Während die Netzwerke von Büro-IT und industrieller Automation mehr und mehr zusammenwachsen, nimmt das Risiko für Cyber-Attacken auf Anlagen über diese Netzwerke zu. Der Bedarf, Security-Barrieren in der Automation zu erhöhen, wächst dadurch stetig. Welche Maßnahmen zur Cyber Security beitragen und welche Vorteile autarke Sicherheitssteuerungen dabei bieten, erklärt der folgende Beitrag.

Safety dient dem Schutz von Mensch, Anlage und Umwelt, das heißt die Anlage darf hier keinen Schaden verursachen. Bei Security hingegen ist die Anlage selbst vor Schaden zu schützen. Es ist daher sicherzustellen, dass Informationen und Daten - und damit auch Programme - ausschließlich für den bestimmungsgemäßen Gebrauch verwendet werden können und dass ein möglicher Schaden durch Verfälschung vermieden wird. Sowohl für Safety als auch für Security gilt, dass es einen Zustand sicher oder dauerhaft sicher nicht gibt. Man kann nur die Barrieren unter anderem gegen Angriffe erhöhen oder Fehler vermeiden, um das Risiko zu reduzieren. So sind bei Safety sowohl zufällige, nicht reproduzierbare Fehler als auch systematische, reproduzierbare Fehler zu betrachten. Dagegen ist bei Security ausschließlich von systematischen Fehlern auszugehen, wobei hier die gezielte Manipulation im Vordergrund steht.

Safety-Lösungen nicht ohne Security

Security ist ein Prozess, der durch organisatorische und technische Maßnahmen unterstützt werden muss. Hersteller- und Anwender sollten dabei unter anderem eine sinnvolle Dokumentation der Eigenschaften berücksichtigen. Safety kann durch die hohen Qualitätsanforderungen einiges zur Security beitragen. Grundvoraussetzung ist allerdings, dass die Eigenschaften richtig dokumentiert sind. Als Hersteller sicherheitsgerichteter Steuerungen dokumentiert Hima so für jede Phase des Lebenszyklus sämtliche sicherheitsrelevanten Informationen zu den Produkten wie zum Beispiel die Passwortvergabe, Ports und Protokolle für die Hard- und Software. Integratoren sind beispielsweise für die Dokumentation von Netzwerkstruktur und Back-ups verantwortlich. Anwender sollten beispielsweise stets den tatsächlichen Zugriffsschutz und Updates verwalten und dokumentieren.
Im Fall der Cyber Security spielt der unberechenbare Faktor Mensch eine entscheidende Rolle. Das Bewusstsein für Sicherheit und die Ausbildung sind hier wichtige Elemente des Schutzes. Denn werden Mitarbeiter über mögliche Gefahren für die Anlagensicherheit aufgeklärt und in den Security-Prozess einbezogen, können sie zu deren Verbesserung beitragen. Die internationale Normreihe ISO 2700X oder das Bundesamt für Sicherheit in der Informationstechnik (BSI) geben Hinweise wie man zum Beispiel Netzpläne erstellt, Recovery-Strategien erarbeitet, mit Passwörtern umgeht, Mitarbeiter schult und Reviews organisiert.

Autarke Sicherheitssysteme reduzieren systematische Fehler

Neben organisatorischen Maßnahmen sind auch technische Maßnahmen für die Security zu treffen. Safety und Security nutzen oft ähnliche Konzepte. So rät die Safety-Norm IEC 61511, Schutzebenen (Layers of Protection) zu verwenden. Zudem wird eine Trennung von Betriebs- und Schutzeinrichtung gefordert, um Common-Code-Fehler zu reduzieren. In der Betriebseinrichtung sind häufig Änderungen durchzuführen, die Schutzeinrichtung hingegen ist statischer und obliegt sehr wenigen Änderungen. Auch der Entwurf der Security-Norm IEC 62443 empfiehlt, Teilsysteme zu trennen. Dieses Prinzip wird Defence in the Depth genannt. Danach bildet die sichere Steuerung die letzte Verteidigungslinie gegen Cyber-Attacken.
Autarke Sicherheitssysteme bieten klare Vorteile, da sie systematische Fehler deutlich reduzieren. Die getrennten Verantwortungsbereiche und die Zuständigkeiten für das Sicherheitssystem werden automatisch geregelt, was die Anzahl gleichartiger Engineering-Fehler minimiert.

