Die Sicherheitstechnik von Maschinen und Anlagen gewinnt über den gesamten Lebenszyklus der Applikation hinweg stetig an Bedeutung. Durch die zunehmende Vernetzung von Automatisierungssystemen mit der IT-Welt können jedoch Szenarien auftreten, die insbesondere von Safety-Anwendungen eine neue Herangehensweise erfordern.
Im Rahmen des Zukunftsprojekts Industrie 4.0 verbinden sich Fertigung und IT zunehmend. Dadurch wachsen die Herausforderungen im Security-Bereich. Bei den Schnittstellen von Office-IT und Produktionsnetz finden Hacker oftmals ein Einfallstor in das Unternehmensnetz.
Eine Studie des Softwareunternehmens Kaspersky aus dem Jahr 2017 zeigt, dass sich etwa jede dritte Cyber-Attacke auf industrielle Kontrollsysteme und damit gegen produzierende Unternehmen richtet. Jährlich steigt das Aufkommen von Malware und der damit verbundenen Schäden für Industriesysteme. Der aktuelle Fall der Malware „Triton“ in Verbindung mit einem Cyber-Angriff gegen ein Safety-Instrumented-System (SIS) belegt, dass dieses Szenario durchaus real ist.
Die Welten von Safety und Security treffen aufeinander, wenn Automatisierungslösungen zur Realisierung der funktionalen Sicherheit zum Ziel von Hackerangriffen werden. Daher muss für die Zukunft eine gemeinsame Strategie entwickelt werden.
Carsten Gregorius
Industrielle Steuerungssysteme sind derzeit zahlreichen Bedrohungen ausgesetzt, z. B.:
Infektionen mit Schad-Software über das Internet und Intranet
Einschleusen von Schad-Software über Wechseldatenträger und andere externe Hardware
Social Engineering, also die Beeinflussung von Personen mit dem Ziel bestimmte Verhaltensweisen hervorzurufen
Menschliches Fehlverhalten und Sabotage
Einbrüche in das System über Fernwartungslösungen
Über das Internet mittels IP-Protokoll gekoppelte Steuerkomponenten
Technisches Fehlverhalten und höhere Gewalt
Gehackte Smartphones im Fertigungsumfeld sowie von Extranet- und Cloud-Komponenten
Wie grenzt sich die Cyber Security zur funktionalen Sicherheit ab?
Funktionale Sicherheit steht für die korrekte Funktion des sicherheitsbezogenen (Steuerungs-)Systems und für andere risikomindernde Maßnahmen. Wenn hier ein kritischer Fehler auftritt, leitet die Steuerung den sicheren Zustand ein. Die Anforderungen an die Beschaffenheit von sicherheitsrelevanten Steuerungsteilen sind in der B-Norm EN ISO 13849 sowie der Reihe IEC 61508/IEC 61511/IEC 62061 beschrieben. Je nach Risikohöhe stuft man die entsprechenden risikoreduzierenden Maßnahmen in unterschiedliche Sicherheitsniveaus ein: Performance Level (PL) oder Safety Integrity Level (SIL).
Die Cyber Security dagegen schützt vor Attacken auf die Verfügbarkeit, Integrität und Vertraulichkeit von Daten. Dies schafft sie durch vorbeugende oder reaktive technische und organisatorische Maßnahmen. Vernachlässigt man die Security-Aspekte im Safety-Umfeld, kann dies direkte Auswirkungen auf die Fertigungseinrichtungen haben. Indirekt kann dies auch Auswirkungen auf den Produktionsprozess und damit auf das Endprodukt haben. Beispiele sind pharmazeutische Artikel oder sicherheitsrelevante Bauteile für die Automobilindustrie. Hier können Veränderungen erhebliche negative Einflüsse auf die Konsumenten haben. Die Norm IEC 61511-1 fordert deshalb für Sicherheitseinrichtungen der Prozessindustrie eine IT-Risikobeurteilung. Der Betreiber muss die IT-Risikobeurteilung nach dem NA-Verfahren der NAMUR durchführen und die identifizierten Maßnahmen umsetzen. So kann er seine PLT-Sicherheitseinrichtung nach dem aktuellen Stand der Technik beurteilen und seiner Sorgfaltspflicht nachkommen.
Überblick über die relevanten Gesetze, Verordnungen, Richtlinien und Regeln
Aktive Suche nach Schwachstellen
In der funktionalen Sicherheit wie auch der Zugriffssicherheit wird das potenzielle Risiko zunächst auf Basis einer Risikobeurteilung genauer gesagt einer IT-Bedrohungsanalyse bewertet. Hier zeigt sich bereits ein wesentlicher Unterschied bei der Herangehensweise. Konstrukteure müssen sich im Rahmen der Risikobeurteilung nach Maschinenrichtlinie eher auf statische Risiken einstellen, z. B. auf mechanische oder elektrische Gefährdungen. Der IT-Sicherheitsexperte findet sich dagegen in einem sich ständig verändernden Umfeld wieder. Dort suchen Angreifer mit immer neuen Methoden aktiv nach entsprechenden Schwachstellen, die im Bereich der funktionalen Sicherheit als systematische Fehler betrachtet werden.
Eine weitere wichtige Einflussgröße ist der Faktor Mensch: Auf dem Gebiet der Maschinensicherheit wird von vorhersehbarem Missbrauch gesprochen, wenn z. B. Schutzeinrichtungen wie Türschalter vom Bedienpersonal manipuliert werden. Bei groß angelegten Cyber-Angriffen auf Industrieanlagen wird dagegen von einem hohen Maß an krimineller Energie ausgegangen.
