Safety und Security First für Industrieanlagen

Kombination: Funktionale Sicherheit und Cyber-Security = Gesamtsicherheit

Gastbeitrag

Produktivität hat oberste Priorität für Unternehmen. Es ist allgemein anerkannt, dass Funktionale Sicherheit Anlagen schützt und damit die Produktivität erhält. Autarke Sicherheitssteuerungen helfen auch das Security-Risiko und damit die Lifecycle-Kosten deutlich zu senken. Richtig aufgebaut bildet die sichere Steuerung dabei die letzte Verteidigungslinie gegen Cyber-Attacken.

Sicherheitsgerichtete Automatisierungslösungen müssen heute neben der Funktionalen Sicherheit (Safety) auch Cyber-Security unterstützen, denn Cyber-Attacken auf Anlagen über Netzwerke nehmen zu. Die Verknüpfung der Office-IT mit der Automations-IT führt zu einer offenen Netzwerkarchitektur und somit vermehrt zu Security-Risiken in der Automation.
F

Malware, Computerviren und Trojaner attackieren in Besorgnis erregendem Ausmaß auch die Netzwerke von Industrieanlagen.    Grafik: HIMA Paul Hildebrandt GmbH
Malware, Computerviren und Trojaner attackieren in Besorgnis erregendem Ausmaß auch die Netzwerke von Industrieanlagen.
Grafik: HIMA Paul Hildebrandt GmbH

Speziell für die Funktionale Sicherheit konzipierte SIL 3-Steuerungen beinhalten Eigenschaften, die auch für den Cyber-Security-Schutz sehr hilfreich sind. Im Folgenden wird aufgezeigt, welche Grundanforderungen aktuelle und künftige Security-Standards an die Integration von Sicherheitssteuerungen stellen und wie autarke Sicherheitssysteme wie HIMax der HIMA Paul Hildebrandt GmbH helfen können, das Security-Risiko in Anlagen zu senken. Gleichzeitig erhöhen die Robustheit und Zuverlässigkeit autarker Sicherheitssysteme die Verfügbarkeit und Produktivität von Anlagen.

Funktionale Sicherheit bildet die Basis für jede Art von Prozessanlage, denn ohne Beherrschung der Funktionalen Sicherheitsrisiken darf eine Anlage nicht betrieben werden. Neben der Sicherheit ist die Produktivität ein entscheidender Faktor für die Unternehmen. Um Produktivität sicherzustellen, muss ein Sicherheitssystem in das Prozessleitsystem von Anlagen integriert sein. Durch die Integration entsteht über Schnittstellen und Netzwerke allerdings ein Risiko, dass Sicherheitsprodukten negativ beeinflusst werden. Ein Angriff auf die Integrität der Sicherheitssteuerung gefährdet auch die Integrität der Funktionalen Sicherheit. An die Security-Eigenschaften einer Sicherheitssteuerung muss daher derselbe hohe Anspruch gestellt werden wie an ihre Funktionalen Sicherheitseigenschaften.

Integrierte Lösung nicht einfach beherrschbar

Auf den ersten Blick können wirtschaftliche Gründe dafür sprechen, ein integriertes Sicherheitssystem einzusetzen, das von demselben Hersteller stammt, der auch das Prozessleitsystem lieferte. Schließlich versprechen ein einheitliches Systemkonzept und ein gemeinsamer Bus sowie ein einziges Engineering-Tool für die Standard- und funktional sichere Automation einige Vorteile. Solche Komfortvorteile haben jedoch Nachteile in den Bereichen Funktionale Sicherheit und Security, denn alles, was ein Anwender oder die Steuerung tun kann, kann auch ein Angreifer tun. Eine größere Angriffsfläche ist die Folge.

