Wie PAM die Umsetzung von IEC 62443 unterstützt

Die IEC-62443-Norm ist eine umfangreiche und hochkomplexe Sammlung von Cybersicherheitsstandards, die speziell auf die besonderen Anforderungen industrieller Automatisierungs- und Steuerungssysteme (IACS) zugeschnitten sind. Sie deckt das gesamte Spektrum der Sicherheit ab – von der Risikoanalyse über die Definition bis hin zur Umsetzung von Sicherheitsrichtlinien für IACS. Wie bei den meisten Sicherheitsstandards spielen die Themen Benutzerzugriffskontrolle und Identitätsmanagement eine zentrale Rolle für den Erfolg. Insbesondere Organisationen, die eine Zertifizierung für die Einhaltung der IEC-62443-Norm anstreben, sollten sich mit dem Thema Privileged Access Management (PAM) befassen. PAM bezieht sich auf administrative oder privilegierte Nutzer, die in der Lage sind, die IACS-Komponenten einzurichten oder zu ändern, die durch die Norm geschützt werden.

Was ist IEC 62443?

Es ist etwas irreführend, IEC 62443 als „Norm“ zu bezeichnen. Tatsächlich handelt es sich eher um eine Bibliothek von Regeln und verbundenen Standards, die von Organisationen wie dem American National Standards Institute (ANSI) und der International Society of Automation (ISA) stammen. IEC 62443 wird von der angesehenen International Electrotechnical Commission (IEC) veröffentlicht, die seit 1906 Standards für elektrische und elektronische Produkte entwickelt. (Sie haben uns buchstäblich die Hertz-Norm gebracht!) Eine Reihe globaler Zertifizierungsstellen hat Programme zur IEC-62443-Zertifizierung entwickelt, wobei jede Stelle ihr eigenes Schema auf Basis der referenzierten Standards und Verfahren definiert.

IEC 62443 ist eine Sammlung von Regeln und verbundenen Standards, die speziell für die Sicherheit von industriellen Automatisierungs- und Steuerungssystemen (IACS) entwickelt wurde.

Die Elemente der IEC-62443-Norm sind branchenübergreifend angelegt und listen Methoden und Techniken zum Schutz der Cybersicherheit auf. Es gibt Dutzende von Unterregeln und Komponenten. Auf einer höheren Ebene sind folgende Aspekte relevant, um IEC 62443 und die Zugriffskontrolle zu verstehen:

Normengruppe	Elemente
Richtlinien und Verfahren – im Zusammenhang mit der IACS-Sicherheit	62443-2-1 – Anforderungen zur Definition und Implementierung eines effektiven Cybersicherheits-Managementsystems für IACS. 62443-2-2 – Leitfäden zu den Anforderungen für den Betrieb eines effektiven Cybersicherheits-Managementsystems für IACS. 62443-2-3 – Leitlinien für das spezifische Thema Patch-Management bei IACS. 62443-2-4 – Anforderungen an Lieferanten von IACS.
Systemanforderungen – Anforderungen auf der Systemebene	62443-3-1 – Anwendung verschiedener Sicherheitstechnologien in einer IACS-Umgebung. 62443-3-2 – Sicherheitsrisikobewertung und Systemdesign für IACS. 62443-3-3 – Grundlegende Sicherheitsanforderungen für Systeme und Sicherheitsstufen (Security Assurance Levels).

Quelle: The 62443 Series of Standards, published by ISA, December 2016

Verständnis von Privileged Access Management (PAM)

Eine der besten Möglichkeiten, die IEC-Standards umzusetzen, besteht darin, eine PAM-Lösung einzusetzen, um die vollständige Kontrolle über den Zugriff auf die kritischsten Daten und Systeme zu behalten.

Privilegierte Benutzer verfügen über Berechtigungen (oder Privilegien), die es ihnen ermöglichen, auf die administrativen Steuerungen eines bestimmten Systems zuzugreifen. Diese Benutzer werden oft auch als Administratoren oder „Root“-Benutzer bezeichnet. Sie können Benutzerkonten einrichten, ändern oder löschen. Häufig haben sie Zugriff auf Daten oder können diese ändern. In einigen Fällen sind sie sogar in der Lage, Systemkonfigurationen anzupassen oder das System vollständig zu deinstallieren.

