IEC 62443 Zertifizierung

In einer zunehmend vernetzten Welt spielen industrielle Automatisierungs- und Steuerungssysteme eine zentrale Rolle. Mit zunehmender Digitalisierung und Vernetzung steigt jedoch auch die Anfälligkeit dieser Systeme für Cyber-Angriffe. Hier setzt die Zertifizierung nach IEC 62443 an – ein robustes Rahmenwerk zur Gewährleistung und Verbesserung der Cyber-Sicherheit in IACS.

IEC 62443-Zertifizierungen bieten einen strukturierten und international anerkannten Ansatz, um die Sicherheit von industriellen Steuerungssystemen zu testen und zu bewerten. Mit einer IEC 62443 Zertifizierung können Unternehmen nachweisen, dass ihre Produkte, Systeme oder Prozesse die strengen Sicherheitsanforderungen dieser Norm erfüllen.

Eine IEC 62443-Zertifizierung ist mehr als nur ein Qualitätssiegel – sie ist ein umfassender Prozess, der Unternehmen hilft, potenzielle Schwachstellen zu identifizieren und zu beheben. Von der Entwicklung sicherer Komponenten bis hin zur Integration komplexer Systeme deckt die IEC 62443-Zertifizierung alle Aspekte der industriellen Cybersicherheit ab.

In diesem Beitrag erfahren Sie alles Wichtige über die IEC 62443 Zertifizierung: von den Gründen für eine Zertifizierung über die verschiedenen Zertifizierungsprogramme bis hin zum Ablauf des Zertifizierungsprozesses. Ob Sie Hersteller, Integrator oder Betreiber von industriellen Automatisierungssystemen sind – eine IEC 62443 Zertifizierung bietet Ihnen die Möglichkeit, Ihre Cybersicherheit auf ein neues Niveau zu heben.

Gründe für eine IEC 62443 Zertifizierung

Eine Zertifizierung ohne regulatorische Notwendigkeit ist in erster Linie ein Markteting- und Vertriebsinstrument, dass von Unternehmen zur Abgrenzung vom Wettbewerb und für werbliche Zwecke genutzt werden kann.

In einzelnen Industriezweigen (z.B. Bahnindustrie) gehen viele Betreiber von Automatisierungssystemen dazu über, zertifizierte Lieferanten, Komponenten und Systeme zu verlangen. Hier ermöglicht eine Zertifizierung den Marktzugang.

Darüber hinaus führt die Umsetzung bzw. Einhaltung der Anforderungen internationaler, anerkannter Normen und die Überprüfung der Einhaltung im Rahmen der Zertifizierung dazu, dass viele Cybersecurity-Risiken minimiert können.

Die individuellen Gründe für eine Zertifizierung sind vielfältig und hängen oft von den spezifischen Umständen der Unternehmen ab. Im Folgenden eine Auswahl weiterer Punkte, die für eine Zertifizierung sprechen.

Cybersicherheit verbessern
– Sicherheitsanforderungen erfüllen: Die IEC 62443 definiert spezifische Sicherheitsanforderungen für verschiedene Bereiche, von organisatorischen Prozessen bis hin zu technischen Komponenten. Durch die Zertifizierung wird bestätigt, dass diese Anforderungen erfüllt werden.
– Cybersecurity-Risiken minimieren: Durch die Implementierung der in der Norm festgelegten Sicherheitsmaßnahmen können Unternehmen potenzielle Schwachstellen identifizieren und beheben, bevor sie ausgenutzt werden können.
– Kontinuierliche Verbesserung: Die Zertifizierung fördert eine Kultur der kontinuierlichen Verbesserung der Sicherheitsprozesse und -technologien.
Reputation, Vertrauen und Glaubwürdigkeit verbessern
– Kundengewinnung und -bindung: Eine IEC 62443 Zertifizierung signalisiert Kunden, dass ein Unternehmen hohe Sicherheitsstandards einhält, was zu einer stärkeren Kundenbindung und -gewinnung führt.
– Markenreputation: Eine IEC 62443 Zertifizierung stärkt die Markenreputation und zeigt, dass das Unternehmen in der Lage ist, sicher und zuverlässig zu arbeiten.
– Globale Anerkennung: Unternehmen, die nach IEC 62443 zertifiziert sind, genießen weltweit Anerkennung für ihre Sicherheitsstandards, was den Marktzugang in verschiedenen Regionen erleichtert.
– Marktvorteil: Unternehmen mit einer IEC 62443 Zertifizierung können sich von der Konkurrenz abheben und ihre Position auf dem Markt stärken.
Rechtliche und finanzielle Konsequenzen vermeiden
– Konformität mit der Regulierung: Eine IEC 62443 Zertifizierung hilft Unternehmen dabei, die Anforderungen des Cyber Resilience Act und anderer regulatorischer Rahmenwerke zu erfüllen. Dies kann Unternehmen vor rechtlichen Konsequenzen und hohen Strafen schützen.
– Rechtliche Absicherung: Durch die Erfüllung der IEC 62443 werden weite Teile des Cyber Resilience Acts und anderer regulatorischer Vorgaben umgesetzt und Unternehmen vermeiden so rechtliche Konsequenzen und mögliche Bußgelder.
– Finanzielle Sicherheit: Vermeidung von Kosten, die durch Sicherheitsvorfälle entstehen können, einschließlich Datenverlust, Produktionsausfälle und Reputationsschäden.

