In zunehmendem Maße sind Industrieanlagen nicht mehr autark, sondern mit der Außenwelt verbunden. Für künftige Automatisierungslösungen ist dies eine zentrale Herausforderung: Der komplette Industriebetrieb ist nur sicher, wenn Anlagenbetreiber ergänzend zur funktionalen Sicherheit auch Maßnahmen zur Cyber Security systematisch umsetzen. Sicherheitsgerichtete Automatisierungslösungen in Industrieanlagen müssen daher sowohl eine sichere Notabschaltung als auch effektiven Schutz vor Cyber-Angriffen bieten.

Ein weiterer Aspekt, der eng mit der Cyber Security verknüpft ist, ist die nutzbringende Verwendung von Daten, bei uns zusammengefasst unter dem Begriff „smart safety“. Bislang wurden Sicherheitssteuerungen vornehmlich unter dem Sicherheitsaspekt und der Notfall­abschaltung betrachtet. Die intelligente Nutzung vorhandener Daten aus dem Sicherheitsnetzwerk, z. B. für vorausschauende Wartung oder Prozessoptimierung, gibt Betreibern jetzt zusätzlich die Möglichkeit, durch Reduzierung der Stillstände und optimale System­auslegung die Wirtschaftlichkeit ihrer Anlagen zu verbessern. Das Sicherheitssystem ist besonders als Lieferant relevanter Information geeignet, da naturbedingt in Sicherheitssteuerungen eine große Menge an Daten erzeugt wird.

Cyber-Attacken in der Prozessindustrie

Die Cyber-Kriminalität gefährdet nicht nur die Informationssicherheit, sondern in steigendem Maße unmittelbar auch die Anlagensicherheit. Anlagenbetreiber müssen dieses Risiko im Blick haben und aktiv adressieren. Eine sicherheitsgerichtete Steuerung kann unter Safety-Gesichtspunkten problemlos viele Jahre unverändert verwendet werden. Aus Sicht der Cyber Security wird dies zukünftig nicht mehr möglich sein. Security erfordert regelmäßige Maßnahmen, da Angriffsszenarien sich ständig verändern.

Standardisierte Hardware und Software in der Prozessleittechnik erfordern regelmäßige Patches, um Schwachstellen in Software und Betriebssystem zu beheben. Aufgrund der Komplexität der Softwarearchitektur ist jedoch eine analytische Bewertung der Risiken, die durch ein System-Update entstehen könnten, schwierig bis unmöglich. So können durchgeführte Patches im Prozessleitsystem auch Funktionalitäten des darin integrierten Sicherheitssystems beeinflussen. Das kann fatal sein. Damit in sicherheitsrelevanten Prozessen bei Leitsystem-Patches keine kritischen Fehler mit unabsehbaren Folgen auftreten können, müssen Prozessleit- und Sicherheitssystem technologisch voneinander getrennt werden. Nur so ist garantiert, dass Updates im Leitsystem die funktionale Sicherheit nicht beeinträchtigen.

Der „Faktor Mensch“

Der „Faktor Mensch“ ist die häufigste Ursache von Cyber-Problemen. Dazu zählen gezielte Cyber-Attacken, um Produktionsabläufe zu stören oder Industriegeheimnisse zu stehlen, aber auch Störungen, die durch Unachtsamkeit entstehen.

Für sicherheitsgerichtete Systeme spielen die üblichen Regeln der Cyber Security eine noch wichtigere Rolle, da diese die letzte Verteidigungslinie vor einer möglichen Katastrophe darstellen. Ein Schutz vor menschlichen Eingriffen – egal, ob absichtlich oder unabsichtlich – ist daher besonders wichtig. Ein umfassendes Schutzkonzept beinhaltet z. B. besonderen Zugangsschutz, eine physische Absicherung oder Plausibilitäts-Checks von Änderungen.

Sicherheitssteuerungen können zusätzlich den Betrieb verschiedener, physikalisch getrennter Netzwerke auf nur einem Kommunikationsprozessor oder Prozessormodul ermöglichen. So kann der direkte Zugriff auf ein Automatisierungsnetzwerk von einem angeschlossenen Entwicklungsarbeitsplatz verhindert werden. Außerdem lassen sich einzelne, ungenutzte Schnittstellen deaktivieren, was die Sicherheitssteuerungen auf diejenigen Kommunikationsfunktionen limitiert, die wirklich benötigt werden.

