Wer ein industrielles Automatisierungs- und Steuerungssystem (IACS) gegen Cyberbedrohungen absichert, kommt an der IEC 62443-3-3 nicht vorbei. Sie liefert die technischen Systemanforderungen, gegen die ein Maschinen- oder Anlagensystem gemessen wird, und ordnet diese den vier Security Levels (SL 1 bis SL 4) zu. Mit dem Cyber Resilience Act (CRA) und der neuen Maschinenverordnung wird ihre Rolle doppelt relevant: Über die EN 50742 ist die IEC 62443-3-3 zugleich der zentrale Brückenstandard in die Welt der Maschinensicherheit.
Die IEC 62443-3-3 legt die technischen Systemanforderungen (SR) für Steuerungssysteme fest, leitet daraus die System-Capability-Security-Levels (SL-C) ab und richtet sich primär an Asset Owner, Systemintegratoren und Produkthersteller im Umfeld der industriellen Automatisierung.
Im Maschinen- und Anlagenbau ist die Adressatenfrage besonders vielschichtig. Ein Maschinenbauer kann in einer einzigen Lieferung gleich mehrere Rollen einnehmen: Integrator (Integration Service Provider), Service Provider (für Wartung) und Produkthersteller eigener Software- oder Komponentenanteile. Für jede Rolle greift ein anderer Teil der IEC 62443-Familie, und die 3-3 ist dabei der Systembaustein, der die technische Messlatte definiert.
Eine Übersicht zur gesamten IEC 62443-Familie bietet die Überblicksseite zur IEC 62443-Familie.
Security Levels SL 1 bis SL 4
SL 1 bis 4 als Schutzstufen
Die Security Levels beschreiben, gegen welches Angreiferprofil ein System geschützt sein soll. Sie sind nicht relativ, sondern an Ressourcen, Fähigkeiten und Motivation des Angreifers gekoppelt.
| SL | Angreiferprofil | Typischer Anwendungsfall |
|---|---|---|
| SL 1 | Schutz gegen zufällige oder beiläufige Beeinträchtigung | Stand-alone-Maschinen ohne kritische Vernetzung; in der heutigen Bedrohungslage nur noch in begründeten Ausnahmen ausreichend |
| SL 2 | Schutz gegen absichtliche Angriffe mit einfachen Mitteln, geringen Ressourcen, allgemeinen Fähigkeiten und geringer Motivation | Realistisches Zielniveau für die Mehrheit der Maschinen und Anlagen im Bestand und in der Neuentwicklung |
| SL 3 | Schutz gegen absichtliche Angriffe mit komplexen Mitteln, mittleren Ressourcen, IACS-spezifischen Fähigkeiten und mittlerer Motivation | Sensible Komponenten, kritische Infrastrukturen, besonders exponierte Anlagen |
| SL 4 | Schutz gegen absichtliche Angriffe mit komplexen Mitteln, umfangreichen Ressourcen, IACS-spezifischen Fähigkeiten und hoher Motivation | Staatlich motivierte Angriffe, höchste Schutzanforderungen, sehr selten als Zielniveau realistisch |
SL-T, SL-A und SL-C: die drei Sichten auf einen Security Level
Ein Security Level ist nicht eindimensional. Die IEC 62443 unterscheidet drei Ausprägungen, die im Projektablauf aufeinander aufbauen:
- Target Security Level (SL-T): das angestrebte Schutzniveau, das der Betreiber oder Integrator pro Zone aus einer Risikobewertung nach IEC 62443-3-2 ableitet.
- Capability Security Level (SL-C): das Schutzniveau, das ein System (oder eine Komponente) aufgrund seiner technischen Fähigkeiten bereitstellen kann. Genau hier setzt die IEC 62443-3-3 an: Sie definiert SL-C(FR, control system) 1 bis 4 für jede der sieben Foundational Requirements.
- Achieved Security Level (SL-A): das tatsächlich erreichte Schutzniveau im Betrieb, also nach Inbetriebnahme inklusive aller organisatorischen und kompensierenden Maßnahmen.
