Close

Login

Wenn Sie sich hier zum ersten Mal seit dem 09.02.2024 anmelden wollen, nutzen Sie bitte die "Passwort vergessen"-Funktion.

Noch kein Abonnent? Hier geht es zu unseren Angeboten.

Close

Unser Kennenlernangebot

Mit Ihrer Registrierung erhalten Sie 4 Wochen kostenlosen Zugang zu allen Abonnenteninhalten.

Oder entscheiden Sie sich gleich für ein kostenpflichtiges Abonnement, um dauerhaft auf alle Inhalte des Sicherheits-Berater zugreifen zu können.

Close

Passwort vergessen

Buchtipp

Guideline Industrial Security

Ausgabe 7/2026 |
  |  
Ausgabe 7/2026
  |  

Pierre Kobes, VDE Verlag GmbH, 4. Auflage, 2026, 173 Seiten,
ISBN 978-3-8007-6389-4

Erklärtes Ziel dieses englischsprachigen Fachbuchs ist es, den Zugang zur komplexen Normenreihe IEC 62443 zu erleichtern. Das ist ein löbliches und auch nötiges Vorhaben, denn die ISO/IEC 62443 beschreibt den internationalen Standard für die Cybersicherheit in industriellen Automatisierungs- und Steuerungssystemen (IACS). Darunter fallen OT-Umgebungen wie Produktionsanlagen, kritische Infrastrukturen, die Energieversorgung und auch die Gebäudeautomation. Diese thematische Spannweite und die Entwicklung dieser Normenreihe über mittlerweile fast 20 Jahre führt zu aktuell vier Hauptteilen (Grundlagen, Organisation, Systemanforderungen, Komponenten), die in zwölf Unterteile gegliedert sind.

Eine solche Menge Stoff ist geeignet, potenzielle Leser abzuschrecken und sie dazu zu bringen, sich mit dem Thema Cybersicherheit nur im Rahmen der allseits beliebten Normenreihe ISO 27000 zu befassen.. Wenn man sich jedoch tiefer mit Themen wie zum Beispiel der Gebäudeautomation und der Sicherheitstechnik eines Gebäudes befasst, wird klar, dass die ISO 27001/2 an einigen Stellen die eigentlichen Probleme nicht berührt.

Ein einfaches Beispiel ist das Patch Management. Bei konventioneller IT mit ihren Standardsystemen gibt es die unbedingte Forderung nach möglichst schnellem Patchen, also dem zügigen Flicken von Sicherheitslücken. Dieses Vorgehen ist bei Cyber-physikalischen Systemen oft nicht möglich. Entweder, weil es schlicht und einfach keine Patches für die betriebene Anlage gibt, oder weil das Risiko, neue Software einzuspielen, für den geforderten unterbrechungsfreien Betrieb oder für Leib und Leben zu hoch ist.

Defense-in-Depth

An dieser Stelle kommen die Konzepte der IEC 62443 zum Tragen. Diese Norm fordert und beschreibt „Defense-in-Depth“ – eine gestaffelte Verteidigung, die vor allem durch Netztrennung und eng kontrollierte Netzübergänge, eine genaue Betrachtung
und Behandlung des Lebenszyklus von Produkten und Anlagen, eine vorgegebene Systematik der Risikoanalyse und die Betrachtung unterschiedlicher Schutzstufen realisiert wird.

nicht „entweder, oder“

Wohlgemerkt ist die 62443-Reihe keine Alternative zur ISO 27001/2. Die ISO 27001/2 beschreibt ein Managementsystem, das Informationen einer Organisation durch technische und organisatorische Maßnahmen schützen soll. Die IEC 62443 hingegen beschreibt Aspekte und Methodik, um physische Prozesse und Anlagen vor Cyberangriffen zu schützen. Ein erfolgreicher Angriff bedeutet nicht nur den Verlust möglicherweise wertvoller Daten, sondern kann auch physische Schäden verursachen und sogar Menschenleben gefährden.

Zielführend ist das Zusammenspiel beider Normen – immer bei Betreibern kritischer Infrastrukturen und empfehlenswert für alle, die sich mit der OT-Sicherheit von Gebäuden befassen. Die ISO 27001 gibt das übergeordnete ISMS und die Prozesse im Unternehmen vor, die IEC 62443 die spezifischen OT-Anforderungen in der Produktion oder in der Gebäudetechnik. Allen, die sich bisher nicht an die IEC 62443 getraut haben, gibt der Sicherheits-Berater eine dringende Leseempfehlung für dieses kompakte Buch. Dessen Mut machender Untertitel zu Recht lautet: „IEC 62443 is easy“.

Aktuell in dieser Rubrik

Veranstaltungsrückblick

Sicherheitsplanung

Krisenmanagement und Künstliche Intelligenz

Beitrag der Architektur zur Unternehmenssicherheit

Weitere Short News

Meist gelesen

Schwerpunktthemen