Auf Sicherheit ausgerichteter ­Entwicklungsprozess

Security beginnt bereits in den Entwicklungsabteilungen der Hersteller. So bezieht Hima von Beginn an Maßnahmen zur Cyber Security in die Produktentwicklung mit ein. Dazu zählt das Achilles-Testverfahren von Wurldtech, das international im Bereich Öl & Gas für die Überprüfung industrieller Cyber Security anerkannt ist und eine Online-Simulation von Cyber-Angriffen beinhaltet. Das Prozessormodul X-CPU 01 und das Kommunikationsmodul X-COM 01 des Hima-Sicherheitssystems HIMax haben bei diesen Tests ihre Widerstandsfähigkeit gegen Cyber-Angriffe bewiesen und das Achilles-Level 1-Zertifikat erhalten.
Ein sicherheitsfokussierter Entwicklungsprozess stellt einen hohen Qualitätsstandard der Produkte sicher. Ein wichtiger Aspekt ist hier das Vier-Augen-Prinzip, das heißt es wird nur entwickelt, was spezifiziert wurde. Dadurch wird verhindert, dass nicht geplante Eigenschaften in die Steuerungen einfließen können. Bei der Entwicklung des Sicherheitssystems HIMax wurde zum Beispiel darauf geachtet, dass das System Telegramme, deren Inhalt nicht der Protokollspezifikation oder der Erwartung entsprechen, verworfen und nicht beantwortet werden. Auch nicht benutzte Ports werden, ähnlich wie bei einer Firewall, gesperrt.

Sicherheitssteuerung bietet Security-Vorteile

Speziell für die Funktionale Sicherheit konzipierte SIL3-Sicherheitssteuerungen wie HIMax beinhalten Eigenschaften, die auch für die Cyber Security hilfreich sind. Durch die physikalische Trennung von CPU und Kommunikationsmodul kann die Kommunikation von der X-CPU zu X-COM nicht erzwungen werden. Die Funktionale Sicherheit ist dadurch auch gewährleistet, wenn der Kommunikationsprozessor attackiert wird. Eine weitere Security-Maßnahme ist die Port-Deaktivierung, mit der nicht genutzte physikalische Ports auf der CPU beziehungsweise dem Kommunikationsmodul deaktiviert werden können.
Durch die Verwendung von so genannten Systemvariablen können Steuerungszugriffe auf ein HIMax-System blockiert werden. Damit ist es zum Beispiel möglich, durch einen Vor-Ort-Schlüsselschalter oder über ein anderes Freigabesignal den Zugriff auf das System zu erlauben oder zu sperren. So können über Variablen im Anwenderprogramm das Forcen deaktiviert, im laufenden Betrieb ein reiner Nur-lesen-Zugriff ermöglicht und die Möglichkeit der Online-Änderung (Reload) deaktiviert werden. Zusätzliche Security bietet auf dieser Ebene der CRC-Schutz. Prüfsummen (CRC) des Projekts und der einzelnen Programme werden hierbei in Variablen angeboten und können im Scada beziehungsweise Prozessleitsystem angezeigt und überprüft werden. Zusätzlich kann jedes Laden mittels Systemvariablen erkannt und alarmiert werden. Das HIMax-System bietet durch diese integrierten Sicherheitsmaßnahmen die Möglichkeit, ein Anlagensystem nach den jeweiligen Bedürfnissen vor externen Einflüssen abzuschotten.

Engineeringtool unterstützt Security

Auf der Engineering-Ebene schützt das Programmiertool SILworX vor Manipulationen und Bedienfehlern. Über ein zweistufiges Benutzermanagement können unabhängig Zugriffsrechte für Projektdaten (PADT-Benutzerverwaltung) und einzelne Steuerungen (PES-Benutzerverwaltung) vergeben werden. Dabei werden die Benutzer auf Projekt­ebene den Benutzergruppen zugeordnet und nur die Benutzergruppen auf der Steuerung hinterlegt. Damit ist es möglich, personalisierte Benutzerrechte zu verwenden, ohne bei jeder Änderung der Personen oder deren Passworte die Steuerung anpassen zu müssen. SILworX kann sich mittels CRC-Schutz zusätzlich selbst schützen, indem alle relevanten Dateien anhand ihrer Prüfsummen kontrolliert werden - bei falscher Prüfsumme wird die Code-Generierung konsequent verweigert.