Erschienen am: 11.08.2017, Ausgabe SPS-MAGAZIN 8 2017

Security-Lösungen für die Industrie

Systemintegrität als Kernelement

Unter der Systemintegrität im Kontext der Industrial Security versteht man den Schutz eines Systems gegen unbemerkte, unautorisierte Veränderungen. Sie stellt neben der Anlagensicherheit und der Netzwerksicherheit ein wesentliches Kernelement der Industrial Security im Rahmen der tiefengestaffelten Verteidigung dar. Auch Defense in Depth genannt, sorgt diese als ein übergreifendes Schutzkonzept nach den Empfehlungen der IEC62443 für einen umfassenden Schutz von Industrieanlagen vor Cyberangriffen.


Bild 1: Struktur der IEC 62443 [4-8]
Bild: Siemens AG

Die zugrundeliegende Idee von Defense in Depth ist, auf allen Ebenen gleichzeitig anzusetzen - von der Betriebs- bis zur Feldebene, von der Zutrittskontrolle bis zum Kopierschutz. Zur Sicherstellung und Erhöhung der Systemintegrität im Kontext einer industriellen Anlage tragen verschiedene, aufeinander abgestimmte, zuverlässige und möglichst rückwirkungsfreie Mechanismen und Maßnahmen bei. Beispielsweise sind sowohl Manipulationsschutz, als auch Know-how-Schutz, Zugriffsschutz, Systemhärtung sowie für die proaktive Erkennung von Angriffen und Abweichungen zu berücksichtigen. Im Hinblick auf die Anforderungen von Industrie 4.0, insbesondere auf die Megatrends Digitalisierung, Dezentralisierung, Big Data, Cloud-Computing und das IoT und damit verbundene zunehmende Verteilung und Intelligenz von Komponenten und Systemen wird die Systemintegrität weiterhin immer mehr an Bedeutung gewinnen. Der vorliegende Beitrag beginnt mit einem Überblick über die aktuellen Entwicklungen. Anschließend werden die Inhalte der IEC62443, insbesondere die in dieser Norm eingeführten Security-Levels als Mittel zur Differenzierung der Fähigkeiten eines Systems und der in einer Automatisierungslösung umgesetzten Maßnahmen in ihrer Wirkung kurz erläutert. In Teil 2 dieser Artikelserie (SPS-MAGAZIN 9/2017) wird der Begriff Systemintegrität detailliert erklärt, sowie eine Übersicht der funktionalen, technischen Mechanismen und Maßnahmen zur Gewährleistung der Systemintegrität vorgestellt. Anschließend wird auf die Anforderungen der IEC62443 hinsichtlich des sogenannten Echtheits- bzw. Originalitätsnachweises und der sogenannten Public-Key-Infrastruktur, die im Kontext der Systemintegrität von Bedeutung sind, eingegangen. Teil 3 (SPS-MAGAZIN 10/2017) befasst sich mit Aspekten der proaktiven Erkennung von Angriffen und Abweichungen sowie mit der sogenannten Rückwirkungsfreiheit. Der Beitrag endet mit einem Ausblick auf die künftigen Herausforderungen.

Aktuelle Entwicklungen

Schlagzeilen über Industrial Security finden sich mittlerweile auf den Titelseiten und in den Nachrichten, wobei unter Industrial Security der Schutz durch Maßnahmen der IT-Sicherheit gegen unberechtigte Zugriffe im Umfeld der industriellen Automatisierung verstanden wird. Meldungen über Hacker-Angriffe sind an der Tagesordnung und man kommt nicht umhin, sich der Tatsache zu stellen, dass von Jahr zu Jahr immer mehr Schwachstellen aufgedeckt werden. 1996 gab es erst eine Handvoll Meldungen über bekannt gewordene Sicherheitslücken, und diese Zahl stieg bis in die letzten Jahre nahezu exponentiell auf mehrere Tausend an. Die Dunkelziffer der tatsächlich vorhandenen Schwachstellen liegt wohl noch um ein Vielfaches höher. Offene Kommunikation, eine zunehmende Vernetzung von Produktionssystemen und der Einsatz von Standardsystemen und -protokollen bergen nicht nur enorme Chancen, sondern auch große Risiken im Hinblick auf Sicherheitsaspekte, die durch die Etablierung der Megatrends Digitalisierung, Big Data, Cloud-Computing und des IoT weiter steigen. Um Industrieanlagen umfassend vor Cyber-Angriffen von innen und außen zu schützen, muss auf allen Ebenen gleichzeitig angesetzt werden - von der Betriebs- bis zur Feldebene, von der Zutrittskontrolle bis zum Kopierschutz.

