Neuer Benchmark

Safety und Security in der Automatisierung

Anlagenbau
Chemie
Pharma
Ausrüster
Planer
Betreiber
Einkäufer
Manager

06.09.2013 Offenheit hat in der industriellen Automatisierung ihre Kehrseite. Mit dem steigenden Automatisierungsgrad müssen sich alle verwendeten Komponenten und Systeme meist auch immer mehr öffnen. Das birgt Security-Risiken für Anlagebetreiber und Hersteller, wie die Anfälligkeit für Sabotage oder Spionage. Deshalb ist es an der Zeit, über die Evaluierung oder Zertifizierung von Infrastrukturen für die Produktion und deren Komponenten nachzudenken. Das gilt besonders für sicherheitsrelevante Systeme.

Anzeige

Entscheider-Facts Für Planer und Betreiber

  • Sicherheitsrelevante Systeme werden verstärkt über Softwarekomponenten realisiert.
  • Doch wie lässt sich eine ausreichende Absicherung trotz hohem datentechnischen Integrations- und Vernetzungsgrad erreichen, ohne die funktionale Sicherheit der Anlagen einzuschränken?
  • Bei einem neuen Zertifizierungsprozess werden die Anforderungen an Safety und Security in einem Prüfvorgang untersucht.

Sicherheitsrelevante Systeme werden verstärkt über Softwarekomponenten realisiert – wie auch das Beispiel des Fahrzeugbaus zeigt. Automatisierungshersteller melden Rekordzuwächse bei Kommunikationskomponenten für die funktionale Sicherheit. Doch wie lässt sich eine ausreichende Absicherung trotz hohem datentechnischen Integrations- und Vernetzungsgrad erreichen, ohne die funktionale Sicherheit der Anlagen einzuschränken? Der zunehmende Datenaustausch in der Produktion soll mehr Flexibilität bei weniger Ausschuss ermöglichen. Das spart dann Zeit, Material und damit Kosten. Wir stehen nicht am Anfang dieser Entwicklung, sondern sind mittendrin. „Integrated Industry“ war nicht ohne Grund der Schwerpunkt der diesjährigen Hannover Messe und weltweit größten Industrieschau. Infrastrukturen und Komponenten, die bislang noch nach individuellen Standards kommunizierten, werden zunehmend mit offenen Standardnetzwerken und -systemen ausgerüstet und ergänzt.

Geschlossene und offene Systeme sind
zu schützen

Gegenüber „geschlossenen Systemen“, die auf herstellerspezifischen Festlegungen basieren, besitzen „offene Systeme“ standardisierte Hardware- und Softwarekomponenten, deren Spezifikationen weit verbreitet sind. In der Automatisierungs- und Leittechnik erleichtern sie die Integration neuer Komponenten, aber auch den unberechtigten Zugang Dritter. Auf der anderen Seite können Endanwender mit einer offenen Lösung schneller auf neue Herausforderungen und Innovationen reagieren. Doch selbst geschlossene Systeme können in der heutigen Zeit zu überwindbaren Hürden werden – es ist eine Frage der Zeit und des Verbreitungsgrads, bis auch sie von potenziellen Angreifern anvisiert werden. Grundsätzlich gilt: Offene Lösungen benötigen genauso hochqualitative Lösungen wie geschlossene Systeme.
Mit der Verbreitung von vernetzten Systemen wachsen die Risiken generell. Zunehmende Angriffe wie durch Stuxnet oder Flame rücken die Security, das heißt die Sicherheit gegenüber unbefugten Zugriffen, in den Fokus. Dies gilt also nicht nur für kritische Infrastrukturen wie Energie- und Wassernetze, sondern auch für Produktionsanlagen – beispielsweise in der Chemie- und Pharmaindustrie. Damit können Security-Themen schnell safety-relevant werden, weil von einigen Produktionsanlagen ein nicht zu unterschätzendes Gefährdungspotenzial für den Menschen und die Umwelt ausgehen kann. Safety meint den Schutz der Umgebung im Sinne eines Sicherheits-, Gesundheits- und Umweltschutzes und damit Aspekte der Betriebssicherheit und des Arbeitsschutzes.

Security und Safety gehören zusammen
Beide Sicherheitsaspekte, Safety und Security, sind eng mit den Komponenten verknüpft, die in der industriellen Automatisierung und in Infrastrukturen für die Produktion verwendet werden. Wie sicher eine technische Komponente tatsächlich ist, hängt ab von ihrer Funktionalität, dem Einsatzgebiet und ihrer Qualität. Besonders wichtig ist auch der Kontext beziehungsweise das Umfeld, in dem das System zum Einsatz kommt. Wird ein Controller in einer Industrieanlage zum Regeln der Innenraumbeleuchtung eingesetzt, geht von ihm im Versagensfall meist eine deutlich geringe Gefährdung aus, als beispielsweise beim Umgang mit explosiven Stoffen, wie sie bei der Produktion von Düngemitteln zum Einsatz kommt. Werden von Controllern auch Safety-Funktionen übernommen, sollte Manipulation und Sabotage durch Hackerangriffe ausgeschlossen werden.
Ein Höchstmaß an Sicherheit lässt sich nur dann erzielen, wenn die Komponente zusammen mit der zugehörigen Infrastruktur und über den gesamten Lebenszyklus hinweg betrachtet wird – von der Produktentwicklung über die Implementierung bis zum Betrieb, Software-Updates oder ihrem Austausch. Im Sinne der Safety meint das beispielsweise das richtige Auslegen prozessleittechnischer Systeme mit ausfallsicheren Komponenten in einer redundanten und diversitären Systemarchitektur. Diese sollte auf Basis von qualitativen und quantitativen Risikoanalysen stehen.
Grundlegend für die IT-Security ist neben der Verschlüsselung der Kommunikation und einer ausreichenden Authentifizierung unter anderem die Unterdrückung von Zugriffen auf sicherheitsrelevante Daten. Das betrifft den Weg über offen verfügbare Kanäle sowie das Aushebeln des Systems durch Kommunikationsüberlastung. Zudem ist es empfehlenswert, den Entwicklungsprozess so früh wie möglich mit zu betrachten, implementierte Security-Funktionen umfassend zu testen und Penetrationstests vorzunehmen.

