Worldwide China Indien

Meilenstein Sicherheitstechnik

wird präsentiert von

Safety und Security

Vernetzt aber trotzdem sicher – Wie Sie Safety und Security unter einen Hut bekommen

| Autor / Redakteur: Alexander Horch* / Anke Geipel-Kern

Die Verschlüsselung sicherer Kommunikation wird für Unternehmen immer wichtiger werden. Benötigt werden Protokolle und Techniken, die nicht nur Safety unterstützen sondern auch die Security erhöhen.
Die Verschlüsselung sicherer Kommunikation wird für Unternehmen immer wichtiger werden. Benötigt werden Protokolle und Techniken, die nicht nur Safety unterstützen sondern auch die Security erhöhen. (Bild: Hima Paul Hildebrandt GmbH)

Verschlüsselung sicherer Kommunikation – Klärung eines Widerspruchs – Die zunehmende Digitalisierung der industriellen Automation bedingt auch eine stärkere Vernetzung von Industrie-Anlagen. Dabei kommen immer häufiger öffentliche und teil-öffentliche Netze zum Einsatz. Gegen Angriffe von außen und innen kann die Kommunikation über unsichere Netze mittels Kryptografie abgesichert werden. Der Zugewinn an IT-Security birgt jedoch Risiken an anderer Stelle. Dies wirft die Frage auf, ob die „Funktionale Sicherheit“ noch gewährleistet ist, wenn Safety-Protokolle verschlüsselt werden.

Ein wesentlicher Grundpfeiler der industriellen Automation ist die Kommunikation. Wo zunächst Feldbustechnik für den Austausch von Daten, Steuerungsbefehlen, Alarmen und Ähnlichem zum Einsatz kam, hat inzwischen auch IP-basierte Technik Einzug gehalten.

Event-Tipp der Redaktion Funktionale Sicherheit ist in der Prozessindustrie von entscheidender Bedeutung. PROCESS widmet diesem Thema daher am 12. September 2019 erstmals in Form des SIL-Forum eine eigene Plattform. Im Fokus stehen Lösungsansätze und Experten-Tipps für den beruflichen Alltag sowie der Erfahrungsaustausch, begleitet von einer Fachausstellung sowie vier Exklusiv-Workshops zu ausgewählten Themen.

Doch während die Office-IT mit einfachem Ethernet als Standard auskommt, hat die automatisierte Fertigungs- und Produktionssteuerung spezielle Anforderungen.

Protokolle und Normen zur Funktionalen Sicherheit

Eine der wichtigsten ist die Gewährleistung von Funktionaler Sicherheit („Safety“). Einige Hinweise auf Sicherheitsfunktionen finden sich in IEC 61508-2. Diese Norm befasst sich zwar nur allgemein mit der Safety elektronischer Systeme, nimmt dabei aber auch Bezug auf eine sichere (safe) Kommunikation.

Aufgrund dieser Anforderungen in der Automation ist es nicht verwunderlich, dass es eine ganze Reihe von Protokollen gibt, die mit speziellen Safety-Funktionen aufwarten. Profisafe, CIP-Safety, Safe-over-Ethercat, Safetybus, Opensafety (Powerlink) und CC-Link Safety sind nur einige der prominentesten Vertreter dieser Kategorie.

Zehn Protokolle sind in der Norm IEC61784-3 namentlich aufgeführt. Hier finden sich Angaben, welche Kommunikationsfehler Safety-Funktionen gefährden und daher von sicheren Protokollen abgefangen werden müssen:

  • Verfälschung,
  • unbeabsichtigte Wiederholung,
  • falsche Abfolge (z.B. Befehle in falscher Reihenfolge),
  • Verlust,
  • inakzeptable Verzögerung,
  • Einfügen (Nachrichten aus unerwarteten Quellen),
  • Maskerade (von Non-Safe-Elementen generierte Nachrichten, die safe werden),
  • Adressierung (Zustellung an falsche Empfänger).

Solange die industrielle Kommunikation autark war und sich auf spezielle Industrie-Standards stützte, war das Risiko für Fehler oder Ausfälle bei der Datenübertragung überschaubar. Mit technischen Maßnahmen ließ es sich auf ein akzeptables Niveau begrenzen. Mit dem Einsatz von drahtloser Vernetzung, der Nutzung von Mobilfunktechnologien und vor allem der Öffnung zum Internet sind nun auch öffentliche und teilöffentliche Netze Teil der Kommunikations-Infrastruktur. Diese eröffnen neue Risiken.

