Entwicklungs- und Nachweisaufwand erheblich. SL 4 ist in der Praxis nur für einen sehr kleinen Anteil von Produkten relevant, typischerweise im Umfeld kritischer Infrastrukturen.
Was bedeutet das für Hersteller?
Die zentrale Erkenntnis: Sie können das Security Level Ihres Produkts nicht isoliert festlegen. Es ergibt sich aus der Frage, in welchen Einsatzumgebungen Ihr Produkt verwendet werden soll, und welche Bedrohungsszenarien dort realistisch sind. Das hat konkrete Konsequenzen für die Produktentwicklung:
- Zielmärkte verstehen. Sie müssen wissen, welche Märkte und Einsatzszenarien Sie adressieren. Ein Hersteller, dessen Komponenten ausschließlich in unkritischen Gebäudeautomationssystemen landen, hat andere Anforderungen als ein Hersteller, der Steuerungen für Energieversorger liefert.
- Nicht einmalig, sondern dauerhaft. Das Security Level ist keine Entscheidung, die einmal getroffen und dann vergessen wird. Ändert sich der Einsatzkontext oder verschärft ein Betreiber seine Anforderungen, muss das Produkt mitziehen können, sonst passt es nicht mehr in die vorgesehene Zone.
- Capability Level bestimmt den Aufwand. Das angestrebte Capability Level bestimmt den Entwicklungsaufwand. Welche kryptografischen Verfahren sind nötig? Welche Authentifizierungsmechanismen? Welche Logging- und Monitoring-Fähigkeiten? All das hängt direkt am Ziel-SL.
Wer die IEC 62443 als Grundlage für die Erfüllung des Cyber Resilience Act nutzt, findet die Einordnung in unserem Artikel IEC 62443 als Grundlage für die Umsetzung des Cyber Resilience Acts.
Fazit
Die Frage „Welches Security Level braucht mein Produkt?” lässt sich nicht mit einer einzelnen Zahl beantworten. Security Levels in der IEC 62443 sind ein Vektor, der sich aus dem Einsatzkontext, den Bedrohungsszenarien und den spezifischen Foundational Requirements zusammensetzt. Für Hersteller bedeutet das: Wer seine Zielmärkte und die dort typischen Betreiberanforderungen kennt, kann das passende Capability Level ableiten und gezielt in die richtigen Sicherheitsfunktionen investieren.




Kommentar hinzufügen