Die verschiedenen IEC 62443 Zertifizierungsprogramme

Für die IEC 62443 gibt es eine Vielzahl von Zertifizierungsprogrammen (certification schemes). Die IEC 62443 Normenreihe selbst definiert keine spezifischen Zertifizierungsprogramme, sondern bietet einen Rahmen, den Prüforganisationen zur Entwicklung ihrer eigenen Programme verwenden können. Diese Programme orientieren sich dabei an den verschiedenen Teilen der IEC 62443.

Eigene Zertifizierungsprogramme von Zertifizierungsstellen

Verschiedene Prüforganisationen wie die TÜVs in Deutschland haben eigene Zertifizierungsprogramme für die IEC 62443 entwickelt und akkreditieren lassen. Diese Programme bieten jeweils eigene Zertifizierungen für die einzelnen Normenteile der IEC 62443 an und weisen nach, dass Unternehmen und Produkte den Normanforderungen entsprechen.

Einige der bekanntesten Prüf- und Zertifizierorganisationen sind die folgenden:

Diese Organisationen sind typischerweise akkreditiert und unterliegen dadurch strengen Qualitätskontrollen, die die Integrität und Zuverlässigkeit der Zertifizierungen sicherzustellen.

ISASecure Zertifizierung

ISASecure ist ein Zertifizierungsprogramm, das vom ISA Security Compliance Institute (ISCI) entwickelt wird und auf der IEC 62443 basiert. Die Hauptziele von ISASecure sind die Reduzierung von Sicherheitsrisiken und die Verbesserung des Vertrauens in industrielle Automatisierungssysteme durch strenge Test- und Zertifizierungsverfahren.

ISASecure Zertifizierungen sind weltweit anerkannt und bieten eine zusätzliche Ebene der Sicherheit und des Vertrauens für Unternehmen und deren Kunden. Die Zertifizierungen sind so konzipiert, dass sie die Einhaltung der relevanten Teile der IEC 62443-Normen nachweisen:

  • Component Security Assurance (CSA)
    Diese Zertifizierung basiert auf der IEC 62443-4-2 und bewertet die Sicherheit von Komponenten, die in industriellen Automatisierungs- und Kontrollsystemen verwendet werden.
  • System Security Assurance (SSA)
    Diese Zertifizierung basiert auf der IEC 62443-3-3 und konzentriert sich auf die Sicherheit kompletter Automatisierungssysteme. Sie stellt sicher, dass das gesamte System, einschließlich aller Komponenten und Kommunikationswege, den Anforderungen der IEC 62443 entspricht.
  • Security Development Lifecycle Assurance (SDLA)
    Diese Zertifizierung basiert auf der IEC 62443-4-1 und prüft die sicherheitsrelevanten Prozesse und Praktiken, die die Hersteller bei der Entwicklung von Automatisierungsprodukten angewendet werden. Ziel ist es sicherzustellen, dass Sicherheitsaspekte während des gesamten Entwicklungszyklus berücksichtigt werden.

Durch die Prüfung der Anforderungen der IEC 62443 stellt ISASecure sicher, dass Produkte und Systeme robust gegen Cyberangriffe sind und Sicherheitsrisiken minimiert werden.

IECEE CB Scheme

Das IECEE CB Scheme ist ein internationales System zur gegenseitigen Anerkennung von Prüfberichten und Zertifikaten für elektrotechnische Geräte und Komponenten. Ziel ist die Erleichterung des internationalen Handels durch Vereinfachung der nationalen Zertifizierung und Zulassung.

Ziel ist die Erleichterung des internationalen Handels durch Vereinfachung der nationalen Zertifizierung und Zulassung.

Für das CB Scheme wurde ein Industrial Cyber Security Program entwickelt. Dieses Programm bietet einen Rahmen, um nach IEC 62443 bewertet zu werden und ein IECEE-Konformitätszertifikat für industrielle Cybersicherheitsfähigkeiten zu erhalten.

