Nicht nur eine Frage der Technik

Cyber Security in der Chemie

Anlagenbau
Chemie
Pharma
Ausrüster
Planer
Betreiber
Einkäufer
Manager

11.10.2017 Cyber-Angriffe sind eine immer stärkere Bedrohung. Vom ursprünglichen Bereich der Home- und Office-PCs hat sie sich immer weiter auch auf die Prozessindustrie ausgedehnt, insbesondere auf industrielle Steuerungen. Neue Normen und einfache Verhaltensregeln helfen dabei, solche Angriffe abzuwehren.

Anzeige

Entscheider-Facts für Betreiber

  • Die durch das Internet der Dinge (IOT) gekennzeichneten Veränderungen machen immer deutlicher, wie wichtig es ist, dass Ingenieure über mehr IT-Kompetenzen verfügen. Das Gleiche gilt umgekehrt auch für IT-Ingenieure.
  • Beide Gruppen müssen sich mit den gleichen Themen befassen und darüber kommunizieren und müssen sich daher in der Welt des jeweils anderen auskennen.
  • Neben technischen Sicherheitsmaßnahmen sind für Cyber Security weitere, aus der Erfahrungswelt der Informationstechnik abgeleitete, organisatorische Maßnahmen erforderlich.

Technology cyber security

Die Wahrscheinlichkeit eines Cyber-Angriffs bei Fertigungsanlagen ist höher als im Bereich der Finanzdienstleistungen. Die durch das Internet der Dinge (IOT) gekennzeichneten Veränderungen machen immer deutlicher, wie wichtig es ist, dass Ingenieure über mehr IT-Kompetenzen verfügen. Bild: technology cyber security94 – fotolia

Nach einer 2015 von IBM durchgeführten Studie ist die Wahrscheinlichkeit eines Cyber-Angriffs bei Fertigungsanlagen höher als im Bereich der Finanzdienstleistungen – ein erstaunliches und ernüchterndes Ergebnis. Die durch das Internet der Dinge (IOT) gekennzeichneten Veränderungen machen immer deutlicher, wie wichtig es ist, dass Ingenieure über mehr IT-Kompetenzen verfügen. Das Gleiche gilt natürlich umgekehrt auch für IT-Ingenieure. Beide Gruppen müssen sich mit den gleichen Themen befassen und darüber kommunizieren und müssen sich daher in der Welt des jeweils anderen auskennen. Interessanterweise bezeichnet das deutsche Wort „Sicherheit“ sowohl die funktionale Sicherheit als auch die Sicherheit vor Angriffen. Funktionssicherheit und der Schutz von Anlagen – und zwar sowohl vor-, zwischen- und nachgelagerter Anlagenteile – sind deshalb zwei unzertrennbar miteinander verbundene Aspekte. Sicherheitsgerichtete Automatisierungslösungen müssen über die funktionale Sicherheit hinaus auch den Schutz vor Cyber-Angriffen sicherstellen.

An Großprojekten im Bereich der Öl- und Gasindustrie sind zahlreiche Unternehmen mit sehr unterschiedlichen sicherheitstechnischen Zielen beteiligt. Hersteller sind bestrebt, den Schutz ihrer Betriebssysteme zu gewährleisten, Integratoren müssen ihr technisches Know-how schützen, und die Anwender sind für die Sicherheit des Systembetriebs verantwortlich. Es gibt daher keinen einfachen Weg, um Cyber-Sicherheit zu erreichen. Alle diese Aspekte müssen beachtet werden, und Lieferanten, Integratoren und Endanwender sind gefordert, ihr spezielles Know-how zu bündeln.

In praktisch jedem Automatisierungssystem ist die IT-Sicherheit gefährdet

In IEC 61508 ist der internationale Standard der Anforderungen für die funktionale Sicherheit sicherheitsbezogener elektrischer, elektronischer sowie programmierbarer Systeme festlegt. Nach IEC 61508 ist funktionale Sicherheit „der Teil der Gesamtsicherheit, der davon abhängig ist, dass ein System oder ein Betriebsmittel korrekte Antworten auf seine Eingangszustände liefert.“ Ziel der IT-Sicherheit muss es sein, die Abläufe vor möglichen negativen Einflüssen zu schützen und damit potenzielle Gefährdungen für Menschen, Umgebung und Anlagen auszuschließen oder wenigstens zu minimieren.

Selbst wenn man böswillige Attacken außer Acht lässt, bleibt die Tatsache bestehen, dass Gefährdungen der IT-Sicherheit in praktisch jedem Automatisierungssystem vorhanden sind. Dazu gehören z. B. das sicherheitsgerichtete System an sich und das dezentrale Steuerungssystem (DCS), zu dem das Sicherheitssystem gehören kann. Viele Experten fordern aus diesem Grund nicht nur eine physische Trennung von sicherheitstechnischem System (SIS) und den Komponenten des DCS, sondern auch unterschiedliche verantwortliche technische Teams oder Lieferanten für diese Systeme.

