Konzepte gegen eine neue Dimension der Cyberbedrohung

Proaktive Security-Konzepte statt reaktive Cyberverteidigung

Anlagenbau
Chemie
Pharma
Ausrüster
Planer
Betreiber
Einkäufer
Manager

22.02.2018 Digitalisierung bietet Anlagenbetreibern viele Chancen, doch entstehen auch Bedrohungen für die Anlagensicherheit. Die Prozessindustrie muss deshalb beim Thema Cybersecurity vom passiven in den aktiven Verteidigungsmodus schalten.

Anzeige

Entscheider-Facts für Betreiber und Planer

  • Mit dem jüngsten Angriff auf eine Sicherheitssteuerung in einer Prozessanlage im Mittleren Osten haben Cyberbedrohungen für die Prozessindustrie eine neue Dimension erreicht.
  • Der Vorfall muss als Weckruf dienen, um das Bewusstsein in der Branche für das Thema Cybersecurity weiter zu schärfen.
  • Anwender in der Prozessindustrie sollten eine proaktive Cybersecurity-Strategie verfolgen und ein ganzheitliches Safetykonzept aufbauen.

Software developer at work.

Industrieanlagen sind heute nicht mehr autark, sondern in zunehmendem Maße mit der Außenwelt verbunden. Und was vernetzt ist, ist grundsätzlich auch von Cyberkriminellen von außen aus angreifbar. Bild: Hima

Hima ETH

Eine 100%ige Sicherheit ist eine Illusion. Arbeitsprozesse und organisatorische Mängel sind mit Abstand die häufigste Angriffsfläche bei erfolgreichen Cyberattacken. Bild: ETH

Ende 2017 wurde durch den ICS-Cybersecurity-Spezialisten Dragos bekannt, dass eine Sicherheitssteuerung (Safety Integrated System, SIS) eines Marktbegleiters von Hima in einer Prozessanlage im Mittleren Osten durch eine neue Malware gezielt angegriffen und erfolgreich gehackt wurde. Das Ziel der Angreifer war es offenbar, die Sicherheitsfunktionen des Systems zu deaktivieren, was aufgrund von Fehlern im Programmcode nicht gelang. Das SIS wurde kompromittiert und tat genau das, wofür es da ist: Es leitete den Shutdown der Anlage ein. Die professionelle Durchführung des Angriffs verdeutlicht jedoch eindringlich, wie ernst Anlagenbetreiber das Thema Cybersecurity nehmen müssen.

Die Cyberattacke stellt eine neue Dimension der Cyberbedrohung für kritische Infrastrukturen dar. Nach derzeitigem Kenntnisstand wurde sie gezielt geplant und speziell auf das SIS des betroffenen Herstellers ausgelegt. Ein solcher Angriff auf ein SIS ist hochanspruchsvoll und nur mit signifikantem Aufwand durchzuführen. Es ist der insgesamt fünfte öffentlich bekannte ICS-Vorfall nach Stuxnet, Havex, Blackenergy2 und Crashoverride. Die Bedeutung dieses Vorfalls kann kaum hoch genug eingeschätzt werden, da hier erstmals ein Sicherheitssystem erfolgreich angegriffen worden ist, das die letzte Verteidigungslinie vor einer möglicherweise katastrophalen Auswirkung darstellt.

Ein wesentlicher Faktor begünstigte nach aktuellem Wissensstand den Angreifer: Das SIS war während des Cyberangriffs durch einen Schlüsselschalter im Programmier-Modus belassen. In einer ordnungsgemäßen Konfiguration und dem Controller im Run-Modus, wobei Programmänderungen nicht möglich sind, hätten die Angreifer vor einer ungleich schwierigeren Herausforderung gestanden. Weitere Angriffe auf baugleiche SIS sind bisher nicht bekannt geworden.

Arbeitsprozesse und organisatorische Mängel sind die Angriffsflächen

Der Vorfall muss als Weckruf dienen, um das Bewusstsein in der Branche für das Thema Cybersecurity weiter zu schärfen. Auch wenn nur ein bestimmtes System gezielt angegriffen worden ist, stellt der Vorfall einen Wendepunkt für die Anlagensicherheit dar. Das Zusammenspiel von Safety und Security muss zukünftig im Zentrum der Betrachtung stehen. Das in obigem Beispiel verwendete SIS unterscheidet sich in Designphilosophie und Technologie deutlich von Hima-Safety-Systemen und lässt daher keine direkte Übertragbarkeit des Cyberangriffs erwarten. Fakt ist aber: Kein SIS-Hersteller kann heute und in Zukunft eine absolut und jederzeit zuverlässig sichere Lösung gegen alle Eventualitäten und Risiken versprechen.

Dies liegt vor allem daran, weil Arbeitsprozesse und organisatorische Mängel auch heute noch mit Abstand die häufigste Angriffsfläche für erfolgreiche Cyberattacken sind. Bleiben beispielsweise Schnittstellen an Systemen im laufenden Betrieb offen und dadurch programmierbar, wird Angreifern ein mögliches Einfallstor geöffnet. Als Konsequenz des Cyberangriffs ist Anlagenbetreibern dringend geraten, nicht nur auf cybersichere Komponenten zu setzen, sondern ein ganzheitliches Securitykonzept für die eigenen Anlagen zu definieren und gemeinsam mit Herstellern konsequent umzu­setzen.