In der Literatur wird das Konzept des Security Protection Rating (SPR) verwendet, um diese drei Sichten in ein konsistentes Bewertungsmodell zu überführen (siehe Sekundärliteratur). Im Alltag ist die wichtigste Sicht der SL-C: Er sagt aus, wozu das System in der Lage ist, unabhängig von der Frage, ob diese Fähigkeit am Ende auch eingeschaltet wird.
SL-T-Festlegung erfolgt nach IEC 62443-3-2
Die 62443-3-3 setzt voraus, dass der SL-T pro Zone bereits feststeht. Sie definiert ihn nicht. Die Festlegung erfolgt im Rahmen einer Security Risk Assessment nach IEC 62443-3-2 und ist zwingend vor der Auswahl der SR vorzunehmen.
Die sieben Foundational Requirements (FR 1 bis FR 7)
Das Herzstück der IEC 62443-3-3 sind sieben Basisanforderungen, die als Foundational Requirements (FR) bezeichnet werden. Sie strukturieren das gesamte System der Anforderungen:
- FR 1 Identification and Authentication Control (IAC): Identifizierung und Authentifizierung aller menschlichen Nutzer, Softwareprozesse und Geräte vor jedem Zugriff.
- FR 2 Use Control (UC): Durchsetzung von Berechtigungen, Sitzungskontrolle, Protokollierung prüfbarer Ereignisse.
- FR 3 System Integrity (SI): Schutz der Integrität von Kommunikation, Software, Daten und der Steuerungslogik.
- FR 4 Data Confidentiality (DC): Vertraulichkeit von Informationen auf Kommunikationskanälen und in Datenspeichern.
- FR 5 Restricted Data Flow (RDF): Aufteilung in Zonen, Schutz der Zonengrenzen, Kontrolle der Datenflüsse.
- FR 6 Timely Response to Events (TRE): Erkennung von Vorfällen, Auditfähigkeit, kontinuierliche Überwachung.
- FR 7 Resource Availability (RA): Verfügbarkeit der Ressourcen, Schutz gegen Denial-of-Service, Backup und Wiederherstellung.
| FR | Titel | Anzahl SR | Anzahl RE | Typischer Inhalt |
|---|---|---|---|---|
| FR 1 | Identification and Authentication Control | 13 | 11 | Benutzer- und Geräteauthentifizierung, Account- und Authenticator-Management, PKI |
| FR 2 | Use Control | 12 | 12 | Autorisierung, Sitzungskontrolle, auditierbare Ereignisse, Zeitstempel, Non-Repudiation |
| FR 3 | System Integrity | 9 | 10 | Kommunikations-, Software- und Informationsintegrität, Schutz vor Schadcode, Eingabeprüfung |
| FR 4 | Data Confidentiality | 3 | 3 | Vertraulichkeit, kryptografische Verfahren |
| FR 5 | Restricted Data Flow | 4 | 7 | Netzaufteilung, Zonengrenzschutz, allgemein zulässige Kommunikationsmuster |
| FR 6 | Timely Response to Events | 2 | 1 | Auditprotokolle, kontinuierliche Überwachung |
| FR 7 | Resource Availability | 8 | 5 | DoS-Schutz, Backup und Wiederherstellung, Komponenteninventar, Notfallbetrieb |
| Summe | 51 | 49 |
Die Norm enthält insgesamt 51 System Requirements und 49 Requirement Enhancements. Wie viele davon konkret umzusetzen sind, hängt vom angestrebten SL-T pro Zone ab. Der VDMA-Leitfaden veranschaulicht das am Beispiel einer Modell-Maschine: Er wählt 20 der 51 SR exemplarisch aus und deckt darin 9 der 11 RE ab, die für SL-2 nach Annex B der Norm zusätzlich aktiv werden. Die 11 RE sind also die SL-2-relevante Auswahl im VDMA-Modell, nicht die Gesamtzahl der SL-2-RE über die ganze Norm.
System Requirements und Requirement Enhancements
Jeder SR-Eintrag in der Norm folgt einem festen Aufbau:
- Requirement: der eigentliche normative Anforderungssatz (Form: „Das Steuerungssystem stellt die Fähigkeit bereit, …“).