Zudem ist der der internationale Standard IEC 61511 für das sicherheitstechnische System (SIS) zu beachten. Ganz egal ob es sich um ein unabhängiges System handelt oder ob es in eine Gesamt-Basisprozesssteuerung (BPCS) integriert ist – das sicherheitstechnische System ist ein grundlegender Bestandteil jeder industriellen Prozessanlage. Bild 1 zeigt, wie IEC 61511 in der Praxis aussieht: In diesem Modell ist der industrielle Prozess von Risikoreduktionsebenen umgeben. Gemeinsam reduzieren diese das Risiko auf ein akzeptables Maß. Der erforderliche Risikoreduktionsfaktor für die verschiedenen Ebenen wird durch den Sicherheitsintegritätslevel (SIL) bestimmt.

HI000927_Figure_1

Sowohl die Safety- als auch die Cyber-Security-Norm fordern getrennte Schutzebenen. Bild: Hima

Schäden auf die inneren Schutzebenen begrenzen

Der erste Schutzwall für jede Anlage ist die Steuerungs- und Überwachungsebene, die die Basisprozesssteuerung umfasst. Die Basisprozesssteuerung reduziert die Gefahr des Eintretens eines unerwünschten Ereignisses. Die Vermeidungsebene umfasst das sicherheitstechnische System (SIS). Hardware und Software erfüllen auf dieser Ebene individuelle Sicherheitsfunktionen (SIF). Um das Gesamtrisiko auf ein akzeptables Niveau zu senken, benötigt die Mehrzahl der kritischen industriellen Prozesse ein sicherheitstechnisches System, das die Anforderungen von SIL3 erfüllt, was einem Risikoreduktionsfaktor von mindestens 1.000 entspricht.

Auf der Minderungsebene werden technische Systeme benötigt, die den Schaden bei einem Ausfall der inneren Schutzebenen begrenzen. Solche Minderungssysteme sind normalerweise nicht Teil eines Sicherheitssystems. Der Grund hierfür ist, dass diese Systeme erst nach Eintritt eines Ereignisses aktiviert werden (das eigentlich hätte verhindert werden sollen). Häufig werden bei solchen Minderungssystemen mechanische Einrichtungen oder strukturelle Merkmale eingesetzt. Beispiele sind Rückhaltebecken oder automatische Brandbekämpfungssysteme.

Neue IEC 62443 beschreibt Techniken gegen Cyber-Angriffe

Betrachten wir jetzt den IEC-Standard für die Cyber-Sicherheit. Die Norm IEC 62443, aktuell in der Entwurfsphase, befasst sich mit den wesentlichen Sicherheitstechniken zur Vermeidung von Cyber-Angriffen auf Anlagennetzwerke und Systeme.

Die Norm enthält sieben grundlegende Anforderungen. Diese betreffen die verschiedenen sicherheitsrelevanten Ziele, wie z. B. den Schutz des Systems vor unberechtigtem Zugriff. Darüber hinaus befasst sich die IEC 62443 auch mit dem Schutz von Netzwerken innerhalb von Automationssystemen. Wie aus Bild 2 hervorgeht, fordert die Norm die Trennung des Gesamtsystems. Außerdem wird das Konzept von Sicherheitszonen, definierten Kanälen und zusätzlichen Firewalls an jedem Kanal eingeführt, der eine Sicherheitszone mit einer anderen verbindet. Durch diese Struktur entsteht ein mehrlagiges System verschiedener Abwehrmechanismen („Defense in Depth“ bezeichnet). Für die Firewalls gelten dabei unterschiedliche technische Anforderungen, je nachdem, welche Sicherheitsebene jede Zone erfordert.

HI0000927_GrafikenWhitePaper_IEC 62443_Figure_2

Die Cyber-Security-Norm fordert nicht nur eine Trennung von Sicherheits- und Automatisierungslogik, sondern führt auch Sicherheitszonen (DMZ), definierte Leitungen und zusätzliche Firewalls an den Zonenübergängen ein. Bild: Hima

Standards und Strukturen müssen geschützt werden

Was also muss geschützt werden? Nach der neuesten Version von IEC 61511 lautet die Antwort, dass betriebliche Anforderungen und physikalische Strukturen gleichermaßen berücksichtigt werden müssen. Die Norm fordert Folgendes: Durchführung einer Sicherheitsrisikobewertung des sicherheitstechnischen Systems, Gewährleistung einer ausreichenden Widerstandsfähigkeit des SIS gegenüber den erkannten Sicherheitsrisiken, Absicherung der Funktion des SIS, Fehlererkennung und -korrektur, Schutz vor ungewollten Programmänderungen, Schutz der Daten zur Fehlersuche der Sicherheitsfunktionen und Schutz vor einer Manipulation der Beschränkungen zur Verhinderung der Deaktivierung von Alarmen und manuellen Abschaltung sowie Aktivierung/Deaktivierung von Lese-/Schreibzugriff mit einem sicheren Verfahren.

