Sichere Automatisierungsprozesse Cyber-Gefahr – das sollten Sie beim Sicherheitssystem berücksichtigen

Autor / Redakteur: Sergio Diaz und Alexandre Peixoto* / Dr. Jörg Kempf

Der Aufbau eines sicheren Automatisierungsprozesses erfordert die Einführung eines gut abgestimmten sicherheitstechnischen Systems (Safety Instrumented System – SIS) und eines Basisleitsystems (Basic Process Control System – BPCS). Der Beitrag zeigt, welche Faktoren zu berücksichtigen sind, um Cyber-Bedrohungen zu minimieren.

Firmen zum Thema

Die Gefahren durch Cyberattacken nehmen längst bedrohliche Ausmaße an.
Die Gefahren durch Cyberattacken nehmen längst bedrohliche Ausmaße an.
(Bild: @valerybrozhinsky; ©eyetronic - stock.adobe.com)

Um den Schutz vor Cyber-Bedrohungen zu erhöhen, geben Cyber-Sicherheitsstandards für die Industrie Orientierungshilfen, wie SIS und BPCS angeschlossen und separiert werden sollten. Zu diesen Standards gehört die Norm IEC 61511, die beim Aufbau eines SIS weithin als gängige Praxis anzusehen ist und auf die Normenreihe ISA/IEC 62443 sowie die technischen Berichte für Leitlinien beim Aufbau von elektronisch sicheren Industrieautomatisierungs- und Prozessleitsystemen (Industrial Automation and Control System/IACS) verweist. Zudem unterstützen Regierungsbehörden und Industriever-bände in großen europäischen Ländern Unternehmen bei der Verbesserung der Cybersicherheit.

Tipp der Redaktion: Im Webinar am 29.09.2021 um 10 Uhr erfahren Sie, wie Sie mit einfachen Mitteln die Sicherheit um bis zu 66 Prozent erhöhen.

Eine allgemeine Anforderung dieser Normen und Richtlinien besteht darin, dass das SIS und das BPCS logisch unabhängig voneinander sein müssen – und zwar unabhängig vom Ausmaß der physikalischen Verbindung untereinander. Die Leitlinien der ISA (International Society of Automation) fordern, dass sicherheitskritische Assets über logische oder physikalische Bereiche von nicht sicherheitskritischen Assets getrennt werden müssen.

Die Interessengemeinschaft Automatisierungstechnik der Prozessindustrie (Namur) definiert drei Bereiche, die gleichermaßen logisch getrennt werden müssen (siehe Bildergalerie Abb. 1). Das Kern-SIS besteht aus den Komponenten, die für die Ausführung der Sicherheitsfunktion (Logiksystem, Ein-/Ausgangskomponenten [E/A], Sensoren und Aktoren) benötigt werden. Das erweiterte SIS enthält Komponenten des Sicherheitssystems, die nicht für die Ausführung der Sicherheitsfunktion erforderlich sind (wie technische Workstations). Die Peripherie umfasst Komponenten und Systeme wie das BPCS, die nicht direkt oder indirekt einem SIS zugeordnet sind, die aber im Kontext einer Sicherheitsfunktion verwendet werden können. Sicherheitsfunktionen können eine Reset-Anforderung des BPCS oder Visualisierung der Sicherheitsfunktion in einer Mensch-Maschine-Schnittstelle (HMI) enthalten.

Aufbau geschützter Sicherheitssysteme

Zu Beginn der Projektauslegung sollten Unternehmen bei der Auswahl einer SIS-/BPCS-Architektur basierend auf diesen Leitlinien arbeiten, um ein geschütztes Sicherheitssystem zu errichten, das die spezifischen Cyber-Sicherheitsanforderungen erfüllt. Es sollte jedoch beachtet werden, dass die Auswahl der SIS/BPCS-Architektur zwar die Robustheit der Cybersicherheit beeinflusst, der wichtigste Schutz vor Cyber-Bedrohungen jedoch die inhärente Cybersicherheit des SIS selbst und die Praktiken im Zusammenhang mit dem Systembetrieb sind.

SIS-/BPCS-Architektur

Generell bezieht sich die Automatisierungsindustrie auf drei SIS-/BPCS-Architekturen: getrennt (air-gapped), über eine Schnittstelle verbunden und integriert (oder integriert, aber separiert). Cybersicherheit beruht zum Teil auf mehreren Schutzebenen, welche die Systeme umgeben. Diese Schutzebenen können taktische Maßnahmen wie Benutzerkontenverwaltung, ein umfassender Ansatz zur Vermeidung ungewollter Installation von Schadprogrammen und eingebettete Sperrfunktionen in Logiksystemen sein.