Sicherheitsgerichtete Automatisierungslösungen in Industrieanlagen müssen nicht mehr nur eine sichere Notabschaltung (ESD), sondern auch effektiven Schutz vor Cyberangriffen bieten. Hier entsteht ein Paradigmenwechsel: Bisher mussten einmal sicher ausgelegte Automatisierungen lediglich regelmäßig auf die einmal definierte Risikoreduktion überprüft werden. Zukünftig müssen Safetylösungen im Sinne der Security regelmäßig angepasst und erweitert werden. Dieser Paradigmenwechsel betrifft Anbieter und Betreiber sicherheitstechnischer Automatisierungskomponenten gleichermaßen.

Damit verändert sich komplett die Wahrnehmung von Safetylösungen: Ein zentrales Element moderner Sicherheitslösungen besteht darin, Cyberangriffe abzuwehren und damit kostspielige Shutdowns zu verhindern, sodass SIS verstärkt ein signifikanter Faktor für die Profitabilität einer Anlage werden.

Normenkonformität und Ebenentrennung als Grundlage

Es ist positiv zu bewerten, dass Unternehmen in der Prozessindustrie zunehmend die Wichtigkeit von Safety- und Securitystandards für die Sicherheit und Wirtschaftlichkeit ihrer Anlagen erkennen. Dennoch gibt es immer noch Unternehmen, die kein komplett normenkonformes SIS im Einsatz haben. Das bedeutet: Sie gehen ein ungleich höheres Risiko für Produktionsverluste und Schäden an Mensch und Umwelt ein. Um ein Höchstmaß an Safety und Security zu erreichen, ist es für Anlagenbetreiber unter anderem von größter Bedeutung, die Forderung der Normen für funktionale Sicherheit und Automation Security (IEC 61511 und IEC 62443) nach physikalischer Trennung von Sicherheits- (SIS) und Prozessleitsystem (BPCS) umzusetzen.

Die Normenkonformität spielt eine wichtige Rolle in der Abwehr von Cyberangriffen: Sicherheits- und Prozessleitsystem gelten nur dann im Sinne der IEC 61511 als autarke Schutzebenen, wenn sie auf unterschiedlichen Plattformen, Entwicklungsgrundlagen und Philosophien basieren. Das bedeutet konkret, dass die System­architektur grundsätzlich so ausgelegt sein muss, dass keine Komponente von der Prozessleitsystem-Ebene und der Safetyebene gleichzeitig genutzt werden darf, ohne eine detaillierte sicherheitstechnische Analyse. Ohne klare Trennung können beispielsweise durchgeführte Patches im Prozessleitsystem auch Funktionalitäten des darin integrierten Sicherheitssystems beeinflussen. Das kann fatal sein. Ebenso problematisch ist es, wenn durch einen erfolgreichen Cyberangriff über den Office-PC eines Mitarbeiters auf das Prozessleitsystem gleichzeitig das integrierte Sicherheitssystem und somit die funktionale Sicherheit sowie die Cybersicherheit an sich kompromittiert wird. Wie viele der oben genannten Beispiele für erfolgreiche Cyberangriffe zeigen, stellt die Verbindung zwischen der Office-IT und dem Produktionssystem immer noch eine extreme Schwachstelle dar. Ein Angriff auf ein integriertes SIS/BPCS-System ist somit deutlich einfacher als auf ein autarkes SIS.

Bei einem erfolgreichen Cyberangriff steht eine Menge auf dem Spiel: Im Ernstfall kann es zu einer Störung der Anlagensicherheit mit unkalkulierbaren Folgen für die Gesundheit der Mitarbeiter, die Sachwerte des Unternehmens und die Umwelt kommen. Es gibt inzwischen erste Cybersecurity-Versicherungen, mit denen sich Unternehmen im Falle eines Hackerangriffs zumindest teilweise vor finanziellem Schaden absichern können. Es ist aber fraglich, ob der Versicherungsschutz des Anlagenbetreibers vollständig greift, wenn gültige Normen nicht eingehalten werden oder eklatante Securitymängel nachgewiesen werden können. Versicherungen gegen Cybersecurity fordern klare Risikobewertungen in Anlagen anhand der geltenden Standards, andernfalls sind Versicherungen nicht möglich oder finanziell unwirtschaftlich. Der Anlagenbetrieb ist heute nur sicher, wenn Betreiber ergänzend zur funktionalen Sicherheit auch Maßnahmen zur Cybersecurity wie die Schutz­ebenentrennung systematisch einführen.

Proaktive Cybersecurity ist gefragt

Die stark wachsende und immer professioneller werdende Cyberkriminalität zwingt sowohl Hersteller von Sicherheitslösungen als auch deren Anwender in der Prozessindustrie, eine proaktive Cybersecurity-Strategie zu verfolgen und ein ganzheitliches Safetykonzept aufzubauen. Dabei ist es nicht damit getan, dass Betreiber auf normenkonforme Hardware und Software setzen. Cybersecurity ist eine Daueraufgabe und muss schon bei der Konzeption neuer Anlagen oder vor Modernisierungsmaßnahmen gemeinsam von Anlagenbetreiber und Safetyspezialist entwickelt werden.

Weitere Beiträge zum Thema und zu den häufigsten Risiken im Hinblick auf die Cybersecurity finden Sie unter diesen Links:

Verschiedene CT-Artikel zum Thema.

CT-Artikel: Nicht nur eine Frage der Technik: Cyber Security in der Chemie

CT-Artikel: Sicherheit ist kein Default-Zustand: CT-Report: Cybersecurity in der Chemieindustrie

Heftausgabe: März/2018
Dr. Alexander Horch ist Vice President Research, Development & Product Management bei Hima

Über den Autor

Dr. Alexander Horch ist Vice President Research, Development & Product Management bei Hima
Loader-Icon