Cookies

Diese Website verwendet Cookies, die Ihre Zustimmung brauchen.

Zum Inhalt springen

IEC 62443 – Orientierung für mehr Sicherheit in der Industrial IT

Die Normenreihe IEC 62443 gilt heute als der wichtigste Standard für industrielle Cyber Security. Sie bietet Unternehmen einen klaren Rahmen, um Produktionsanlagen systematisch abzusichern und gleichzeitig regulatorische Anforderungen zu erfüllen. Doch wie lässt sich der Standard in der Praxis anwenden – und wo sind individuelle Anpassungen notwendig?

Was ist IEC 62443?

Die Normenreihe IEC 62443 ist der weltweit wichtigste Standard für Cybersecurity in industriellen Automatisierungs- und Steuerungssystemen (IACS). Sie wird von der International Electrotechnical Commission (IEC) entwickelt und ist in vielen Branchen, insbesondere in der Prozessindustrie, im Energiesektor und in der Fertigung, inzwischen ein zentraler Referenzrahmen. Ziel der Norm ist es, ein einheitliches Fundament für die Absicherung industrieller Systeme zu schaffen, die traditionell lange Lebenszyklen haben und oft in Umgebungen betrieben werden, in denen Verfügbarkeit und Sicherheit höchste Priorität haben.

Ein Kernelement von IEC 62443 ist die Segmentierung in Zonen und Conduits. Zonen fassen Systeme mit ähnlichen Sicherheitsanforderungen zusammen, während Conduits die Kommunikationsverbindungen zwischen diesen Zonen beschreiben. Dieses Konzept erlaubt eine gezielte Risikobetrachtung und verhindert, dass ein Angreifer mit einem einzigen Einstiegspunkt Zugriff auf die gesamte Anlage erlangt. Die Norm deckt zudem den gesamten Lebenszyklus ab – von der Planung über die Implementierung bis zur Wartung und Stilllegung – und richtet sich an alle beteiligten Akteure: Hersteller, Systemintegratoren und Betreiber.

Die Grafik zeigt den Aufbau eines sicheren Netzwerks.
Grafik zur Verdeutlichung der Umsetzung von sicheren Netzwerken für Prozessautomationsanlagen.

Warum empfehlen wir Unternehmen, sich daran zu orientieren?

Die Bedrohungslage für industrielle Systeme hat sich in den letzten Jahren drastisch verändert. Während in der Vergangenheit Produktionsanlagen meist isoliert betrieben wurden, sind heute durch Digitalisierung, Industrial IoT und Cloud-Anbindungen zahlreiche Schnittstellen entstanden. Angriffe wie Ransomware, Manipulation von Prozessdaten oder gezielte Industriesabotage sind keine hypothetischen Szenarien mehr, sondern reale Risiken.

IEC 62443 bietet Unternehmen eine strukturierte Vorgehensweise, um diese Risiken zu bewerten und systematisch zu adressieren. Durch die Definition klarer Sicherheitsanforderungen können Betreiber:

  • die Angriffsfläche reduzieren,

  • die Verfügbarkeit kritischer Systeme sicherstellen,

  • regulatorische Vorgaben (IKT, NIS2, KRITIS) erfüllen und

  • das Vertrauen von Kunden, Aufsichtsbehörden und Partnern stärken.

Ein weiterer Vorteil ist die internationale Verbreitung des Standards. Wer IEC 62443 berücksichtigt, positioniert sich nicht nur sicherheitstechnisch, sondern auch wirtschaftlich: In immer mehr Ausschreibungen wird die Einhaltung explizit gefordert.

Unsere Expertise und Unterstützung

Wir bei CTE haben uns intensiv mit der Umsetzung von IEC 62443 in der Praxis beschäftigt. In Projekten mit Unternehmen aus der Pharma-, Chemie- und Energiebranche haben wir bewiesen, dass sich der Standard pragmatisch anwenden lässt, ohne den Betrieb unnötig zu belasten.

Die Grafik zeigt den Aufbau eines segmentierten Produktionsnetzes nach IEC62443.
Purdue-Model um Produktionsnetze nach IEC62443 zu segmentieren.

Unser Vorgehen beginnt mit einer Risikoanalyse, in der die relevanten Assets identifiziert und nach Kritikalität bewertet werden. Darauf aufbauend entwickeln wir ein Zonen- und Conduit-Konzept, das die logische und physische Netzwerkstruktur berücksichtigt. Typische Massnahmen, die wir gemeinsam mit unseren Kunden umsetzen, sind:

  • Segmentierung des Netzwerks und Einführung von Firewalls zwischen Produktions- und Büroumgebungen,

  • Absicherung von Remote-Zugängen über VPN oder Jump-Hosts mit Multi-Faktor-Authentifizierung,

  • Härtung von Betriebssystemen und Steuerungen durch Entfernen unnötiger Dienste,

  • Einführung von Patch- und Update-Prozessen, die die besonderen Anforderungen industrieller Anlagen berücksichtigen,

  • Aufbau eines Monitorings, das sicherheitsrelevante Ereignisse frühzeitig erkennt.