Neben technischen Maßnahmen müssen von den Anwendern auch organisatorische Maßnahmen ergriffen werden, denn keine vorhandene Technologie kann einen Schutz gegen neu entstehende Angriffsmöglichkeiten bieten. Aus diesem Grund besteht ein hoher Bedarf an regelmäßiger Prüfung interner Netzwerke, z. B. durch Penetration-Tests. Darüber hinaus ist es wichtig, dass die Möglichkeiten einer Manipulation ständig im Auge behalten und berücksichtigt werden.

Das weitaus größte aktuelle Problem stellt das Phishing dar, d.h. das gezielte Ausspionieren von Zugangsdaten zu geschützten Systemen. Wenn Mitarbeiterpassworte bekannt werden, wird ein Hacker-Angriff zu einem Kinderspiel. Hier sind umfangreiche Programme zur Security-Schulung und Steigerung des Bewusstseins von Mitarbeitern ein wichtiges Maßnahmenpaket.

Normenkonformität für wirkungsvolle Cyber Security

Für moderne sicherheitsgerichtete Automatisierungslösungen ist die Erfüllung internationaler Safety-Normen wie der IEC 61508 und 61511, aber zunehmend auch der Security-Norm IEC 62443 eine elementare Voraussetzung. Die systematische Trennung von Prozessleit- und Sicherheitssystem ist eine zentrale Forderung sowohl der Cyber-Security-Norm IEC 62443 als auch der Norm IEC 61511 für funktionale Sicherheit in der Prozessindustrie.

Wenn man die Security-Normen wirklich ernst nimmt, sind vollständig integrierte Systeme nicht mehr denkbar. Dies setzt HIMA auf Basis des Konzepts „Independent Open Integration“ um. Die oben genannte Trennung garantiert, dass z. B. Updates im Leitsystem die funktionale Sicherheit intrinsisch nicht beeinträchtigen können. Das heißt, die Sicherheitssteuerungen arbeiten vollkommen unabhängig vom Prozessleitsystem, Daten und Engineering-Informationen lassen sich aber problemlos in alle führenden Prozessleitsysteme integrieren, inklusive der für die Wirtschaftlichkeit wichtigen Betriebs- und Wartungsinformationen. Dabei übernimmt HIMA die PLS-SIS-Integration und realisiert die gewünschten Funktionalitäten. Die Integration erfolgt flexibel über leistungsfähige, herstellerübergreifende Kommunikationsstandards.

Für wirkungsvolle Cyber-Security reicht es nicht aus, ein vorhandenes Produkt im Nachhinein durch zusätzliche Software-Funktionalität zu verbessern. Jede Lösung zur funktionalen Sicherheit muss von Beginn an auch im Sinne der Cyber Security durchdacht und entworfen werden. Alle Sicherheitssteuerungen von HIMA werden mit einer selbstentwickelten Firmware betrieben und auch das Engineering Tool SILWorX verwendet keinerlei Fremdsoftware. Die Firmware umfasst alle notwendigen Funktionen einer Sicherheits-SPS, verzichtet aber darüber hinaus auf weitere Funktionen. Typische Attacken auf IT-Systeme sind daher nicht erfolgreich. Die Betriebssysteme der Steuerungen werden bereits während ihrer Entwicklung auf ihre Widerstandsfähigkeit gegenüber Cyber-Attacken getestet. HIMA verwendet hierzu Penetrations-Tests und zertifiziert sich entsprechend der aktuell geltenden Security-Zertifikate.

Industrie 4.0 und IoT – Safety von Morgen

Anbieter von SIS stehen vor drei zentralen Herausforderungen. Die erste ist die Normung. Die Systeme müssen alle Anforderungen aktueller und zukünftiger Normen erfüllen. Dies gilt für die IEC 61508 und 61511 aber zunehmend auch für die der Security-Norm IEC 62443. Wir sehen, dass Safety- ebenso wie Security-Normen in vieler Hinsicht ganz ähnliche Anforderungen an Sicherheitssysteme stellen.

Der zweite Punkt betrifft den Faktor Geschwindigkeit. Die Arbeit wird beratungsintensiver: Vor dem Hintergrund von Industrie 4.0 und der zunehmenden Individualisierung der Produktion müssen auch Anbieter von Sicherheitstechnologie flexiblere Lösungen anbieten und kürzere Innovationszyklen einhalten.

Die dritte Herausforderung ist die Digitalisierung. Der Markt verlangt im Zuge von Industrie 4.0 und IoT zunehmend intelligente Automatisierungslösungen, die sich einfach vernetzen und in die immer komplexeren Automatisierungsarchitekturen integrieren lassen. Hier sind vor allem Modularität, moderne Schnittstellen und Hantierung von Komplexität und Variantenvielfalt gefragt.