Häufig werden Anlagen für die Industrielle Automation und Leittechnik aus standardisierten Hardware- und Softwarekomponenten zusammengesetzt. Diese offenen Systeme erleichtern die Integration der einzelnen Komponenten und ermöglichen die Vernetzung von Leittechnik, Anlagen und Büro-IT über große Entfernungen hinweg. Die durchgängige Kommunikation beschleunigt die Produktion, ermöglicht eine bessere Übersicht und senkt die Entwicklungs- und Produktionskosten. Allerdings sind offene Systeme auch offen für Attacken und Manipulationen. Wie verwundbar Anlagen der Industriellen Automation und der Industriellen Leittechnik sind, hat spätestens die Attacke von Stuxnet bewiesen. Internationale Organisationen und Gremien haben bereits auf diese Bedrohungslage reagiert. Standards bezüglich IT-Security für die industriellen Umgebungen sind veröffentlicht oder sind gerade in Arbeit. Unter anderem sind folgende Standards zu nennen (die Liste ist natürlich nicht vollständig): ISA S99, IEC62443, IEC62351, NIST SP 800-82, VDI/VDE 2182.
Einführung in den IEC62443- Standard
Im Folgenden wird der Standard IEC62443 dargestellt, der speziell die IT-Security von industriellen Umgebungen der Steuerung- und Leittechnik adressiert. Der Aufbau der IEC62443- Standardfamilie ist in Bild 1 gezeigt. Diese Familie wird gebildet aus vier Säulen. In Säule eins sind alle Dokumente mit der Anfangsnummer IEC63443-1 zusammengefasst. Diese Dokumente führen in die Philosophie des Standards ein und erläutern Begriffe und Konzepte, die dem Standard zugrunde liegen. In Säule zwei (Dokumente mit den Anfangsnummern 62443-2) wird ein Managementsystem für IT-Security von Steuerungs- und Leitsystemen in industriellen Umgebungen beschrieben und mit Vorgaben definiert. Dieses Managementsystem wird als Cyber Security Management System (CSMS) bezeichnet und kann analog zum Information Security Management System des ISO/IEC27001-Standards (vor allem Kapitel 4 bis 8) gesehen werden. Auch hier wird ein kontinuierlicher Verbesserungsansatz verfolgt, die Bewertung der Risiken stellt einen Schwerpunkt dar und Vorgaben für Prozesse und Organisation bezüglich IT-Security werden festgelegt. In Säule drei (Dokumente mit den Anfangsnummern 62443-3) werden Anforderungen bezüglich IT-Security für das sogenannte Industrial Automation and Control System (IACS) definiert. Ein IACS ist das IT-System, das aus mehreren Komponenten wie Scada-Applikation, PLC, Feldbussen sowie Aktoren und Sensoren aufgebaut ist und zur Steuerung von Prozess- oder Produktionsstraßen dient. Die letzte Säule (Dokumente mit den Anfangsnummern 62443-4) bezieht sich auf die IT-Security für Komponenten (Devices), aus denen ein IACS zusammengebaut ist. Hier werden sowohl Requirements für die Komponenten selbst als auch Anforderungen an den Entwicklungsprozess definiert. Der IEC62443 verfolgt einen ganzheitlichen Ansatz, da sowohl das Managementsystem CSMS als auch das System und die Komponenten für industrielle Umgebungen adressiert werden. Dabei werden Konzepte eingeführt, die sehr hilfreich sind, um IT-Security in industriellen Steuerungs- und Leitstellenumgebungen zu realisieren. Wichtige Konzepte des IEC62443 werden im folgenden Abschnitt erläutert.
Konzepte des IEC62443
Der IEC62443 führt u.a. auf folgende Konzepte ein:
- Foundational Requirements
- Security Level
- Zone
- Conduit
Diese werden im Folgenden beschrieben. Als Foundational Requirements werden sieben Arbeitsfelder definiert, die für die IT-Security wichtig sind:
- Identification and authentication control (IAC)
- Use control (UC)
- Data integrity (DI)
- Data confidentiality (DC)
- Restricted data flow (RDF)
- Timely response to events (TRE)
- Resource availability (RA)
Gegliedert nach diesen Feldern werden Security Requirements z.B. im IEC62443-3-3 für ein IACS aufgestellt. Die Anforderungen an das IACS werden mit steigendem Security Level (SL) höher. Im Standard IEC62443 werden sogenannte Security Level (SL) oder Security Assurance Level (SAL) eingeführt. Diese beschreiben die Stärke eines Angreifers, wobei vier Level definiert werden. Die beiden niedrigsten Level (SL- Wert eins oder zwei) definieren zufällige Verletzungen der Security oder Verletzungen durch Gelegenheit. Ein qualifizierter Angreifer mit sehr gutem Know-how bezüglich IT, einer guten Ausrüstung und Motivation wird durch den SL-Wert von drei repräsentiert. Bei einem SL-Wert von vier geht man von einem Angreifer aus, der hoch motiviert auch über Supercomputing Ressourcen verfügt. Weiter wird das Konzept von Zonen und Kommunikationskanälen (conduits) beschrieben. Vereinfacht gesagt fassen Zonen die Komponenten des IACS zusammen, die physikalisch, räumlich oder logisch von anderen Komponenten getrennt betrachtet werden können, da sie bezüglich Security- und Safety-Anforderungen demselben Security Level (SL) zugeordnet werden können. Zonen werden über sogenannte Conduits miteinander verbunden. Über diese Conduits laufen alle Kommunikationen zwischen den beiden verbundenen Zonen. Ein stark vereinfachtes Beispiel ist in Bild 2 gezeigt. Mit dem gezeigten Zonenmodel ist man in der Lage, z.B. eine 2-Faktor-Authentifizierung über die Komponente R2 zu realisieren. Jegliche Kommunikation zwischen Zone 1 und Zone 2 und damit indirekt die Zugriffe auf die Komponenten C3 und ICS1 sind somit durch eine 2-Faktor-Authentifizierung des Conduits abgesichert.
Fazit
Der IEC62443 unterstützt mit den drei Elementen Management der IT-Security, Security für Systeme und Komponenten einen ganzheitlichen Ansatz für IT-Security von Steuerungs- und Leitsystemen. Die Konzepte wie Zonierung und Conduit erlauben flexible und effiziente Lösungen. Sowohl Hersteller als auch Systemintegratoren und Betreiber können den IEC62443-Standard als Grundlage ihrer Arbeit bezüglich IT-Security heranziehen. Die Ausrichtung am Standard ist auch wichtig, um mögliche Haftungsansprüche für Schäden aus Angriffen abwehren zu können.
