Erfolgsfaktoren für eine IT-Risikobeurteilung

Die Gefahr für Cyberattacken wächst und zwingt Anlagenbetreiber, ihre Prozessleittechnik IT-sicher zu machen.

Sicherheitssysteme der Prozessleittechnik (PLT) schützen Anlagen, Umwelt und Personal vor nicht tolerierbaren Schäden. Auch wenn die Systeme nicht direkt über das Internet angesprochen werden, sind sie dennoch angreifbar, da Verbindungen mit der Automatisierung oder – zumindest temporär – mit Wartungsinterfaces der Anlage bestehen. Dass Automatisierungssysteme aus dem Cyberraum attackiert werden, hat das Schadprogramm Stuxnet im Jahr 2010 gezeigt, als es SCADA-gesteuerte Frequenzumrichter manipuliert und in Folge sogar Teile von prozesstechnischen Anlagen zerstört hat. Das Securityniveau von PLT-Systemen ähnelt grundsätzlich dem von konventioneller Automatisierungstechnik und ist entsprechend zu sichern.

Betreiber müssen deshalb neben den Prüfverpflichtungen aus der BetrSichV und der 12. BImSchV für überwachungspflichtige Anlagen auch die IT-Risiken ihrer PLT-Sicherheitseinrichtungen bewerten. Bei der Gefährdungsbeurteilung gemäß BetrSichV werden die Risiken aus dem Produkt von Schadensausmaß und Eintrittshäufigkeit berechnet und beziehen sich auf den gesamten Lebenszyklus der Anlage.

Expertisen aus Automation, IT und Cybersecurity zusammenführen

Anders bei einer IT-Risikobeurteilung: Hier fehlt meist die verlässliche Datenbasis für das Schadensausmaß, auch weil viele Angriffe zunächst im Verborgenen bleiben. Attacken im IT-Umfeld können unterschiedliche Bereiche betreffen – zum Beispiel die Verfügbarkeit, die Integrität und die Vertraulichkeit von Daten und Informationen.

Für eine IT-Risikobeurteilung müssen Experten aus den Bereichen Automatisierungstechnik, IT, Cybersecurity und aus dem verfahrenstechnischen Prozess an einen Tisch. Das ist nicht einfach. Denn häufig entstehen bei der Planung und Umsetzung von Sicherheitsmaßnahmen widerstreitende Interessenslagen. Safety-Ingenieure planen Schutzeinrichtungen im Team. Maßnahmen werden mit den Verantwortlichen abgestimmt und dem Personal erläutert. Für Wartungsarbeiten müssen Personen eine Zugangsmöglichkeit zur Anlage erhalten – auch das ist ohne Offenlegung von Informationen nicht umsetzbar. Ganz anders bei den Experten für IT und Cybersecurity: Aus deren Sicht ist der Zugang zu den Systemen möglichst zu beschränken. Maßnahmen werden vertraulich behandelt und im Hintergrund implementiert. So können sich Safety- und Securitymaßnahmen aufgrund der verschiedenen Schutzzielbetrachtung widersprechen. Sie sollten deshalb aufeinander abgestimmt sein und in einen gemeinsamen technologie- und prozessübergreifenden Change-Management-Prozess integriert werden.

Wie sicher (secure) sind die PLT-Sicherheitseinrichtungen meiner Anlage? Für die Beantwortung dieser Frage benötigen Betreiber neben ausgewiesenem Expertenwissen praxistaugliche Verfahren, mit denen eine IT-Risikobeurteilung leicht umzusetzen ist. Hilfreich sind bestimmte Normen und Arbeitsblätter, die konkrete Leitlinien für die Praxis geben. Das allgemeine Vorgehen bei IT-Risikobeurteilungen beschreiben zum Beispiel die Normenreihe IEC 62443, die Richtlinie VDI/VDE 2182 sowie die Norm ISO/IEC 27005 . Wesentliche Anforderungen thematisiert die Anwendungsregel VDE-AR-E 2802-10-1. Die Empfehlung zur Betriebssicherheit EmpfBS 1115 deckt sich in ihrem Ansatz mit der Gefährdungsbeurteilung aus § 3 BetrSichV und stimmt mit dem praxisbezogenen Namur-Arbeitsblatt NA 163 überein. Letzteres deckt vorhandene Schwachstellen auf und schlägt konkrete Verbesserungsmaßnahmen anhand einer Checkliste vor. Der Fokus liegt auf Komponenten, Datenverbindungen und Diensten der damit verbundenen Prozesse und Personen. Die Ergebnisse einer IT-Risikobeurteilung dokumentiert ein Bericht – die Wirksamkeit belegen kontinuierliche Penetrationstests.

Cybersecurity für funktionale Sicherheit

Für wirkungsvolle Cybersecurity reicht es nicht aus, ein vorhandenes Produkt im Nachhinein durch zusätzliche Software-Funktionalität zu verbessern. Jede Lösung zur funktionalen Sicherheit muss von Beginn an im Sinne der Cybersecurity durchdacht und entworfen werden. Das gilt auch für die IT-Security von PLT-Sicherheitseinrichtungen, die idealerweise in ein Management der funktionalen Sicherheit (FSM) gemäß DIN EN 61511-1 integriert werden sollte. Das ermöglicht die ordnungsgemäße Umsetzung der funktionalen Sicherheit, eine übersichtliche Sicherheitsstruktur und unterstützt Unternehmen dabei, künftigen Gefahren des Cyberraums effektiv zu begegnen. Das FSM ist auch ein wesentlicher Bestandteil im Konzept zur Verhinderung von Störfällen gemäß § 8 und dem Sicherheitsbericht gemäß § 9 12. BImSchV.

