Sichere Automatisierungsprozesse Cyber-Gefahr – das sollten Sie beim Sicherheitssystem berücksichtigen

Autor / Redakteur: Sergio Diaz und Alexandre Peixoto* / Dr. Jörg Kempf

Der Aufbau eines sicheren Automatisierungsprozesses erfordert die Einführung eines gut abgestimmten sicherheitstechnischen Systems (Safety Instrumented System – SIS) und eines Basisleitsystems (Basic Process Control System – BPCS). Der Beitrag zeigt, welche Faktoren zu berücksichtigen sind, um Cyber-Bedrohungen zu minimieren.

Firmen zum Thema

Die Gefahren durch Cyberattacken nehmen längst bedrohliche Ausmaße an.
Die Gefahren durch Cyberattacken nehmen längst bedrohliche Ausmaße an.
(Bild: @valerybrozhinsky; ©eyetronic - stock.adobe.com)

Um den Schutz vor Cyber-Bedrohungen zu erhöhen, geben Cyber-Sicherheitsstandards für die Industrie Orientierungshilfen, wie SIS und BPCS angeschlossen und separiert werden sollten. Zu diesen Standards gehört die Norm IEC 61511, die beim Aufbau eines SIS weithin als gängige Praxis anzusehen ist und auf die Normenreihe ISA/IEC 62443 sowie die technischen Berichte für Leitlinien beim Aufbau von elektronisch sicheren Industrieautomatisierungs- und Prozessleitsystemen (Industrial Automation and Control System/IACS) verweist. Zudem unterstützen Regierungsbehörden und Industriever-bände in großen europäischen Ländern Unternehmen bei der Verbesserung der Cybersicherheit.

Tipp der Redaktion: Im Webinar am 29.09.2021 um 10 Uhr erfahren Sie, wie Sie mit einfachen Mitteln die Sicherheit um bis zu 66 Prozent erhöhen.

Eine allgemeine Anforderung dieser Normen und Richtlinien besteht darin, dass das SIS und das BPCS logisch unabhängig voneinander sein müssen – und zwar unabhängig vom Ausmaß der physikalischen Verbindung untereinander. Die Leitlinien der ISA (International Society of Automation) fordern, dass sicherheitskritische Assets über logische oder physikalische Bereiche von nicht sicherheitskritischen Assets getrennt werden müssen.

Die Interessengemeinschaft Automatisierungstechnik der Prozessindustrie (Namur) definiert drei Bereiche, die gleichermaßen logisch getrennt werden müssen (siehe Bildergalerie Abb. 1). Das Kern-SIS besteht aus den Komponenten, die für die Ausführung der Sicherheitsfunktion (Logiksystem, Ein-/Ausgangskomponenten [E/A], Sensoren und Aktoren) benötigt werden. Das erweiterte SIS enthält Komponenten des Sicherheitssystems, die nicht für die Ausführung der Sicherheitsfunktion erforderlich sind (wie technische Workstations). Die Peripherie umfasst Komponenten und Systeme wie das BPCS, die nicht direkt oder indirekt einem SIS zugeordnet sind, die aber im Kontext einer Sicherheitsfunktion verwendet werden können. Sicherheitsfunktionen können eine Reset-Anforderung des BPCS oder Visualisierung der Sicherheitsfunktion in einer Mensch-Maschine-Schnittstelle (HMI) enthalten.

Aufbau geschützter Sicherheitssysteme

Zu Beginn der Projektauslegung sollten Unternehmen bei der Auswahl einer SIS-/BPCS-Architektur basierend auf diesen Leitlinien arbeiten, um ein geschütztes Sicherheitssystem zu errichten, das die spezifischen Cyber-Sicherheitsanforderungen erfüllt. Es sollte jedoch beachtet werden, dass die Auswahl der SIS/BPCS-Architektur zwar die Robustheit der Cybersicherheit beeinflusst, der wichtigste Schutz vor Cyber-Bedrohungen jedoch die inhärente Cybersicherheit des SIS selbst und die Praktiken im Zusammenhang mit dem Systembetrieb sind.

SIS-/BPCS-Architektur

Generell bezieht sich die Automatisierungsindustrie auf drei SIS-/BPCS-Architekturen: getrennt (air-gapped), über eine Schnittstelle verbunden und integriert (oder integriert, aber separiert). Cybersicherheit beruht zum Teil auf mehreren Schutzebenen, welche die Systeme umgeben. Diese Schutzebenen können taktische Maßnahmen wie Benutzerkontenverwaltung, ein umfassender Ansatz zur Vermeidung ungewollter Installation von Schadprogrammen und eingebettete Sperrfunktionen in Logiksystemen sein.

