IT-Security bei Anlagenautomatisierung: IT-Security in Leitsystemen der Prozessindustrie Ziele von sicherheitsgerichteten Maßnahmen und derzeit etablierte Schutzmechanismen.
Alle namhaften Hersteller von Prozessleitsystemen nutzen heute Ethernet zur Vernetzung von Komponenten des Leitsystems. Hier verbindet Ethernet meist die prozessnahen Komponenten (PNK) untereinander und die PNK mit den Anzeige- und Bedienkomponenten (ABK) für das Bedienpersonal. Lange Zeit wurden Automatisierungssysteme als Inselnetzwerke betrieben. Sicherheitsüberlegungen beschränkten sich auf die Verfügbarkeit (Redundanz). Dieser Beitrag der Hirschmann Automation and Control, Neckartenzlingen, beleuchtet die Ziele sicherheitsgerichteter Maßnahmen und die derzeit etablierten Mechanismen unter dem Blickwinkel der Anlagenautomatisierung.

Automatisierungsnetzwerke sind heute keine Insel-Lösungen mehr. Die Vorteile der vertikalen Integration sind einfach zu bestechend: Die Kopplung zu überlagerten Manufacturing Execution-Systemen (MES) und Enterprise Resource Planning- Systemen (ERP) ermöglichen beispielsweise dem Einkauf aus aktuellen Füllstandsinformationen von Tanks und Silos den optimalen Bestellzeitpunkt für Rohstoffe zu ermitteln. Fernwartung und Ferndiagnose, manchmal auch Fernbedienung sind weitere Gründe für den starken Wunsch nach Öffnung des Leitsystem-Netzwerkes. Hilft das doch in vielen Fällen die Kosten für die Entsendung eines Servicemitarbeiters zu vermeiden.

Netzwerküberwachung Obwohl man das Netzwerk als „Nervensystem“ von Anlagen betrachten kann, wird dessen „Gesundheit“ bis dato wenig Beachtung geschenkt. Dabei können sich Fehler auch hier sehr „schmerzhaft“ bis hin zu Anlagenstillständen bemerkbar machen. Gründe für das Fehlen von Überwachungsund Diagnosefunktionen im Sinne eines Asset Management liegen darin, dass kaum ein Leitsystem entsprechende Protokolle aus der IT-Welt unterstützt. Heute kann man zwar Funktionen für die Überwachung und Diagnose von Netzwerkkomponenten in Leitsysteme via OPC integrieren, die Implementierung ist allerdings aufwändig; die Auswertelogik für die vom Switch bereitgestellten sog. MIB-Variablen (Management Information Base) muss im Leitsystem konfiguriert werden. Aus Kostengründen wird deshalb darauf meist verzichtet. Netzwerk- Managementsoftware der neuen Generation wie z.B. „Industrial HiVision“ von Hirschmann erlaubt die einfache Einbindung in HMI- bzw. SCADA-Software und stellt dem Anwender die notwendigen Informationen bereits grafisch in übersichtlicher Form dar (mit automatischer Anzeige der Topologie).

Schutzziele und -mechanismen
Die Anbindung eines Leitsystems an das Firmennetzwerk erfordert spezielle Security- Maßnahmen. Hier treffen dann auch zwei unterschiedliche Welten zusammen: Die Welt der Automatisierer mit gewöhnlich geringen IT-Kenntnissen und die der IT-Abteilungen aus der Office-Welt, zumeist ohne Kenntnis der speziellen Anforderungen an Automatisierungsnetzwerke. In Tabelle 1 sind die grundlegenden Schutzziele erläutert und die vorhandenen Schutzmechanismen gegenübergestellt. Häufig sind es allerdings gar keine gezielten Attacken von außen, sondern leichtfertiger Umgang und Unwissen bzw. mangelndes Sicherheitsbewusstsein des eigenen Personals. So geschieht die Verbreitung von z.B. Viren und Trojanern meist unwissend und ungewollt. Daher ist ein wirksamer Schutz gegen Angriffe zumeist eine Kombination aus technischen und organisatorischen Maßnahmen. Für letztere hat das Bundesamt für Sicherheit in der Informationstechnik: (www.bsi.bund.de) sehr gute Grundlagenarbeit geleistet; das „Grundschutzhandbuch“ ist frei im Internet verfügbar.