TÜV Süd Chemie Service und TÜV Hessen empfehlen ein schrittweises Vorgehen: Am Anfang einer IT-Risikobeurteilung sollte ein Kick-off-Meeting stehen. Anlagenbetreiber und die Experten für IT, Cybersecurity, Automatisierungstechnik und die verfahrenstechnischen Prozesse sollten hier die gemeinsamen Ziele festlegen. Voraussetzung dafür ist aber auch die Klärung von Zuständigkeiten wie etwa: Wer ist für die Beschaffung von Programmen, IT und der steuerungstechnischen Ausrüstung zuständig? Darüber hinaus müssen die Beteiligten festlegen, welche Geräte und Komponenten im Fokus stehen sollen und welche Prozesse gemeint sind. Klar muss aber auch werden, welche Assets bei der Risikoanalyse nicht dazu gehören sollen. Bei den Geräten ist zu beachten, dass viele von Haus aus mit einer Firmware oder einem Steuerungsprogramm ausgerüstet sind, die attackiert werden können. Ein Beispiel: Frequenzumrichter haben eine Firmware und lassen sich von außen bedienen. Wird dort beispielsweise ein Laptop angeschlossen, so kann der Frequenzumrichter mit einem Schadprogramm infiziert und manipuliert werden. Damit nicht genug: Die Malware kann auch die übergeordnete Steuerung oder die Einheit für Bedienen und Beobachten erreichen und unter Umständen auch dort manipulieren und großen Schaden anrichten.

Eine wichtige Voraussetzung für die IT-Risikobeurteilung ist, dass alle zu betrachtenden Geräte und Komponenten erfasst und dokumentiert sind. Dieser Prozess kann deutlich verkürzt werden, wenn der Anlagenbetreiber bereits im Vorfeld alle relevanten Informationen gesammelt hat. Die angelegte und unter Umständen im Kick-off-Meeting ergänzte Inventarliste der Assets bildet die Basis für jede Art der Risikobetrachtung. Die Liste muss abschließend und ausschließlich sein. Das heißt, dass alle Assets registriert und keine nicht dokumentierten Komponenten in der Organisation vorhanden sind. Danach sollten gesondert die Netzzugänge und -grenzen (Interfaces und Schnittstellen) erfasst werden. Sind auch diese Informationen vorhanden, folgt der nächste Schritt: Die Infrastruktur wird mit simulierten Angriffen von außen penetriert.

Kontinuierliche Simulation erhöht die Sicherheit

Ein geeignetes Werkzeug für diese anspruchsvollen Aufgaben ist die Continuous Attack and Threat-Simulation (CAT) von TÜV Hessen. Der Managed Service wurde speziell für den Einsatz in Produktionsnetzwerken zur kontinuierlichen Überwachung der IT-Infrastruktur entwickelt. Er nutzt verschiedene Angriffsmethoden, wie E-Mail-Bedrohungen, Netzwerkanalysen oder Web Application Firewalls. Grundlage für die Simulation ist die LION-Plattform (Learning I/O-Network). Das lernende Netzwerk integriert regelmäßig neue Angriffsvektoren in die Simulation. So wird die Sicherheit der bestehenden Infrastruktur kontinuierlich rund um die Uhr in immer neuen Kombinationen getestet und in Echtzeit abgebildet. Die aktuelle Gefährdungslage wird in einem übersichtlichen Dashboard angezeigt.

Die Ergebnisse der Simulation bilden die Basis für eine erste Gefährdungs- und Risikoübersicht. Im nächsten Schritt werden die Anforderungen definiert, die an eine sichere Umgebung in der Organisation zu stellen sind. Hier sind die jeweilig bekannten Normen, Regeln und Policies heranzuziehen, beispielsweise die Anforderungen der Kommission für Anlagensicherheit (KAS-44) für Betriebe, die unter die 12. BImSchV fallen, die sogenannte Störfall-Verordnung. Der Unterschied zwischen dem Jetzt-Zustand und der zu erreichenden Sicherheit ist das Ergebnis der sogenannten Gap-Analyse. Am Ende werden Handlungsempfehlungen und Umsetzungshinweise mit Priorisierungen und Workarounds bereitgestellt und mit dem Anlagenbetreiber diskutiert. Maßnahmen zur IT-Risikominimierung können nach Kundenwunsch umgesetzt und sofort in Echtzeit bewertet werden.

Die Überwachungsvereine unterstützen Anlagenbetreiber dabei, sowohl die wiederkehrenden Prüfungen an Sicherheitseinrichtungen gemäß BetrSichV durchzuführen als auch die Cybersecurity-Schutzanforderungen durch IT-Spezialisten kontinuierlich zu prüfen. Das Zusammenwirken der verschiedenen Fachdisziplinen ermöglicht, konkurrierende Safety- und Securityanforderungen zusammenzuführen und effektiv in die Praxis umzusetzen.