Prozessautomation Cyberattacken abgewehrt

Auf der Engineeringebene schützt das Programmiertool SILworX vor Manipulationen und Bedienfehlern.

Bild: Hima
19.09.2013

Während die Netzwerke der Büro-IT und der industriellen Automation immer mehr zusammenwachsen, nimmt gleichzeitig das Risiko für Cyber-Attacken auf Anlagen über diese Netzwerke zu. Der Bedarf, die Security-Barrieren in der Automation zu erhöhen, wächst dadurch kontinuierlich.Security-Barrieren in der Automation

Safety dient dem Schutz von Mensch, Anlage und Umwelt. Die Anlage darf also keinen Schaden anrichten. Bei Security hingegen ist die Anlage selbst vor Schaden zu schützen. Es ist sicherzustellen, dass Informationen und Daten - und damit auch Programme - ausschließlich für den bestimmungsgemäßen Gebrauch verwendet werden können und ein möglicher Schaden durch Verfälschung vermieden wird. Sowohl für Safety als auch für Security gilt, dass es einen Zustand „sicher“ oder „dauerhaft sicher“ nicht gibt. Man kann nur die Barrieren unter anderem gegen Angriffe erhöhen oder Fehler vermeiden, um das Risiko zu reduzieren. So sind bei Safety sowohl zufällige, nicht reproduzierbare Fehler als auch systematische, reproduzierbare Fehler zu betrachten. Dagegen ist bei Security ausschließlich von systematischen Fehlern auszugehen; hier steht die gezielte Manipulation im Vordergrund. Security ist ein Prozess, der durch organisatorische und technische Maßnahmen unterstützt werden muss. Safety kann einiges zur Security beitragen. Grundvoraussetzung ist, dass die Eigenschaften richtig dokumentiert sind. Als Hersteller sicherheitsgerichteter Steuerungen dokumentiert Hima so für jede Phase des Lifecycles sämtliche sicherheitsrelevanten Informationen zu den Produkten wie zum Beispiel Passwortvergabe, Ports und Protokolle für die Hard- und Software. Integratoren sind beispielsweise für die Dokumentation von Netzwerkstruktur und Back-ups verantwortlich. Anwender sollten stets den tatsächlichen Zugriffsschutz und Updates verwalten und dokumentieren.

Im Fall der Cyber Security spielt der unberechenbare Faktor Mensch eine entscheidende Rolle. Awareness und Ausbildung sind wichtige Elemente des Schutzes. Werden Mitarbeiter in den Security-Prozess einbezogen und über mögliche Gefahren für die Anlagensicherheit aufgeklärt, können sie wertvolle Hilfe zu deren Verbesserung liefern. Die internationale Normreihe ISO 2700X oder das Bundesamt für Sicherheit in der Informationstechnik (BSI) geben wertvolle Hinweise, wie man Netzpläne erstellt, Recovery-Strategien erarbeitet, mit Passwörtern umgeht, Mitarbeiter schult und Reviews organisiert.

Daneben sind geeignete technische Maßnahmen zu treffen. Safety und Security nutzen oft ähnliche Konzepte. So rät die Safety-Norm IEC 61511 zur Verwendung von Schutzebenen (Layers of Protection). Des Weiteren wird eine Trennung von Betriebs- und Schutzeinrichtung zur Reduzierung von common-code-Fehlern gefordert. In der Betriebseinrichtung sind häufig Änderungen durchzuführen, die Schutzeinrichtung hingegen ist statischer und obliegt sehr wenigen Änderungen. Auch der Entwurf der Security-Norm IEC 62443 empfiehlt, Teilsysteme zu trennen. Dieses Prinzip wird „Defence in the Depth“ genannt. Danach bildet die sichere Steuerung die letzte Verteidigungslinie gegen Cyber-Attacken. Autarke Sicherheitssysteme bieten klare Vorteile, da sie systematische Fehler deutlich reduzieren. Die getrennten Verantwortungsbereiche und die Zuständigkeiten für das Sicherheitssystem werden „automatisch“ geregelt, was die Anzahl gleichartiger Engineering-Fehler minimiert.