Die IEC 62443 liefert dabei Anforderungen and Prozesse und die technische Fähigkeiten. Auf Basis des Industrial Cyber Security Programs werden dann diese Fähigkeiten des Antragstellers bewertet.

Im Rahmen des Industrial Cyber Security Programms werden die Sicherheitsfähigkeiten eines Antragstellers bewertet, die er für die Entwicklung, Integration und/oder Wartung bestimmter Produkte oder Lösungen einsetzt.

Durch die Integration der IEC 62443 in das bewährte CB Scheme wird eine weltweit anerkannte Bewertung und Zertifizierung der Industrial Cyber Security-Fähigkeiten ermöglicht.

Vergleich der IEC 62443 Zertifizierungsprogramme

ZertifizierungsgegenstandIECEE CB-SchemeISASecureTÜV SÜD Mark
Managementsystem für den Betrieb
(IEC 62443-2-1 / ISO 27001)
NeinNein 2)Ja
Integrationsprozesse
(IEC 62443-2-4)
JaNein 2)Ja
Referenzarchitekturen / Blueprints
(IEC 62443-2-4 & -3-3)
Ja 1)Nein 2)Ja
Entwicklungsprozesse
(IEC 62443-4-1)
JaJa
(ISASecure SDLA)
Ja
(Kontroll-)Systeme
(IEC 62443-4-1 & -3-3)
Ja 1)Ja
(ISASecure SSA)
Ja
Produkte / Komponenten
(IEC 62443-4-1 & -4-2)
JaJa
(ISASecure CSA)
Ja
1) Beide Normen können einzeln zertifiziert werden, aber die Kombination mit Prozessen ist nicht zwingend erforderlich)
2) ISASecure bietet aktuell keine Zertifizierungen des Betriebs oder der Integrations- und Wartungsprozesse an. Unter dem Namen ISASecure IACSSA wird derzeit ein Zertifizierungsprogramm für Betreiber bzw. die dort eingesetzten Automatisierungs- und Steuerungssystemen entworfen, das die Anforderungen verschiedener IEC 62443 Normenteile vereint.

Mögliche IEC 62443 Zertifizierungen

Die gängigen, angebotenen Zertifizierungen lassen sich nach den zugrundeliegenden Normenteilen gruppieren. Hierbei gibt es je nach Zertifizierungsprogramm wechselseitige Abhängigkeiten (z.B. verlangen die meisten Programme für eine IEC 62443-4-2 Zertifizierung auch die die Konformität mit der IEC 62443-4-1).

Jede Zertifizierung innerhalb der IEC 62443 Reihe hat spezifische Anforderungen und Ziele:

Managementsysteme für die OT (IEC 62443-2-1)
– Fokus auf der Implementierung eines umfassenden Informationssicherheits-Managementsystems (ISMS) für industrielle Automatisierungs- und Steuerungssysteme (IACS).
– Bewertung der Fähigkeit einer Organisation, ein effektives ISMS zu etablieren und aufrechtzuerhalten.
– Überprüfung der Risikomanagementprozesse und Sicherheitsrichtlinien.
– Diese Zertifizierung ist besonders relevant für Betreiber von IACS und Organisationen, die kritische Infrastrukturen verwalten.
Integrations- und Wartungsprozesse (IEC 62443-2-4)
– Fokus auf organisatorischen Sicherheitsprozessen.
– Prüfung der Implementierung und Aufrechterhaltung von Sicherheitsmanagementsystemen.
– Diese Zertifizierung richtet sich an Organisationen, die industrielle Automatisierungs- und Steuerungssysteme (IACS) entwerfen, entwickeln, implementieren und warten.
– Sie bewertet die Sicherheitsprozesse und -praktiken der Organisation, einschließlich Patch-Management, Konfigurationsmanagement und Incident Response.
– Besonders relevant für Systemintegratoren und Dienstleister im Bereich der industriellen Automatisierung.

