Sicherheit in prozesstechnischen Anlagen ist nicht nur eine (verfahrens-)technische Herausforderung, sondern eine vielschichtige konzeptionelle Aufgabe. Dass dazu der noch bis in die jüngste Vergangenheit oft vernachlässigte Bereich der IT-Sicherheit von Automatisierungssystemen gehört, dürfte spätestens seit „Stuxnet“ jedem Anlagenbetreiber klar sein. Aber Sicherheit im Betrieb bedeutet auch: systematische Archivierung von Datenbeständen, Schulung von Mitarbeitern im Umgang mit außergewöhnlichen Betriebssituationen sowie ein frühzeitiges, weitgehend automatisiertes Erkennen von Faktoren, die die Anlagenverfügbarkeit einschränken oder gefährden könnten. „Das Sicherheitskonzept von Yokogawa sieht auf den ersten Blick wie eine Mischung aus IT-Sicherheit und Plant Asset Management für IT-Komponenten der Automatisierung aus. Bei genauerem Hinsehen zeigt sich, dass beide Aufgabenbereiche in der Tat eng miteinander verknüpft sind. Ihr gemeinsames Ziel ist eine maximale Verfügbarkeit der Anlage“, erläutert Cathrin Janssen, Mitarbeiterin des Industrial Automation Business Development von Yokogawa Deutschland. Eine derart integrierte Betrachtungsweise kommt bereits 2006 in den Schutzzielen zum Ausdruck, die das Namur-Arbeitsblatt 115 nennt: Verfügbarkeit, Integrität und Vertraulichkeit - zumeist in dieser Prioritätsreihenfolge.
Wege markieren, Felshaken setzen
Das Vorgehen, um zeitgemäße, nachhaltige IT-Sicherheit zu erreichen, ähnelt einer Bergtour. Hier wie dort bedarf es der richtigen Streckenplanung und Ausrüstung sowie eines erfahrenen Teams. Der Weg führt über Zwischenstationen (Ebenen 1 bis 3 in der Abbildung oben) zum Gipfel beziehungsweise zum Ziel. Um diesen Weg dauerhaft gangbar zu machen, werden zudem Wegmarkierungen, gegebenenfalls Sicherungshaken und fest installierte Drahtseile notwendig. Dem entspricht im Fall der industriellen IT-Sicherheit ein Lebenszyklusmanagement (Ebene 4), das konzeptionell und apparativ dem Stand der Technik Rechnung trägt und die Mitarbeiter kontinuierlich weiterqualifiziert. Konkret ruht das Yokogawa-Konzept für industrielle IT-Sicherheit auf zahlreichen Säulen innerhalb dieser vier Ebenen. Bei physischer und Netzwerksicherheit (Ebene 1) sind dies:
- räumliche Abgrenzung und personenspezifische Zugangskontrollen für Messwarten, Schalt- und Rechnerräume bzw. -schränke; - entsprechend einem Standard vorkonfigurierte („gehärtete“) Clients und Server mit einem auf Kernkomponenten reduzierten Betriebssystem sowie reglementierter Fähigkeit zum Datenaustausch (USB-Schlösser, deaktivierte/deaktivierbare CD-Player/-Brenner, Blockierung ungenutzter Netzwerkanschlüsse etc.); - lückenloses Authentifizierungskonzept für alle Nutzer/Anwender auf der Basis von Schlüsseln, Chipkarten und/oder Passwörtern (Konzept: Wissen & Besitz); gegebenenfalls personenspezifische Protokollierung von Aktivitäten.
Der Server- und Applikationssicherheit (Ebene 2) dient zum einen eine standardisierte Antivirus-Lösung für jede Systemeinheit, verbunden mit einer entsprechenden Systematik zu deren Aktualisierung und für Betriebssystem-Patches. Diese muss mit einer speziell für die Erfordernisse des Prozessleitsystems vorkonfigurierten Firewall sowie mit Gruppenrichtlinien und einer geeigneten Netzwerksegmentierung ergänzt werden. Notwendig ist zudem die Ein- und Ausgangsprüfung aller Daten und Datenträger auf einem vom Leitsystem getrennten Schadsoftware-Prüf-PC. Die verwendeten Standard-Netzwerkkomponenten sollten über eine „eingebaute“ Systemkompatibilität und langjährige Nachkaufgarantie verfügen. Ein weiteres Element ist die Netzwerküberwachung (Erfassung, Visualisierung, Analyse, Dokumentation). Im Rahmen eines Sicherungs- und Wiederherstellungskonzepts (Ebene 3) erfolgt die priorisierte, regelmäßige und systematische Datensicherung aller SQL- und Projektdatenbanken sowie aller Client- und Server-Systeme. Diese muss durch die Konfigurationen aller Netzwerk-Switches ergänzt werden. Zum Lebenszyklusmanagement (Ebene 4) zählen:
- Schulung der Betriebsmannschaft in Sicherheitsfragen (Risiken, Abwehrstrategien, Best Practices); - Schaffen eines nachhaltigen Sicherheitsbewusstseins und Motivation zu entsprechendem Verhalten; - Training des Verhaltens in außergewöhnlichen Betriebssituationen (z. B. Virenbefall, Hackerangriff, Systemausfall, Datenverlust); - langjährige Verfügbarkeit von wichtigen Systemkomponenten.