Bildergalerie
Bildergalerie mit 6 Bildern

Getrenntes SIS (air-gapped): Wie der Name schon sagt, wird ein getrenntes Sicherheitssystem vom BPCS (Abb. 2) und von möglichen anderen Systemen isoliert. Das SIS ist in keiner Weise – weder physikalisch noch über ein Wireless-Netzwerk – mit dem BPCS verbunden. Diese Architektur bietet keine automatische Möglichkeit der Übertragung von Schadprogrammen zwischen SIS und BPCS, aber auch ein effizienter Datenaustausch zwischen den Systemen fehlt, der für Betriebe wichtig ist, die auf einen kontinuierlichen Betrieb angewiesen sind. Für den zuverlässigen Betrieb und die Prozessleistung sind auch aktualisierte Geräte erforderlich. In dieser getrennten Architektur können diese Updates allerdings schwierig sein, da die SIS-Geräte normalerweise offline betrieben werden und daher immer aktualisiert oder gewartet werden müssen, wenn sie verbunden werden. Das hat Verzögerungen, Sicherheitsrisiken und Unannehmlichkeiten zur Folge.

SIS mit Verbindung über eine Schnittstelle: In einer Architektur mit Schnittstelle (Abb. 3) werden Informationen zwischen dem SIS und dem BPCS über Standardindustrieprotokolle wie Modbus TCP, OPC Data Access (OPC DA) oder OPC Unified Architecture (OPC UA) übertragen. Die Kommunikation zwischen den Systemen sollte ausschließlich auf den Betrieb beschränkt sein. Diese Architektur wird am häufigsten gewählt, wenn ein SIS zu einem bestehenden BPCS hinzugefügt wird.

Die Herstellung von Verbindungen zwischen den Systemen ist kompliziert, da der Designer Sicherheitsoptionen finden muss, die zu der technischen Lösung passen, und sie auf die Anforderungen des Unternehmens zuschneiden muss. Firewalls allein sind nicht ausreichend. Die heutigen Cyber-Sicherheitsstandards erfordern außerdem die Einbindung zusätzlicher Optionen wie Virenschutz, Whitelisting, Benutzerzugriffssteuerung und vieles mehr. Es ist wichtig zu wissen, dass es normalerweise mehr als eine Verbindung gibt. Zusätzlich zum BPCS wird das SIS häufig mit einem Asset Management System verbunden, um Feldgeräte, Historien und Event-Sammler zu verwalten. Verbindungen zwischen SIS und externen Systemen müssen gesichert werden, und jede einzelne Verbindung erfordert einen gesicherten Zugriff, so dass das Personal mehrere Hardware- und Software-Sätze verwalten muss.

Integriertes SIS (auch als „integriert, aber separiert“ bekannt): Bei einer integrierten Architektur (Abb. 4) können das SIS und das BPCS auch als integriertes Steuerungs- und Sicherheitssystem (Integrated Control and Safety System/ICSS) bezeichnet werden, wie ein integriertes SIS und ein Prozessleitsystem (Distributed Control System/DCS). Das SIS und das BPCS können dieselben Engineering Tools und dieselbe Bedienumgebung nutzen. Die Sicherheitslogik des Systems muss jedoch auf einer dedizierten Hardware laufen. Zum Erhalt der Unabhängigkeit müssen die Systeme geschützte Pfade aufweisen und die Möglichkeit zur Sperrung von Konfigurationen bieten.

Bei der Anwendung auf ein Prozessleitsystem bietet die integrierte Architektur weniger Dateneingabepunkte und ist dank der systemeigenen Schutzmaßnahmen streng geschützt. Tatsächlich macht ein koordinierter Internetsicherheitsansatz in und um das ICSS die integrierte SIS-/BPCS-Architektur so sicher wie die Architektur mit Schnittstelle – und in den meisten Fällen sogar noch sicherer. Und da Cybersicherheit in den integrierten Ansatz eingebettet ist, ist keine zusätzliche externe Implementierung erforderlich.

Die ARC Advisory Group gibt an (ARC 2016 Report for Process Safety Systems Global Market Research Study): „Während alle drei Integrationsansätze ihre Vorzüge haben, wird der integrierte, aber separate Ansatz letztendlich für viele Endbenutzer zur bevorzugten Architektur, da er das größte Potenzial zur Minimierung gemeinsamer Cybersicherheitsbedrohungen zwischen den Systemen bietet.“

Überlegungen zur Internetsicherheit

Jede dieser Architekturen kann verstärkt werden und erfüllt in einem gewissen Maße unternehmensspezifische Anforderungen basierend auf den Cyber-Sicherheitsrichtlinien, der Risikobeurteilung, dem Know-how und der Anzahl und Verfügbarkeit der Mitarbeiter. Drei Bereiche – Schutz der Systemeingangspunkte, Aufbau risikomindernder Schutzebenen und Gewährleistung der kontinuierlichen Sicherheit über die gesamte Lebensdauer der Anlage – sind hilfreich bei der Festlegung der kurz- und langfristigen Cyber-Sicherheitsstrategie für das SIS.