Bei einem integrierten Leitsystem und Sicherheitssystem „aus einer Hand“ müssen alle Automatismen und Komfortvorteile kritisch geprüft werden. Je offener und integrierter eine Sicherheitssteuerung ist, umso mehr Aufwand für Organisation und Security ist erforderlich. Security-Angriffspunkte stellen hier Automatismen wie z. B. Diagnoseanzeigen, die automatische Interaktion zwischen Engineering-Tool und Steuerung sowie die Interaktion zwischen der Visualisierung des Leitsystems und dem Sicherheitssystem dar.

Normen fordern getrennte Schutzebenen
F

Die internationale Security-Norm IEC 62443-3-3 fordert eine Abschottung der Produktionsnetzwerke. Grafik: HIMA Paul Hildebrandt GmbH
Die internationale Security-Norm IEC 62443-3-3 fordert eine Abschottung der Produktionsnetzwerke. Grafik: HIMA Paul Hildebrandt GmbH

Um systematische Fehler zu reduzieren fordern die Normen IEC 61511-1 (Safety) und IEC 62443-3-3 (Security) getrennte Schutzebenen und eine Unabhängigkeit der Betriebs- und Schutzeinrichtung. Ein autarkes Prozessleitsystem und Sicherheitssystem von verschiedenen Herstellern bedingen per Design unterschiedliche Engineering-Tools und Datenbasen und eine unterschiedliche Bedienung. Solche Systeme von verschiedenen Herstellern vermeiden aufgrund diversitärer Technik Common-Cause-Risiken und reduzieren das Security-Risiko.

Dabei sorgt die diversitäre Technik auch für eine klare Trennung der Verantwortungsbereiche und unterstützt die unterschiedliche Handhabung von Betriebs- und Schutzeinrichtungen in der Praxis. Denn wo bei Betriebseinrichtung tägliche Optimierung, Aktualisierung und Änderung im Fokus stehen, gilt für die Schutzeinrichtung, dass diese selten und nur von qualifiziertem Personal bedient werden dürfen. Jeder Zugriff auf eine Schutzeinrichtung stellt ein Risiko dar und Veränderungen sind nur über einen Management of Change Prozess erlaubt.

Die internationale Norm IEC 62443-3-3 “Industrial communication networks – Network and system security” fordert eine Abschottung der Produktionsnetzwerke. Dazu werden einzelne Zonen festgelegt (Unternehmensnetzwerk, Leitstelle, Sicherheitssystem, Prozessleitsystem etc.), die über definierte Übergänge (Conduits) verbunden sind. Entsprechend der jeweiligen Daten oder Protokolle, die ausgetauscht werden, wird ein Schutz an jedem Übergang in Form einer Firewall installiert. Für dieses Konzept ist es zwingend erforderlich, dass die ausgetauschten Daten klar definiert sind. Nur wenn dieser Aufbau dem Anwender bekannt ist, können entsprechende Schutzmaßnahmen vorgesehen werden.

Auch die kommende Revision der Norm DIN IEC 61511-1 „Funktionale Sicherheit – Sicherheitstechnische Systeme für die Prozessindustrie“ zielt in diese Richtung. Sie spricht sich dafür aus, die Unabhängigkeit, Diversität, physikalische Trennung und Common-Cause-Fehler zwischen Schutzebenen zu prüfen, zu bewerten und sicherzustellen. Diese beinhaltet des Weiteren den eindeutigen Hinweis, dass ein Sicherheitssystem, soweit praktikabel, physikalisch getrennt sein sollte. Aktuelle Diskussionen in Standardisierungsgremien wie NAMUR, DKE, etc. haben ebenfalls zum Thema, dass es für die Beherrschung von Security-Risiken einer eigenen sicheren Trennung und eines entsprechend definierten Übergangs bedarf. Hierfür müssen im Zweifelsfall auch automatische Komfortfunktionen deaktiviert werden, um die Komplexität und damit die Security Risiken zu reduzieren.