Besondere Anforderungen in der Automatisierung
Ohne die Beachtung der organisatorischen Aspekte verlieren die unten dargestellten technischen Maßnahmen ihre Wirksamkeit. Ein Automatisierungssystem stellt jedoch zusätzliche Anforderungen an die Infrastruktur: 1. Der Zugang zum System muss für autorisiertes Personal jederzeit garantiert sein. Das Ausloggen/-sperren eines Operators wegen Inaktivität oder Passwort-Falscheingabe wie z.B. beim Online-Banking üblich, ist für das Bedienpersonal nicht akzeptabel. Kaum vorstellbar ist, dass ein Bediener, dessen Anlage gerade einen kritischen Zustand erreicht, vor den notwendigen Gegenmaßnahmen zunächst erneut Name und Passwort eingeben muss. 2. Firewall-/Filter dürfen die systeminterne Kommunikation nicht beeinträchtigen. Zu streng gefasste Firewall-Regeln dürfen nicht dazu führen, dass wichtige Datenpakete abgewiesen werden. 3. Echtzeit- bzw. Rechtzeitigkeits- Anforderungen hinsichtlich der Übertragung von Prozess (Soll-)werten. Verzögerungen durch Firewall/Tunneling dürfen nicht dazu führen, dass Signale oder Befehle nicht rechtzeitig beim Endgerät eintreffen. 4. Verfügbarkeit rund um die Uhr. Anders als in Büronetzen, wo selbst ein Netzwerkausfall im Minutenbereich tolerierbar ist, darf im produktionsnahen Bereich das Netzwerk kaum länger als eine halbe Sekunde ausfallen. 5. Einfachheit bei der Inbetriebnahme, Diagnose und Wartung: Ein IT-Experte ist in diesem Bereich nicht durchzusetzen. 6. IT- und Betriebssystem-Updates auf Rechnern des Leitsystems erfordern die Freigabe durch den Hersteller. Wegen möglicher Wechselwirkungen mit anderen Systemkomponenten oder unzulässigen Performance- Einbußen verbieten fast alle Leitsystemlieferanten die Installation fremder Software (auch Virenscanner!) und strafen Verstöße mit dem Verlust der Garantie. 7. Der Lebenszyklus einer Anlage erreicht oft bis zu 25 Jahre und erlebt zahlreiche Updates des Automatisierungssystems. Die IT-Security-Lösung muss kompatibel Schritt halten. Daher sollten Konfigurationsdaten von Security-Komponenten auf einem externen Speicher gesichert sein, der am Schrank oder Kabelkanal verschraubt wird. Beispielhaft sei hier der Autokonfigurations- Adapter von Hirschmann genannt. Er ermöglicht auch nicht speziell qualifiziertem Personal das Gerät zu tauschen und stellt sicher, dass die Konfiguration automatisch auf das Ersatzgerät übertragen wird.