Systeme und Referenzarchitekturen (IEC 62443-3-3)
– Bewertung von Systemen gegen Sicherheitsanforderungen.
– Betrachtung des gesamten Systems, einschließlich der Integration von Sicherheitsmaßnahmen.
– Diese Zertifizierung ist auf komplette Systeme ausgerichtet und überprüft, ob diese den Sicherheitsanforderungen entsprechen.
– Sie ist besonders relevant für Betreiber bei der Auswahl von sicheren Automatisierungslösungen.
– Berücksichtigung von Aspekten wie Zonierung, Konditionierung und Systemhärtung.
Entwicklungsprozesse (IEC 62443-4-1)
– Umfasst den Entwicklungsprozess von sicherheitsrelevanten Komponenten.
– Bewertet die Sicherheitspraktiken während des gesamten Produktlebenszyklus, einschließlich Design, Entwicklung, Tests und Wartung.
– Fokus auf der Integration von Sicherheitsaspekten in den Softwareentwicklungsprozess (Secure Development Lifecycle).
– Überprüfung von Praktiken wie Threat Modeling, sicheres Design, sicheres Coding und Schwachstellenmanagement.
– Besonders relevant für Hersteller von IACS-Komponenten und -Software.
Komponenten (IEC 62443-4-2)
– Bewertet die Sicherheitsmerkmale der einzelnen Komponenten.
– Diese Zertifizierung richtet sich an einzelne Komponenten, wie z.B. Steuerungen, Netzwerkgeräte und Software.
– Es wird bewertet, ob die Komponenten den spezifischen Sicherheitsanforderungen entsprechen, einschließlich Funktionen wie Authentifizierung, Verschlüsselung und Logging.
– Unterscheidung zwischen verschiedenen Komponentenarten: Software-Anwendungen, eingebettete Geräte, Host-Geräte und Netzwerkgeräte.
– Besonders relevant für Hersteller von IACS-Komponenten und Endanwender bei der Auswahl sicherer Produkte.

Bedeutung der einzelnen IEC 62443 Zertifizierungen

Häufig besteht Unklarheit darüber, was die jeweilige Zertifizierung aussagt. Für ein bessers Verständnis hilft es, die konkreten Zertifizierungsaussagen der einzelnen Zertifizierungen miteinander zu vergleichen.

Zertifizierungsaussagen sind Erklärungen, die die Konformität mit den spezifischen Anforderungen der IEC 62443 Normen bestätigen. Die konkreten Bedeutungen lassen sich typischerweise der Zertifizierungsprogramme entnehmen, sie unterscheiden sich aber häufig im Detail untereinander.

Eine vereinfachte Übersicht darüber, was eine jeweilige Zertifizierung bedeutet, findet sich in der folgenden Tabelle:

ZertifizierungsgegenstandNormenVereinfachte Bedeutung
EntwicklungsprozessIEC 62443-4-1 mit Maturity Level 2“we can develop securely”
Das Unternehmen ist in der Lage, sichere Komponenten und Systeme zu entwickeln.
EntwicklungsprozessIEC 62443-4-1 mit Maturity Level 3 oder 4“we develop securely”
Das Unternehmen entwickelt Komponenten / Systeme sicher.
Komponente / ProduktIEC 62443-4-2
(setzt IEC 62443-4-1 auf Maturity Level 3 oder 4 voraus)
“our product is secure / was developed securely”
Die Komponente wurde sicher entwickelt und stellt bestimmte Sicherheitsfunktionen bereit.
SystemIEC 62443-3-3 mit IEC 62443-4-1 auf Maturity Level 3 oder 4“our system is secure / was developed securely”
Das System wurde sicher entworfen und stellt bestimmte Sicherheitsfunktionen bereit.
SystemIEC 62443-3-3 (ohne Prozess)“our system has security features”
Das System stellt bestimmte Sicherheitsfunktionen bereit.
IntegrationsprozesseIEC 62443-2-4 mit Maturity Level 2“we can integrate securely
Das Unternehmen kann Automatisierungslösungen sicher integrieren / warten.
IntegrationsprozesseIEC 62443-2-4 mit Maturity Level 3 oder 4“we integrated securely”
Das Unternehmen integriert / wartet Automatisierungslösungen sicher.
ReferenzarchitekturenIEC 62443-2-4 mit IEC 62443-3-3“our solution is secure and we can integrate it securely”
Das System stellt bestimmte Sicherheitsfunktionen bereit und das Unternehmen ist in der Lage, dieses sicher zu integrieren / aufzubauen werden.
ManagementsystemIEC 62443-2-1“we manage our security risks”
Die Organisation hat geeignete Zuständigkeiten und Prozesse um Sicherheitsrisiken in der OT zu verwalten.

Bei Prozesszertifizierungen sollte darauf geachtet werden, dass alle an der Leistungserbringung (z.B. Entwicklung, Integration) beteiligten Abteilungen und Standorte im Scope der Zertifizierung sind.

Insbesondere Zertifizierungen der Sicherheitsfunktionen (d.h. IEC 62443-3-3 und IEC 62443-4-2) ohne eine Verbindung zu Prozessen (z.B. IEC 62443-4-1 oder IEC 62443-2-4) sind in ihrer Aussagekraft und Sinnhaftigkeit begrenzt. Ohne eine Verifikation der Prozesse bestätigen diese Zertifikate lediglich, dass es gewisse Sicherheitsfunktionen gibt – nicht jedoch, wie häufig irrtümlich angenommen, dass das Produkt sicher oder die Funktionen sinnvoll seien.