Neben der Technik spielt auch die Organisation eine zentrale Rolle. IEC 62443 fordert klare Rollen und Verantwortlichkeiten sowie Prozesse für Incident Response und Change Management. Auch hier unterstützen wir unsere Kunden, indem wir die regulatorischen Anforderungen mit den praktischen Abläufen im Betrieb verknüpfen.

«Aus meinem Arbeitsalltag weiss ich: OT-Security bleibt ohne klare Struktur unübersichtlich – IEC 62443 schafft hier Orientierung für eine sicher Netzwerkinfrastruktur in der industriellen Automatisierung».
Michael Gempp, Cyber Security Experte CTE

Praxisbeispiel aus einem Referenzprojekt

Im Rahmen eines umfangreichen Referenzprojekts konnten wir die Anforderungen der IEC 62443 auf drei Produktionsstandorte eines internationalen Unternehmens übertragen. Grundlage war das Purdue-Modell, das eine klare Trennung zwischen Office-IT, Leit- und Steuerungsebene sowie der Feldebene vorsieht.

In enger Abstimmung mit dem CISO des Unternehmens wurden die Sicherheitsmassnahmen definiert. Neben den Vorgaben aus IEC 62443 haben wir zusätzliche Massnahmen integriert, die auf die besonderen regulatorischen Anforderungen in der Branche zugeschnitten waren. Nach der Konzeption erfolgte die technische Umsetzung, abschliessend validiert durch einen unabhängigen Penetrationstest.

Besonders hervorzuheben ist die Gestaltung des Datenverkehrs: Wir haben die Kommunikation so strukturiert, dass sie „Firewall-freundlich“ ist. Das bedeutet, zwischen den einzelnen Zonen findet nur der absolut notwendige Austausch statt – möglichst ausschliesslich in Form von ausgehendem Datenverkehr. Dadurch konnten wir die Zahl der offenen Ports in sensiblen, potenziell verwundbaren Zonen stark reduzieren. Dieses Prinzip minimiert die Angriffsfläche erheblich und macht die Infrastruktur resilient gegenüber typischen Angriffsmustern.

Das Ergebnis: ein normenkonformes, gleichzeitig aber schlankes und wartbares Sicherheitskonzept, das regulatorische Anforderungen erfüllt und in der Praxis reibungslos funktioniert.

Bild von Michael Gempp, stellvertretender Teamleiter bei ControlTech Engineering AG.

Sie möchten wissen, wie sicher Ihr industrielles Netzwerk wirklich ist?

Buchen Sie ein unverbindliches Gespräch mit Michael Gempp, IT Systems Engineer.

Kontaktieren Sie uns.

Anpassung an spezifische Bedürfnisse

Das Praxisbeispiel zeigt: IEC 62443 ist kein starres Regelwerk, sondern ein Rahmen. Jedes Unternehmen muss für sich definieren, welche Bedrohungen realistisch sind und welche Schutzmassnahmen wirtschaftlich sinnvoll umgesetzt werden können. Ein Pharmaunternehmen mit streng regulierten Produktionsprozessen hat andere Anforderungen als ein mittelständischer Maschinenbauer oder ein Energieversorger.

Der Standard bietet hierfür bewusst Flexibilität. Unternehmen können eigene Vorgaben, bestehende Sicherheitsrichtlinien oder branchenspezifische Regularien in die Umsetzung integrieren. Entscheidend ist, dass die Massnahmen wirksam sind und zum Gesamtrisiko passen. Wir empfehlen unseren Kunden daher immer, den Standard nicht als „Checkliste“ zu verstehen, sondern als Werkzeugkasten. Gemeinsam entwickeln wir massgeschneiderte Sicherheitskonzepte, die sowohl normenkonform als auch praxisnah sind.

Fazit

IEC 62443 hat sich als Referenzrahmen für industrielle Cybersecurity etabliert. Unternehmen, die sich daran orientieren, schaffen nicht nur sichere, sondern auch zukunftsfähige Produktionsumgebungen. Die Umsetzung erfordert jedoch mehr als das reine Befolgen einer Norm – sie lebt von einer durchdachten Strategie, technischer Expertise und dem Bewusstsein, dass Sicherheit ein kontinuierlicher Prozess ist. Wir bei CTE begleiten unsere Kunden auf diesem Weg und stellen sicher, dass aus einem abstrakten Standard konkrete, wirksame Massnahmen werden.