Security beginnt bereits in den Entwicklungsabteilungen der Hersteller. So bezieht Hima von Anfang an Maßnahmen zur Cyber Security in die Produktentwicklung mit ein. Dazu zählt das Achilles-Testverfahren von Wurldtech, das international im Bereich Öl & Gas für die Überprüfung industrieller Cyber Security anerkannt ist, und eine Online-Simulation von Cyber-Angriffen beinhaltet. Das Prozessormodul X-CPU01 und das Kommunikationsmodul X-COM01 des Sicherheitssystems HIMax haben bei diesen Tests ihre Widerstandsfähigkeit gegen Cyber-Angriffe bewiesen und das Achilles-Level-I-Zertifikat erhalten. Außerdem fließen kontinuierlich alle wichtigen Faktoren zum Thema Security in die Sicherheitshandbücher der Produkte ein.

Ein sicherheitsfokussierter Entwicklungsprozess gewährleistet einen hohen Qualitätsstandard der Produkte. Ein wichtiger Aspekt ist hier das Vier-Augen-Prinzip. Es wird nur das entwickelt, was spezifiziert wurde. Dadurch wird verhindert, dass nicht geplante Eigenschaften in die Steuerungen einfließen können. Bei der Entwicklung des Sicherheitssystems HIMax wurde zum Beispiel darauf geachtet, dass das System Telegramme, deren Inhalt nicht der Protokollspezifikation oder der Erwartung entsprechen, verwirft. So werden nicht benutzte Ports, ähnlich wie bei einer Firewall, gesperrt.

Speziell für die Funktionale Sicherheit konzipierte SIL-3-Sicherheitssteuerungen wie HIMax beinhalten Eigenschaften, die auch für die Cyber Security enorm hilfreich sind. Durch die physikalische Trennung von CPU und Kommunikationsmodul kann die Kommunikation von der X-CPU zu X-COM nicht erzwungen werden. Die funktionale Sicherheit ist dadurch selbst dann gewährleistet, wenn der Kommunikationsprozessor attackiert wird. Eine weitere Security-Maßnahme ist die Port-Deaktivierung, mit der nicht genutzte physikalische Ports auf der CPU bzw. dem Kommunikationsmodul deaktiviert werden können.

Durch die Verwendung von sogenannten Systemvariablen können Steuerungszugriffe auf ein HIMax-System blockiert werden. Damit ist es möglich, durch einen Vor-Ort-Schlüsselschalter oder über ein anderes Freigabesignal den Zugriff auf das System zu erlauben oder zu sperren. So können über Variablen im Anwenderprogramm das Forcen deaktiviert, im laufenden Betrieb ein reiner Nur-lesen-Zugriff ermöglicht und die Möglichkeit der Online-Änderung (Reload) deaktiviert werden. Zusätzliche Security bietet auf dieser Ebene der CRC-Schutz. Prüfsummen (CRC) des Projekts und der einzelnen Programme werden hierbei in Variablen angeboten und können im Scada beziehungsweise Prozessleitsystem angezeigt und überprüft werden. Zusätzlich kann jedes Laden mittels Systemvariablen erkannt und alarmiert werden. Das HIMax-System bietet durch diese integrierten Sicherheitsmaßnahmen die Möglichkeit, ein Anlagensystem ganz nach den jeweiligen Bedürfnissen vor externen Einflüssen abzuschotten.

Auf der Engineeringebene schützt das Programmiertool SILworX vor Manipulationen und Bedienfehlern. Über ein zweistufiges Benutzermanagement können unabhängig Zugriffsrechte für Projektdaten (PADT-Benutzerverwaltung) und einzelne Steuerungen (PES-Benutzerverwaltung) vergeben werden. Dabei werden die Benutzer auf Projektebene Benutzergruppen zugeordnet und nur die Benutzergruppen auf der Steuerung hinterlegt. So kann man personalisierte Benutzerrechte verwenden, ohne bei jeder Änderung der Personen oder der Passworte die Steuerung anpassen zu müssen.

Bildergalerie

Firmen zu diesem Artikel
Verwandte Artikel