Bildergalerie
Bildergalerie mit 6 Bildern

Getrenntes SIS (air-gapped): Wie der Name schon sagt, wird ein getrenntes Sicherheitssystem vom BPCS (Abb. 2) und von möglichen anderen Systemen isoliert. Das SIS ist in keiner Weise – weder physikalisch noch über ein Wireless-Netzwerk – mit dem BPCS verbunden. Diese Architektur bietet keine automatische Möglichkeit der Übertragung von Schadprogrammen zwischen SIS und BPCS, aber auch ein effizienter Datenaustausch zwischen den Systemen fehlt, der für Betriebe wichtig ist, die auf einen kontinuierlichen Betrieb angewiesen sind. Für den zuverlässigen Betrieb und die Prozessleistung sind auch aktualisierte Geräte erforderlich. In dieser getrennten Architektur können diese Updates allerdings schwierig sein, da die SIS-Geräte normalerweise offline betrieben werden und daher immer aktualisiert oder gewartet werden müssen, wenn sie verbunden werden. Das hat Verzögerungen, Sicherheitsrisiken und Unannehmlichkeiten zur Folge.

SIS mit Verbindung über eine Schnittstelle: In einer Architektur mit Schnittstelle (Abb. 3) werden Informationen zwischen dem SIS und dem BPCS über Standardindustrieprotokolle wie Modbus TCP, OPC Data Access (OPC DA) oder OPC Unified Architecture (OPC UA) übertragen. Die Kommunikation zwischen den Systemen sollte ausschließlich auf den Betrieb beschränkt sein. Diese Architektur wird am häufigsten gewählt, wenn ein SIS zu einem bestehenden BPCS hinzugefügt wird.

Die Herstellung von Verbindungen zwischen den Systemen ist kompliziert, da der Designer Sicherheitsoptionen finden muss, die zu der technischen Lösung passen, und sie auf die Anforderungen des Unternehmens zuschneiden muss. Firewalls allein sind nicht ausreichend. Die heutigen Cyber-Sicherheitsstandards erfordern außerdem die Einbindung zusätzlicher Optionen wie Virenschutz, Whitelisting, Benutzerzugriffssteuerung und vieles mehr. Es ist wichtig zu wissen, dass es normalerweise mehr als eine Verbindung gibt. Zusätzlich zum BPCS wird das SIS häufig mit einem Asset Management System verbunden, um Feldgeräte, Historien und Event-Sammler zu verwalten. Verbindungen zwischen SIS und externen Systemen müssen gesichert werden, und jede einzelne Verbindung erfordert einen gesicherten Zugriff, so dass das Personal mehrere Hardware- und Software-Sätze verwalten muss.

Integriertes SIS (auch als „integriert, aber separiert“ bekannt): Bei einer integrierten Architektur (Abb. 4) können das SIS und das BPCS auch als integriertes Steuerungs- und Sicherheitssystem (Integrated Control and Safety System/ICSS) bezeichnet werden, wie ein integriertes SIS und ein Prozessleitsystem (Distributed Control System/DCS). Das SIS und das BPCS können dieselben Engineering Tools und dieselbe Bedienumgebung nutzen. Die Sicherheitslogik des Systems muss jedoch auf einer dedizierten Hardware laufen. Zum Erhalt der Unabhängigkeit müssen die Systeme geschützte Pfade aufweisen und die Möglichkeit zur Sperrung von Konfigurationen bieten.

Bei der Anwendung auf ein Prozessleitsystem bietet die integrierte Architektur weniger Dateneingabepunkte und ist dank der systemeigenen Schutzmaßnahmen streng geschützt. Tatsächlich macht ein koordinierter Internetsicherheitsansatz in und um das ICSS die integrierte SIS-/BPCS-Architektur so sicher wie die Architektur mit Schnittstelle – und in den meisten Fällen sogar noch sicherer. Und da Cybersicherheit in den integrierten Ansatz eingebettet ist, ist keine zusätzliche externe Implementierung erforderlich.

Die ARC Advisory Group gibt an (ARC 2016 Report for Process Safety Systems Global Market Research Study): „Während alle drei Integrationsansätze ihre Vorzüge haben, wird der integrierte, aber separate Ansatz letztendlich für viele Endbenutzer zur bevorzugten Architektur, da er das größte Potenzial zur Minimierung gemeinsamer Cybersicherheitsbedrohungen zwischen den Systemen bietet.“

(ID:47113581)