(Bild: Vega Grieshaber)
- Durch die zunehmende Offenheit von IT- und OT-Systemen rückt auch das Thema Security in den Fokus der Prozessautomatisierer.
- Der Hersteller Vega entwickelte seinen neuesten Radar-Füllstandsensor daher unter dem Gesichtspunkt der IT-Sicherheitsnorm IEC 62443-4-2.
- Das Gerät bietet Anwendern damit nicht nur möglichst große Einfachheit bei Frequenz oder Ausführung, sondern auch in Sachen Cybersecurity.
Viele Anwender in der Prozessindustrie beschäftigen sich bisher wenig mit dem Thema Cybersecurity. Entweder, weil sie immer noch denken, dass dies eine Aufgabe der IT-Abteilung sei oder weil sie sich nicht direkt bedroht fühlen. Beide Einstellungen sind fahrlässig. Zum einen ist IT-Sicherheit immer eine Gemeinschaftsaufgabe zwischen IT und OT. Zum anderen schreitet die digitale Vernetzung in der Prozessindustrie voran. So etablieren sich gerade Konzepte wie NOA (Namur Open Architecture), MTP (Modular Type Package) oder Ethernet-APL (Advanced Physical Layer). All dies eröffnet neue Wege in die bisher in sich geschlossene Automatisierungsebene und bietet zumindest theoretisch ein Einfallstor für Angriffe.
Gefahren durch die digitale Vernetzung
Moderne integrierte Automatisierungslösungen vereinfachen zwar das Handling und machen Prozesse flexibler und effizienter. Durch die Offenheit rückt jedoch auch das Thema Security in den Fokus der Prozessautomatisierer.
Um nur einmal eine Zahl zu nennen: Laut Branchenverband Bitkom entsteht der deutschen Wirtschaft jährlich ein Schaden von rund 203 Mrd. Euro durch Diebstahl von IT-Ausrüstung und einzelnen Daten, Spionage und Sabotage. Besonders problematisch ist die unterschiedliche Art der Gegenspieler: Es kann sich um einzelne Scriptkiddies, Kriminelle oder sogar Nationalstaaten handeln. Noch halten sich solche Angriffe in der Prozessindustrie zwar in Grenzen – Betreiber von Kraftwerken, Treibstofftanks oder die Wasserindustrie sind jedoch in jüngster Zeit wachgerüttelt worden. Denn was häufig vernachlässigt wird: Angriffe auf die IT wirken sich sehr schnell auf OT-Bereiche aus.
Vorteile der drahtlosen Kommunikation
Für Anwender bietet die neue Offenheit dennoch viele Vorteile. So stellen die Füllstandsensoren wichtige Daten auch über verschiedene Industriebereiche bereit. Prozessdaten stehen an allen Standorten zur Verfügung und erlauben auf diese Weise ein weltweites Bestandsmanagement (Vendor Managed Inventory). Sensoren von Vega liefern beispielsweise seit vielen Jahren Bestandsdaten in übergeordnete Systeme, etwa aus Streusalzsilos entlang der Autobahnen oder Produktionsdaten aus Mühlen, um die Rohstofflogistik zu optimieren. So können sich die Autobahnmeistereien ebenso wie Mühlen darauf verlassen, dass die Lager automatisch mit Streusalz oder Getreide befüllt werden. Diese Entwicklung startete im Übrigen lange, bevor Industrie 4.0 ein Thema war.
Mit der Entwicklung der drahtlosen Kommunikation mit Bluetooth wurden solche Anwendungen noch einmal beschleunigt. Bluetooth sorgt für die noch einfachere Inbetriebnahme von Sensoren und Steuergeräten und die sichere Messung, auch aus dem Gesichtspunkt der Unfallverhütung. Ob in hohen Silos, von Außenmessstellen wie in weit entfernten Regenüberlaufbecken, in explosionsgefährdeten Umgebungen oder aus kompliziert verbauten Anlagen – die Sensoren stellen die Füllstandmesswerte dort zur Verfügung, wo sie verarbeitet werden. Die drahtlose Datenübertragung wird auch zum Abrufen von Zustandsinformationen der Sensoren genutzt, etwa um Wartungsbedarf zu melden oder ein Update einzufordern. Stillstandzeiten lassen sich so erheblich reduzieren.