Der IEC 62443 Zertifizierungsprozess

Der Ablauf einer IEC 62443 Zertifizierung ist ein mehrstufiger Prozess, der typischerweise mit einer Anfrage oder einem Auftrag seitens des interessierten Unternehmens beginnt. Darauf folgt eine umfassende Vorbereitungsphase, die üblicherweise ein Vorprüfung bzw. ein Voraudit umfasst, in dem der aktuelle Stand des Unternehmens ermittelt und festgestellt wird, ob es für die verschiedenen Zertifizierungsstufen (ML 2, ML 3) bereit ist.

Basierend auf den Ergebnissen dieser Analyse können Zertifizierungen nach IEC 62443-4-1 für ML 2 oder ML 3 angestrebt werden. Sollte das Unternehmen die Anforderungen noch nicht erfüllen, werden notwendige Richtlinien und Prozesse definiert und implementiert. Dies geschieht entweder in Eigenregie oder mit Unterstützung geeigneter Berater. Ein wesentlicher Bestandteil ist auch die Prüfung der Produktkonformität, bei der sichergestellt wird, dass das Produkt den Anforderungen entspricht. Gegebenenfalls müssen zusätzliche Sicherheitsmerkmale implementiert werden, bevor eine Zertifizierung erfolgen kann.

Der eigentliche Zertifizierungsprozess gliedert sich typischerweise in eine Dokumentenprüfung und ein anschließendes Audit vor Ort. Auf Grundlage dieser Prüfungen wird ein detaillierter Bericht erstellt und der zuständigen Zertifizierungsstelle vorgelegt, die dann über die Erteilung des Zertifikats entscheidet. Nach erfolgreicher Zertifizierung werden ein offizielles Zertifikat und ein ausführlicher Bericht ausgestellt.

Die nachfolgende Grafik veranschaulicht den Weg zur Produktzertifizierung gemäß IEC 62443-4-1 und IEC 62443-4-2.

Übersicht über den Weg zur Produktzertifizierung nach IEC 62443

Um die Gültigkeit der Zertifizierung aufrechtzuerhalten, finden im Rahmen des Rezertifizierungszyklus regelmäßige Überwachungsaudits statt. Dieser strukturierte Prozess gewährleistet eine kontinuierliche Einhaltung der Sicherheitsstandards und fördert die stetige Verbesserung der Cybersicherheit in industriellen Automatisierungs- und Steuerungssystemen.

Die Rolle der Überwachungen bei IEC 62443 Zertifizierungen

Nach Erteilung einer Zertifizierung ist es entscheidend, dass die zertifizierte Organisation oder das zertifizierte System die Anforderungen kontinuierlich erfüllt. Hierfür werden regelmäßige Überwachungen, auch als Surveillances bezeichnet, durchgeführt.

Die Häufigkeit dieser Überprüfungen variiert je nach Zertifizierungsprogramm, erfolgt jedoch üblicherweise jährlich. In der Regel finden während der Gültigkeitsdauer des Zertifikats jährliche Überwachungen statt. Nach Ablauf dieser Periode wird das Zertifikat erneuert oder verlängert, was eine vollständige Re-Zertifizierung erfordert.

Im Rahmen dieser regelmäßigen Überprüfungen stellt der Zertifizierer sicher, dass die implementierten Sicherheitsmaßnahmen weiterhin vorhanden und wirksam sind. Dies gewährleistet die kontinuierliche Einhaltung der IEC 62443-Standards und die Aufrechterhaltung eines hohen Sicherheitsniveaus.

Kosten einer IEC 624343 Zertifizierung

Die Kosten einer IEC 62443 Zertifizierung variieren erheblich und hängen von einer Vielzahl von Faktoren ab. Zu den wichtigsten Einflussfaktoren zählen die spezifischen Normen und Standards, die zertifiziert werden sollen, das gewählte Zertifizierungsprogramm (wie TÜV, ISASecure oder CB-Scheme), der angestrebte Reifegrad (Maturity Level) der Prozesse, sowie die Größe und Komplexität des zu zertifizierenden Unternehmens oder Produkts. Die Unternehmensstruktur, insbesondere die Anzahl der Standorte und Mitarbeiter, spielt ebenso eine Rolle wie die Komplexität der Entwicklungsprozesse – beispielsweise ob diese global verteilt oder lokal an einem Standort stattfinden. Auch die Art des zu zertifizierenden Produkts oder Systems beeinflusst die Kosten maßgeblich: Ein einfacher Sensor erfordert weniger Aufwand als ein komplexes Distributed Control System (DCS) oder SCADA-System. Zusätzlich können optionale Dienstleistungen des Zertifizierers, wie Workshops oder Vorprüfungen, die Gesamtkosten erhöhen.

