Anlagensicherheit

Nur Safety plus Security macht Prozessanlagen sicher

| Autor / Redakteur: Peter Sieber / Dr. Jörg Kempf

Noch nie waren Anlagen so vernetzt wie heute. Gleichzeitig steigt das Risiko von Cyberattacken. Mit den sicherheitsgerichteten Automatisierungslösungen von Hima, die neben Safety auch Security unterstützen, sind Sie gewappnet.
Noch nie waren Anlagen so vernetzt wie heute. Gleichzeitig steigt das Risiko von Cyberattacken. Mit den sicherheitsgerichteten Automatisierungslösungen von Hima, die neben Safety auch Security unterstützen, sind Sie gewappnet. (Bild: Pixabay / CC0)

Nach einer IBM-Studie ist die Wahrscheinlichkeit eines Cyberangriffs bei Produktionsanlagen höher als in der "Finanzindustrie". Der Beitrag soll zeigen, dass nur eine Lösung, die Funktions- und IT-Sicherheit kombiniert, Unternehmen in der Öl- und Gasindustrie ein Höchstmaß an Gesamtsicherheit ermöglicht.

Die durch das Internet der Dinge (IOT) gekennzeichneten Veränderungen machen immer deutlicher, wie wichtig es ist, dass Ingenieure über mehr IT-Kompetenzen verfügen. Das gleiche gilt natürlich umgekehrt auch für IT-Ingenieure. Beide Gruppen müssen sich mit den gleichen Themen befassen und darüber kommunizieren. Sie müssen sich also in der Welt des jeweils anderen auskennen. Interessanterweise bezeichnet das deutsche Wort „Sicherheit“ sowohl die funktionale Sicherheit als auch die Sicherheit vor Angriffen.

Es ist deshalb nicht verwunderlich, dass Hima mit seinen deutschen Wurzeln Funktionssicherheit und den Schutz von Anlagen – und zwar sowohl vorgelagerter als auch zwischengelagerter und nachgelagerter Anlagenteile – als zwei unzertrennbar miteinander verbundene Aspekte betrachtet.

Sicherheitsgerichtete Automatisierungslösungen müssen über die funktionale Sicherheit hinaus auch den Schutz vor Cyber-Angriffen gewährleisten. Die verschiedenen Aspekte der Sicherheit lassen sich dabei wie folgt differenzieren: Ziel der funktionalen Sicherheit ist der Schutz von Personen, Anlagen und Umgebung, da die Umgebung vor den Gefahren geschützt werden muss, die von der Anlage ausgehen.

Cyber-Sicherheit befasst sich mit der Verfügbarkeit, Integrität und Vertraulichkeit von Daten. Sie betrifft den Schutz der Anlage gegenüber Einflüssen aus der Umwelt. Nur die Kombination von funktionaler Sicherheit und Informationssicherheit gewährleistet die Gesamtsicherheit einer Anlage.

An Großprojekten im Bereich der Öl- und Gasindustrie sind zahlreiche Unternehmen mit sehr unterschiedlichen sicherheitstechnischen Zielen beteiligt. Hersteller sind bestrebt, den Schutz ihrer Betriebssysteme zu gewährleisten, Integratoren müssen ihr technisches Know-how schützen und die Anwender sind für die Sicherheit des Systembetriebs verantwortlich. Es gibt daher keinen einfachen Weg zur Gewährleistung von Cyber-Sicherheit. Alle diese Aspekte müssen beachtet werden, und Lieferanten, Integratoren und Endanwender sind gefordert, ihr spezielles Know-how zu bündeln.

Internationale Standards für Anlagensicherheit

In der IEC 61508 ist der internationale Standard der Anforderungen für die funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer Systeme festlegt. Demnach ist funktionale Sicherheit „der Teil der Gesamtsicherheit, der davon abhängig ist, dass ein System oder ein Betriebsmittel korrekte Antworten auf seine Eingangszustände liefert.“ Ziel der IT-Sicherheit muss es sein, die Abläufe vor möglichen negativen Einflüssen zu schützen und damit potenzielle Gefährdungen für Menschen, Umgebung und Anlagen auszuschließen oder wenigstens zu minimieren.