Übergreifendes Schutzkonzept

Zu diesem Zweck wird Defense in Depth als übergreifendes Schutzkonzept nach den Empfehlungen der IEC62443, dem führenden Standard für Security in der industriellen Automatisierung, genutzt. Eine wichtige, in den letzten Jahren unter anderem durch die Arbeit an der obengenannten Norm gewonnene Erkenntnis besteht darin, dass der Schutz der industriellen Anlagen gegen Cyber-Angriffe die Beteiligung aller Mitwirkenden erfordert: der Betreiber, der Integratoren und der Hersteller. Diese drei Basisrollen sind zum besseren Verständnis der IEC62443, die den gesamten Lebenszyklus von Geräten, System und Anlagen adressiert, sehr wichtig. Während der Hersteller für die Entwicklung, den Vertrieb und die Pflege der Einrichtungen, die in der Automatisierungslösung eingesetzt werden, verantwortlich ist, umfasst der Verantwortungsbereich des Integrators Design und Inbetriebsetzung der Automatisierungslösung. Für den Betrieb der Automatisierungslösung und den Abbau am Ende des Lebenszyklus der Anlage ist der Betreiber verantwortlich. Die Norm teilt sich in vier Abschnitte auf, die jeweils mehrere Dokumente beinhalten. Obwohl in ihrer Gesamtheit noch nicht verabschiedet, kann sie jedoch schon heute angewendet werden, weil die Inhalte der folgenden wesentlichen Dokumente ausreichend stabil sind, um für den Schutz der industriellen Anlagen genutzt werden zu können:

  • • IEC62443-2-1, Requirements for an IACS security management system: Spezifiziert die organisatorischen Maßnahmen und Prozesse des Betreibers und ist ein Profil der ISO27001/27002, die im Bürobereich seit Jahren weitgehend angewendet wird. Das Dokument ist noch nicht als Standard verabschiedet; man kann sich in der Zwischenzeit jedoch auf die ISO27001/27002 stützen.
  • • IEC62443-2-4, Requirements for IACS solution suppliers: Spezifiziert die Anforderungen an die Integrations- und Wartungsprozesse. Das Dokument wurde 2015 als Norm veröffentlicht.
  • • IEC62443-3-3, System security requirements and security levels: Spezifiziert die funktionalen Anforderungen an die Automatisierungssysteme. Die Anforderungen richten sich sowohl an den Hersteller als auch an den Integrator, der die funktionalen Eigenschaften der Automatisierungslösung auslegt und konfiguriert. Das Dokument wurde 2013 veröffentlicht.
  • • IEC62443-4-1, Product Development Requirements: Beschreibt die Anforderungen an den Entwicklungsprozess des Herstellers. Basierend auf diesem Dokument können die sicherheitsrelevanten, einen Entwicklungsprozess charakterisierenden Aspekte mittlerweile durch das sog. Tüv-Süd-Zertifikat zertifiziert werden. Der erste Hersteller, der entsprechend nach IEC62443-4-1 zertifiziert wurde, ist Siemens. Damit weist das Unternehmen seine Automatisierungsprodukte als 'secure-by-design' aus und bietet Integratoren und Betreibern transparenten Einblick in die IT-Security-Maßnahmen. An den sieben zertifizierten Siemens-Standorten werden unter anderem Simatic-S7-Industriesteuerungen, Industrie-PCs, HMIs und Sinamics-Antriebe bis zur Engineering-Software TIA Portal entwickelt.

