Cybersicherheit Security-Lösungen für die Prozessindustrie – so sollten Strukturen und Systeme ausgelegt sein
Anbieter zum Thema
Die jüngsten Cyber-Angriffe auf Anlagen der Prozessindustrie unterstreichen nachdrücklich, dass derartige Attacken erhebliche Schäden bei den Unternehmen sowie ihren Kunden anrichten können. Doch solch einschneidende Folgen lassen sich verhindern: mit sicheren Applikationen sowie Schutzkonzepten. Der Beitrag zeigt, wie’s geht.

Die Digitalisierung zieht sich durch die unterschiedlichen Wirtschaftsbranchen und macht auch vor der Prozessindustrie keinen Halt. So werden z. B. Feldgeräte über entsprechende Schnittstellen direkt an das Leitsystem angebunden sowie Zugänge für mobile Endgeräte geschaffen, damit sich alle Möglichkeiten der Prozessüberwachung voll ausschöpfen lassen. Wird dabei der Aspekt der Cybersicherheit nicht berücksichtigt, kann die zunehmende Vernetzung der Systeme Einfallstore für Angreifer öffnen. Schwachstellen wie unsichere oder fehlerhafte Gerätekonfigurationen, veraltete Softwareversionen oder ungünstige Netzwerkinfrastrukturen ermöglichen die Implementierung von Schadsoftware, Durchführung von Denial-of-Service-Angriffen oder den Diebstahl von sensiblen Daten, etwa Rezepten.
Weltweit waren etwa 66 Prozent der kleinen und mittelständischen Industrieunternehmen bereits Ziel von Cyber-Angriffen.
Allerdings können nicht nur vorsätzliche Attacken, sondern ebenso fahrlässiges Fehlverhalten – z. B. bei einem Service-Einsatz – zu Sabotagen führen, die Komponenten- oder Systemausfälle zur Folge haben. Aufgrund der kritischen Prozesse innerhalb der Prozessindustrie entstehen so unter Umständen erhebliche Personen-, Umwelt- und Imageschäden. Und obwohl über die Hälfte der Industrieunternehmen bereits Opfer von Cyber-Angriffen wurden, gibt es noch immer Betriebe, die diese Risiken nicht wahrnehmen und keine Gegenmaßnahmen einführen.
Keine negative Beeinflussung sensibler Prozesse
Um Versorgungsketten trotzdem vor möglichen Folgen zu schützen, werden die Schwellenwerte der kritischen Infrastrukturen stetig weiterentwickelt und verschärft. Dadurch stehen immer mehr Unternehmen in der Pflicht, die Risiken von Cyber-Attacken zu betrachten und entsprechende Maßnahmen in ihre Sicherheitsmanagement-Mechanismen zu integrieren. Unterstützung erhalten die Unternehmen durch verschiedene Bestrebungen. Während sich im Büro- respektive IT-Umfeld die ISO 27000-Reihe etabliert hat, beleuchtet die internationale Normenreihe IEC 62443 die OT-Bereiche, die im Vergleich zu IT-Umgebungen ganz andere Systeme und Strukturen umfassen.
Vor diesem Hintergrund hat die Namur die Namur Open Architecture (NOA) erarbeitet, um die von smarten Feldgeräten erzeugten Daten nutzbarer zu machen und Anlagen aufgrund zusätzlicher Monitoring- und Optimierungsfunktionen effizienter zu betreiben. Realisiert wird das in der NE 175 beschriebene Konzept durch die Erweiterung der Automatisierungspyramide um einen parallelen NOA-Seitenkanal. Dieser greift Daten aus dem Feld ab und sendet sie rückwirkungsfrei an die übergeordnete Leitebene, sodass die sensiblen Prozesse nicht negativ beeinflusst werden.
Die Rückwirkungsfreiheit stellt das NOA Security Gateway sicher, das zwischen dem Prozess- und Überwachungsbereich zu installieren ist. Das Gateway wird in der NE 177 durch Grundanforderungen definiert, die auf den Komponenten- und Systemanforderungen der IEC 62443 basieren. Zudem beschreibt ein Zonenmodell die gegenseitige Abgrenzung der einzelnen Bestandteile des Gateways. Das NOA Security Gateway besteht zum einen aus dem Modul „Data Aggregator“, welches die Kopplung zum Kernprozess herstellt und für die Datenerfassung zuständig ist. Hinzu kommt das Modul für den Einweg-Datentransfer, das für den sicheren Schutz vor Rückwirkungsfreiheit sorgt sowie die Daten entsprechend entkoppelt. Das dritte Modul stellt die Daten z. B. über OPC UA für den Überwachungsbereich zur Verfügung.
