Industrie 4.0
04.09.2018

Copa-Data: TÜV Süd bestätigt Industrial-IT-Security-Kompetenz

Copa-Data, Hersteller der HMI/Scada-Software Zenon, hat von TÜV Süd ein Konformitätszertifikat für den neuen Security-Standard ISA/IEC 62443-4-1 erhalten. Dieses bestätigt die sichere Gestaltung der Copa-Data-Prozesse für Softwareentwicklung, Qualitätssicherung und Support nach aktuellen Industrial-IT-Security-Richtlinien.

Mark Clemens und Reinhard Mayr (v.l.), Mitglieder des Security-Management-Teams bei Copa-Data, freuen sich über das IEC 62443-4-1-Zertifikat, welches das Know-how des Softwareunternehmens rund um Industrial IT Security unterstreicht (Bild: Copa-Data)

Der von der gemeinnützigen Berufsvereinigung International Society of Automation (ISA) entwickelte und von der International Electronical Commission (IEC) verabschiedete Standard ISA/IEC 62443 bietet einen Rahmen, um Sicherheitslücken in industriellen Automatisierungs- und Steuerungssystemen präventiv und systematisch aufzudecken und zu mindern. Im Januar 2018 wurde ein neuer Standard der internationalen Normenreihe veröffentlicht, ISA/IEC 62443-4-1:2018, Security for industrial automation and control systems, Part 4-1: Secure product development lifecycle requirements, welcher die Prozessanforderungen für Unternehmen zur sicheren Entwicklung von Produkten spezifiziert. Ziel des Standards ist es nach Unternehmensangaben, den gesamten Lebenszyklus von Produkten sicherer zu machen. Dazu zählen die Definition von Sicherheitsanforderungen, sicheres Design sowie sichere Implementierung einschließlich Codierungsrichtlinien, Verifizierung und Validierung, Mängelmanagement, Patch-Management und der Umgang mit Produktabkündigungen.

Branchenneutraler Anwendungsfall als Zertifizierungsbasis

Grundlage für die Zertifizierung nach IEC 62443-4-1 bildet die Erarbeitung eines branchenneutralen, realistischen Anwendungsfalls. Das Projektteam rund um Reinhard Mayr, Head of Information Security & Research Operation bei Copa-Data, baute in diesem praxisnahen Beispiel die verschiedenen Systeme einer modernen Produktionsstätte Schicht für Schicht zu einem sicheren Gesamtsystem zusammen. „Unser Ziel war, einen Use Case zu definieren, der zum einen dem realen Einsatz unserer Software in einem vernetzten Produktionsumfeld entspricht und unsere Investitionen in Security-Features der letzten Jahre berücksichtigt, zum anderen den Vorgaben der Norm gerecht wird“, sagt R. Mayr.

Das Herzstück des Anwendungsfalls ist eine Produktionszelle in einem Fertigungsprozess. Diese muss bestmöglich vor schädlichen Einflüssen aus den an sie angeschlossenen Produktionsbereichen, wie überwachender Leitstände, Netzwerk- und Managementebenen oder Cloudlösungen, geschützt werden. Angelehnt an allgemeine IT-Sicherheitskonzepte des Standards IEC 27001 beinhaltet das zur Zertifizierung herangezogene Beispiel deshalb auch eine auf Zenon-Technologie basierende demilitarisierte Zone (DMZ). „Die DMZ trennt den operativen Betrieb von Außeneinflüssen und stärkt die IT-Sicherheit. Unsere Strategien und Konzepte, die wir bereits viele Jahre in der zenon-Entwicklung verfolgen, wie Security by Design und Defense in Depth, unterstützen hier zusätzlich. Außerdem können wir es Angreifern dank der vielen nativen Zenon-Protokolle erschweren, ernsthaften Schaden anzurichten“, erläutert R. Mayr.

Security als Teamaufgabe

Um Industrial IT Security als Thema im Softwareentwicklungsprozess noch stärker zu etablieren, wurde das Copa-Data-Security-Management-Team erweitert und mit zusätzlichen Befugnissen ausgestattet. Mit dem neuen Zertifikat und den jährlichen Rezertifizierungen steht der gesamte Unternehmens-Security-Lifecycle permanent auf dem Prüfstand. R. Mayr erklärt: „Als fixer Bestandteil der Unternehmensstrategie verpflichtet sich COPA-DATA seit jeher der stetigen Verbesserung im Bereich Security. Wenn es darauf ankommt, betreiben wir aktive Aufklärung in enger Zusammenarbeit mit Behörden und anderen Herstellern.“

Security bleibt ein Thema, mit dem sich alle Unternehmensbereiche und Komponentenhersteller einer Gesamtanlage beschäftigen müssen. Alle über ein IT-Netzwerk miteinander verbundenen Bestandteile müssen grundlegende Sicherheitsstandards erfüllen, sowohl Menschen und Unternehmen als auch Hardware und Software. „Wir tun unser Bestes, die Security-Strategien unserer Kunden zu unterstützen und sie im Rahmen unserer Möglichkeiten vor Cyber-Attacken zu schützen“, bekräftigt R. Mayr.

www.copadata.com

Normen

DIN-VDE-Normen einfach online nutzen

Normen aus dem VDE VERLAG

» Mehr Informationen ...

Zum Schmunzeln

„Natürlich führe ich Selbstgespräche. Manchmal braucht man eben eine Expertenmeinung!“

Copyright © VDE VERLAG GMBH, zuletzt aktualisiert am 14.11.2018