Bildergalerie
Bildergalerie mit 6 Bildern

Schutz von Systemeingangspunkten: In einer integrierten SIS-/BPCS-Architektur ist die Anzahl der Eingangspunkte in das SIS erheblich reduziert, da das SIS in die Schutzebene des BPCS integriert ist. Es existieren keine anderen Eingangspunkte zum Kern-SIS mit Ausnahme über das BPCS-Gateway oder den Proxy. Diese Architektur ist möglicherweise die stärkste der drei für betriebliche und technische Aufgaben, da der Zugriff über eine einzige Infrastruktur gesteuert wird und Aufgaben wie die Verwaltung von Updates für das SIS einfach erledigt werden können. Darüber hinaus sind betriebliche und technische Aufgaben effizient, da die Wartung des SIS über die BPCS-Schnittstelle durchgeführt werden kann.

Risikomindernde Schutzebenen: Risikomindernde Schutzebenen um jedes System enthalten Schutzmechanismen zur Abschwächung von Cyber-Bedrohungen, die ein System beeinträchtigen können. Mehrere Schutzebenen untermauern den Schutz vor unbefugten Zugriff. Die Ebenen umfassen das Erfordernis der physischen Anwesenheit von Personen an der Systemschnittstelle, um Cyber-Angriffe aus der Ferne zu verhindern. Architekturen verwenden Verteidigungsebenen, die ihren Anforderungen am besten entsprechen und potenzielle Risiken abwehren. In unterschiedlichem Maße unterstützen oder beeinträchtigen Schichten für jede Architektur die tägliche Aufgabe der Prozesssteuerung.

Bei einer integrierten SIS-/BPCS-Architektur ist das SIS in das BPCS eingebettet, und Unternehmen müssen die Cybersecurity-Schutzmaßnahmen für die beiden Systeme nicht duplizieren. Ein integrierter, aber separierter Ansatz verwendet einige gemeinsame Internetschutzebenen für beide Systeme, zusätzlich zu separaten und dedizierten Internetschutzebenen für das SIS. Das SIS hat immer noch seine eigenen spezifischen Cyber-Sicherheitsmerkmale wie die Sperrfunktion für Logiksysteme. Dank des sogenannten Defence-in-Depth-Ansatzes um das SIS beeinträchtigt eine Gefährdung des BPCS nicht automatisch das SIS. Die Schutzmaßnahmen sollten sichere, verstärkte Kommunikationsprotokolle zwischen BPCS und SIS, die widerstandsfähig gegenüber Angriffen sind, Netzwerksegmentierung durch eine Firewall, um ungewollte Kommunikation zu blockieren, sowie solche Elemente aufweisen, die eine physische Anwesenheit zur Änderung der SIS-Konfiguration zum Schutz vor Zugangsdatenmissbrauch erfordern.

Wartung während der Lebensdauer: Internetsicherheit muss als Teil der Lifecycle-Wartungskosten berücksichtigt werden. Die Wartung kann jedoch je nach ausgewählter Architektur und Werksbedingungen schwieriger sein. Im Allgemeinen gilt, dass je mehr Aufgaben für ein sicheres System erforderlich sind, desto mehr Personal und Zeit werden benötigt. Ziel des Unternehmens ist es daher, die sicherste Architektur mit den am besten umsetzbaren und effizientesten Methoden zu warten.

Ein voll integriertes Steuerungs- und Sicherheitssystem kann über die gesamte Lebensdauer der Systeme leichter gewartet werden, da das SIS in Schutzebenen integriert ist, von denen viele auch das BPCS schützen. Teams, die eine integrierte Architektur verwalten, verfügen über Ebenen, mit denen beide Systeme gleichzeitig geschützt werden können. Beispiel: Obwohl das SIS einige zusätzliche, integrierte SIS-spezifische Schutzmaßnahmen aufweist, wird der Virenschutz für das ICSS als ein System geliefert, das Updates automatisch verwalten kann. Zusätzlich zu den Annehmlichkeiten der Schutzebenen erlauben integrierte Diagnosefunktionen eine einfache Wartung während der Lebensdauer. Beispielsweise können SIS-bezogene Alarme von intelligenten Geräten einfach über das BPCS an das Wartungspersonal gesandt werden, um auf mögliche Probleme von Sensoren oder Aktoren aufmerksam zu machen.