Mit einer PLCnext-Steuerung und einem Hart-Gateway bietet Phoenix Contact schon jetzt eine Gerätekombination an, mit der sich die Funktionen des NOA Security Gateways bei weitgehender Erfüllung der Anforderungen umsetzen lassen. Das Konzept zeigt, dass zukünftige Strukturen und Systeme sicher ausgelegt werden können, wobei die speziell für Automatisierungsbereiche konzipierte und stetig weiterentwickelte IEC 62443 als Grundlage dient. Unterstützt wird dieser Ansatz durch sichere Komponenten von Phoenix Contact, die nach einem zertifizierten Entwicklungsprozess gemäß der IEC 62443 konstruiert werden.
Ganzheitliches Konzept mit organisatorischen und technischen Schutzmaßnahmen
Um seine Kunden bei der Konzeption eines Security-Konzepts auf Basis der IEC 62443 sowie der Implementierung wirkungsvoller Komponenten zur Seite zu stehen, verfolgt Phoenix Contact seit einigen Jahren einen Blueprint-Ansatz. Dabei arbeiten die Spezialisten auf der Grundlage einer generischen Applikation gemäß IEC 62443 ein ganzheitliches Security-Konzept mit organisatorischen und technischen Schutzmaßnahmen aus – und zwar unter Berücksichtigung eines vorgeschriebenen zyklischen Prozesses. Die daraus hervorgehende Lösung enthält schließlich Maßnahmen, die auf der Unternehmens-, Lösungs- und Komponentenebene umzusetzen sind.
- Auf der Unternehmensebene empfiehlt Phoenix Contact den Zugang zu den Lösungen zu beschränken und zu überwachen. Zudem sollen bei Fernzugriffen Komponenten eingesetzt werden, die zum Beispiel VPN (Virtual Private Network) unterstützen sowie Möglichkeiten zur User-Authentifizierung bereitstellen. Eine der wichtigsten Maßnahmen bildet die Schulung und Sensibilisierung der Mitarbeiter, damit diese die entwickelten Maßnahmen leben und entsprechend handeln.
- Im Bereich der Lösungsebene sprechen sich die Security-Experten u. a. für Maßnahmen wie die Segmentierung der Lösung in Zonen und den Schutz durch Firewalls aus, um die Ausbreitung von Schadsoftware zu vermeiden. Ferner sollten die Aktivitäten innerhalb der Lösung überwacht und auf ungewöhnliche Vorkommnisse reagiert werden. Dies lässt sich durch ein angemessenes Logging oder ein in die Lösung implementiertes Anomalieerkennungssystem umsetzen.
- Für die Komponentenebene sollten grundsätzlich geeignete Geräte ausgewählt werden, die sichere Protokolle unterstützen und Maßnahmen zur Gerätehärtung bieten. So sind in jedem Fall Default-Benutzernamen und -passwörter zu ändern sowie ungenutzte Dienste und Schnittstellen zu deaktivieren. Auf solche Empfehlungen und die zugehörigen detaillierten Maßnahmenbeschreibungen können die Kunden des Unternehmens schließlich zurückgreifen.
Schnellere und kostengünstigere Entwicklung des Security-Konzepts
Derzeit arbeiten die Security-Spezialisten von Phoenix Contact industriespezifische Security-Blueprints aus, welche die Anwender als Vorlage für reale Anlagen verwenden können. Auf diese Weise können bestehende Topologien mit ausgesuchten Komponenten, verifizierte Dokumente sowie Tools genutzt und so von den Erfahrungen des Unternehmens profitiert werden. Ein weiterer Vorteil der Security-Blueprints liegt darin, dass bei realen Anlagen lediglich Abweichungen zur generischen Applikation respektive zu deren Security-Konzept neu betrachtet werden müssen. Dadurch ist es möglich, Security-Konzepte deutlich schneller und kosteneffektiver zu entwickeln.
* N. Lecker, Global Industry Management Process, Phoenix Contact Electronics GmbH, Bad Pyrmont.
(ID:47600600)