Was die strukturellen Anforderungen betrifft, fordert die IEC 61511 von den Anlagenbetreibern, dass ihr sicherheitstechnisches System bewertet werden muss. Die Betreiber müssen die Unabhängigkeit zwischen den Schutz­ebenen sicherstellen, eine Diversität zwischen den Schutzebenen etablieren, die Schutzebenen physisch trennen sowie Ausfälle gemeinsamer Ursachen zwischen den Schutzebenen identifizieren und vermeiden.

Die Norm IEC 61511 hat eine besondere Bedeutung für die Korrelation zwischen Cyber- und Anlagensicherheit. Sie besagt, dass die sicherheitstechnischen Funktionen physisch von den nicht sicherheitsbezogenen Funktionen getrennt werden sollen, wo immer es möglich ist. Die Standards IEC 61511 und IEC 62443 fordern unabhängige Schutzebenen. Beide Standards schreiben Folgendes vor:

  • Unabhängigkeit von Steuerung und Sicherheit,
  • Maßnahmen zur Reduktion systematischer Fehler,
  • Trennung von technischen und Leitungsfunktionen,
  • Reduktion von Ausfällen gemeinsamer Ursache.

Beide Standards betonen darüber hinaus, dass das Gesamtsystem nur so stark ist wie sein schwächstes Glied. Bei der Verwendung integrierter Sicherheitssysteme (bei denen das Sicherheitssystem und das Standardautomatisierungssystem auf der gleichen Plattform laufen) sollte die gesamte Hard- und Software, die potenziell die Sicherheitsfunktion beinträchtigen könnte, als Teil der Sicherheitsfunktion betrachtet werden. Dies bedeutet, dass das Standard-automatisierungssystem dem gleichen Managementprozess unterzogen werden muss wie das Sicherheitssystem.

Neben technischen Maßnahmen müssen von den Anwendern auch organisatorische Maßnahmen ergriffen werden, die von ausschlaggebender Bedeutung für die Cyber-Sicherheit sind. Keine vorhandene Technologie kann einen Schutz gegen neu entstehende Angriffsmöglichkeiten bieten. Aus diesem Grund besteht ein hoher Bedarf an regelmäßiger Prüfung interner Netzwerke, z. B. durch die manuelle Durchführung von Eindring- und Fuzzing-Tests. Darüber hinaus ist es auch wichtig, dass die Möglichkeiten einer Manipulation ständig im Auge behalten und berücksichtigt werden. Wenn zum Beispiel ein Bediener eine Anlage über ein industrielles Protokoll abschalten kann, dann dürfte dies auch für einen Hacker kein großes Problem sein.

Organisatorische Maßnahmen sind ausschlaggebend

Des Weiteren muss an die Vernunft aller Beteiligten appelliert werden. Wenn z. B. ein Mitarbeiter sein Passwort bekannt gibt, wird ein Angriff für Hacker zu einem Kinderspiel. Außerdem darf das DCS auf keinen Fall zum Surfen im Internet oder für Videospiele verwendet werden.

Fazit: Es gibt zahlreiche Möglichkeiten, die Cyber-Sicherheit industrieller Anlagen sicherzustellen. Neben den oben genannten technischen Sicherheitsmaßnahmen sind weitere, aus der Erfahrungswelt der Informationstechnik abgeleitete, organisatorische Maßnahmen erforderlich. Alle sicherheitsrelevanten Informationen sollten darüber hinaus auf jeder Stufe der Projektplanung über die gesamte Lebensdauer einer Anlage sorgfältig dokumentiert werden. Hersteller, Integratoren und Anwender müssen jederzeit die neuesten sicherheitstechnischen Erkenntnisse berücksichtigen und strengste Qualitätskontrollverfahren implementieren. Wenn alle diese Maßnahmen berücksichtigt werden, können Anlagen in der Prozessindustrie heute und in der Zukunft sicher betrieben werden.

CT-Report: Cybersecurity in der Chemieindustrie

Default-Passwörter in Steuerungen sind ein Problem

Cybersecurity-Norm IEC 62443 in der industriellen Automation

CT-Spotlight: IT-Security in Zeiten der Industrie 4.0

Zu den Websites des Unternehmens.

Über den Autor

Peter Sieber ist Vice President Strategic Business Development bei Hima
Loader-Icon