Sicherheitsgerichtete Automatisierungslösungen müssen heute neben der Safety (funktionale Sicherheit) auch Security (Cyber Security) gewährleisten. Zur Unterscheidung: Funktionale Sicherheit hat den Schutz von Mensch, Maschine und Umwelt zur Aufgabe, d. h., die Umgebung soll vor der Anlage geschützt werden. Cyber Security hat die Schutzziele Verfügbarkeit, Integrität und Vertraulichkeit von Daten. Mit anderen Worten: Bei Cyber Security soll die Anlage vor der Umgebung geschützt werden. Erst die Kombination aus funktionaler Sicherheit und Informationssicherheit gewährt die Gesamtsicherheit der Anlage. Die an einem Projekt beteiligten Unternehmen verfolgen unterschiedliche Security-Schutzziele. Der Hersteller möchte den Schutz seines Betriebssystems gewährleisten, dem Integrator ist der Schutz seines Engineering-Know-hows wichtig und der Anwender ist für den Schutz des Anlagenbetriebes verantwortlich. Um die Jahrtausendwende hat die Automatisierungswelt durch den Einsatz der Ethernet-Technologie einen bedeutenden Schub erhalten. Zahlreiche Vorteile von Ethernet wie hohe Geschwindigkeit beim Datentransfer, rasche Weiterentwicklung und die Möglichkeit der Verwendung unterschiedlicher Infrastrukturen spielen hierbei eine Rolle. Die Verknüpfung der Office-IT mit der Automations-IT führt zu einer offenen Netzwerkarchitektur und somit vermehrt zu Security-Risiken in der Automation. Dies steigert die Verwundbarkeit eines Unternehmens. Die Auswirkungen können schmerzhaft sein, mitunter sogar existenzbedrohend. Je größer und umfangreicher die Netzwerke sind, desto wichtiger wird Security. Probleme der Risikobewertung Derzeit zeichnet sich noch kein anwendbarer Security-Standard für die industrielle Automation ab. Viele Gremien bemühen sich um einen Standard bzw. ein Regelwerk, andere um Zertifikate einer neutralen Prüfstelle und Firmen pflegen gleichzeitig ihre eigene Security Policy. Das führt zu einem kaum überschaubaren Dschungel an Vorschriften für Hersteller, Integratoren und Anwender. Bei Safety und Security handelt es sich größtenteils um Wahrscheinlichkeits- bzw. Risikobetrachtungen. Bei funktionaler Sicherheit lassen sich die Wahrscheinlichkeiten für Fehler sehr gut statistisch ermitteln. Dieser Bereich ist umfassend in einer Grundnorm (IEC 61508) erfasst. Im Fall der Cyber Security spielt jedoch der völlig unberechenbare Faktor Mensch eine entscheidende Rolle. Daher ist hier eine ständige Weiterentwicklung erkennbar, was die Definition eines Standards sehr schwierig macht. Sowohl bei Safety als auch bei Cyber Security sollte unbedingt das Verhältnis zwischen potenziellem Schadensausmaß und den Kosten für die Sicherungsmaßnahme berücksichtigt werden. Um eine passende Lösung für eine Anlage zu finden, sind also die individuellen Bedingungen zu betrachten und auf das Projekt anzupassen. Dokumentation über Lebenszyklus Eine detaillierte und verständliche Dokumentation eines Produkts bzw. Anlagensystems ist in jeder Lebenszyklusphase notwendig. Hersteller, Integratoren und Anwender müssen dabei gewährleisten, dass Security-Faktoren nicht außer Acht gelassen werden. Die Richtlinie VDI/VDE 2182 beschreibt ein allgemeines Vorgehensmodel zur Informationssicherheit in der industriellen Automatisierung. Danach sollten die sicherheitsrelevanten Informationen in jedem Schritt der Projektierung dokumentiert werden. Denn nur wenn die Eigenschaften eines Produkts bzw. Systems genauestens bekannt sind, kann dieses durch entsprechende Maßnahmen sicher eingesetzt werden. Der Hersteller ist dafür verantwortlich, das Sicherheitskonzept wie z.B. die Passwortvergabe, Ports und Protokolle zu dokumentieren. Der Integrator ist für die Dokumentation der Netzwerkstruktur und der Backups verantwortlich. Der Anwender sollte den Zugriffschutz und Updates dokumentieren. Drei Ansätze für Cyber Security Derzeit werden drei Ansätze zum Erreichen der Cyber Security verfolgt: 1. Separate Netzwerke: In separaten, in sich geschlossenen Netzwerken ist die Gefährdung minimal. Diese sind für Cracker aufgrund der physikalischen Trennung nicht zugänglich. 