- Rationale and Supplemental Guidance: Begründung und Anwendungshinweise zum besseren Verständnis.
- Requirement Enhancements (RE): optionale Verschärfungen, die je nach Ziel-SL hinzukommen.
- Security Levels: Mapping, welche RE für welchen SL-C (1 bis 4) zwingend sind.
Ein Beispiel verdeutlicht das Muster: SR 1.1 „Human user identification and authentication“ verlangt, dass das Steuerungssystem die Fähigkeit bereitstellt, alle menschlichen Nutzer zu identifizieren und zu authentifizieren. Für SL 1 reicht die Basisanforderung. Für SL 2 kommt RE 1 hinzu, die eine eindeutige (nicht nur gruppenbezogene) Identifizierung verlangt. Für SL 3 kommt zusätzlich RE 2 hinzu, die Multifaktor-Authentifizierung für den Zugriff aus nicht vertrauenswürdigen Netzen vorschreibt. Für SL 4 wird RE 3 erforderlich, die Multifaktor-Authentifizierung für alle Netze fordert.
Diese Eskalationslogik zieht sich durch alle SR. Ein vollständiges Mapping aller SR und RE auf die vier SL findet sich in Annex B der Norm. Der VDMA-Leitfaden bietet im Anhang D eine deutschsprachige Auflistung aller SR mit der jeweiligen Anzahl der zusätzlich für SL-2 erforderlichen RE.
Zonen, Conduits und der Bezug zu IEC 62443-3-2
Die IEC 62443-3-3 setzt das Zonen- und Conduit-Modell der IEC 62443-3-2 voraus. Ein SL-T wird nicht pauschal für „das System“ festgelegt, sondern pro Zone, also pro Gruppe von Assets mit gemeinsamen Sicherheitsanforderungen. Die Übergänge zwischen Zonen werden über Conduits modelliert und ebenfalls einem SL-T zugeordnet.
In der Literatur ist hierfür der Begriff Zellenschutzkonzept etabliert: Die Anlage wird in Schutzzellen aufgeteilt, deren Grenzen durch Firewalls, Datendioden oder ähnliche Maßnahmen abgesichert sind. Die SR aus FR 5 (Restricted Data Flow) bilden den Rahmen, mit dem dieses Zellenschutzkonzept normativ unterlegt wird. Der VDMA-Leitfaden empfiehlt eine Aufteilung der Assets unter anderem nach IT-/OT-Geräten, Safety-relevanten und nicht relevanten Geräten, temporär oder dauerhaft verbundenen Geräten sowie kabellosen und kabelgebundenen Geräten.
IEC 62443-3-3 im Kontext des Cyber Resilience Act
Mit dem Cyber Resilience Act (Verordnung (EU) 2024/2847) wird die IEC 62443-3-3 in eine neue Rolle gehoben. Ob die IEC 62443-3-3 als harmonisierte Norm unter dem CRA gelistet wird und damit eine formelle Konformitätsvermutung für die wesentlichen Anforderungen aus Anhang I auslöst, ist derzeit nicht abschließend geklärt. Eine konsequente Anwendung der Norm hilft in jedem Fall bei der Erfüllung dieser Anforderungen; ob sie formal ausreicht, bleibt offen. Damit verschiebt sich der Charakter der Norm dennoch deutlich: Sie ist nicht mehr nur ein Qualitätsmerkmal, sondern wird zu einer faktischen Mindestanforderung für das Inverkehrbringen.
Der VDMA bringt diese Verschiebung auf den Punkt: Durch den CRA wandeln sich die einschlägigen Normen vom freiwilligen Qualitätsmerkmal zur faktischen Mindestanforderung für jeden, der ein vernetztes Produkt im europäischen Binnenmarkt vertreiben möchte.