Mit schlecht verwalteten privilegierten Benutzern sind erhebliche Sicherheitsrisiken verbunden. Wenn ein Hacker beispielsweise die Identität eines privilegierten Benutzers annimmt, könnte er erheblichen Schaden an den IACS anrichten. Um solche Risiken zu mindern, schaffen PAM-Lösungen eine sichere und effiziente Möglichkeit, alle privilegierten Benutzer zu autorisieren und zu überwachen [LINK -> Blog Artikel „Blog-Artikel_Session Manager_DE“]

PAM-Lösungen erlauben das Erteilen und Entziehen von privilegierten Zugriffsrechten. Sie fungieren als Vermittler zwischen privilegierten Benutzern und den von ihnen verwalteten Systemen. So hat der privilegierte Benutzer keinen direkten Zugriff auf die Backend-Systeme. Bei einigen Lösungen, wie etwa WALLIX, kennt der privilegierte Benutzer nicht einmal das tatsächliche Passwort für das IACS, das er verwaltet. Dies reduziert das Risiko manueller Eingriffe. In industriellen Umgebungen stellt ein manueller Eingriff eine erhebliche Bedrohung dar.

PAM bietet Organisationen die notwendigen Werkzeuge, um den Zugriff auf kritische Systeme zu beschränken und zu überwachen.

Abgleich von IEC 62443 mit PAM

PAM ist eine optimale Methode, um mehrere Elemente der IEC 62443 umzusetzen. Da die Standards recht umfangreich und komplex sein können, zeigt eine Übersichtstabelle, wie sie mit den bekannten Bestandteilen des NIST Cybersecurity Frameworks zusammenhängen.

PAM steht im Einklang mit IEC 62443 in Bezug auf Zugriffskontrollen, die im NIST-Standard PR.AC behandelt werden: Der Zugang zu Anlagen und zugehörigen Einrichtungen ist auf autorisierte Benutzer, Prozesse oder Geräte sowie auf genehmigte Aktivitäten und Transaktionen beschränkt.