Selbst wenn man böswillige Attacken außer Acht lässt, bleibt die Tatsache bestehen, dass Gefährdungen der IT-Sicherheit in praktisch jedem Automatisierungssystem vorhanden sind. Dazu gehören z.B. das sicherheitsgerichtete System an sich und das dezentrale Steuerungssystem (DCS), zu dem das Sicherheitssystem gehören kann. Viele Sicherheitsexperten fordern aus diesem Grund nicht nur eine physische Trennung von sicherheitstechnischem System (SIS) und den Komponenten des DCS, sondern auch unterschiedliche verantwortliche technische Teams und/oder Lieferanten für diese Systeme.

Zudem ist der internationale Standard IEC 61511 für das sicherheitstechnische System (SIS) zu beachten. Ganz egal, ob es sich um ein unabhängiges System handelt oder ob es in eine Gesamt-Basisprozesssteuerung (BPCS) integriert ist – das sicherheitstechnische System ist ein grundlegender Bestandteil jeder industriellen Prozessanlage. Abb. 1 (siehe Bildergalerie) zeigt, wie IEC 61511 in der Praxis aussieht.

In diesem Modell ist der industrielle Prozess von Risikoreduktionsebenen umgeben. Gemeinsam reduzieren diese das Risiko auf ein akzeptables Maß. Der erforderliche Risikoreduktionsfaktor für die verschiedenen Ebenen wird durch den Sicherheitsintegritätslevel (SIL) bestimmt.

Der erste Schutzwall für jede Anlage ist die Steuerungs- und Überwachungsebene, welche die Basisprozesssteuerung umfasst. Diese reduziert die Gefahr des Eintretens eines unerwünschten Ereignisses. Die Vermeidungsebene umfasst das sicherheitstechnische System (SIS). Hardware und Software erfüllen auf dieser Ebene individuelle Sicherheitsfunktionen (SIF). Um das Gesamtrisiko auf ein akzeptables Niveau zu senken, benötigt die Mehrzahl der kritischen industriellen Prozesse ein sicherheitstechnisches System, das die Anforderungen von SIL 3 erfüllt, was einem Risikoreduktionsfaktor von mindestens 1000 entspricht.

Auf der Minderungsebene werden technische Systeme benötigt, die den Schaden bei einem Ausfall der inneren Schutzebenen begrenzen. Solche Minderungssysteme sind normalerweise nicht Teil eines Sicherheitssystems. Der Grund hierfür ist, dass diese Systeme erst nach Eintritt eines Ereignisses aktiviert werden (das eigentlich hätte verhindert werden sollen). Häufig werden bei solchen Minderungssystemen mechanische Einrichtungen oder strukturelle Merkmale eingesetzt. Beispiele sind z.B. Rückhaltebecken oder automatische Brandbekämpfungssysteme.

Betrachten wir jetzt den IEC-Standard für die Cyber-Sicherheit. Die Norm IEC 62443, aktuell in der Entwurfsphase, befasst sich mit den wesentlichen Sicherheitstechniken zur Vermeidung von Cyberangriffen auf Anlagennetzwerke und Systeme.

Die Norm IEC 62443 enthält sieben grundlegende Anforderungen. Diese betreffen die verschiedenen sicherheitsrelevanten Ziele, wie den Schutz des Systems vor unberechtigtem Zugriff. Darüber hinaus befasst sich die IEC 62443 auch mit dem Schutz von Netzwerken innerhalb von Automationssystemen. Wie aus Abb. 2 (siehe Bildergalerie) hervorgeht, fordert die Norm die Trennung des Gesamtsystems. Außerdem wird das Konzept von Sicherheitszonen, definierten Kanälen und zusätzlichen Firewalls an jedem Kanal eingeführt, der eine Sicherheitszone mit einer anderen verbindet, mit unterschiedlichen Anforderungen.

Durch diese Struktur entsteht ein mehrlagiges System unterschiedlicher Abwehrmechanismen (auch als „Defense in Depth“ bezeichnet). Für die Firewalls gelten dabei unterschiedliche technische Anforderungen, je nachdem, welche Sicherheitsebene jede Zone erfordert.

Standards und Strukturen müssen geschützt werden

Was also muss geschützt werden? Nach der neuesten Version von IEC 61511 lautet die Antwort, dass betriebliche Anforderungen und physikalische Strukturen gleichermaßen berücksichtigt werden müssen. Die Norm fordert Folgendes: Durchführung einer Sicherheitsrisikobewertung des sicherheitstechnischen Systems (SIS), Gewährleistung einer ausreichenden Widerstandsfähigkeit des SIS gegenüber den erkannten Sicherheitsrisiken, Absicherung der Funktion des SIS, Fehlererkennung und -korrektur, Schutz vor ungewollten Programmänderungen, Schutz der Daten zur Fehlersuche der Sicherheitsfunktionen SIF, und Schutz vor einer Manipulation der Beschränkungen zur Verhinderung der Deaktivierung von Alarmen und manuellen Abschaltung sowie Aktivierung/Deaktivierung von Lese-/ Schreibzugriff mit einem ausreichend sicheren Verfahren.

