In den prozesstechnischen Industriebereichen wie Öl und Gas, Chemie, Energie, Stahl oder Zement ist ICS ein geläufiger Begriff. Die Abkürzung steht für Integrated Control System und umfasst DCS (Distributed Control System), Scada-Systeme (Supervisory Control and Data Acquisition), RTU (Remote Terminal Units), Energiemanagement-Lösungen, Steuerungssysteme für rotierende Maschinen sowie andere Systeme, die Steuerungsfunktionen übernehmen. Aufgrund ihrer Vorteile hat sich die Ethernet-Technologie branchenübergreifend als offener Kommunikationsstandard etabliert, der die nahtlose Einbindung der aufgelisteten ICS-Bestandteile einfacher gestaltet. Standard-Protokolle und -Software-Plattformen werden also immer öfter in Applikationen der Prozessindustrie eingesetzt. Darüber hinaus finden Funktechnologien Anwendung, die sich bei der Ankopplung weit verstreuter Anlagenteile als vorteilhaft erweisen. Allerdings gibt es auch technische Schwachstellen, die in prozesstechnischen Umgebungen zu berücksichtigen sind. So hat es bereits Cyber-Angriffe auf die Steuerungssysteme von Kraftwerken und Pipelines gegeben. Zu diesem Zweck ist eine spezielle Malware entwickelt worden, die insbesondere Prozessregler und Scada-Systeme adressiert.
Unterschiedliche Prioritäten im Büro- und Anlagenumfeld
Ganz unabhängig von ihrer Größe, Art und Komplexität ist heute jede Fertigungsanlage auf Informationstechnologien angewiesen. Anders ausgedrückt wird der Produktionsprozess in erheblichem Maße durch Informationen gesteuert. Das bedeutet, dass die IT-Systeme, die neben den Prozesssteuerungs-Systemen für einen effizienten Unternehmensbetrieb verantwortlich sind, relevante und zuverlässige Fertigungsdaten aus der Anlage benötigen. Physisch können sich die IT-Systeme im Umfeld der Anlage und/oder an einem viele Kilometer entfernten Ort befinden. Damit die Unternehmen auf die Daten aus dem Produktionsbereich der Prozessanlage zugreifen und sie analysieren können, müssen zahlreiche im Bürobereich verwendete IT-Lösungen in die Prozesssteuerungs-Systeme eingebunden werden. Alle vier Automatisierungsebenen sind also via Ethernet zu verknüpfen. Eine genauere Untersuchung zeigt jedoch, dass sich die Prioritäten der Office-nahen IT-Systeme von denen der Prozesssysteme unterscheiden. Während in der Prozessindustrie die Verfügbarkeit vor der Integrität und Vertraulichkeit von größter Wichtigkeit ist, kehrt sich die Situation bei den IT-Systemen um. Hier kommt der Vertraulichkeit besondere Bedeutung zu, gefolgt von Integrität und Verfügbarkeit. Nutzt der Anwender einen abgestuften Ansatz, der dem entsprechenden Konzept für die Prozesssicherheit ähnelt, ist der Prozessregler, der rund um die Uhr für eine stabile Prozesssteuerung sorgt, auf der innersten Stufe angesiedelt. Das Szenario lässt sich durch hoch verfügbare Systeme realisieren, die in einem Steuerungsnetzwerk betrieben werden, das von den IT-Systemen anderer Bereiche vollständig getrennt und somit geschützt ist. Dabei muss der Zugang zum jeweiligen System kontrolliert werden.
Aufteilung des Netzwerks durch Firewalls und Router
Beim Anschluss der Prozesssteuerungs- an die IT-Systeme hat der Anwender dafür Vorkehrung zu treffen, dass die Verbindung sicher und ununterbrochen verfügbar ist. IT-Systeme erweisen sich allerdings als anfällig. Durch den Einsatz des offenen und transparenten Ethernet-Protokolls sind die angekoppelten Prozesssteuerungs-Systeme also ebenfalls gefährdet. Doch Sicherheitsaspekte im Umfeld der Prozesssteuerung lassen sich nicht auf die gleiche Art lösen wie im Bereich der Informationstechnik. Für die Netzwerk-Sicherheit war bislang die IT-Abteilung des Unternehmens zuständig. In prozesstechnischen Anlagen reicht eine solche Regelung heute nicht mehr aus. Zur Verwaltung der komplexen Architektur mit IT- und Prozesssteuerungs-Netzwerk ist ein strukturiertes Team für die Cyber-Sicherheit erforderlich, das die sich ergebenden Herausforderungen besser bewältigen kann. Überdies geht es nicht um einzelne Technologien, Produkte oder Schulungen. Vielmehr sind Technologien, Menschen und Prozesse so zu kombinieren, dass ein nicht autorisierter Zugriff auf das integrierte Steuerungssystem verhindert wird. Denn das ICS muss sicher und zuverlässig arbeiten, um den Prozess richtig zu steuern und eine unterbrechungsfreie Verfügbarkeit sicherzustellen. Defense in Depth ist hier ein Ansatz, den viele Endanwender in der Prozessindustrie nutzen. Das heißt, dass das Netzwerk analysiert und in verschiedene Zonen aufgeteilt wird. Zur Trennung werden Firewalls und Router verwendet.
