Maßnahmen für die Sicherheit SIL-Forum 2021: Zwischen funktionaler Sicherheit und Cyber-Bedrohung

Redakteur: Sabine Mühlenkamp

Auch wenn das diesjährige SIL-Forum nicht live in Würzburg stattfand, war es mit über 100 Teilnehmern ein voller Erfolg. Dabei wurde eins deutlich, inzwischen reicht es nicht, den Blick allein auf das Gerät und den SIL-Nachweis zu richten. Vielmehr erfordern die Digitalisierung und Industrie 4.0 zusätzliche Sicherheitskonzepte, wie die Vorträge und Workshops zeigten.

Firmen zum Thema

Erwin Kruschitz, Anapur AG und Leiter des Namur AK 4.18
Erwin Kruschitz, Anapur AG und Leiter des Namur AK 4.18
(Bild: Kruschitz)

Seit vielen Jahren legt Erwin Kruschitz, Anapur AG und Leiter des Namur AK 4.18 den Finger auf die offene Wunde, bzw. auf die offene Flanke von PLT-Sicherheitseinrichtungen. „Die Umgebungsbedingungen rund um die Funktionale Sicherheit haben sich geändert. Man muss die Cyber-Bedrohung genauso berücksichtigen, wie eine Korrosion oder die EMV“, machte Erwin Kruschitz in seinem Eröffnungsvortrag deutlich.

Seminar: Risikoermittlung in der Anlagensicherheit

In unserem Seminar „Risikoermittlung in der Anlagensicherheit“ lernen Sie mit welchen Methoden die Risiko- und Gefährdungsermittlung bei Prozess- und Chemieanlagen erfolgen kann und welche Tools dazu geeignet sind. Anhand eines konkreten Beispiels der Risikoanalyse einer Betriebsvorlage (Behälter) wird mit den vorgestellten Tools unter Anwendung der Methode PAAG-/LOPA eine Risikoanalyse durchgeführt. Aufgrund der aktuellen Corona-Pandemie ist diese Veranstaltung auch als Live-Webinar buchbar.

Diese Einsicht findet sich mittlerweile auch in den entsprechenden Verordnungen wieder. Schon heute fordern die IEC 61511, VDI 2182 und KAS-51 eine IT-Risikobeurteilung. Auch das IT-Sicherheitsgesetz 2.0 stellt neue Anforderungen. Aufgrund dieser Beurteilung müssen Schutz und Minderungsmaßnahmen festgelegt werden. In der Praxis sorgt dieser Anspruch und vor allem die Umsetzung durchaus für Fragen, wie Kruschitz einräumt.

SIL schützt nicht vor Cyberangriffen

Denn immer noch gehen viele Anwender davon aus, dass eine SIL-Sicherheitsfunktion auch gegenüber Cyber-Bedrohungen resistent ist und wenn nicht, dann wenigstens in einen Fail-Safe Zustand zurückfällt. Dem sei jedoch nicht so, mahnt Kruschitz, einfach weil die SIL-Integritätsbetrachtungen bislang absichtliche Manipulationen nicht berücksichtigt haben.

Dabei gibt es durchaus Lösungsansätze, wie der BSI-Grundschutz. Auch die Norm IEC 62443 für Cybersecurity in der Automatisierungstechnik stellt Methoden zur Risikobeurteilung bereit und die Namur-Empfehlung NA163 wirft noch einmal den Blick gezielt auf die Prozessindustrie.

Darin wird eine IT-Risikobeurteilung für ein modellhaftes Safety System durchgeführt und entsprechende Maßnahmen davon abgeleitet. Dabei wendet sich die Namur-Empfehlung ausdrücklich an Nicht-IT-Experten. „Vorteil für den Anwender – mit der NA 163 lassen sich komplexe Fragen umschiffen und kostbare Zeit in die Umsetzung von Maßnahmen investieren, statt in IT-Risikobeurteilungen“, erklärte Kruschitz abschließend.

Einfache Erstellung des Sicherheitsnachweises

Ob die Bedrohung nun von außen oder innen kommt - die Basis für Sicherheit wird mit den sicherheitskritischen Komponenten gelegt und dazu gehört der Sicherheitsnachweis eines Sicherheitssystems Safety Instrumented System (SIS), der nach IEC 61508 und IEC 61511 erfolgt.