Relevanter Teil des NIST Cybersecurity Framework	Entsprechendes IEC/ISA 62433-Element	Die Rolle von PAM bei der Umsetzung
PR.AC-1: Identitäten und Berechtigungsnachweise werden für autorisierte Geräte und Benutzer verwaltet	ISA 62443-2-1:2009 4.3.3.5.1 – Zugriffskonten und Implementierung der Autorisierungsrichtlinie „Zugriffsrechte für Konten sollten gemäß der Sicherheitsrichtlinie der Organisation für Autorisierungen (4.3.3.7.1) festgelegt werden.“	Die PAM-Lösung ist in der Lage, Sicherheitsrichtlinien für die Autorisierung über mehrere administrative IACS-Backends hinweg zu definieren und durchzusetzen.
	ISA 62443-2-1:2009 4.3.3.7.1 – Definition einer Autorisierungsrichtlinie – Richtlinien für die Autorisierung sollten definiert werden, um sicherzustellen, dass nur autorisierte Benutzer Zugriff auf Systeme und Daten erhalten.	Die PAM-Lösung kann als Aufbewahrungsort für Autorisierungssicherheitsrichtlinien dienen, die sich auf alle IACSs in einer Industrieanlage beziehen.
	ISA 62443-3-3:2013 (Sicherheitsanforderungen für industrielle Automatisierungs- und Steuerungssysteme, Teil 3-3: Systemanforderungen und Sicherheitsniveaus) SR 1.1 – Identifikation und Authentifizierung menschlicher Benutzer – „Das Steuersystem muss die Möglichkeit bieten, alle menschlichen Benutzer zu identifizieren und zu authentifizieren. Diese Funktion muss sicherstellen, dass solche Identifikationen und Authentifizierungen auf allen Schnittstellen durchgesetzt werden, die Benutzern Zugriff auf das Steuersystem gewähren, um eine Trennung von Verantwortlichkeiten und das Prinzip der minimalen Rechte gemäß Sicherheitsrichtlinien zu gewährleisten.“	„Least Privilege“ ist ein PAM-Konzept. Die PAM-Lösung kann bestimmten Benutzern Privilegien gewähren oder entziehen und so sicherstellen, dass jeder Benutzer gemäß der Richtlinie „das geringste Privileg“ hat.
	ISA 62443-3-3:2013 SR 1.3 – Kontoverwaltung – „Das Steuersystem muss die Fähigkeit bieten, alle Konten durch autorisierte Benutzer zu verwalten. Dazu gehören das Hinzufügen, Aktivieren, Ändern, Deaktivieren und Entfernen von Konten.“	Gemäß dieser Vorgabe sollte jedes Steuerungssystem die Verwaltung aller Konten durch autorisierte und privilegierte Benutzer unterstützen. Dies ist jedoch in einer Umgebung mit mehreren IACSs kaum praktikabel. PAM kann hier eine zentrale Verwaltungsstelle für alle privilegierten Benutzer bieten, die auf sämtliche IACSs zugreifen.
	ISA 62443-3-3:2013 SR 1.4 – Verwaltung von Identifikatoren – „Das Steuersystem muss die Fähigkeit bieten, Identifikatoren nach Benutzer, Gruppe, Rolle oder Systemoberfläche zu verwalten.“	PAM kann den privilegierten Zugriff je nach Benutzer, Gruppe oder Rolle verwalten.
	ISA 62443-3-3:2013 SR 1.5 – Verwaltung von Authentifizierungsdaten – „Das Steuersystem muss in der Lage sein, alle Authentifizierungsdaten zu ändern oder zu aktualisieren und diese vor unbefugtem Zugriff oder Änderungen zu schützen – sowohl während der Speicherung als auch während der Übertragung.“	Mit PAM haben IACS-Administratoren eine zentrale Kontrolle über alle von privilegierten Benutzern verwendeten Authentifikatoren. Es kann Authentifikatoren vor unbefugter Offenlegung und Änderung schützen.
	ISA 62443-2-1:2009 4.3.3.3.8 – Verfahren zur Überwachung und Alarmierung einrichten – Es sollten Prozesse implementiert werden, um potenzielle Sicherheitsbedrohungen zu überwachen und bei ungewöhnlichen Aktivitäten Alarme auszulösen.	Überwachung und Alarmierung sind Kernfunktionen der meisten PAM-Lösungen, die es den Administratoren ermöglichen, auf mögliche Verletzungen der Richtlinien für privilegierte Konten aufmerksam zu werden.
PR.AC-3: Verwaltung des Fernzugriffs	ISA 62443-2-1:2009 4.3.3.6.6 – Entwicklung einer Richtlinie für Remote-Login und Verbindungen – Organisationen müssen Richtlinien definieren, die den sicheren Zugriff auf Systeme über Fernverbindungen gewährleisten.	Der Fernzugriff stellt ein Risiko für privilegierte Konten dar. Unbefugte, die sich als privilegierte Benutzer ausgeben, versuchen oft, sich aus der Ferne anzumelden, um böswillige Handlungen durchzuführen. PAM kann dieses Risiko minimieren.
	ISA 62443-3-3:2013 SR 1.13 – Zugriff über unzuverlässige Netzwerke – „Das Steuersystem muss die Fähigkeit bieten, alle Zugriffswege über unzuverlässige Netzwerke zu überwachen und zu kontrollieren.“	PAM kann privilegierte Account-Sitzungen überwachen, verfolgen und Details zum Netzwerkzugriff aufzeichnen.
	ISA 62443-3-3:2013 SR 2.6 – Beendigung von Fernsitzungen – „Das Steuersystem muss die Möglichkeit bieten, eine Fernsitzung entweder automatisch nach einer konfigurierbaren Inaktivitätsdauer oder manuell durch den Benutzer zu beenden, der die Sitzung initiiert hat.“	Viele PAM-Lösungen können auf der Grundlage von Warnmeldungen voreingestellte Arbeitsabläufe ausführen. Wenn die PAM-Lösung beispielsweise eine nicht autorisierte Aktivität feststellt, kann sie so eingestellt werden, dass die Sitzung des privilegierten Kontos beendet wird.
PR.AC-4: Zugriffsberechtigungen werden unter Berücksichtigung des Prinzips der geringsten Privilegien und der Aufgabentrennung verwaltet	ISA 62443-2-1:2009 4.3.3.7.3 – Einrichtung geeigneter logischer und physischer Berechtigungsverfahren für den Zugriff auf IACS-Geräte – Die Implementierung geeigneter Zugriffsverfahren ist erforderlich, um den Schutz sensibler Systeme zu gewährleisten.	Physische Geräte sind ein potenzielles Ziel für Angreifer, die sich als privilegierte Benutzer ausgeben. Wenn sich der Angreifer lokal auf einem Gerät anmelden kann, kann er oft die Richtlinien für die Nutzung privilegierter Konten umgehen. PAM reduziert dieses Risiko, indem es dem privilegierten Benutzer verbietet, das tatsächliche Kennwort des physischen Geräts zu kennen.
	ISA 62443-3-3:2013 SR 2.1 – Durchsetzung der Autorisierung – „Das Steuersystem muss sicherstellen, dass auf allen Schnittstellen die zugewiesenen Autorisierungen durchgesetzt werden. Dies dient der Unterstützung der Trennung von Verantwortlichkeiten und dem Prinzip der minimalen Rechte.“	PAM bietet eine ganzheitliche Lösung für die Aufgabentrennung und die Durchsetzung des PolP-Prinzips (Principle of least Privileges) – ein effizienterer und sicherer Ansatz als der Versuch, die Schnittstelle auf jedem IACS diese Aufgabe erfüllen zu lassen.

