Anlagenbau & Prozesstechnik

Prozessleittechnik IT-sicher machen

Konkurrierende Safety- und Security-Anforderungen in Einklang bringen

07.10.2019 -

PLT-Sicherheitssysteme müssen nicht nur die Anforderungen der funktionalen Sicherheit (Safety) gewährleisten, sondern auch unter dem Aspekt der IT-Sicherheit (Security) bewertet werden.

Betreiber von Prozessanlagen müssen neben den Prüfverpflichtungen aus der Betriebssicherheitsverordnung (BetrSichV) und der 12. Bundes-Immissionsschutzverordnung (BImSchV) für überwachungspflichtige Anlagen auch regelmäßig die IT-Risiken ihrer Prozessleittechnik- (PLT-) Sicherheitseinrichtungen bewerten. Eine IT-Risikobeurteilung verläuft aber prinzipiell anders als eine Gefährdungsbeurteilung gemäß BetrSichV. Die Risiken werden üblicherweise aus dem Produkt von Schadensausmaß und Eintrittshäufigkeit berechnet und erstrecken sich über den gesamten Lebenszyklus der Anlage. In der IT-Security fehlt hingegen oft eine verlässliche Datenbasis für das Schadensausmaß – auch weil viele Angriffe zunächst unentdeckt bleiben. Sechs Monate beträgt die durchschnittliche Detektionszeit eines Hacks im Umfeld der DAX-Unternehmen. Die Bedrohungen können sehr unterschiedlich sein. Attacken im IT-Bereich betreffen nicht nur die Verfügbarkeit (Security-Availability) und die Integrität (Security-Integrity), sondern auch die Vertraulichkeit (Security-Confidentiality) von Daten und Informationen.

Konkurrierende Interessen in Einklang bringen
Bei der Umsetzung von Safety- und Security-­Maßnahmen entstehen zum Teil widerstreitende Interessenslagen. Safety-Ingenieure planen Schutzeinrichtungen im Expertenteam. Dabei steht im Vordergrund, die getroffenen Maßnahmen mit den Anlagenverantwortlichen abzustimmen und dem Personal verständlich zu machen. Die Offenlegung von Informationen ist nötig, um bspw. Wartungsmitarbeitern den Zugang zur Prozessanlage – auch von außerhalb – so leicht wie möglich zu machen. Aus Sicht eines IT-Verantwortlichen ist jedoch der Zugang zu den Systemen möglichst zu beschränken. Die damit verbundenen Maßnahmen werden vertraulich behandelt und im Hintergrund implementiert. Geplante Safety- und Security-Maßnahmen können sich möglicherweise aufgrund der verschiedenen Schutzzielbetrachtung widersprechen. Sie sollten deshalb aufeinander abgestimmt und in einen gemeinsamen Change-Management-Prozess integriert werden.

Welche Normen und Richtlinien helfen weiter?
Das Vorgehen bei IT-Risikobeurteilungen beschreiben unter anderem die Normenreihe IEC 62443 (Industrielle Kommunikationsnetze – IT-Sicherheit für Netze und Systeme), die Richtlinie VDI/VDE 2182 (Informationssicherheit in der industriellen Automatisierung) sowie die Norm ISO/IEC 27005 (Informationstechnik – IT-Sicherheitsverfahren – Informationssicherheits-Risikomanagement). Wesentliche Anforderungen thematisiert die Anwendungsregel VDE-AR-E 2802-10-1 (Funktionale Sicherheit und Informationssicherheit am Beispiel der Industrieautomation). Die Empfehlung zur Betriebssicherheit EmpfBS 1115 (Risiken durch Angriffe auf die Cyber-Sicherheit von sicherheitsrelevanten MSR-Einrichtungen) deckt sich in ihrem Ansatz mit der Gefährdungsbeurteilung aus § 3 BetrSichV und stimmt mit dem praxisbezogenen Namur-Arbeitsblatt NA 163 (IT-­Risikobeurteilung von PLT-Sicherheitseinrichtungen) überein. Letzteres identifiziert vorhandene Schwachstellen und empfiehlt konkrete Verbesserungsmaßnahmen anhand einer Checkliste. Der Fokus liegt auf Komponenten, Datenverbindungen und Diensten der damit verbundenen Prozesse und Personen. Die Ergebnisse einer IT-Risikobeurteilung dokumentiert ein Bericht – die Wirksamkeit belegen kontinuierliche Pene­trationstests. Alle Maßnahmen sind mit den Safety-Experten für die Anlage abzustimmen.

Umsetzung der funktionalen Sicherheit
Die IT-Security von PLT-Sicherheitseinrichtungen sollte in ein Management der funktionalen Sicherheit (FSM) gemäß DIN EN 61511-1 (Funktionale Sicherheit – PLT-Sicherheitseinrichtungen für die Prozessindustrie) eingebettet sein. Das sorgt für eine ordnungsgemäße Umsetzung der funktionalen Sicherheit, eine übersichtliche Sicherheitsstruktur und unterstützt Unternehmen dabei, künftigen Gefahren effektiv zu begegnen. Betreffen kann dies bspw. den Zugriff durch Dritte, die Architektur der PLT-­Sicherheitseinrichtungen, die eingesetzte Datentechnik sowie das Verwalten von Zertifikaten und Updates. Das FSM ist auch ein wesentlicher Bestandteil im Konzept zur Verhinderung von Störfällen gemäß § 8 und dem Sicherheitsbericht gemäß § 9 12. BImSchV.