Aus Sicht der Cybersecurity herausfordernd: Solche Daten werden mehr und mehr in Produktions- und Wartungssystemen gebündelt, um sie dann im Büro, also dem IT-Bereich weiter zu verarbeiten. Dadurch entstehen Brüche zwischen Betriebs- und Sicherheitsfunktionen.
Ganzheitliches Sicherheitskonzept für den Radarsensor
Vega strebte daher zeitgleich mit der Entwicklung des neuen universellen Radar-Füllstandmessgerätes Vegapuls 6X auch die Zertifizierung nach IEC 62443-4-2 an. Diese internationale Normenreihe stellt ein flexibles Rahmenwerk zur Verfügung, um Sicherheitsstandards systematisch zu beurteilen, zu bewerten und zu implementieren. Hierin werden Sicherheitsanforderungen an Hardware und Software definiert. Sie richtet sich an Anlagenbauer, Anlagenbetreiber und eben auch Komponentenhersteller.
Der gesamte Entwicklungsprozess des Radarsensors wurde daher auf diese IT-Sicherheitsnorm ausgerichtet. Dazu gehörte unter anderem am Anfang eine Analyse möglicher Bedrohungen, um Schwachstellen frühzeitig zu erkennen und bereits während der Entwicklung Gegenmaßnahmen zu entwickeln. Dies bezieht sich im Übrigen nicht nur auf die Sicherheit des Gerätes, sondern auf den gesamten Prozess im Unternehmen. Begleitet wurden diese Arbeiten vom TÜV Nord, der jede Maßnahme auf den Prüfstand stellte.
Die Sicherheitsmaßnahmen fangen mit einer vergossenen Elektronik des Füllstandmessgerätes an, wodurch Manipulationen verhindert werden. Hinzu kommt eine Defense-in-Depth-Strategie – also ein gestaffeltes Sicherheitskonzept, das mehrere IT-Sicherheitsschichten umfasst. Dieses beinhaltet die Anlagensicherheit, die Netzwerksicherheit und die Sicherheitsstrategie der Systemkomponente. Für den Sensor bedeutet dies, dass dieser gegen Bedrohungen geschützt ist, wie:
- Datenmanipulation (Verletzung der Integrität),
- Denial of Service – DoS (Verletzung der Verfügbarkeit) und
- Spionage (Verletzung der Vertraulichkeit).
Interview mit Vega-Produktmanager Philipp Ketterer
Wie groß ist die Gefahr eines Cyberangriffs auf Füllstandsensoren in der Praxis?
In der öffentlichen Debatte rund um Cybersecurity steht ein Füllstandsensor sicherlich nicht im Fokus, zumal bei Bluetooth-Anwendungen aufgrund der geringen Reichweite der Angreifer meist in die Nähe der Anwendung kommen muss. Er muss sich also bereits in der Anlage aufhalten. Aber viele vergessen, dass ein Angriff auf die IT-Struktur eines Unternehmens sich immer auch auf die gesamte Automatisierung auswirkt. Daher ist es wichtig, dass die Sensoren entsprechend robust und gehärtet sind. Und natürlich kann auch eine direkte Manipulation des Sensors zu unangenehmen Situationen führen, wenn man etwa an Überfüllsicherungen für Tanks denkt.
Worin sehen Sie die größte Herausforderung für Anwender?
Ich glaube, das Thema ist noch nicht in den Köpfen der Anwender angekommen. Die Verantwortung wird der IT-Abteilung zugeschoben. Diese kann aber nicht jeden einzelnen Sensor im Unternehmen im Blick haben. Daher muss jeder Anwender ein Bewusstsein für das sichere Betreiben von Sensoren – und dies eben nicht nur aus Safety-Aspekten – entwickeln und wissen, wie man mit einem Cyberangriff umgeht. Hinzu kommt: Der Schutz vor Cyberangriffen ist keine einmalige Angelegenheit, sondern begleitet Anwender ein Anlagenleben lang. So wie man seine Anlage hegt und pflegt, sollte man seine Sensoren auch in puncto Cybersecurity immer auf dem aktuellen Stand halten.
