Safety nicht ohne Security

Sicherheitskonzepte für vernetzte Anlagen

Anlagenbau
Chemie
Pharma
Ausrüster
Planer
Betreiber
Einkäufer
Manager

13.07.2017 Industrie 4.0 – letztendlich wird sich keine Branche der Digitalisierung respektive der Vernetzung der Systeme und Prozesse entziehen können. Doch dies bringt nicht nur mehr Effizienz, sondern auch neue Sicherheitsrisiken in die Produktion. Ein notwendiger Schritt, um auch zukünftig mit allen Gegebenheiten sicher umgehen zu können, ist von daher, hier Safety und Security gleichermaßen im Blick zu haben.

Anzeige

Entscheider-Facts für Planer und Betreiber

  • Mit der zunehmenden Vernetzung von Steuerungsanlagen und Office-IT steigen auch die Sicherheitsanforderungen, da Angriffe auf die Office-IT auch die Produktion gefährden können.
  • Ein vollständiges Sicherheitskonzept muss aus diesem Grund nicht nur die funktionale Sicherheit berücksichtigen, sondern auch die IT-Sicherheit.
  • Die Sicherheitsstrategie muss sich nach dem Bedarf des Unternehmens richten und dabei Vertraulichkeit, Integrität und Verfügbarkeit sowie Schutz für Leib und Leben gewährleisten.

Global network and data exchange over the world

In der zunehmend vernetzten Welt steigt der Bedarf nach IT-Sicherheit – besonders, wenn auch die funktionale Sicherheit davon abhängt. Bild: sdecoret – Fotolia

drugs and drugs production

Bei einem Angriff auf die IT eines Unternehmens kann schnell auch die Produktion stillstehen, wenn kritische Systemkomponenten betroffen sind.
Bild: Georgiy Lykin – fotolia

Verwundbarkeit von IT-Systemen massiv unterschätzt

Durch die fortschreitende Vernetzung von Steuerungsanlagen und Office-IT ergeben sich neue Anforderungen an die Sicherheit von Systemen. Denn hieraus resultiert, dass Angriffe auf die Office-IT auch die Produktion beeinflussen können. Dies sind keine theoretischen Szenarien, sondern in der Praxis hat sich längst bestätigt, dass bislang die Verwundbarkeit von IT-Systemen in industriellen Steuerungssystemen gegenüber böswilligen Angriffen massiv unterschätzt wurde. Wenn hier nicht rechtzeitig die richtigen vorbeugenden Maßnahmen zur Gefahrenabwehr ergriffen werden, ist absehbar, dass dieses Angriffspotenzial aufgrund der insbesondere über offene Netze verbundenen Anwendungen noch weiter ansteigt.

Diese Tatsache erfordert ein generelles Umdenken: Während vormals der Fokus im industriellen Umfeld fast ausschließlich auf der funktionalen Sicherheit von Maschinen oder Anlagen lag – also darauf, dass sicherheitsgerichtete Steuerungen ihre Funktionen zuverlässig erbringen, um den Schutz der Umgebung vor Fehlfunktionen zu garantieren – und IT-Sicherheit hier kaum von Relevanz war, lässt sich das Konzept der strengen Trennung zwischen Safety und IT-Sicherheit nicht mehr aufrechterhalten. Denn zukünftig ist es keinesfalls mehr möglich, die Betriebs- beziehungsweise funktionale Sicherheit ohne IT-Sicherheit zu gewährleisten, da hierdurch nicht nur der Schutz von IT-Systemen im Allgemeinen, sondern auch von industriellen Steuerungsanlagen im Speziellen gegen unerlaubte Handlungen und Angriffe sichergestellt wird.

Einheit für mehr Sicherheit

Unabhängig von Industrie 4.0 lassen sich die Unterschiede zwischen funktionaler und IT-Sicherheit grundsätzlich so spezifizieren: Bei der funktionalen Sicherheit (Safety) geht es darum, durch Automatisierungstechnik sicherzustellen, dass von einem Gerät oder einer Anlage keine Gefahr für Mensch und Umwelt ausgeht. Die IT-Sicherheit (Security) zielt darauf ab, Gefahren abzublocken, die von außen auf das System einwirken, etwa Schadsoftware oder ein nicht autorisierter Zugriff. In beiden Angriffsszenarien kann die Funktion des Systems beeinträchtigt oder dahin gehend manipuliert werden, nicht oder falsch zu reagieren.

Damit ist eine Verbindung zwischen beiden Bereichen hergestellt: Für den Fall, dass das angegriffene System zum Beispiel ein Feldgerät mit einer Sicherheitseinrichtung ist, wäre jede Beeinträchtigung seiner Funktion gleichzeitig mit Auswirkungen auf die funktionale Sicherheit verbunden.

Knackpunkte im Produktionsumfeld

Mit der Umsetzung aktueller Technologietrends in die Produktion resultieren neue Bedrohungsszenarien, was zu der Notwendigkeit führt, dem Thema IT-Sicherheit mehr Aufmerksamkeit als bisher zu widmen und die traditionelle Sichtweise auf die funktionale Sicherheit zu evaluieren.

Die wichtigsten Aspekte, die es hierbei zu betrachten gilt, sind die Öffnung von ehemals geschlossenen Systemgrenzen, sowohl bedingt durch die interne Vernetzung als auch jene mit dem öffentlichen Internet, sowie der Einsatz von handelsüblichen Systemen in industriellen Steuerungssystemen. Zudem trägt die Globalisierung der Märkte dazu bei, dass die Infrastrukturen der Unternehmen zunehmend komplexer werden, da die Anzahl der beteiligten Partner an den Geschäftsprozessen stetig wächst.