(Bild: Siemens)

Wie dieser Weg aussieht, beschrieb Franz Handermann, Siemens: „Der Anwender wird bei der Berechnung und Erstellung normgerechter Sicherheitsnachweise vor eine Herausforderung gestellt. Die Anwendung von Tools ist an dieser Stelle sinnvoll, kann aber auch kostenintensiv werden.“

Franz Handermann, Siemens
Franz Handermann, Siemens
(Bild: Siemens)

Was ist zu tun? Zunächst muss die normgerechte Sicherheitsarchitektur der Sicherheitsfunktionen SIF des Sicherheitssystems SIS definiert werden. Als zweiter Schritt wird die Architektur verifiziert und danach die Ausfallwahrscheinlichkeiten berechnet und mit den notwendigen Sicherheitsanforderungen SRS verglichen. „Gerade die SRS ist mit das wichtigste Dokument. Es enthält, Ausfallarten und Reaktionen, wie maximale Fehlauslösungen aussehen können, betrachtet aber auch Umweltbedingungen“, verdeutlichte Handermann.

Dann geht es an den Sicherheitsnachweis, der sich sich mithilfe von Excel kostengünstig umsetzen lässt. Basierend auf der VDI/VDE 2180 „Sicherung von Anlagen der Verfahrenstechnik mit Mitteln der Prozessleittechnik (PLT)“ werden in diesem Tool die vereinfachten Formeln der Ausfallwahrscheinlichkeiten PFD verwendet. Gleichzeitig wird die Integrität der Architektur der Safety Instrumented Function (SIF) überprüft. „Dabei stellt eigentlich das Zusammensuchen der dafür nötigen Daten die größte Herausforderung da“, so die Erfahrung von Handermann.

Automatisierte Wiederholprüfung

Praktisch wurde es in den begleiteten Workshops. So stellte Christian Rützel, Endress+Hauser (Deutschland) vor, wie sich durch die flexible Automatisierung von Geräteprüfungen Produktionsausfälle und Instandhaltungskosten reduzieren lassen.

Christian Rützel, Endress+Hauser
Christian Rützel, Endress+Hauser
(Bild: Endress+Hauser)

„Die jährliche Wiederholungsprüfung gerade bei Durchfluss – Sicherheitseinrichtungen ist meist mit hohem Aufwand und Kosten verbunden. Die notwendigen Arbeiten binden das Instandhaltungspersonal und erfordern häufig einen ausreichend langen Anlagenstillstand, da die Geräte meist zur Kalibrierung ausgebaut und extern geprüft werden müssen“, so Rützel.

Durch das SIL-Gerätekonzept ist sichergestellt, dass im gesamten Prozess, von der Planung bis zur Prüfung der PLT-Sicherheitseinrichtung, systematische Fehler vermieden werden. Im Prozessbetrieb kann etwa mit der Heartbeat-Technologie und den entsprechenden Diagnosen mittlerweile eine höhere Diagnosetiefe erreicht werden, was sich in höheren SFF- bzw. niedrigeren λDU-Werten widerspiegelt. Dadurch lassen sich systematische Fehler wie Belagsbildung in der Rohrleitung oder Korrosion zweifelsfrei detektiert werden. Auch bei der Wiederholprüfung lässt sich inzwischen mit der Heartbeat-Technologie viel Zeit sparen. Neben der OnBoard-Diagnose nach NE 107 findet im SIL-Betrieb alle 30 Minuten ein Volltest statt. „Diese automatisierten Arbeitsabläufe vermeiden Fehler, unterstützen bei der Prüfung und reduzieren letztendlich den Prüfungsstress“, ist Rützel überzeugt.

Zündquellenüberwachung im Ex-Bereich

Das Zusammenspiel zwischen den Normen bei der Zündquellenbewertung nach SIL und den gesetzlichen Anforderungen beschrieb Matthias Garbsch von Jumo unter anderem am Beispiel von Pumpen, Gasflaschen und einer elektrischen Heizung an einer Verbindungsleitung.

Matthias Garbsch, Jumo
Matthias Garbsch, Jumo
(Bild: Jumo)

Um sich im Normen- und Richtliniendschungel zurecht zu finden, empfiehlt Garbsch auf die Rechtshierarchie im Arbeitsschutz zu schauen und dort auf die Ebene, die sich auf den Stand der Technik bezieht. Hier findet man alle wichtigen Normen, Technischen Regeln etc. Dennoch schaffen es Anwender immer wieder, die Vorgaben zu übergehen, wie Garbsch an eindrucksvollen Beispielen erläuterte.

Um solche Fälle zu vermeiden und dem Anwender das Leben in der Praxis zu erleichtern, hat Jumo sein Konzept Safety Performance entwickelt. „Allein durch Normenanwendung lassen sich 45 Prozent an Fehlern reduzieren und zwar zufällige und systematische Fehler“, ist sich Garbsch mit Hinblick auf die Fehlerbetrachtung sicher.

Und was ist mit nicht-elektrischen Komponenten?