Yokogawa unterstützt seine Kunden bei der Umsetzung dieser Schritte nicht nur durch die Bereitstellung geeigneter Hard- und Software, sondern auch mit einem Dienstleistungsangebot, aus dem Kunden maßgeschneiderte Pakete schnüren können - ganz im Sinne von „Security as a Service“. Dazu gehört zum Beispiel eine Vor-Ort-Notfallhilfe bei einem Virenangriff ebenso wie die Durchführung von Schulungs- und Trainingsveranstaltungen. Das Plant Network Security Department (PNSD) des Unternehmens bietet zudem umfassende Beratung entsprechend der Richtlinie ISA99 (Industrial Automation and Control Systems Security). „Vor der Einführung bzw. Überarbeitung des Sicherheitsmanagements empfehlen wir unseren Kunden außerdem eine Art Audit, das der Bestandsaufnahme dient und uns hilft, danach gemeinsam den Handlungsbedarf und das Vorgehen optimal festzulegen“, ergänzt Janssen. Bei einem solchen Audit wird überprüft, ob alle wichtigen Standards eingehalten werden, alle Sicherheitseinstellungen korrekt und alle Maßnahmen angemessen sind.
Vorausschauend weiterklettern
Die Bedeutung eines Netzwerk-Überwachungswerkzeugs (s. o., Ebene 2) für die IT-Sicherheit ist unmittelbar einleuchtend. Doch eine solche Software erschließt noch weiterreichende Möglichkeiten. So lassen sich mit ihrer Hilfe aus dem Betriebsnetzwerk heraus wartungsrelevante Informationen über eine Vielzahl von Systemkomponenten sammeln. Nicht nur für die Fehlerdiagnose, sondern auch zur vorausschauenden Wartung sind solche Informationen außerordentlich wertvoll. So kann zum Beispiel aus der Temperatur einer CPU oder einer Festplatte unmittelbar auf deren MTBF (Mean Time between failures) bzw. (Rest-)Lebensdauer geschlossen werden. Im Rahmen eines Predictive-;aintenance-Ansatzes kann damit ein Austausch solcher Komponenten noch vor ihrem Ausfall geplant und umgesetzt werden. Noch einen Schritt weiter geht Yokogawa indes, wenn solche Daten in ein Fernwartungskonzept einfließen. In Tokio arbeitet bereits seit Jahren ein Response Center rund um die Uhr und wertet Alarme und Fehlermeldungen von angeschlossenen Anlagen aus. So können bereits Maßnahmen oder Lösungsvorschläge entwickelt werden, noch bevor sich ein Anlagenfahrer oder Servicetechniker überhaupt gemeldet hat. Nach diesem Vorbild arbeitet auch das Response Center Europe (RCE) im VigilantPlant Service Center von Yokogawa in Amersfoort, Niederlande. Auch dieses streng gesicherte Rechenzentrum erhält Daten aus Kundenanlagen über spezielle, geschützte Kommunikationsrechner in DMZ-Segmenten (Demilitarized Zones) der IT-Systeme. Diese Daten werden im RCE von so genannten Fernwartungsrechnern übernommen und von Experten analysiert. Hinweise oder Vorschläge zur Problembehandlung werden dann auf vorher vereinbarten Kommunikationswegen (SMS, e-Mail oder Telefon) an das Servicepersonal der Anlage beziehungsweise die Anlagenfahrer weitergeleitet. Für Cathrin Janssen vom Automation Business Development liegt der Vorteil dieses Vorgehens auf der Hand: „Wir erfahren gleichzeitig mit dem Anlagenfahrer von einem Problem, ohne dass dieser aktiv Informationen zusammenstellen und an uns übermitteln müsste. Manchmal können wir Handlungsbedarf sogar bereits erkennen, noch bevor überhaupt ein Alarm ausgelöst wird. Jedenfalls lässt sich die Reaktionszeit auf ein Ereignis mitunter drastisch verkürzen.“
Auch Bergsteiger brauchen Training
Vorkehrungen gegen Angriffe auf die immer komplexer werdende IT-Infrastruktur prozesstechnischer Anlagen sind längst ein Muss für jeden Betreiber. Sie in der Praxis zu gewährleisten erfordert ein aufeinander abgestimmtes Miteinander von Hard- und Software und vor allem die Mitwirkung aller beteiligten Personen bei der Umsetzung solcher Sicherheitsmaßnahmen. Beratung, Schulung und Training sind in diesem Zusammenhang wichtige Servicekomponenten. Mehr als nur ein Nebenprodukt des Sicherheitsmanagements ist die Möglichkeit, Daten etwa des Netzwerk-Monitorings auch für die Funktionsüberwachung von Anlagen-IT-Komponenten einzusetzen. Vorausschauende Maßnahmen (Wartung, Instandhaltung) oder rasche Reaktion auf Ereignisse können Zahl und Dauer technisch bedingter Störungen oder Ausfälle minimieren. Auch eine aktive Überwachung durch das Response Center Europe, bei der die dortigen Experten für die Betriebsmannschaft eine Handlungsempfehlung entwickeln und zur Freigabe und Umsetzung vorlegen, ist denkbar.