Technische Maßnahmen reduzieren Security-Risiken

Ein Sicherheitssystem muss vielfältige Security-Eigenschaften besitzen, um es gegen Safety-Security-Risiken härten bzw. um das Risiko in den Anlagen reduzieren zu können. Die technischen Maßnahmen betreffen verschiedene Bereiche:

  • PC-Umgebung
  • Engineering-Tool
  • Kommunikation
  • Sichere Steuerung
  • Safety-Applikation
    F

PC-Umgebung: Common-Cause-Fehler vermeiden
Das BIOS-Passwort bildet die äußerste Sicherheitsschicht, um den PC für das Engineering Tool des Sicherheitssystems gegen unerlaubte Zugriffe zu schützen. Gemäß dem Grundprinzip nur zu unterstützen was benötigt wird, sollten in der Betriebssystemumgebung Anwender- und Gruppenrichtlinien mit reduzierten Zugriffsrechten eingerichtet werden.

Der Einsatz einer Firewall und einer Antivirensoftware oder besser noch eines Host Intrusion Prevention Systems (HIPS) verbessert weiter den Security-Schutz. Hierbei ist ein HIPS, auch Application Whitelisting genannt, zwar aufwendiger zu konfigurieren, bietet aber vor allem gegen bisher unbekannte Schadsoftware einen besseren Security-Schutz als Antivirensoftware, da nur die vom Anwender freigegebenen Programme ausgeführt werden dürfen.

Um die verschiedenen Security Maßnahmen richtig zu konfigurieren, ist es notwendig, dass die erforderlichen Ports und Benutzerrechte für das Engineering-Tool bekannt sind. Zusätzlich dazu ist es erforderlich, dass die Engineering Software zur Security-Software anderer Hersteller kompatibel ist. Damit kann der Anwender flexibel die für Ihn am besten passenden oder vorgeschriebenen Security Produkte einsetzen. Auch für diese Schutzebenen gilt das Prinzip der Diversität, d. h. der Einsatz von Produkten unterschiedlicher Hersteller vermeidet gleichartige Fehler.

Engineering-Tool: Umfassende Schutzmaßnahmen
SILworX, das Engineering-Tool für HIMax, läuft auf einem Standard-PC mit Windows. Die Software ist kompatibel zu allen gängigen Antivirus-Schutzprogrammen und kann daher mit der Antivirus-Software eingesetzt werden, die für das jeweilige Unternehmen standardisiert und freigegeben ist. SILworX schützt sich vor fehlerhaften Installationsdaten und Manipulationen über eine CRC (Cyclic Redundancy Check)-Prüfung, die jedes Mal erfolgt, wenn die Software gestartet wird oder eine Code-Generierung stattfindet. Zusätzlich stehen dem Anwender MD5 Prüfsummen für die Installationsdaten zur Verfügung, um die Korrektheit der Installation zu prüfen.

SILworX besitzt noch weitere Merkmale, die Security fördern: Eine Datenbankdatei in einem HIMA-spezifischen Format beinhaltet die Daten für das mit SILworX generierte Projekt sowie die verschlüsselten Kenn- und Passwörter. Die funktionsrelevanten Projektteile sind zusätzlich über eigene CRC geschützt, so dass auch eine Veränderung der Projektdaten mit dem vorhandenen sicheren Code-Vergleicher erkannt und nachvollzogen werden kann.

Es ist möglich bei jedem Laden der Steuerung automatisch ein Projektarchiv anzulegen. Über diese lückenlose Versionshistorie können alle Änderungen nachvollzogen werden. Diese Backup Funktion erlaubt auch das Identifizieren und Wiederherstellen des zuletzt gültigen Projektes im Rahmen einer „Recovery Procedure“.

Ein zweistufiges Benutzermanagement für die Projekt- und Steuerungszugriffe sorgt für zusätzlichen Schutz. Die erste Stufe beinhaltet das Zugriffsrecht auf die Projektdaten. Hier können die personalisierten Benutzer mit individuellem Benutzerpasswort angelegt und Benutzergruppen zugeordnet werden.