PAM für ICS-Sicherheit implementieren

PAM-Lösungen haben das Potenzial, den Prozess der IEC 62443-Zertifizierung zu vereinfachen. Dies gilt sowohl in direkter als auch in indirekter Hinsicht. Wie die oben aufgeführte Tabelle zeigt, beziehen sich eine Reihe von Schlüsselelementen der IEC 62443 direkt auf die Zugriffskontrolle und den Schutz privilegierter Konten. Indirekt unterstreicht eine starke PAM-Lösung die Fähigkeit einer Organisation, die umfassenderen IEC 62443-Kontrollen einzuhalten. Mit PAM wird es zum Beispiel einfacher, mit dem Patch-Management und der Risikobewertung Schritt zu halten – beide Bereiche hängen davon ab, dass man jederzeit weiß, wer was tut.

Um mehr über die WALLIX PAM-Lösung zu erfahren…

Fragen Sie uns nach IEC 62443

Kontakt

Cookie	Dauer	Beschreibung
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Dauer	Beschreibung
__hstc	1 year 24 days	This cookie is set by Hubspot and is used for tracking visitors. It contains the domain, utk, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
hubspotutk	1 year 24 days	This cookie is used by HubSpot to keep track of the visitors to the website. This cookie is passed to Hubspot on form submission and used when deduplicating contacts.
trackalyzer	1 year	This cookie is used by Leadlander. The cookie is used to analyse the website visitors and monitor traffic patterns.

Cookie	Dauer	Beschreibung
__hssc	30 minutes	This cookie is set by HubSpot. The purpose of the cookie is to keep track of sessions. This is used to determine if HubSpot should increment the session number and timestamps in the __hstc cookie. It contains the domain, viewCount (increments each pageView in a session), and session start timestamp.
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
messagesUtk	1 year 24 days	This cookie is set by hubspot. This cookie is used to recognize the user who have chatted using the messages tool. This cookies is stored if the user leaves before they are added as a contact. If the returning user visits again with this cookie on the browser, the chat history with the user will be loaded.

Cookie	Dauer	Beschreibung
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
__hssrc	session	This cookie is set by Hubspot. According to their documentation, whenever HubSpot changes the session cookie, this cookie is also set to determine if the visitor has restarted their browser. If this cookie does not exist when HubSpot manages cookies, it is considered a new session.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Dauer	Beschreibung
_gat_UA-12183334-1	1 minute	No description
AnalyticsSyncHistory	1 month	No description
CONSENT	16 years 9 months 23 days 12 hours 13 minutes	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.
wp-wpml_current_language	1 day	No description

Wie PAM die Umsetzung von IEC 62443 unterstützt

Was ist IEC 62443?

Verständnis von Privileged Access Management (PAM)

Abgleich von IEC 62443 mit PAM

PAM für ICS-Sicherheit implementieren

Verwandte Inhalte