Betreiber von Prozessanlagen müssen neben den Prüfverpflichtungen aus der BetrSichV und der 12. BImSchV für überwachungspflichtige Anlagen auch regelmäßig die IT-Risiken ihrer leittechnischen Sicherheitseinrichtungen beurteilen. Zudem sind die teils konkurrierenden Security- und Safety-Anforderungen in der Umsetzung von PLT-Sicherheitseinrichtungen zu vereinbaren. Was sind hierfür die richtigen Herangehensweisen?

Eine IT-Risikobeurteilung unterscheidet sich deutlich von bisherigen Gefährdungsbeurteilungen, für die, gemäß BetrSichV, die Anlagenbetreiber verantwortlich sind. Risiken werden üblicherweise aus dem Produkt von Schadensausmaß und Eintrittshäufigkeit berechnet und ziehen sich über den gesamten Lebenszyklus der Anlage. Für die Risikobeurteilung bei der IT-Security fehlt meist eine verlässliche Datenbasis. Ferner sind die Bedrohungen hier sehr unterschiedlich. Attacken betreffen die Verfügbarkeit (Security-Availability) und Integrität (Security-Integrity), aber auch die Vertraulichkeit (Security-Confidentiality) von Daten und Informationen.

Zugang ermöglichen und beschränken
Trotz der Meldepflicht lässt sich die tatsächliche Zahl der Angriffe von außen nur schätzen – auch weil viele Hacks unentdeckt bleiben. Die durchschnittliche Detektionszeit beträgt im Umfeld der DAX- Unternehmen sechs Monate. Hinzu kommt: Wenn eine Bedrohung auf eine Schwachstelle trifft, gilt das als „systematischer“ statt „zufälliger Fehler“ (im Sinne der Funktionalen Sicherheit). Denn Angreifer handeln vorsätzlich. Nicht zuletzt werden PLT-Sicherheitseinrichtungen in der Prozessindustrie selten angefordert (Probability of Failure on Demand), was es erschwert, die Häufigkeiten von solchen Angriffen zu erfassen.
Mit der stärker zunehmenden Vernetzung der PLT-Sicherheitseinrichtungen müssen vermehrt widerstreitende Interessenslagen bedacht werden. Aus dem Blick eines IT-Verantwortlichen ist der Zugang zum System möglichst zu beschränken und die dafür angewandten Maßnahmen vertraulich zu behandeln. Safety-Ingenieure hingegen sollten bspw. den Wartungsmitarbeitern den Zugang (ggf. auch von außerhalb der Anlage) so leicht wie möglich machen und alle zugehörigen Informationen offenlegen. Geplante Safety- und Security-Maßnahmen sind daher aufeinander abzustimmen und in einen Change-Management-Prozess zu integrieren.

Herausforderungen bewältigen
PLT-Sicherheitseinrichtungen benötigen für die ordnungsgemäße Umsetzung der Funktionalen Sicherheit ein Management der Funktionalen Sicherheit (FSM) gemäß DIN EN 61511-1. Die Umsetzung des Managementhandbuchs liefert bereits einen ersten wichtigen Baustein für die Übersichtlichkeit der eingesetzten Sicherheitsstruktur sowie um etwaige künftige Gefahren bereits heute zu beurteilen. Das betrifft bspw. den Zugriff durch Dritte, die Architektur der PLT-Sicherheitseinrichtungen oder die eingesetzte Datentechnik, aber auch die Verwaltung von Zertifikaten und Updates. Die Norm umfasst zudem die Anforderungen der erforderlichen IT- Risikobeurteilung. Das FSM ist auch ein wesentlicher Bestandteil im Konzept zur Verhinderung von Störfällen (gemäß § 8), respektive des Sicherheitsberichts (gemäß § 9) nach 12. BimSchV. Bei den regelmäßigen Überprüfungen sind diese Punkte von hoher Relevanz – Tendenz steigend.

Safety- und Security-Maßnahmen sind aufeinander abzustimmen
und in einen Change-Management-Prozess zu integrieren.

Weitere Lösungsansätze und Vorgaben enthält die Empfehlung zur Betriebssicherheit EmpfBS 1115 „Umgang mit Risiken durch Angriffe auf die Cyber-Sicherheit von sicherheitsrelevanten MSR-Einrichtungen“. Die Herangehensweise deckt sich mit der den Betriebsingenieuren bekannten Gefährdungsbeurteilung aus § 3 BetrSichV. Die EmpfBS 1115 stimmt auch mit dem praxisbezogenen NAMUR-Arbeitsblatt NA 163 überein. Das NA 163 „IT-Risikobeurteilung von PLT-Sicherheitseinrichtungen“ bietet mit Hilfe einer Checkliste und Beispielen für Verbesserungen weitere Lösungsschritte. Das konsequente Anwenden der Checkliste ermöglicht die Risikobeurteilung eines Systems ohne umfangreiches IT-Wissen. In den Blick kommen dabei neben Komponenten, Datenverbindungen und Diensten die damit verbundenen Prozesse und Personen. Das Ergebnis ist in einem Bericht zu dokumentieren. Die Wirksamkeit neuer Maßnahmen wird über Penetrationstests belegt. Hier sind IT-Spezialisten gefragt.
Das allgemeine Vorgehen bei IT-Risikobeurteilungen beschreibt u. a. die IEC 62443 (Industrial Security im Produktions- und Automatisierungsbereich) sowie die VDI/VDE 2182 (Industrial Security im Produktions- und Automatisierungsbereich) und die ISO/IEC 27005 (Risikomanagement und IT Risikoanalysebeschreibung). Die wesentlichen Anforderungen thematisiert die Anwendungsregel VDE-AR-E 2802-10-1.

Fazit
Die IT-Risiken von Leittechnik rücken bei zunehmender Bedrohungslage durch Hackerangriffe in den Fokus von Anlagenbetreibern. Sie sind gefordert, kurzfristig die Beurteilung von IT-Risiken durchzuführen. Die zur Verfügung stehenden Regelwerke und Normen ermöglichen einen guten Überblick. Dabei ist nicht nur das „Doing“ gefordert, sondern auch das Zusammenführen der verschiedenen „Fakultäten“ der Safety- und Security-Experten. TÜV SÜD Chemie Service unterstützten Anlagenbetreiber und die verantwortlichen Experten dabei.