In der zweiten Stufe werden die Zugriffsrechte pro Steuerung festgelegt. Aus den angelegten Benutzergruppen kann ausgewählt werden, welche Gruppe auf die jeweilige Steuerung zugreifen darf. Hierfür wird jeweils ein spezielles Passwort definiert. Dieses Passwort kann beliebig komplex sein, da es dem Benutzer nicht bekannt sein muss.

Vorteile dieses Verfahrens sind, dass der Benutzer nur sein eigenes Passwort kennt und bei einer Änderung der individuellen Benutzer oder deren Passwörter die Steuerung selbst nicht verändert wird. Damit erhöht sich der Security Schutz und bei Mitarbeiterwechsel oder Passwortaktualisierungen ist es nicht notwendig, Änderungen in der Sicherheitssteuerung vorzunehmen.
Zugriffe werden im Projektlog und in der Steuerungsdiagnose aufgezeichnet, was eine einfache Nachvollziehbarkeit ermöglicht.

Kommunikation: Getrennte Schutzebenen
F

Beim Engineering-Tool SILworX schützt ein zweistufiges Benutzermanagement mit konfigurierbaren Zugriffsrechten sowohl das Projekt als auch das Sicherheitssystem.  Grafik: HIMA Paul Hildebrandt GmbH
Beim Engineering-Tool SILworX schützt ein zweistufiges Benutzermanagement mit konfigurierbaren Zugriffsrechten sowohl das Projekt als auch das Sicherheitssystem.
Grafik: HIMA Paul Hildebrandt GmbH

Das Konzept der Trennung ist auch in den HIMA-Steuerungssystemen durchgängig integriert. Für eine hohe Cyber-Security können für die Kommunikation verschiedene Schutzebenen mit einer virtuellen oder physikalischen Trennung aufgebaut werden. Die CPU Module der HIMax führt die Sicherheitsanwendung aus und kann Kommunikationsaufgaben übernehmen. Beide Bereiche sind auf der CPU durch einen SIL3-zertifizierten Schutz des Speichers und des Timings zwischen dem Kommunikations- und Safety-Bereich getrennt.

Wird eine nicht sichere Datenübertragung direkt an der CPU angeschlossen, sorgt eine integrierte Firewall für eine virtuelle Trennung, indem nur die vom Anwender konfigurierten Protokolle und Daten unterstützt werden. Ungültige bzw. nicht bekannte Protokollanfragen oder das Lesen/Schreiben von nicht konfigurierten Adressbereichen werden von der Steuerung einfach ignoriert.

Für eine weitere Risikoreduzierung kann ein physikalisch getrenntes Kommunikationsmodul eingesetzt werden. Das Modul hat dieselben Security-Firewall-Eigenschaften wie das Prozessormodul und ist lediglich über den internen Systembus mit der CPU verbunden. Da das Kommunikationsmodul nicht die CPU beeinflussen kann, ist die sichere Funktion physikalisch von der nicht sicheren Kommunikation getrennt.

Die genannten Merkmale haben ein stabiles, robustes Systemverhalten zur Folge. HIMA bezieht von Beginn an Maßnahmen zur Cyber-Security in seine Produktentwicklung mit ein. Dazu zählt das Achilles-Testverfahren von Wurldtech, bei dem ständig aktualisierte Tests im Entwicklungsprozess aller neuen Produkte durchgeführt werden.

Der Achilles Test ist international für die Überprüfung industrieller Cyber-Security anerkannt und beinhaltet eine Simulation von Cyber-Angriffen. Das Prozessormodul und das Kommunikationsmodul von HIMax haben bei diesen Tests ihre Widerstandsfähigkeit gegen Cyber-Angriffe bewiesen und das Achilles-Level 1-Zertifikat erhalten.