Weiterführende Informationen:
Anwendung im Maschinen- und Anlagenbau
Für den Maschinen- und Anlagenbau ist die Festlegung des Ziel-SL eine wirtschaftliche und technische Gratwanderung. Der VDMA-Leitfaden zur IEC 62443 für den Maschinen- und Anlagenbau empfiehlt SL-2 als realistisches Zielniveau für die Mehrheit der Maschinen und Anlagen. SL-1 (Schutz nur gegen zufällige Beeinträchtigungen) wird angesichts der Bedrohungslage als nicht mehr ausreichend bewertet. SL-3 (komplexe Angriffe mit IACS-Fachkenntnissen) ist in vielen Bereichen heute bereits ein reales Bedrohungsniveau, aber prozessual und wirtschaftlich noch nicht flächendeckend umsetzbar.
Hinter dieser Empfehlung steht die schon erwähnte Mehrfach-Rolle des Maschinenbauers: Als Integrator nach IEC 62443-2-4 stellt er sicher, dass das System die SR umsetzt. Als Service Provider deckt er Wartung und Inbetriebnahme nach denselben Anforderungen ab. Als Hersteller eigener Komponenten oder Software adressiert er die Anforderungen der IEC 62443-4-1 (Entwicklungsprozess) und IEC 62443-4-2 (technische Komponentenanforderungen). Die IEC 62443-3-3 ist dabei der gemeinsame technische Bezugspunkt, der diese Rollen über die Systemebene zusammenführt.
Eine praktische Beobachtung aus dem VDMA-Umfeld: Eigentlich sieht die Norm vor, dass der Betreiber auf Basis der IEC 62443-3-2 die Risikobewertung durchführt und das SL-T festlegt. In der Realität gibt der Betreiber diese Aufgabe meist an den Maschinenbauer ab, weil das Pflichtenheft nur funktionale Sicherheitsanforderungen enthält. Wer das nicht aktiv adressiert, übernimmt die Risikobewertung implizit, ohne die Informationsgrundlage des Betreibers (Risikoentscheidungen, Bedrohungslagen, Business-Continuity-Kriterien) zu kennen. Sinnvoll ist daher, das Thema bereits im Verkaufsgespräch zu verankern und mit dem Betreiber abzustimmen.
Maschinenverordnung und EN 50742
Mit der neuen Maschinenverordnung (Verordnung (EU) 2023/1230, anwendbar ab dem 20. Januar 2027) kommt eine zweite Regulierungsebene auf vernetzte Maschinen zu. Anhang III enthält dabei zwei zentrale Cybersecurity-Bezüge: Abschnitt 1.1.9 (Schutz gegen Korrumpierung) und Abschnitt 1.2.1 (Sicherheit und Zuverlässigkeit von Steuerungen). Wie diese Anforderungen technisch umzusetzen sind, lässt der Verordnungstext offen.
Diese Lücke schließt die EN 50742 „Safety of machinery: Protection against corruption“. Sie soll als harmonisierte Norm unter der Maschinenverordnung gelistet werden. Eine vertiefte Behandlung der EN 50742 finden Sie auf der Detailseite zur EN 50742.
Der Entwurf bietet zwei Pfade:
- Approach A: ein eigenständiger Pfad mit selbsttragenden Anforderungen, geeignet für Hersteller, die ohne 62443-Vorgeschichte starten.
- Approach B: der „IEC 62443-Pfad“. Für die Prozessanforderungen gilt die IEC 62443-4-1. Für Maschinen bzw. Systeme verlangt die Konformität mit der IEC 62443-3-3, ergänzt um eine definierte Untermenge an SR je Foundational Requirement. Für einzelne Komponenten gilt parallel die IEC 62443-4-2.
Besonders wichtig ist die begriffliche Brücke der EN 50742: Die Safety Functions einer Maschine werden ausdrücklich den Essential Functions der IEC 62443-3-3 zugeordnet. Damit lässt sich der bewährte Apparat aus FR, SR und SL der 62443 bruchfrei auf die MVO-Welt anwenden. Wer die IEC 62443-3-3 ohnehin im Hinblick auf den CRA aufsetzt, kann denselben Apparat über Approach B der EN 50742 zugleich für die Cybersecurity-Anforderungen der Maschinenverordnung nutzen.
Eine Überlappung beider Regulierungen ist häufig: Eine vernetzte Maschine kann sowohl unter den CRA als auch unter die Maschinenverordnung fallen. In diesem Fall sind beide Konformitätsbewertungen vorzulegen, sie schließen einander nicht aus. Mehr zum Zusammenspiel beider Regulierungen in unserem Detailartikel zum Zusammenspiel CRA und Maschinenverordnung.