2. Verwendung technischer Geräte zur Trennung: Wenn für den Zugriff aus der Office-IT ein Zugang zu separaten Automatisierungsnetzwerken gewünscht ist, werden diese Zugänge z.B. durch Firewalls geregelt. 3. Robustes Design der Sicherheitssteuerungen: Ist aufgrund einer hohen Gefährdung ein stärkerer Schutz notwendig, wird das Konzept des mehrstufigen Schutzes verfolgt. Die letzte Ebene des Schutzes ist dann die Sicherheitssteuerung, die bestimmte Security-Fak- toren erfüllen muss. Organisatorische Maßnahmen Neben technischen Maßnahmen sind organisatorische Maßnahmen auf Anwenderseite für die Cyber Security von entscheidender Wichtigkeit. Keine verfügbare Technologie ist in der Lage, neue Möglichkeiten von Angriffen zu entwickeln. Für den Test der eigenen Netze sind daher Experten gefragt, die regelmäßig manuell ausgeführte Penetrations- und Fuzzing-Tests durchführen. Auch sollten die Möglichkeiten einer Manipulation stets bewusst sein und hinterfragt werden. Wenn es z.B. für einen Bediener möglich ist, die Anlage über ein industrielles Protokoll abzuschalten, stellt dies für einen Cracker eventuell auch kein Problem dar. Des Weiteren muss an die Vernunft aller verantwortlichen Personen appelliert werden. Wenn ein Mitarbeiter z.B. ein Passwort weitergibt, haben Cracker leichtes Spiel. Außerdem sollte das DCS-System nicht genutzt werden, um im Internet zu surfen. Nützlich im Hinblick auf organisatorische Maßnahmen sind Erfahrungen aus der IT-Welt. Eine gute Orientierung gibt die internationale Norm ISO/IEC 27002 und der BSI IT-Grundschutz, die diverse Maßnahmen für die Informationssicherheit beinhalten, wie z.B.: – Netzpläne erstellen, – Recovery-Strategie erarbeiten, – strenge Verteilung von Passwörtern einhalten, – Schulung der Mitarbeiter, – regelmäßiges Review etc. Security-Maßnahmen für Sicherheitssysteme Hima Paul Hildebrandt GmbH + Co KG hat eine mehr als 40-jährige Erfahrung im Bereich Safety und befasst sich bereits seit vielen Jahren mit dem Thema \’Security in der Automatisierung\‘. Hima hat zahlreiche Erfahrungen u.a. mit Security-Testverfahren gesammelt und war außerdem bei IAONA und SecIE aktiv, die den Startschuss für Security in der Automation gaben. Bei der Entwicklung der Hima-Sicherheitssysteme ist ein hoher Qualitätsstandard Pflicht. Ausführliche Tests und das Vier-Augen-Prinzip sind selbstverständlich. Indem ausschließlich das entwickelt wird, was spezifiziert wurde, wird verhindert, dass nicht geplante Eigenschaften in die Steuerungen einfließen. Hima hat ein Whitepaper erstellt, das alle wichtigen Faktoren zum Thema Security für die Produkte des Unternehmens beschreibt. Dieses wird kontinuierlich weiterentwickelt und auch stets um neue Markterkenntnisse und Kundenaussagen ergänzt. Das Whitepaper dient den Kunden als Entscheidungshilfe, welches Hima-Produkt die Anforderungen für die Applikation im Sinne der Security am besten erfüllt und zeigt auf, wie die erforderlichen Schutzziele erreicht werden können. Security-Zertifikat für Hima-PES Während des Entwicklungsprozesses wird bei allen Betriebssystemen