Basierend auf Erfahrungswerten lassen sich grobe Kostenschätzungen vornehmen:

  • Für Prozesszertifizierungen (d.h. IEC 62443-4-1 oder IEC 62443-2-4) auf Maturity Level 2 können die Kosten zwischen 15.000 und 35.000 Euro liegen. Bei höheren Maturity Levels (3 oder 4) steigen die Kosten entsprechend, wobei der Aufwand geringer ausfällt, wenn bereits eine ML 2 Zertifizierung vorhanden ist.
  • Produktzertifizierungen nach IEC 62443-4-2, basierend auf einem bereits zertifizierten IEC 62443-4-1 Prozess, bewegen sich typischerweise im Bereich von 25.000 bis 50.000 Euro.
  • Für die Zertifizierung eines Systems oder Blueprints nach IEC 62443-2-4 oder -3-3 sollte mit Kosten zwischen 30.000 und 50.000 Euro gerechnet werden.

Es ist wichtig zu verstehen, dass diese Zahlen nur grobe Richtwerte darstellen und im Einzelfall erheblich abweichen können.

Zu den Kosten der ersten Zertifizierung kommen weitere Kosten für die jährlichen Überwachungen und Re-Zertifizierungen in den Folgejahren, in denen das Zertifikat seine Gültigkeit behält. Die Kosten hierfür hängen stark vom verwendenten Zertifzierungsprogramm, dem Umfang des Zertifikats (z.B. Standorte), der Gültigkeitsdauer der Zertifikate und dem jeweiligen Zertifizierer ab. Erfahrungsgemäß liegen diese zwischen wenigen 1000 Euro pro Jahr für einfache Überwachungen bis zu fast der gesamten Höhe einer Erstzertifizierung.

Wenn Sie eine IEC 62443 Zertifizierung anstreben und sich bzgl. der zu erwartenden Kosten, der benötigten Budgets oder der Auswahl eines geeigneten Zertifizierers nicht sicher sind, helfen wir Ihnen gerne mit unseren Erfahrungen weiter.

Zertifizierte Unternehmen, Produkte und Systeme

Die Transparenz bei erteilten Zertifizierungen unterscheidet sich erheblich zwischen verschiedenen Zertifizierungsprogrammen und Prüforganisationen. Sowohl Prüforganisationen als auch Zertifikatsinhaber betrachten Informationen über erfolgte Zertifizierungen häufig als wettbewerbsrelevant und veröffentlichen die Ergebnisse (d.h. die Zertifikate) daher oft nur eingeschränkt.

Dennoch bieten die meisten Prüfunternehmen eine Möglichkeit zur Verifizierung einzelner Zertifikate an, typischerweise über eine Online-Schnittstelle oder Datenbank.

Für die Verifizierung von Zertifikaten stehen folgende Ressourcen zur Verfügung:

Bei der Nutzung dieser Datenbanken ist es erforderlich, nach der spezifischen Norm (z.B. IEC 62443-4-1) zu suchen.

Zertifikate nach dem CB-Schema können in der IECEE-Datenbank eingesehen werden: https://certificates.iecee.org/#/search

ISASecure bietet eine nach Zertifikatstypen (SDLA, CSA und SSA) gegliederte Übersicht ihrer Zertifikate an: https://isasecure.org/end-users/iec-62443-4-1-certified-development-organizations

Diese Ressourcen ermöglichen es Interessenten, die Gültigkeit und Authentizität von Zertifizierungen zu überprüfen und sich über zertifizierte Unternehmen, Produkte und Systeme zu informieren. Es ist ratsam, bei spezifischen Anfragen oder Zweifeln direkt mit den Zertifizierungsstellen oder den zertifizierten Unternehmen in Kontakt zu treten, um detailliertere Informationen zu erhalten.

Häufig gestellte Fragen (FAQ) zu IEC 62443 Zertifizierungen

Was ist die Rolle der TÜVs bei den Zertifizierungen?
Die verschiedenen TÜV-Organisationen (TÜV SÜD, TÜV Rheinland, TÜV Nord, SGS TÜV-Saar, TÜV Hessen, TÜV Thüringen, TÜV Austria) spielen eine zentrale Rolle im Zertifizierungsprozess für IEC 62443. Obwohl sie untereinander im Wettbewerb stehen, teilen sie sich die renommierte Marke “TÜV” (Technischer Überwachungsverein). Als unabhängige Prüf- und Zertifizierungsorganisationen sind sie dafür verantwortlich, die Einhaltung der Anforderungen des zu zertifizierenden Prozesses oder Produktes gemäß IEC 62443 zu überprüfen und zu bestätigen.