Sicherheit über Standardisierung
und Zertifizierung

Für viele Sicherheitslösungen existieren Standards, die sich bewährt haben und nach denen sich Infrastrukturen, Systeme und Komponenten von unabhängiger Stelle evaluieren und zertifizieren lassen. So ist die IEC 61508 bei der Entwicklung von intelligenten programmierbaren elektronischen Systemen anzuwenden, die Sicherheitsfunktionen ausführen. Besondere Anforderungen ermöglichen es, dass bei deren Erfüllung nur tolerierbare Risiken in Bezug auf den Schutz von Gesundheit, Umwelt und Anlagen bestehen können.
Doch wie sieht das bei der Security aus? Während es in der Office-IT bereits internationale Sicherheitsstandards und Zertifizierungsverfahren gibt, befinden sich Lösungen für die Industrial-IT-Security noch in der Entwicklung. Aber selbst wenn für die Security im Moment noch kein eigener Standard gesetzt ist, existieren welche, an denen sich Security-Lösungen orientieren können. Experten von TÜV Süd Embedded Systems ziehen beispielsweise die IEC 62443 als Prüfgrundlage heran. Ausgehend von dieser Norm haben Spezialisten für Industrial-IT-Security ein Prüfschema entwickelt, das das Prüfen des Entwicklungsprozesses, den Test der implementierten Security-Funktionen sowie umfangreiche Penetrationstests umfasst. Im Bereich Safety basiert der Kriterienkatalog für Komponenten auf der IEC 61508, der Basisnorm für Funktionale Sicherheit.

System tested – Pilotprojekt bei Euros
Dieses Prüfschema, das Safety- und Security-Aspekte kombiniert, ist Grundlage einer der ersten Zertifizierungsmöglichkeiten in diesem Bereich. Das sogenannte „System tested“-Zertifikat wurde im Februar auf der Nürnberger Embedded-World-Messe vorgestellt. Die Zertifizierung wird zurzeit in mehreren Pilotprojekten praktisch umgesetzt – unter anderem an einem Microkernel des Unternehmens Euros Embedded Systems, Nürnberg. Ein Microkernel ist ein Basiselement. Es wird in unterschiedliche Controller eingebracht, die beispielsweise in Anwendungen der Prozessindustrie zum Einsatz kommen.
Wenn solche Controller auch Safety-Funktionen übernehmen, sind die Anforderungen an die Zuverlässigkeit und Verfügbarkeit des Kernels besonders hoch. Der Kernel darf nicht durch Hackerangriffe manipuliert oder sabotiert werden können. Eine wesentliche Voraussetzung für die Zertifizierung besteht darin, dass Safety und Security zusammenwirken und dass keine negativen Wechselwirkungen entstehen – beispielsweise durch die Verlangsamung des Echtzeitverhaltens. Dieser Punkt ist deshalb so wichtig, weil die Reaktionszeit in der Industrie meist eine kritische Größe ist. Der wichtigste Vorteil des neuen Zertifikats besteht darin, dass die Anforderungen an Safety und Security in einem Prüfvorgang untersucht und – bei erfolgreicher Prüfung – mit einem Zertifikat nachgewiesen werden. Der Zertifizierungsprozess ist derzeit noch nicht abgeschlossen und dürfte dann aber zu einem wichtigen Benchmark für die Branche werden.

Risiko versus Investitionsaufwand
Immer neue Malware-Angriffe zeigen: Eine verbesserte Absicherung der Kommunikation zwischen Geräten im industriellen Umfeld ist unabdingbar. Zertifizierungen, die auf sinnvollen Standards basieren, bieten hier eine große Chance. Um sowohl die funktionale Sicherheit als auch die Sicherheit vor Angriffen zu ermöglichen, ist eine sorgfältige Gesamtbetrachtung unerlässlich, die über die Analyse einzelner Komponenten hinausgeht. Dazu zählt auch die Wirtschaftlichkeit. Sicherheitslösungen in der industriellen Automatisierungstechnik und für Produktionsinfrastrukturen setzen ein hohes Maß an Fachwissen voraus. Der Investitionsumfang für die erforderliche Expertise sowie nötige Hard- und Softwarelösungen müssen gegenüber den damit erzielbaren Risiko-Minimierungen abgewogen werden, um Sicherheit und Wirtschaftlichkeit individuell auszubalancieren. Standards und unabhängige Zertifizierungen geben Komponentenherstellern und Anlagenbetreibern dabei Orientierung.

Zu den Begriffen
Security oder Safety?
Security 
   
Sicherheit eines Systems gegenüber externen Angriffen
Datenschutz und -sicherheit der Netzteilnehmer
Ausfallsicherheit des Systems
Safety
Betriebssicherheit des Systems im Sinne eines Sicherheits-, Gesundheits- und Umweltschutzes
Verfügbarkeit des Systems für die Nutzer gegeben

Zu den Webseiten von Tüv Süd zum Thema gelangen Sie hier.
Heftausgabe: September 2013
Dr. Kai Strübbe, Leiter Embedded Systems, TÜV Süd

Über den Autor

Dr. Kai Strübbe, Leiter Embedded Systems, TÜV Süd

Dr. Kai Strübbe, Leiter Embedded Systems, TÜV Süd

Loader-Icon