Sichere Steuerung: Viele Schutzmöglichkeiten
F

Die Sicherheitssteuerung HIMax ist in den Grundeinstellungen bereits ein System, das Anforderungen an die Cyber-Security erfüllt. Foto: HIMA Paul Hildebrandt GmbH
Die Sicherheitssteuerung HIMax ist in den Grundeinstellungen bereits ein System, das Anforderungen an die Cyber-Security erfüllt.
Foto: HIMA Paul Hildebrandt GmbH

Die sicherheitsgerichtete Steuerung HIMax selbst bietet etliche Möglichkeiten für eine sichere Kommunikation. Nicht genutzte physikalische Ports können deaktiviert und somit ein unbefugter Zugriff verhindert werden. Des Weiteren ist ein abgestuftes Blockieren von Steuerungszugriffen möglich. Über Systemvariablen können Online-Änderungen und das Forcen von Werten blockiert werden. Der Read-only-Betrieb bietet zusätzlichen Schutz vor Manipulationen.

Über einen Schlüsselschalter am Installationsort des Systems können die Systemvariablen über einen digitalen Eingang beschrieben und freigegeben oder gesperrt werden. Wird dieser Schlüssel „abgezogen“, erlaubt die Steuerung im RUN-Modus nur das Lesen, egal, welche Zugriffe über das Netzwerk erfolgen.

Safety-Applikation: Anzeige von Programmänderungen
Last but not least bietet die Safety-Applikation selbst Maßnahmen für eine erhöhte Security. So kann beispielsweise der CRC-Schutz genutzt werden, um Programmänderungen im System anzuzeigen und Alarme auszulösen.

Fazit
Es gibt keine Safety ohne Security. Besteht über Schnittstellen oder die Integration ein Risiko, dass die Integrität der Funktionalen Sicherheit gefährdet, verdient Security dieselbe hohe Aufmerksamkeit wie das Thema Safety. Richtig aufgebaut – d. h. so autark und separat wie möglich, um zufällige und systematische Fehler zu vermeiden –, bildet die sichere Steuerung die letzte Verteidigungslinie. Die Security-Norm IEC 62443-3-3 und die kommende Revision der Safety-Norm IEC 61511-1 unterstützen diesen Ansatz, indem sie getrennte Schutzebenen fordern. Autarke Sicherheitssysteme reduzierten über den Einsatz diversitärer Technik das Security-Risiko „by design“.
D
Autoren

Referent Thomas Janzer, Product Manager Software, HIMA Paul Hildebrandt GmbH Foto: HIMA Paul Hildebrandt GmbH
Referent Thomas Janzer, Product Manager Software, HIMA Paul Hildebrandt GmbH
Foto: HIMA Paul Hildebrandt GmbH
Referent Stefan Ditting, Product Manager Communication, HIMA Paul Hildebrandt GmbH Foto: HIMA Paul Hildebrandt GmbH
Referent Stefan Ditting, Product Manager Communication, HIMA Paul Hildebrandt GmbH
Foto: HIMA Paul Hildebrandt GmbH

 

Über HIMA
HIMA ist der weltweit führende Spezialist für sicherheitsgerichtete Automatisierungslösungen. HIMA-Lösungen bieten maximale Sicherheit, maximale Verfügbarkeit und sie lassen sich in jedes Automatisierungsumfeld integrieren. Über 35.000 HIMA-Systeme wurden innerhalb der letzten 45 Jahre in über 80 Ländern installiert und schützen die Anlagen der weltweit größten Unternehmen der Öl- und Gas-, der chemischen, pharmazeutischen und der energieerzeugenden Industrie. In den Bereichen Bahnindustrie, Logistik und Maschinensicherheit zeigen HIMA-Lösungen neue Wege zu mehr Sicherheit und Profitabilität auf. Mit dem Konzept der HIMA LIFECYCLE SERVICES gewinnen HIMA-Kunden den Überblick über alle Anforderungen der „Funktionalen Sicherheit“ und treffen stets zum richtigen Zeitpunkt die richtige Entscheidung.
F
F
F
F

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht.

zwanzig + 14 =