Aber auch die aus der Office-IT bereits bekannten Risiken wie veraltete Technologie, Fehlkonfigurationen von Systemen oder unzureichende Schulung der Mitarbeiter können weitere mögliche Angriffsvektoren sein beziehungsweise werden. In der Praxis ist es dann zum Beispiel möglich, dass der Einsatz von veralteter Technologie beim Fernwartungszugriff dazu führt, dass Angreifer einen Zugang auf ein Industrial Automation Control System (IACS) erlangen können, was die Kontrolle über alle Funktionen des Systems gestattet. Dies kann nicht nur die Daten-Integrität verletzen, sondern auch die funktionale Sicherheit gefährden, wenn die Systeme nicht ausreichend getrennt beziehungsweise geschützt sind. Schwachstellen wie diese werden täglich ausgenutzt und führen zu hohen Kosten durch Produktionsausfälle sowie Anlagenschäden.

Schutzbedarf ermitteln

Die Frage nach der idealen Sicherheitsstrategie muss einerseits gemäß den Schutzzielen der IT-Sicherheit Vertraulichkeit, Integrität und Verfügbarkeit entsprechen sowie andererseits an den höher zu bewertenden Safety-Anforderungen – Schutz für Leib und Leben – ausgerichtet sein. Gleichzeitig gilt zu beachten, dass die bekannten IT-Sicherheitsmechanismen aus der Bürowelt nicht 1:1 in den Bereich industrieller Systeme und Netze zu übertragen sind: Bereits eine höhere Verschlüsselung der Daten zum besseren Schutz der übertragenen Maschinenbefehle kann aufgrund der verminderten Übertragungsrate zu nicht tolerierbaren Verzögerungen in den Produktionsabläufen führen.

Aus diesem Grund bedarf es zum Erstellen einer Sicherheitsstrategie einer detaillierten Auseinandersetzung mit dem Schutzbedarf. Eine Risikoanalyse ermöglicht es, Schwachstellen zu identifizieren und Risiken zu bewerten. Dabei steht die allgemeine Angreifbarkeit des Unternehmens im Fokus: Von Social-Engineering über technische Analysen wird versucht, Bedrohungsszenarien ganzheitlich zu erfassen. Anschließend lässt sich ein angepasstes Sicherheitskonzept für die Anforderungen des Unternehmens oder die der einzelnen Anlagen erstellen.

Dieses sollte mindestens die Unterteilung des Netzwerks in Sicherheitszonen enthalten, da fehlende Netzwerkzonenkonzepte einem Angreifer unter anderem ermöglichen, die Funktionen von Steuerungssystemen zu manipulieren und Daten auszulesen. Weitere essenzielle Bestandteile hierbei sind ein funktionelles Rollen-Rechte-Konzept, die nötige Systemhärtung von IT-Systemen sowie die Erarbeitung eines Notfallmanagements.

Den kurzlebigen Innovationszyklen der Technologie stehen in dem Umfeld der industriellen Steuerungssysteme die Langlebigkeit der Anlagen entgegen – dies spielt ebenso eine wichtige Rolle bei der Suche nach einer adäquaten Sicherheitsstrategie.

Empfehlungen für die sichere Industrie 4.0

Im Hinblick auf die aktuellen konvergenten Technologien ist es dringend erforderlich, bekannte Sicherheitslücken sowohl aufzudecken als auch zu schließen. Dabei gilt hier entsprechend der ganzheitliche Ansatz: Erst die Kombination aus funktionaler Sicherheit und dem Schutz der IT-Systeme schafft ein adäquates Sicherheitsniveau in Industrieanlagen.

Doch eine einfache Lösung, um Industrie 4.0 sicher zu gestalten, wird es nach heutigem Stand der Dinge nicht geben. Basierend auf den Erfahrungswerten ist die Schlussfolgerung realistisch, dass es auch zukünftig auf einen Mittelweg hinauslaufen wird, der sich stark an der Gefährdungslage orientiert. Also insbesondere wenn aus Sicherheitslücken potenziell eine Gefahr für Mensch und Umwelt erwächst, sind höchste Anforderungen an die IT-Sicherheit zu stellen, um die funktionale Sicherheit zu gewährleisten. Für den Fall, dass ein wirtschaftlicher Schaden entstehen könnte, ist es zulässig, die Sicherheitsmaßnahmen im adäquaten Maße niedriger anzusetzen.

Für allgemeine Anforderungen bezüglich der IT-Sicherheit von industriellen Steuerungssystemen dienen die Standards des IEC62443 als Orientierung. Ohne ein entsprechendes Regelwerk besteht ansonsten die Gefahr, in Einzelfallentscheidungen unangemessene Maßnahmen abzuleiten. Diese könnten derart überhöht sein, dass sie die Produktion erheblich beeinträchtigen und letztendlich die Wirtschaftlichkeit schädigen.

Eines gilt es im Kontext der Industrie 4.0 zu bedenken: neben Effizienzaspekten sowie Kostensenkungspotenzialen sollte die Sicherheit in der Fertigungs- und Produktionsumgebung einen gleichrangigen Stellenwert haben, wobei in dem Rahmen der Safety die oberste Priorität gelten muss.

Weitere CT-Artikel zum Thema.

Homepage @-yet.

Heftausgabe: Juli 2017
Wolfgang Straßer,  Geschäftsführer,  @-yet Industrial IT Security

Über den Autor

Wolfgang Straßer, Geschäftsführer, @-yet Industrial IT Security
Loader-Icon