Jede TÜV-Organisation entwickelt eigene Zertifizierungsprogramme, die von Akkreditierungsbehörden wie der Deutschen Akkreditierungsstelle (DAkkS) akkreditiert werden. Dies gewährleistet die Kompetenz und Unabhängigkeit der Prüforganisationen. Einige TÜVs haben darüber hinaus Anerkennungen bei spezialisierten Organisationen wie ISASecure oder der IECEE erworben. Diese Anerkennungen ermöglichen es ihnen, Zertifikate nach spezifischen Programmen auszustellen, was die internationale Anerkennung und Vergleichbarkeit der Zertifizierungen erhöht.

Die TÜVs bieten nicht nur die eigentliche Zertifizierung an, sondern oft auch begleitende Dienstleistungen wie Schulungen, Voraudits oder Beratung zur Vorbereitung auf die Zertifizierung. Ihre Rolle erstreckt sich somit von der neutralen Bewertung bis hin zur unterstützenden Begleitung von Unternehmen im gesamten Zertifizierungsprozess, wobei stets die Unabhängigkeit und Integrität der Prüfung gewahrt bleibt.

Warum haben einige Zertifikate Security-Level und andere nicht?
Die Frage der Security-Level in IEC 62443-Zertifikaten ist komplex und spiegelt die unterschiedlichen Anwendungsbereiche und Intentionen der verschiedenen Teile der Norm wider. Security-Level geben die Widerstandsfähigkeit gegen Bedrohungen an und beziehen sich primär auf Systeme. Daher wird bei Zertifizierungen nach IEC 62443-3-3, die sich auf Systemebene bezieht, üblicherweise ein Security-Level angegeben.

Bei Produktzertifizierungen nach IEC 62443-4-2 ist die Situation differenzierter. Pauschale Security-Level für einzelne Komponenten können die eigentliche Intention der IEC 62443 verfälschen, da die Sicherheit eines Gesamtsystems nicht allein durch die Sicherheitseigenschaften einzelner Komponenten bestimmt wird. Die Norm sieht vor, dass fehlende Sicherheitsanforderungen auf Komponentenebene durch sogenannte “compensating countermeasures” auf Systemebene ausgeglichen werden können.

Dennoch besteht seitens des Produktmanagements und Marketings von Herstellern oft der Wunsch, analog zu den Safety Integrity Levels (SIL) in der funktionalen Sicherheit, einfach vergleichbare Level für ihre Komponenten vorweisen zu können. Obwohl solche Level in der IEC 62443-4-2 nicht direkt vorgesehen sind, bieten viele Prüfhäuser die Möglichkeit an, ein Security-Level für eine Komponente auszuweisen, sofern alle anwendbaren Anforderungen eines bestimmten Levels erfüllt wurden.

Diese Praxis ist umstritten, da sie die Komplexität der Systemsicherheit möglicherweise zu stark vereinfacht. Sie kann jedoch als Orientierungshilfe für Anwender dienen, um die potenzielle Eignung einer Komponente für ein System mit bestimmten Sicherheitsanforderungen einzuschätzen. Es ist wichtig zu betonen, dass ein solches Komponenten-Security-Level immer im Kontext des Gesamtsystems betrachtet werden muss und keine Garantie für die Sicherheit des Endprodukts darstellt.

Ist eine Zertifizierung mit Reifegrad (Maturity Level) 1 möglich?
Eine Zertifizierung mit Maturity Level 1 (ML 1) ist im Rahmen der IEC 62443 nicht möglich und auch nicht sinnvoll. ML 1 beschreibt einen Zustand, in dem die Produktentwicklung ad-hoc und ohne ausreichende Dokumentation durchgeführt wird. In diesem Stadium fehlt es an strukturierten, wiederholbaren Prozessen, die für eine Zertifizierung unerlässlich sind. Die Abläufe und Entscheidungen in der Entwicklung sind bei ML 1 nicht nachvollziehbar dokumentiert, was eine objektive Überprüfung und Bewertung durch einen externen Zertifizierer unmöglich macht.

Zertifizierungen beginnen in der Regel ab ML 2, wo definierte und dokumentierte Prozesse vorhanden sind, die eine konsistente Anwendung von Sicherheitspraktiken ermöglichen. ML 2 stellt sicher, dass grundlegende Managementpraktiken etabliert sind und dass Prozesse planbar, nachvollziehbar und wiederholbar durchgeführt werden können. Dies bildet die Mindestvoraussetzung für eine glaubwürdige und aussagekräftige Zertifizierung im Kontext der IEC 62443.