Beseitigung schwacher Verbindungen

Technische Verbindungen zwischen Systemen erfordern für einen sicheren Betrieb normalerweise zusätzliche Gegenmaßnahmen. Die Einrichtung dieser Verbindungen bedeutet die Nutzung zusätzlicher – oft offener – Protokolle, die bei fehlerhafter Einrichtung die Gefahr von Schwachstellen letztlich erhöhen bzw. Sicherheitslücken hervorrufen können.

Ist eine Änderung des SIS oder BPCS erforderlich, muss das entsprechende Mapping in der eingerichteten Schnittstelle zwischen den beiden Systemen eventuell ebenfalls geändert werden. Steht das ursprüngliche Projektteam für die Durchführung der Änderung und die Gewährleistung der Cybersicherheit nicht zur Verfügung, müssen andere Mitarbeiter die Änderungen vornehmen, und man läuft Gefahr, weitere Sicherheitslücken einzubauen. In einer integrierten Architektur gibt es jedoch in der Regel Mechanismen, um das Einbringen zusätzlicher Cyber-Sicherheitsrisiken automatisch zu vermeiden. Diese Architekturen erfordern normalerweise keine technische Verbindung zwischen den beiden Systemen. Der integrierte Ansatz vereinfacht die Verbindung zwischen beiden Systemen und erhält diese Verbindung über die gesamte Lebensdauer der Einrichtung aufrecht.

Buchtipp Das Fachbuch „Cybersicherheit" führt grundlegend und praxisnah an die aktuellen Herausforderungen der IT-Security heran. Dabei werden bewusst neue digitale Entwicklungen, wie die Vernetzung industrieller Maschinen und Anlagen durch Industrie-4.0-Technologien, adressiert. „Cybersicherheit“ kann hier versandkostenfrei oder als E-Book bestellt werden.

Systeme wie das Prozessleitsystem DeltaV DCS und DeltaV SIS von Emerson können Gefahrenquellen sowie beschädigte Datenpakete erkennen und automatisch eine Validierung von Daten zwischen dem BPCS und SIS (und umgekehrt) durchführen, um die Authentizität von Änderungen sicherzustellen. Bei der Architektur mit Schnittstelle kann eine ähnliche Validierung einer technischen Verbindung zwischen zwei verschiedenen Systemen erstellt werden, dies erfordert allerdings komplizierte und aufwändige Arbeiten, die vermeidbar sind.

Cybersicherheits-Updates

Bei einer integrierten SIS-/BPCS-Architektur muss das Personal nicht zwei Defence-in-Depth-Architekturen für zwei separate Systeme verwalten, so dass bei der Verwaltung von Sicherheitsänderungen und bei Ausfällen Zeit eingespart wird. Bei einem ordnungsgemäß ausgelegten ICSS gelten manche Schutzebenen für beide Systeme, und andere Schutzebenen sind speziell für das SIS vorgesehen, wodurch der Gesamtschutz erhöht wird. Cybersecurity-Updates wie Betriebssystem-Patches oder Virenschutz-Updates können automatisch ohne externe oder schwierig zu regelnde Kommunikationsverfahren, welche die Cybersicherheit des SIS gefährden könnten, durchgeführt werden. Da Cybersecurity-Updates für beide Systeme gelten und beide gleichzeitig aktualisiert werden, werden Sicherheitskonflikte zwischen den beiden System vollständig verhindert.

Sicherheitsüberlegungen für Sicherheitssystem-Bypässe

Ein Bypass des Sicherheitssystems ist für Wartungszwecke erforderlich, und das System sollte in der Lage sein, Bypass-Freigaben verarbeiten, mehrere Bypässe derselben Sicherheitsfunktion vermeiden und Bypässe bei Bedarf automatisch entfernen zu können. Zusätzlich zu den Schutzmaßnahmen auf SIS-Ebene ist es zudem hilfreich, aktive Bypässe sichtbar zu machen. Bei einem integrierten Sicherheitssystem kann auf den ICSS-Arbeitsstationen einfach auf Bypass-Benachrichtigungen zugegriffen werden, ohne dass die Schnittstelle zum BPCS konfiguriert oder geändert werden muss. Mehrere Benutzer können benachrichtigt werden, wenn ein Bypass gesetzt wird, und sogar eine Mitteilung auf einem mobilen Gerät erhalten.

* S. Diaz ist Product Marketing Manager für Sicherheitssysteme, A. Peixoto ist Product Marketing Manager für Cybersecurity, Emerson Automation Solutions.

(ID:47113581)