Zum Hauptinhalt springen

Zonierung

Gruppe von Asset

Unter Zonierung versteht man sehr vereinfacht ausgedrückt, das Zusammenfassen bzw. Gruppieren einer Gruppe von Asset, Applikationen oder Services. Die Kommunikation in und aus diesen Zonen erfolgt über definierte Gateways oder Schnittstellen (API, Interface,..).

Ziel der Zonierung ist u.a eine Resilienz zwischen den Zonen zu schaffen, damit im Anlassfall nur eine Zone betroffen ist, jedoch nicht größere Systemausfällen, und dass an den Gateways Regeln zur Lenkung der Kommunikation, als auch zur Überwachung durchgeführt werden kann.

Einzelne Zonen können wiederum nach unterschiedlichen Gesichtspunkten zu s.g. "System under Consideration" (SuC) nach der CEN TS50701 Ed.2 bzw. der IEC-PT62453 zusammenfasst werden. Die Kenntnis der wesentlichen Funktionen des SuC ist von entscheidender Bedeutung, um diese zu schützen und zu vermeiden, dass Sicherheitsanforderungen auferlegt werden, die sie einschränken oder sogar gefährden könnten.

Die wesentlichen Funktionen können durch Anforderungen aus dem System-Engineering-Prozess identifiziert werden, die mit den entsprechenden Eigenschaften gekennzeichnet sind, beispielsweise solchen, die sicherheitsrelevant sind.

Allgemein für das "Zonieren" gilt:

  • Assets, Applikationen oder Services sind nach unterschiedlichen Gesichtspunkten in Gruppen (netzwerktechnisch: "Zonen") mit ähnlichem Securityerfordernissen zusammenzufassen.
  • Je nach Kritikalität der Zone, sind unterschiedliche Maßnahmen erforderlich um die Asset, Applikationen oder Services zu schützen.
  • Jede Zone muss eine Netzklasse zugeordnet werden. Eine Netzklasse ist vereinfacht ausgedrückt, eine hierarchische Einteilung damit es zu keinen direkten Zugriffen von Anlagen/Systeme/Daten/Services mit unterschiedlicher Kritikalität kommt.
  • Jede Zone muss ein Security Level Target (SL-T) zugewiesen werden.

Achtung! Um unterschiedliche Security Levels zu erfüllen, müssten natürlich unterschiedlich "strenge" Security Maßnahmen angelegt werden. Damit Ergeben sich impliziert für höhere Netzklassen auch höhere Anforderungen. Eine allgemeine Aussage und Ableitung von einem bestimmten Maßnahmenset welche für alle Zonen in einer Netzklasse gilt, kann aber nicht getroffen werden, da dies von vielen unterschiedlichen Faktoren der Funktionen der betreffenden Systeme abhängt.

Grundsätzlich ist die Zonierung in mehreren Schritten unterteilt und basiert auf

  • den Referenzarchitekturmodellen der IEC62443-1-1 und IEC62443-2-1
  • ZCR (Zone & Conduit Requirements) Príncipes der IEC62443-3-3 unter Berücksichtigung der Risk Methoden der IEC62443-3-2.

Die folgenden Kriterien sollten zur Aufteilung des SuC in Zonen verwendet werden:

Basierend auf IEC-PT62453, Kapitel 7.5.4.2

– das Risiko der Vermögenswerte im Hinblick auf Integrität, Verfügbarkeit und Vertraulichkeit – die Art der Schnittstellenzugangspunkte oder der Verbindung zu den anderen Teilen des SuC (z. B. drahtlos) – der physische oder logische Standort – die Zugangsvoraussetzungen – die operative Funktion – die Verantwortlichkeiten der Organisation für jedes Asset – der Sicherheitsaspekt – der Technologielebenszyklus, zum Beispiel Produktlebenszyklus und Obsoleszenz.

Netzklassen

Die generelle Beschreibung der Netzklassen ist wie folgt:

  1. NK0 (Internet): Offene Netze mit einer unbekannten oder offenen Gemeinschaft von Teilnehmern.
  2. NK1 (Extranet): Geschlossene und grundsätzlich bekannte Gemeinschaft von Teilnehmern, zu denen keine ausdrückliche vertragliche Bindung besteht.
  3. NK2 (Internet DMZ): Netzbereich für Dienste, die für eine unbekannte oder offene Gemeinschaft von Benutzern angeboten werden. Die NK2 wird z.B. für Services auf der Homepage bzw. als Plattform zum Austausch von Daten mit externen Stellen und Remote-Zugriffe verwendet.
  4. NK3 (Intranet): Definierte Gemeinschaft von Teilnehmern mit vertraglicher Bindung bzw. Anstellung (z.B. alle Mitarbeiter, Servicevertragspartner). Die NK3 wird vor allem für „Standard-Services“ verwendet (z.B. Clients, Office-Umgebung, Printservices, Fileservices, VoIP-Endgeräte, Verzeichnisdienste, Authentifizierungsdienste, etc.).
  5. NK4 (Intranet Secure): Netzbereich mit einem eingeschränkten und definierten Teilnehmerkreis (definierte Mitarbeiter, definierte IKT-Services/Systeme, Servicevertragspartner). Die NK4 wird z.B. für besonders schützenswerte, zentrale interne Services bzw. Daten verwendet (z.B. bestimmte ERP-Systeme, bestimmte Datenbanken, Hausleittechnik, Management-Netze, etc.).
  6. NK5 (Intranet kritisch): Kritischer Netzbereich (in Bezug auf die Kriterien Vertraulichkeit und Integrität) mit einem sehr eingeschränkten und definierten Teilnehmerkreis (definierte Mitarbeiter, definierte IKTServices/Systeme, Servicevertragspartner). Die NK5 wird z.B. für besonders schützenswerte interne Services bzw. Daten verwendet, welche für das Kerngeschäft notwendig sind (z.B.: Management-Netze).