Wollen sie die IEC-Zertifizierung auch auf Ihre anderen Sensoren übertragen?
Eine Zertifizierung nach IEC 62443 ist nur entwicklungsbegleitend möglich. Man kann eine solche Zertifizierung nicht nachträglich erhalten. Daher gilt die Zertifizierung bisher nur für unseren neuesten Füllstandsensor. Aber selbstverständlich werden wir alle zukünftigen Sensoren danach ausrichten.
Das Gerät verfügt über weitere Sicherheitsfunktionen:
- Benutzer-Authentifizierung: Jedes Messgerät wird mit einem individuellen Gerätecode und Bluetooth-Zugangscode ausgeliefert. Die Bluetooth-Verbindungen sind durch standardisierte kryptographische Verfahren verschlüsselt und können/sollten nach der Konfiguration des Gerätes wieder deaktiviert werden.
- Ereignisspeicher (Logging): Das Gerät protokolliert in einem Ereignisspeicher Sperr- und Entsperrvorgänge mit, sowohl erfolgreiche als auch fehlgeschlagene. Die Funktionalität dieser Security-Funktion lässt sich testen, indem eine Freigabe des Gerätes mit einem fehlerhaften Gerätecode versucht wird. Diese fehlerhafte Authentifizierung muss anschließend im Ereignisspeicher „IT-Sicherheit“ vermerkt sein. Prüft man regelmäßig den Ereignisspeicher, lassen sich Angriffe oder Manipulationen feststellen.
- Integritätschecks der Firmware: Das Softwareupdatepaket ist verschlüsselt und signiert. Damit wird verhindert, dass nicht autorisierte Software in das Gerät geladen werden kann.
- Datensicherung zur Wiederherstellung: Mit dem DTM können die Parameter des Messgeräts durch die Funktion „Backup erstellen“ gesichert werden. Zudem bieten Hart-Leitsysteme die Möglichkeit, die Geräteparameter zu sichern.
Was passiert im Fall der Fälle?
Bei der Abwehr eines Cyberangriffs ist Zeit eine ganz entscheidende Komponente. Alle Unternehmen sollten entsprechende Vorbereitungen treffen und einen klar geregelten Notfallplan aufstellen, um im Fall der Fälle nicht wertvolle Zeit zu verschwenden. Dazu gehört im Übrigen auch, dass man Pläne festlegt, wie man im Fall der Fälle ein sicheres System wieder aufbaut. Bei Vega steht hierfür das Product Security Incident Response-Team (PSIRT) bereit. Dieses sucht kontinuierlich nach Schwachstellen, begleitet Updates und Patches und steht für Dragen bereit, zum Beispiel wenn Anwender eine Schwachstelle entdecken. Gleichzeitig arbeitet der Gerätehersteller bei der Meldung und Offenlegung von Schwachstellen eng mit dem Cert@VDE, einer IT-Sicherheitsplattform für Industrieunternehmen, zusammen.
Der zentrale Gedanke beim Vegapuls 6X ist, dass sich der Anwender weder über den Einsatzbereich noch über Technik, Frequenz oder Ausführung Gedanken machen muss, sondern den Sensor mit wenigen Klicks in Betrieb nehmen kann. Diesen Ansatz der Einfachheit betrifft auch das Thema Cybersecurity. Zwar kann der Gerätehersteller den Anlagenbetreiber nicht aus der Verantwortung entlassen, schließlich ist Cybersecurity ein aus Anlagensicht lebenslanger dynamischer Prozess. Er unterstützt jedoch den Betreiber auf diesem Weg. Dazu gehört: Der Betreiber sollte die in den Security-Guidelines genannten Maßnahmen ergreifen, um den Sensor richtig und sicher einzusetzen. Zusammen mit dem Security-Begleitdokument sind Anwender dann bestmöglich für die neuen Sicherheitsherausforderungen gewappnet.
