IEC 62443

Während Normen wie ISO 27001 die Informationssicherheit allgemein behandeln, ist IEC 62443 speziell für die Industrie geschrieben. Sie nimmt Rücksicht auf die Eigenheiten der Produktion: Anlagen, die nicht ausfallen dürfen, jahrzehntealte Systeme, eingeschränkte Update-Möglichkeiten und industrielle Protokolle.

Ein Kernkonzept ist das Denken in Zonen und Conduits: Systeme mit gleichem Schutzbedarf werden zu Zonen gruppiert, die Verbindungen dazwischen (Conduits) werden dokumentiert und kontrolliert. So lässt sich begrenzen, wie weit sich ein Angreifer bewegen kann. Die Norm unterscheidet außerdem die Rollen Betreiber, Integrator und Hersteller — jeder trägt einen Teil der Verantwortung.

IEC 62443 gibt einen strukturierten, risikobasierten Weg vor, OT-Sicherheit aufzubauen — und gilt zunehmend als Referenzrahmen, auch im Kontext der EU-Richtlinie NIS2. Bemerkenswert für die Praxis: Die Norm nennt für die Bestandsaufnahme der Geräte ausdrücklich die passive Erkennung über einen Spiegel-Port oder Netzwerk-TAP als korrekten Weg — also Mitlesen, ohne in den Betrieb einzugreifen.

Die Grenze: IEC 62443 ist kein Checklisten-Standard und kein Produkt, das man kauft. Sie fordert ein durchgängiges Vorgehen über mehrere Bausteine — Sichtbarkeit, Segmentierung, Zugangskontrolle, Überwachung und Prozess-Governance. Eine vollständige Umsetzung oder Zertifizierung für einen konkreten Fall ist eine eigene Aufgabe und keine Aussage, die ein einzelnes Werkzeug treffen kann.