Whitepaper
Risikobeurteilung: Safety vs. Security
Wie nehmen Sie eine Risikobeurteilung nach der Maschinenrichtlinie vor? Wie analysieren Sie die Risiken im Rahmen der Industrial Security?
Erfahren Sie mehr dazu in unserem Whitepaper.
Hersteller, Systemintegratoren und Betreiber müssen den Produktlebenszyklus sicherheitsgerichteter Systeme oder Komponenten absichern. Dafür können sie innerhalb eines Functional-Safety-Managements ein bedarfsgerechtes Qualitätsmanagement nach IEC 61508 anwenden. In der Security-Welt gibt es eine vergleichbare Lösung mit dem Information-Security-Management nach ISO 27000.
Einen ersten pragmatischen Ansatz in Richtung Verzahnung dieser beiden Themen bietet das von der NAMUR veröffentlichte Arbeitsblatt „IT-Risikobeurteilung von PLT-Sicherheitseinrichtungen“. Darin wird ein Verfahren zur IT-Risikobeurteilung in Anlehnung an die Security-Norm IEC 62443 beschrieben. Dieses Verfahren bildet die Grundlage für die Erhöhung der Widerstandsfähigkeit der PLT-Sicherheitseinrichtung gegen IT-Bedrohungen. Dafür werden die drei Schritte der ersten Phase exemplarisch für ein System durchgeführt, wie es typischerweise in den NAMUR-Mitgliedsunternehmen zu finden ist. Damit kann der Anwender prüfen, ob das Verfahren für die zu beurteilende PLT-Sicherheitseinrichtung nutzbar ist. Die zweite Phase ist die Kontrolle der Umsetzung der Maßnahmen und die Dokumentation der IT-Sicherheitsanforderungen und Randbedingungen. Die zweite Phase muss für jede PLT-Sicherheitseinrichtung individuell durchlaufen werden.
Risikobeurteilung nach NAMUR-Empfehlung NA 163
Verschiedene Schritte des Risikobeurteilungsverfahrens nach der NAMUR-Empfehlung NA 163
Keine Beeinträchtigung der funktionalen Integrität
Die Hard- und Software des untersuchten Systems wird in zwei Bereiche unterteilt:
Die Kern-PLT-Sicherheitseinrichtung in Zone A umfasst die PLT-Sicherheitseinrichtung, wie sie in der IEC 61511-1 definiert ist. Dazu gehören das Logiksystem, die Ein- und Ausgabebaugruppen inklusive Remote-I/O und die Aktoren und Sensoren. Ebenfalls dieser Zone zugeordnet sind Verbindungen und ggf. vorhandene Netzwerkkomponenten (wie Kabel oder Switche), die der Ankopplung der in Zone A angesiedelten Geräte dienen.
Der erweiterten PLT-Sicherheitseinrichtung in Zone B werden Komponenten zugerechnet, die für die Ausführung der Sicherheitsfunktion nicht notwendig sind. Dennoch können sie das Verhalten der Kern-PLT-Sicherheitseinrichtung beeinflussen. Beispiele hierfür sind Bedieneingabepanels, Visualisierungsstationen, das Programmiergerät für die PLT-Sicherheitseinrichtung und Vorrichtungen zur Sensor-/Aktor-Konfiguration.
Im Bereich der Umgebung befinden sich Komponenten und Systeme, die weder direkt noch indirekt bei der PLT-Sicherheitseinrichtung zugeordnet sind. Sie können aber in Verbindung mit der Sicherheitsfunktion stehen. Dabei kann es sich um Reset-Anforderungen oder die Visualisierung des Zustands der Sicherheitsfunktion handeln.
Das gemeinsame Ziel der Bereiche ist, die funktionale Integrität der Sicherheitseinrichtung nicht durch Rückwirkungen aus der Umgebung zu beeinträchtigen.
Zonenkonzept zur Risikobeurteilung
Umfassende Schulung der beteiligten Personen
Um die Auswirkungen durch eine kompromittierte PLT-Sicherheitseinrichtung zu verringern oder Bedrohungen entgegenzuwirken, sind Maßnahmen zu ergreifen. Dem Faktor Mensch kommt eine besondere Rolle in diesem Prozess zu. Über 50 Prozent der Cyber Security-Vorfälle lassen sich auf das Verschulden von Mitarbeitern zurückführen. Es ist deshalb wichtig, dass es einen IT-Sicherheitsverantwortlichen für die Sicherheitseinrichtung gibt. Alle beteiligten Personen sollten für die Spezifikation und den Entwurf der Sicherheitseinrichtung sensibilisiert und geschult sein. Außerdem sollten Endanwender Vertraulichkeitsvereinbarungen mit Herstellern, Lieferanten und externen Betreibern treffen, die Informationen und Kenntnisse hinsichtlich des Sicherheitssystems betreffen.
Produkte für sichere Anwendungen
Komponenten, Software-Tools und Lösungen von Phoenix Contact unterstützen Sie bei der flexiblen und wirtschaftlichen Kombination von Safety- und Security-Technik. Damit werden Sie auf internationaler Ebene noch wettbewerbsfähiger. Ergänzt um ein umfassendes Dienstleistungsangebot erhalten Sie über den gesamten Sicherheitslebenszyklus ein optimal auf Ihre Anforderungen abgestimmtes Leistungsspektrum.