der Sicherheitssteuerungen HIMatrix, HIQuad und HIMax geprüft, wie sie auf Cyber-Attacken reagieren. So wurde in den Entwicklungsprozess des Sicherheitssystems HIMax das Testgerät Achilles des kanadischen Unternehmens Wurldtech eingebunden. Das Prozessormodul X-CPU 01 und das Kommunikationsmodul X-COM 01 haben in zahlreichen Testverfahren ihre Widerstandskraft und Robustheit gegen massive Cyber Attacken bewiesen. Wurldtech stellte Hima schließlich im Juni 2009 das Security-Zertifikat gemäß Achilles Level I, das sich vor allem in der Öl- und Gasindustrie etabliert hat, aus. Im Folgenden wird aufgezeigt, wie Hima Security auf der Hardwareebene, der Betriebssystem- und Netzwerkebene sowie auf der Engineeringebene gewährleistet. Hardwareebene Bei den Hima-Sicherheitssystemen sind Prozessorsystem und Kommunikationsprozessor voneinander getrennt. Dadurch ist der sichere Betrieb immer gewährleistet, selbst wenn der Kommunikationsprozessor attackiert würde. Mit Hima-Systemen ist es möglich, auf einem Kommunikationsmodul oder einer CPU unterschiedliche, voneinander getrennte Netzwerke zu betreiben. So kann der direkte Zugriff auf ein Automatisierungsnetzwerk von einer angeschlossenen Engineering-Workstation unterbunden werden. Des Weiteren können einzelne nicht verwendete Ports auf einem Kommunikationsmodul oder einer CPU deaktiviert werden. Betriebssystem- und Netzwerkebene Die Hima-Sicherheitssteuerungen beschränken sich auf die tatsächlich erforderlichen Kommunikationsdienste. Für die Security ist dies ein wichtiger Faktor, da unwichtige Features ein Gefahrpotenzial darstellen können. Übliche Attacken auf IT-Geräte wie XSS (Cross Site Script) greifen hier deshalb nicht. Da die Hima-Sicherheitssysteme auf offenen Kommunikationsstandards basieren, lassen sich übliche sicherheitstechnische Geräte wie Firewalls leicht in das Netzwerk integrieren. Das aus der IT-Welt bekannte Port Mirroring ist bei der CPU und dem Kommunikationsmodul der Hima-Sicherheitssteuerungen möglich. Damit können Netzwerke überwacht, analysiert und Fehler sowie Manipulationen aufgedeckt werden.Zum Schutz vor Manipulation trotz eines direkten Zugriffs mit der passenden Programmierumgebung dienen Systemvariablen. So kann z.B. über Schlüsselschalter entschieden werden, dass – Downloads blockiert werden – Forcen unterbunden wird – im RUN-Modus nur gelesen wird Hima-Sicherheitssteuerungen ermöglichen eine Überwachung der Prüfsummen (CRC) des Programms aus Scada. Jeder Download und Reload kann überwacht und somit angezeigt werden. So können Programmänderungen z.B. durch Cracker sofort erkannt werden. Engineeringebene SILworX, das Konfigurations-, Programmier- und Diagnose-Tool für die HIMax- und HIMatrix- Sicherheitssteuerungen, gewährleistet zuverlässigen Schutz vor Manipulationen und Bedienfehlern. SILworX bietet ein zweistufiges Benutzermanagement mit konfigurierbaren Zugriffsrechten, mit dessen Hilfe man sowohl den Zugriff zum Projekt wie auch zu dem Sicherheitssystem schützen kann. Der Vorteil: Bei Passwort-Änderungen im Projekt ist kein neuer Download notwendig und somit auch keine erneute Anlagenzertifizierung. SILworX schützt sich außerdem selbst vor Manipulationen, indem alle relevanten Dateien anhand von deren Prüfsummen kontrolliert werden. Bei einer falschen Prüfsumme wird die Codegenerierung verweigert. Den Schutz des Know-hows des Integrators und Anwenders unterstützt SILworX auf zwei Arten: durch den Schutz eines Funktionsbausteins gegen eine Modifikation und durch Sperrung des Zugangs zu einem Funktionsblock. Fazit
HIMA Americas Inc.