Und wie berücksichtigt man nichtelektrische Komponenten beim SIL-Nachweis? Antworten darauf lieferte Dr. Andreas Hildebrandt von Pepperl+Fuchs. Während bei elektrischen, elektronischen und programmierbaren elektronischen Systemen der SIL-Nachweis ausreichend gut beschrieben ist, gibt es beim Einsatz anderer Technologien durchaus offene Fragen. „Hier müssen die Normen entsprechend interpretiert und sinngemäß auf diese Komponenten angewendet werden“, so Dr. Hildebrandt. Orientierung geben die folgenden vier Fragen:

• Wurden systematische Fehler beim Einsatz der Komponente ausreichend vermieden (Organisation, Management)?

• Sind die für den jeweiligen SIL geforderten Maßnahmen zur Fehlerbeherrschung implementiert (Redundanz, Diagnose)?

• Sind die Komponenten fähig, die Sicherheitsfunktion bis zu dem geforderten SIL zu unterstützen (SIL-Eignung der Komponenten)?

• Ist ein Versagen aufgrund zufälliger Fehler ausreichend unwahrscheinlich (Lambda-Werte)?

Vor allem die letzte Frage führt seiner Erfahrung nach oft zu längeren und zum Teil auch kontrovers geführten Diskussionen. In seinem Vortrag verwies er daher auf Aspekte, die das zufällige Versagen betreffen. Zwar ist vieles eine Frage der Wahrscheinlichkeitsberechnung, allerdings gibt es hier einige Fallstricke. Vor allem warnte Dr. Hildebrandt davor, „Nichtwissen durch Wahrscheinlichkeit zu kompensieren.“

Neuerungen durch das Sicherheitsgesetz 2.0

Weg vom Gerät und dem Explosionsschutz ging es im Anschluss zum Thema Datensicherheit. Kürzlich wurde das IT-Sicherheitsgesetzes 2.0 verabschiedet. Dieses enthält eine deutlich erweiterte Definition des Begriffs „Infrastrukturbetreiber“, wodurch auch Unternehmen der Prozessindustrie betroffen sein können. Größte Veränderung: Die Zahl der betroffenen Firmen hat sich schlagartig erhöht. Jörg Junge, Virtual Fort Knox, beschrieb die Problematiken. Eine Herausforderung sieht er darin, dass sich die betrieblichen und technischen Anforderungen von Operations Technology (OT) und Information Technology (IT) in den vergangenen Jahren komplett unterschiedlich entwickelt haben. „Hier ist eine enge Zusammenarbeit der Teams unabdingbar“, so Junge. Wer meint, dass dies nicht nötig sei, sollte auf den Ransomware-Angriff auf die Colonial Pipeline im Mai 2021 schauen. Eigentlich beschränkten sich die Angriffe auf die IT-Ebene, hatten aber auch enorme Auswirkungen auf OT-Bereiche.

Aufgabe der Unternehmensführung ist es daher, eine Security-Policy zu formulieren. Eine weltweit anerkannte Basis dafür ist die ISO 27001 (IT-Sicherheitsverfahren – Informationssicherheits-Managementsysteme – Anforderungen) und für Deutschland der darauf aufbauende BSI IT-Grundschutz. Konkret beschrieb Junge, welche Schritte zur Verbesserung der Sicherheit nötig sind. Dazu gehört die Durchführung einer Risikoanalyse und die Errichtung von Sicherheitszonen. Anhand von eindrucksvollen Beispielen zeigte Junge, wo die Schwachstellen liegen, aber auch welche einfachen technischen Maßnahmen zur Abwehr möglich sind. Entscheidend sei - so Junge, dass mit einmaligen Maßnahmen keine nachhaltige IT-Security hergestellt werden kann.

Ransomware Cyber-Angriffe auf Unternehmensnetzwerke

Zum Abschluss berichtete Benjamin Kunz Mejri, Evolution Security, über Ransomware Cyber-Angriffe auf Unternehmensnetzwerke. Ein Problem, dass vor allem in den vergangenen zwei Jahren für internationale Aufmerksamkeit gesorgt hat. Allein 2021 stiegen die Ransomware-Angriffe um 70 Prozent und zwei Drittel der deutschen Unternehmen waren schon betroffen. Betroffene Unternehmen waren oft schwer oder in Teilen in der Verfügbarkeit sowie der Arbeitsfähigkeit (Betriebsausfälle - z.B. Verwaltung, Wirtschaft, Logistik, Produktion) eingeschränkt. „Jeder dieser Unternehmen hatte eigentlich Sicherungsmaßnahmen ergriffen“, so Kunz Mejri, der anhand jüngster Angriffe erklärte, welche Mechanismen die Hacker benutzen und welche Schäden diese verursachten. Abschließend gab er noch Tipps, wie man seine Netzwerke schützt, wie man agiert, wenn es zu einem Zwischenfall kommt und vor allem worauf man achten muss, wenn die Bedrohungslage vorbei ist.

(ID:47490762)