IEC 62443-3-3 und Zertifizierung in der Praxis
Die IEC 62443-3-3 selbst schreibt keine Zertifizierungspflicht vor. Sie liefert die technischen Anforderungen und die Logik der Levelzuordnung, mehr nicht. In der Praxis hat sich aber ein Ökosystem aus akkreditierten Schemata etabliert, das eine Konformitätsbestätigung nach der Norm ermöglicht: ISASecure SSA, das IECEE CB-Scheme sowie akkreditierte Konformitätsbewertungsverfahren der verschiedenen Prüf- und Zertiifzierungsunternehmen (z.B. TÜV).
Aus der Anwendungspraxis ergibt sich eine wichtige Kopplung, die so nicht im Normtext steht: Ein belastbarer SL-C eines Systems oder einer Komponente hängt davon ab, dass die zugrunde liegenden Produktfähigkeiten in einem geprüften Entwicklungsprozess nach IEC 62443-4-1 entstanden sind. Konformitätsbewertungsstellen, die im Rahmen des IECEE CB-Scheme oder als akkreditierte Stellen arbeiten, verlangen diese Kopplung in der Regel, weil ein SL-C ohne dokumentierte Entwicklungspraxis schwer zu testen ist. Diese Verknüpfung ist eine praxisnahe Schlussfolgerung aus den beiden Normen, kein normativer Satz der IEC 62443-3-3.
Eine zweite Säule für Service- und Integrationsleistungen ist die IEC 62443-2-4, auf die die IEC 62443-3-3 in ihrem Bibliografieblock verweist. Die IEC 62443-2-4 adressiert spezifisch die Anforderungen an Service Provider und ergänzt damit die Systemanforderungen der IEC 62443-3-3 um den organisatorischen Rahmen für Wartung und Inbetriebnahme.
Praxis: Wie Sie 62443-3-3 in einem Projekt anwenden
Wenn Sie die IEC 62443-3-3 in einem konkreten Maschinen- oder Anlagenprojekt anwenden, hat sich folgende Reihenfolge bewährt:
- Zonen und Conduits nach IEC 62443-3-2 festlegen. Welche Asset-Gruppen haben gemeinsame Sicherheitsanforderungen, welche Datenflüsse müssen wie geführt werden?
- SL-T pro Zone festlegen. Für die Mehrheit der Maschinen und Anlagen liegt die Praxisempfehlung bei SL-2. Abweichungen sind erlaubt und müssen begründet werden.
- SR und RE je SL ableiten. Annex B der Norm liefert das vollständige Mapping. Anhang D des VDMA-Leitfadens listet die SL-2-relevanten SR vollständig in deutscher Sprache auf.
- Umsetzungsnachweis und Abweichungsmanagement. Jeder umgesetzte SR wird mit der konkreten technischen Maßnahme dokumentiert, Abweichungen werden begründet und mit kompensierenden Gegenmaßnahmen versehen.
- Einbindung der Nachbarteile. IEC 62443-4-1 für den Entwicklungsprozess, IEC 62443-2-4 für die Service-Provider-Sicht und gegebenenfalls IEC 62443-4-2 für die Komponentenebene.
Wer die Norm ernst nimmt, gewinnt damit drei Dinge gleichzeitig: einen strukturierten technischen Anforderungskatalog, eine belastbare Argumentationskette gegenüber dem Betreiber und einen tragfähigen Bezugsrahmen in Richtung CRA und Maschinenverordnung, der die spätere Argumentation auf eine harmonisierte Norm wesentlich erleichtert.
Sekundärliteratur
- Pierre Kobes: Leitfaden Industrial Security: IEC 62443 einfach erklärt, 2., vollständig neu bearbeitete und erweiterte Auflage, VDE Verlag, Berlin/Offenbach 2025, ISBN 978-3-8007-5303-1.
- VDMA: Leitfaden Security für den Maschinen- und Anlagenbau: Der Weg durch die IEC 62443, Stand Januar 2026.