Nach den vorliegenden Entwürfen zur IEC62443 werden sogenannte Security Levels (SL) spezifiziert. Das Konzept ermöglicht sowohl die Fähigkeiten eines Systems als auch die umgesetzten Maßnahmen in einer Automatisierungslösung in ihrer Wirkung zu differenzieren und trägt somit zur Erhöhung der Security-Transparenz bei. Die Skala orientiert sich an den Ressourcen und Fähigkeiten eines potenziellen Hackers und dem Nachdruck, mit dem ein Angriff erwartet wird. Dazu gehören:

  • • SL 1: Schutz gegen ungewollten, zufälligen Missbrauch
  • • SL 2: Schutz gegen gewollten Missbrauch unter Verwendung von einfachen Mitteln, mit niedrigem Aufwand, allgemeinen Fähigkeiten und niedriger Motivation
  • • SL 3: Schutz gegen gewollten Missbrauch unter Verwendung von technisch ausgefeilten Mitteln, mit moderatem Aufwand, automatisierungstechnisch spezifischen Fähigkeiten und moderater Motivation
  • • SL 4: Schutz gegen gewollten Missbrauch unter Verwendung von technisch ausgefeilten Mitteln, mit erheblichem Aufwand, automatisierungstechnisch spezifischen Fähigkeiten und hoher Motivation

Diese Definitionen beziehen sich lediglich auf die technischen Fähigkeiten. Der Schutz einer Anlage im Betrieb ist jedoch nur dann gegeben, wenn angepasste organisatorische Maßnahmen in den Prozessen bei der Integration, im Betrieb und der Wartung umgesetzt werden. Daher sind die obengenannten Definitionen als Fähigkeit zum Schutz zu verstehen.

Die Systemintegrität stellt ein wesentliches Kernelement der Industrial Security im Rahmen von Defense in Depth dar. Dabei versteht man unter der Systemintegrität im Kontext der Industrial Security den Schutz eines (in der Regel aus diversen Einzelkomponenten zusammengesetzten) Systems gegen unbemerkte, unautorisierte Veränderungen. Wie durch eine individuelle (beispielsweise gemäß der Richtlinie VDI/VDE2182 durchgeführte) Schutzbedarfsermittlung anschaulich gezeigt werden kann, hat dieses Schutzziel bereits aus heutiger Sicht für viele Komponenten, Systeme und Anlagen einen hohen Stellenwert. Einer der wesentlichen Gründe dafür besteht darin, dass die Systemintegrität eine notwendige Voraussetzung für die Sicherstellung einer optimalen Verfügbarkeit und der Resilienz von industriellen Anlagen ist. Im Hinblick auf die Anforderungen der Industrie 4.0 gewinnt die Systemintegrität noch mehr an Bedeutung. Aus diesen Gründen wird die Systemintegrität als Schutzziel samt den entsprechenden Anforderungen in dem o.g. internationalen Standard IEC62443 mehrfach adressiert.

Die oben aufgeführte, allgemeine Beschreibung der erreichbaren Security Levels wird im Kontext der Systemintegrität wie folgt angepasst:

  • • SL 1 - Schutz der Integrität des industriellen Automatisierungssystems gegen gelegentliche oder zufällige Manipulation
  • • SL 2 - Schutz der Integrität des industriellen Automatisierungssystems gegen Manipulation durch Personen oder Stellen, die mit einfachen Mitteln, geringen Ressourcen, allgemeinen Fertigkeiten und geringer Motivation vorgehen
  • • SL 3 - Schutz der Integrität des industriellen Automatisierungssystems gegen Manipulation durch Personen oder Stellen, die mit raffinierten Mitteln, mittleren Ressourcen, automatisierungstechnischen Fertigkeiten und mittlerer Motivation vorgehen
  • • SL 4 - Schutz der Integrität des industriellen Automatisierungssystems gegen Manipulation durch Personen oder Stellen, die mit raffinierten Mitteln, erheblichen Ressourcen, automatisierungstechnischen Fertigkeiten und hoher Motivation vorgehen

In der IEC62443-3-3 ist detailliert beschrieben, welche technischen Systemanforderungen (SR) und gegebenenfalls weitergehende Anforderungen (RE) bei einem im Systemkontext erreichbaren Security Level SL-C für die Systemintegrität zutreffen.