Worldwide China Indien

Security

Cyber-Security in der industriellen Automation

| Redakteur: Sonja Beyer

Hersteller, Integratoren und Anwender müssen bei der Dokumentation auch Security-Faktoren berücksichtigen. (Bild: Hima Paul Hildebrandt)
Bildergalerie: 1 Bild
Hersteller, Integratoren und Anwender müssen bei der Dokumentation auch Security-Faktoren berücksichtigen. (Bild: Hima Paul Hildebrandt)

Die Netzwerke der Unternehmens-IT und der industriellen Automation wachsen immer mehr zusammen, sodass sich die Gefahr von Cyber-Attacken auf Anlagen erhöht. Zwar gibt es derzeit keinen Standard für Cyber-Security, dennoch muss diese gewährleistet sein. Lesen Sie, wie sich Systeme und Anlagen schützen lassen.

Sicherheitsgerichtete Automatisierungslösungen müssen nicht nur Safety (funktionale Sicherheit, Schutz der Umgebung vor der Anlage) gewährleisten, sondern auch Security (Cyber Security, Schutz der Anlage vor der Umgebung). Diese hat die Verfügbarkeit, Integrität und Vertraulichkeit von Daten zum Ziel.

Allerdings verfolgen verschiedene Unternehmen, die an einem Projekt beteiligt sind, unterschiedliche Security-Schutzziele. So möchte der Hersteller den Schutz seines Betriebssystems sicherstellen, dem Integrator ist der Schutz seines Engineering-Know-hows wichtig, und der Anwender ist für den Schutz des Anlagenbetriebes verantwortlich.

Die Ethernet-Technologie hat der Automatisierungswelt einen bedeutenden Schub gegeben und es möglich gemacht, unterschiedliche Infrastrukturen zu verwenden. Doch die Verknüpfung der Office-IT mit der Automations-IT führt zu einer offenen Netzwerkarchitektur und vergößert damit Security-Risiken in der Automation sowie die Verwundbarkeit eines Unternehmens. Je größer und umfangreicher die Netzwerke sind, desto wichtiger wird deshalb Security.

Problem der Risikobewertung

Derzeit zeichnet sich noch kein anwendbarer Security-Standard für die industrielle Automation ab. Viele Gremien bemühen sich um einen Standard bzw. ein Regelwerk, andere um Zertifikate einer neutralen Prüfstelle, während Firmen ihre eigenen Security-Richtlinien pflegen. Das Resultat ist ein kaum überschaubarer Vorschriften-Dschungel für Hersteller, Integratoren und Anwender.

Während sich z.B. bei funktionaler Sicherheit die Wahrscheinlichkeiten für Fehler sehr gut statistisch ermitteln lassen (dies ist in der Grundnorm IEC 61508 erfasst), spielt im Fall der Cyber Security der unberechenbare Faktor Mensch eine entscheidende Rolle. Das erschwert die Definition eines Standards. Will man eine passende Lösung für eine Anlage finden, gilt es sowohl bei Safety als auch Cyber Security, zwischen dem potenziellem Schadensausmaß und den Kosten für die Sicherungsmaßnahme abzuwägen.

Dokumentation über den Lebenszyklus

Eine detaillierte und verständliche Dokumentation eines Produkts bzw. Anlagensystems ist in jeder Lebenszyklusphase notwendig. Hersteller, Integratoren und Anwender müssen dabei gewährleisten, dass Security-Faktoren nicht außer Acht gelassen werden.

Die sicherheitsrelevanten Informationen in jedem Projektierungsschritt sollten nach der Richtlinie VDI/VDE 2182 dokumentiert werden, die ein allgemeines Vorgehensmodel zur Informationssicherheit in der industriellen Automatisierung beschreibt. Denn die Eigenschaften eines Produkts bzw. Systems müssen genauestens bekannt sein, um sich durch entsprechende Maßnahmen sicher einsetzen zu lassen. Und wie verteilen sich dabei die Zuständigkeiten? Der Hersteller ist dafür verantwortlich, das Sicherheitskonzept wie z. B. die Passwortvergabe, Ports und Protokolle zu dokumentieren. Der Integrator ist für die Dokumentation der Netzwerkstruktur und der Backups verantwortlich. Der Anwender sollte den Zugriffschutz und Updates dokumentieren.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 20504830 / Sicherheit)