Wie lassen sich IEC 62443 Zertifikate vergleichen?
Der Vergleich von IEC 62443 Zertifikaten verschiedener Zertifizierer und nach unterschiedlichen Programmen ist komplex und erfordert eine sorgfältige Analyse der zugrunde liegenden Details. Ohne zusätzliche Erläuterungen und Dokumentationen sind die Zertifikate oft nicht direkt vergleichbar.

Um eine fundierte Bewertung vorzunehmen, ist es unerlässlich, alle verfügbaren Annexe, Anhänge und ggf. die den Zertifizierungen zugrunde liegenden Prüfberichte einzufordern und zu prüfen. Entscheidend ist dabei, dass der zertifizierte Scope (Anwendungsbereich) klar definiert und ersichtlich ist.

Ebenso wichtig ist eine detaillierte Übersicht darüber, welche spezifischen Anforderungen auf welchem Level erfüllt wurden. Nur wenn sowohl der Anwendungsbereich als auch die erfüllten Foundational Requirements bzw. Component Requirements bekannt sind, lässt sich ein aussagekräftiger Vergleich zwischen verschiedenen Zertifikaten ziehen.

Fehlen diese wesentlichen Informationen, sollte die Seriosität des Zertifikats oder des Zertifizierers in Frage gestellt werden. Ein transparenter und detaillierter Nachweis der erfüllten Anforderungen ist ein Indikator für die Qualität und Vertrauenswürdigkeit des Zertifizierungsprozesses.

Welches Zertifizierungsprogramm (ISASecure, TÜV, CB-Scheme) benötige ich?
Die Wahl des geeigneten Zertifizierungsprogramms hängt von verschiedenen Faktoren ab, insbesondere vom Zielmarkt und der spezifischen Branche.

In Europa und weiten Teilen Asiens genießen die verschiedenen TÜV-Zertifikate die höchste Akzeptanz und Anerkennung. Sie sind weithin bekannt und werden als Qualitätsstandard in vielen Industriezweigen geschätzt.

Das CB-Scheme (Certification Body Scheme) hat eine gewisse Akzeptanz und einen Bekanntheitsgrad in Asien, ist jedoch in Europa weniger verbreitet. Es kann nützlich sein, wenn ein Produkt in verschiedenen asiatischen Märkten vertrieben werden soll, da es die gegenseitige Anerkennung von Prüfergebnissen zwischen teilnehmenden Ländern erleichtert.

ISASecure hingegen hat sich vor allem im Bereich der Prozessindustrie etabliert, insbesondere getrieben durch die Öl- und Gasindustrie, die maßgeblich an der Entwicklung und Implementierung von ISASecure beteiligt ist. Wenn Ihr Unternehmen primär in diesem Sektor tätig ist oder Kunden in der Prozessindustrie bedient, könnte ISASecure die bevorzugte Wahl sein.

Letztendlich sollte die Entscheidung für ein Zertifizierungsprogramms auf einer sorgfältigen Analyse der Zielmarktanforderungen, der spezifischen Branchenstandards und der langfristigen Geschäftsziele basieren. In manchen Fällen kann auch eine Kombination verschiedener Programme sinnvoll sein, um eine breite Marktabdeckung und Akzeptanz zu erreichen.

Unterstützung bei der IEC 62443 Zertifizierung

Die Zertifizierung nach IEC 62443 stellt Unternehmen vor vielfältige Herausforderungen. Unser erfahrenes Team von Cybersecurity-Experten bietet umfassende Unterstützung bei der Implementierung und Zertifizierung gemäß der IEC 62443:

  • Analyse Ihrer bestehenden Produkte und Prozesse im Hinblick auf die Anforderungen der jeweiligen IEC 62443-Normenteile
  • Entwicklung maßgeschneiderter Strategien zur Erfüllung der IEC 62443
  • Integration von Sicherheitsanforderungen in den Entwicklungsprozess, basierend auf IEC 62443-4-1
  • Unterstützung bei der technischen Umsetzung von Sicherheitsmaßnahmen gemäß IEC 62443-4-2
  • Durchführung von Sicherheitsprüfungen und Schwachstellenanalysen
  • Begleitung durch den gesamten Zertifizierungsprozess, einschließlich Dokumentation und Auditvorbereitung

Wir verstehen die besonderen Anforderungen, die die IEC 62443 in verschiedenen Branchen stellt, und passen unsere Beratung individuell an Ihre spezifischen Bedürfnisse an. Unser Ziel ist es, Ihnen zu helfen, die notwendigen Zertifizierungen zu erlangen und gleichzeitig die Cybersicherheit Ihrer Produkte zu optimieren.

Kontaktieren Sie uns für ein unverbindliches Erstgespräch, in dem wir gemeinsam ermitteln, wie wir Sie bei der effizienten und erfolgreichen Zertifizierung nach IEC 62443 unterstützen können.