Fallbeispiel: Industrielle Steuerung
Auch wenn PLT-Sicherheitssysteme nicht über das Internet angesprochen werden, sind sie dennoch angreifbar, da bspw. Verbindungen mit der Automation oder – zumindest temporär – mit Wartungsinterfaces der Anlage bestehen. Dass Automatisierungssysteme angegriffen werden können, hat das Schadprogramm Stuxnet im Jahr 2010 gezeigt, als es SCADA-­gesteuerte Frequenzumrichter manipuliert und auf diese Weise Anlagenteile zerstört hat. Das Security-Niveau von PLT-Systemen ähnelt dem von konventioneller Automatisierungstechnik und ist entsprechend zu sichern. Eine mögliche Vorgehensweise für die Praxis zeigt das folgende Beispiel der IT-Risikobeurteilung einer industriellen Steuerung.
Den Auftakt bildet im Idealfall ein Workshop, in dem Anlagenbetreiber und IT-Experten die gemeinsamen Ziele der Risikobeurteilung festlegen. Für alle Beteiligten muss deutlich werden, um welche industrielle Steuerung es geht und welche Prozesse im Detail gemeint sind. Voraussetzung dafür ist, dass alle Komponenten erfasst und dokumentiert sind. Dieser Prozess kann erheblich verkürzt werden, wenn der Anlagenbetreiber bereits im Vorfeld alle relevanten Informationen sammelt. Die angelegte und unter Umständen im Workshop ergänzte Inventarliste der Assets bildet die Basis für jede Art der Risikobetrachtung. Die Liste muss abschließend und ausschließlich sein. Das heißt, dass alle Assets und Schnittstellen erfasst sind und sich keine nicht-dokumentierten Komponenten in der Organisation befinden. Danach sollten gesondert die Netzzugänge und -grenzen (Interfaces und Schnittstellen) erfasst werden. Sind all diese Informationen vorhanden, folgt der nächste Schritt: Um festzustellen, ob die Infrastruktur vor aktuellen Angriffen von außen geschützt ist oder ob trotz Schutzmaßnahmen Attacken erfolgreich platziert werden können, wird die Infrastruktur mit simulierten Angriffen von außen penetriert.

CAT-Simulation
Ein geeignetes Werkzeug für diese anspruchsvollen Aufgaben ist die Continuous Attack and Threat- (CAT-) Simulation von TÜV Hessen. Der Managed Service wurde speziell für den Einsatz in Produktionsnetzwerken zur kontinuierlichen Überwachung der IT-Infrastruktur entwickelt. Er nutzt verschiedene Angriffsmethoden, wie E-Mail-Bedrohungen, Netzwerkanalysen oder Web Application Firewalls. Grundlage für die Simulation ist die Lion-Plattform (Learning I/O-Network). Das lernende Netzwerk integriert regelmäßig neue Angriffsvektoren in die Simulation. So wird die Sicherheit der bestehenden Infrastruktur rund um die Uhr in immer neuen Kombinationen getestet. Die tatsächliche Sicherheit der Systeme wird in Echtzeit abgebildet. Die aktuelle Gefährdungslage steht jederzeit in einem übersichtlichen Dashboard zur Verfügung.
Die Ergebnisse der Simulation bilden die Basis für eine erste Gefährdungs- und Risikoübersicht. Im nächsten Schritt werden die Anforderungen definiert, die an eine sichere Umgebung in der Organisation zu stellen sind. Hier sind die jeweilig bekannten Normen, Regeln und Policies heranzuziehen, bspw. die Anforderungen der Kommission für Anlagensicherheit (KAS-44) für Betriebe, die unter die 12. BImSchV fallen, die sogenannte Störfall-Verordnung. Der Unterschied zwischen dem Jetzt-Zustand und der zu erreichenden Sicherheit ist das Ergebnis der sogenannten Gap-Analyse. Am Ende werden Handlungsempfehlungen und Umsetzungshinweise mit Priorisierungen und Workarounds bereitgestellt und diskutiert. Maßnahmen zur IT-Risikominimierung können umgesetzt und sofort in Echtzeit bewertet werden.

Fazit
TÜV Süd Chemie Service und TÜV Hessen unterstützen Anlagenbetreiber dabei, sowohl die wiederkehrenden Prüfungen an Sicherheitseinrichtungen gemäß BetrSichV durchzuführen als auch die Cyber-Security-Schutzanforderungen durch IT-Spezialisten zu prüfen. Das Zusammenwirken der verschiedenen Fachdisziplinen ermöglicht, konkurrierende Safety- und Security-Anforderungen in Einklang zu bringen und richtig umzusetzen.

Diesen Beitrag können Sie auch in der ­Wiley Online Library als pdf lesen und ­abspeichern: https://doi.org/10.1002/citp.201901025

Kontakt

TÜV SÜD Chemie Service GmbH

Industriepark Höchst, Gebäude B598
65926 Frankfurt am Main

+49 214 30 62653