Was die strukturellen Anforderungen betrifft, fordert die IEC 61511 von den Anlagenbetreibern, dass eine Bewertung ihres sicherheitstechnischen Systems (SIS) durchgeführt werden muss. Die Betreiber müssen die Unabhängigkeit zwischen den Schutzebenen gewährleisten, eine Diversität zwischen den Schutzebenen etablieren, die Schutzebenen physisch trennen sowie Ausfälle gemeinsamer Ursachen zwischen den Schutzebenen identifizieren und vermeiden.

Die Norm IEC 61511 hat eine besondere Bedeutung für die Korrelation zwischen Cyber-Sicherheit und Anlagensicherheit. Sie besagt, dass die sicherheitstechnischen Funktionen physisch von den nicht sicherheitsbezogenen Funktionen getrennt werden sollen, wo immer es möglich ist. Die Standards IEC 61511 und IEC 62443 fordern beide unabhängige Schutzebenen. Beide Standards schreiben Folgendes vor:

  • Unabhängigkeit von Steuerung und Sicherheit,
  • Maßnahmen zur Reduktion systematischer Fehler,
  • Trennung von technischen- und Leitungsfunktionen,
  • Reduktion von Ausfällen gemeinsamer Ursache.

Beide Standards betonen darüber hinaus, dass das Gesamtsystem nur so stark ist wie sein schwächstes Glied. Bei der Verwendung integrierter Sicherheitssysteme (bei denen das Sicherheitssystem und das Standardautomatisierungssystem auf der gleichen Plattform laufen) sollte die gesamte Hard- und Software, die potenziell die Sicherheitsfunktion beeinträchtigen könnte, als Teil der Sicherheitsfunktion betrachtet werden. Dies bedeutet, dass das Standardautomatisierungssystem dem gleichen Managementprozess unterzogen werden muss wie das Sicherheitssystem.

Organisatorische Maßnahmen

Neben technischen Maßnahmen müssen von den Anwendern auch organisatorische Maßnahmen ergriffen werden, die von ausschlaggebender Bedeutung für die Cyber-Sicherheit sind. Keine vorhandene Technologie kann einen Schutz gegen neu entstehende Angriffsmöglichkeiten bieten. Aus diesem Grund besteht ein hoher Bedarf an regelmäßiger Prüfung interner Netzwerke, z.B. durch die manuelle Durchführung von Eindring- und Fuzzing-Tests.

Darüber hinaus ist es auch wichtig, dass die Möglichkeiten einer Manipulation ständig im Auge behalten und berücksichtigt werden. Wenn z.B. ein Bediener eine Anlage über ein industrielles Protokoll abschalten kann, dann dürfte dies auch für einen Hacker kein großes Problem sein. Des Weiteren muss an die Vernunft aller Beteiligten appelliert werden. Wenn z.B. ein Mitarbeiter sein Passwort bekannt gibt, wird ein Angriff für Hacker zu einem Kinderspiel. Außerdem darf das DCS auf keinen Fall zum Surfen im Internet oder Spielen von Videospielen verwendet werden.

Fazit

Es gibt viele Möglichkeiten, die Cyber-Sicherheit industrieller Anlagen zu gewährleisten. Neben den oben genannten technischen Sicherheitsmaßnahmen sind weitere, aus der Erfahrungswelt der Informationstechnik abgeleitete, organisatorische Maßnahmen erforderlich. Alle sicherheitsrelevanten Informationen sollten zudem auf jeder Stufe der Projektplanung über die gesamte Lebensdauer einer Anlage sorgfältig dokumentiert werden. Hersteller, Integratoren und Anwender müssen jederzeit die neuesten sicherheitstechnischen Erkenntnisse berücksichtigen und strengste Qualitätskontrollverfahren implementieren. Werden alle diese Maßnahmen berücksichtigt, können Anlagen in der Öl- und Gasindustrie heute und zukünftig sicher betrieben werden.

Dieser Beitrag ist ursprünglich auf unserem Schwesterportal Process erschienen.

* Der Autor ist Vice President Strategic Business Development bei der Hima Paul Hildebrand GmbH, Brühl.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44984183 / Internet of Things)