Öffnung des OPC-Kanals für eine sichere Kommunikation
Als Beispiel für eine Security-Applikation seien die Pipelines der Öl- und Gasindustrie genannt, durch d ie die geförderten Mengen rund um die Uhr geleitet werden. Daher kommt es in diesem Umfeld auf hohe Sicherheit und Zuverlässigkeit an. Die Rohrleitungen, die die Rohstoffe nicht nur durch unbewohntes, sondern auch besiedeltes Gebiet transportieren, müssen in jedem Fall sicher sein. Sie verfügen in der Regel über mehrere Kompressoren, RTU und Messwertgeber, die mit einem zentralen Scada-System verbunden sind. Die Ankopplung der Geräte an ein DCS sorgt für die Bereitstellung von Prozessinformationen, während der Anschluss an die Datenverwaltungs-Systeme der IT die Grundlage für das Treffen der richtigen Unternehmens-Entscheidungen bildet. Die Pipelines und die zugehörigen Komponenten müssen also mit Zäunen und Überwachungskameras physisch vor externen Angreifern abgesichert werden, um Menschen und Umwelt zu schützen. Im laufenden Betrieb erweist es sich für Wartungs-Teams als schwierig, solche entfernten Stationen zu erreichen, damit sie dort Reparaturen vornehmen können. Zur Reduzierung von Ausfallzeiten sollten die Stationen/Geräte deshalb eine Remote-Verbindung zum Netzwerk des jeweiligen Betreibers oder des externen Service-Dienstleisters umfassen. Das System muss somit die Möglichkeit bieten, den OPC-Kanal für eine sichere Kommunikation zu den Prozessdaten zu öffnen. Zu diesem Zweck können Security-Router mit VPN und zum Teil mit Firewall eingesetzt werden. Auf ähnliche Weise lassen sich Scada-Server über Firewall-Router an die IT-Systeme des Office-Bereichs anbinden, wobei das DMZ-Konzept (Demilitarized Zone) Anwendung findet. Das als Firewall und Router fungierende Gerät sollte sämtliche Kommunikations-Aktivitäten protokollieren und den Datenaustausch zu externen Quellen über verschlüsselte VPN überwachen.
Nachrüstung in bestehenden Anlagen möglich
Einzelne Firewall-Produkte und -Technologien sind der geschilderten Aufgabenstellung nicht gewachsen. Systeme für die Cyber-Sicherheit müssen kontinuierlich kontrolliert und dokumentiert werden. Entsprechende Security-Richtlinien sollen zudem das Bewusstsein der Mitarbeiter schärfen. Mit ISA99 und NIST, aber auch der Namur-Anforderung NA 115 stehen geeignete Standards und Richtlinien für die Planung und Implementierung von Cyber-Sicherheit zur Verfügung. Daher müssen die Geräte so ausgewählt werden, dass die Anforderungen der Normen erfüllt sind. Die Lösungen müssen ferner für die Verwendung in industriellen Prozessumgebungen zertifiziert sein. Projektmanager und Endanwender fordern darüber hinaus eine einfache Konfiguration und Handhabung der Firewall-Produkte. Phoenix Contact bietet mit den Geräten der Produktfamilie FL mGuard deswegen Security Appliances, die speziell für derartige Anforderungen konzipiert worden sind. Die Geräte arbeiten als Stateful Inspection Firewall und unterstützen das Filtern der ein- und ausgehenden Verbindungen durch einen benutzerdefinierten Regelsatz. Auf Basis verschlüsselter VPN lassen sich sichere und vertrauliche Verbindungen einrichten. Außerdem überwachen die Security Appliances die Integrität der Industrie-PCs, um Malware-Angriffe abzuwehren. Sie können sowohl in neue Industrieumgebungen eingebunden, als auch bequem in vorhandenen Produktionsanlagen nachgerüstet werden. Ein solch dezentraler Sicherheitsansatz schützt nicht nur die Endpunkte, sondern eröffnet ferner große Freiheit beim Netzwerk-Design.
Effiziente Zuweisung von Benutzerrechten
Ein zentrales Management-System gestaltet die Bereitstellung der dezentralen mGuard-Geräte sowie die Zuweisung von Benutzerrechten effizient. Die intuitiv bedienbare Software sichert die Prozesse mit geringem Aufwand ab. Herkömmliche Firewalls sind nicht in der Lage, das OPC-Protokoll zu schützen. Das kann gravierende Folgen haben. Dort, wo OPC Classic nicht eingesetzt wird, ist eine Reglementierung des Netzwerkverkehrs mit einer Firewall nicht möglich. So entstehen kritische Sicherheitslücken. Phoenix Contact hat dieses Problem erkannt. Die industriellen Security Appliances mGuard können ab der Firmware-Version 8.1 um die OPC-Inspector-Funktion ergänzt werden. Die kostenpflichtige Software-Erweiterung ermöglicht eine zuverlässige, abgesicherte OPC-Kommunikation auf höchstem Sicherheitsniveau, da sie den OPC-Datenverkehr analysiert, versteht und entsprechend erlaubt. Speziell für OPC Classic werden folgende Funktionen unterstützt:
- Deep Packet Inspection für OPC Classic
- Defence in Depth
- Segmentierung durch NAT (Network Address Translation).
Mit der neuen Funktion Conditional Firewall lassen sich vordefinierte situationsbasierte Firewall-Regelsätze einfach durch externe Aktionen – vom Mausklick über Auf-/Abbau einer VPN-Verbindung bis zur eingehenden SMS bei Mobilfunk-Varianten – aktivieren. Der Anwender kann hier zwischen Regelsätzen für unterschiedliche Betriebsbedingungen wie die Zulassung oder Sperrung verschiedener Verbindungen für die Fertigung oder Wartung wählen.