Lösungsmöglichkeiten
Die wichtigsten Schutzmechanismen aus Tabelle 1 sind gerätetechnisch als Firewall, externem Virenscanner und als die VPN-Server (Virtual Private Network) realisiert (siehe Abb. 1).
Firewall
Sie ist vergleichbar mit einem Türsteher vor einer Bar, der nur geladene Gäste eintreten lässt. Entweder deren Name (IP-Adresse) steht auf einer Liste oder einer der Gastgeber in der Bar lädt einen Passanten ein. Anders ausgedrückt heißt dies: Sperre alle für die Applikationen auf dem Endgerät irrelevanten Datenpakete und lasse nur die benötigten durch. Dazu müssen die Kommunikationsbeziehungen zwischen den Applikationen bekannt sein. Dies ist in der Regel nicht der Fall. Kein Hersteller dokumentiert die verwendeten Protokolle und Ports, die seine Applikation zum Datentausch einsetzt. So bietet lediglich eine Analyse über einen längeren Zeitraum die Gewähr für deren vollständige Erfassung. Mit dem Security Data Sheet entwickelt die IAONA (Industrial Automation Open Network Alliance – www.iaona.org) eine Richtlinie zur Offenlegung der verwendeten Protokolle, Ports und Dienste, die dieses Manko abschaffen soll. Die Verwendung einer Firewall in einem Automatisierungssystem kann unter Umständen auch im Rahmen einer Anlagenvalidierung die FDA (Food and Drug Administration) auf den Plan rufen: Lassen sich doch durch Systemkonfiguration Kommunikationsbeziehungen bis zum kompletten Verbindungsabriss beeinflussen. Dies ist auch Thema auf dem nächsten GAMP-Forum (Good Automated Manufacturing Practices – www.ispe. org/gamp/) im September 2005.
Tunneling (Virtual Private Network)
Tunneling ist nichts weiter als die Verschlüsselung der Daten zwischen zwei Teilnehmern bevor sie über ein öffentliches Netz transportiert werden. Anwender treibt hier die Sorge nach herstellerunabhängigen kompatiblen Lösungen. Glücklicherweise sind die Algorithmen der derzeitig als sicher geltenden Verschlüsselungsverfahren DES, 3DES, AES standardisiert und öffentlich verfügbar. So sind sie auch in allen heute verfügbaren Geräten implementiert. Geheim ist lediglich der verwendete Schlüssel.
Virenscanner
Ein der Dechiffrierung eingehender Daten nachgelagerter Virenscanner sorgt für ein weiteres Plus an Sicherheit. Er muss allerdings fortlaufend in kurzen Abständen aktualisiert werden, denn ein veralteter Scanner ist kaum besser als gar keiner. Dies erfordert eine ständige Internetverbindung ggf. über einen Proxy. Abb. 2 zeigt exemplarisch die Security-Lösung für die typischen Anwendungsfälle Kopplung von (Teil-) Anlagen / Unternehmensnetzwerk, Fernwartung und Serviceport.
Einfache Administration
Die Akzeptanz einer IT-Security- Lösung steht und fällt mit dem Aufwand für Implementierung und Administration. Die Security Management-Software von Solsoft (www.solsoft.com) vereinfacht diese Arbeiten herstellerübergreifend. So werden z.B. Tunnelverbindungen zwischen Standorten bzw. Teilanlagen automatisch aufgebaut. Sie berücksichtigt auch Besonderheiten und sorgt z.B. für identische Regeln in beiden Geräten einer redundanten Firewall.
Effizienzbeurteilung der Maßnahmen
Mit jedem frei geschalteten Dienst der Schutzeinrichtung geht allerdings auch ein Missbrauchspotential einher. Und damit sind wir bei der Gretchenfrage: Wie sicher sind denn meine Security-Maßnahmen eigentlich? Hier beraten sich derzeit zahlreiche Gremien wie die ISA, NAMUR, PNO, VDI/VDE-GMA, ZVEI und VDMA, wie man Bedrohungen und Sicherheitsmaßnahmen klassifiziert. Einen Ansatz bietet der IAONA Security Guide (The IAONA Handbook for Network Security; Version 1.0 – www.iaona.org). Dort gibt es eine hilfreiche Liste mit einer Bewertung der Protokolle hinsichtlich ihres Restrisikos. So fällt auf, dass ausgerechnet die in Prozessleitsystemen so beliebte OPC-Kommunikation ein glattes ‚ungenügend‘ erhält: Sie stellt Dienste bereit, mit denen man die vollständige Kontrolle über einen Rechner erlangen kann. Das hat Konsequenzen für die Systemarchitektur eines Leitsystems: So empfiehlt es sich, OPC-Server – wenn möglich – besser auf der ‚schmutzigen‘ Seite der Firewall zu platzieren. Ergebnisse über die Wirksamkeit der implementierten Security- Maßnahmen liefert ein sog. „Penetrationstest“ wie ihn das Hirschmann Competence Center (www.hicomcenter.com) neben der oben genannten Protokoll-Analyse anbietet.