Unternehmen fordern zunehmend den Einsatz von Protokollen und Techniken, die nicht nur Safety unterstützen, sondern auch die Security erhöhen. Deshalb ist es eine ganz eigene Aufgabe, Datensicherheit („Security“) zu gewährleisten.

Keine Safety ohne Security

Funktionale Sicherheit und Datensicherheit verfolgen unterschiedliche Ziele, die unterschiedliche Methoden verlangen. Zugleich gibt es aber Abhängigkeiten: Safety ist ohne Security nicht denkbar. Denn eine angreifbare Kommunikations-Infrastruktur, die etwa Authentizität und Integrität der übertragenen Daten sowie die Zuverlässigkeit der Datenzustellung nicht garantieren kann, stellt die Einhaltung von Safety infrage.

Diese beruht, wie in der Liste oben beschrieben, u.a. darauf, dass Informationspakete nicht verfälscht werden. Was aber, wenn die Steuerung nicht mit der echten Füllstandmessung kommuniziert, sondern aufgrund eines Hackerangriffs mit der Simulation einer Füllstandmessung, die ständig „Füllstand 70 %“ signalisiert? Oder wenn ein DDoS-Angriff (Distributed Denial of Service) jegliche reguläre Kommunikation auf dem Netz komplett zum Erliegen bringt?

Im ersten Fall könnte die Anlage gefährliche Aktionen ausführen, im zweiten Fall könnte unter Umständen sogar der Not-Stopp unterbunden werden. Umgekehrt ist ein Protokoll, das für ein hohes Maß an Datensicherheit sorgt und daher als „secure“ gelten kann, nicht automatisch ein „Safety“-Protokoll.

Security ist bei OPC UA bereits implementiert

Ein vorbildlicher Kommunikationsstandard, bei dem Security-Funktionen bereits bei der Entwicklung mitgedacht wurden, ist OPC UA. Das Besondere daran: Im Sinne der Security sind Authentifizierung, Autorisierung, Verschlüsselung und Datenintegrität bereits spezifiziert.

Diese Plattform wurde ausführlich vom Bundesamt für Sicherheit in der Informationstechnik (BSI) geprüft und für geeignet befunden. Auch aus diesem Grund wurde OPC UA von der Plattform Industrie 4.0 als einer der grundlegenden Bausteine in die Spezifikation von Industrie 4.0 aufgenommen und wird dementsprechend bereits von vielen Herstellern unterstützt.

Trotzdem werden auf der Feldebene andere Protokolle genutzt

Trotz der guten Eignung von OPC UA aus Security-Sicht findet heutige Kommunikation, insbesondere auf der Feldebene, noch mittels anderer Übertragungsprotokolle statt. Ein Grund hierfür ist die gerade erst in der Entwicklung befindliche Echtzeitfähigkeit und ein Safety-Layer für OPC UA. Es stellt sich daher die Frage, ob bestehende Kommunikationsnetze, die mithilfe von Safety-Protokollen implementiert wurden, per Kryptografie abgesichert werden und dabei trotzdem als safe gelten können.

Wie Security zum Safety-Risiko wird

Security-Maßnahmen dürfen das SIL-Level eines Systems nicht beeinflussen. Dies ist in der Praxis unbedingt auszuschließen, um die geforderte Risikoreduzierung sicher zu stellen. Aus diesem Grund befasst sich eine Arbeitsgruppe der IEC – Technical Committee TC65 – mit diesem Problem. Gerade das Thema Verschlüsselung ist mit besonderen Herausforderungen verbunden.

So benötigt die Erzeugung kryptografischer Signaturen, von Hash-Werten oder die vollständige Verschlüsselung der Datenübertragung zusätzliche Rechenzeit. Dies kann bei Systemen, die bereits an der Leistungsgrenze arbeiten, zu erhöhten Reaktionszeiten führen und damit womöglich eine Anpassung des Konzeptes der Funktionalen Sicherheit nach sich ziehen.

Des Weiteren ist die zu beherrschende Bitfehlerwahrscheinlichkeit (BEP, Bit Error Probability) der Übertragungsstrecke zu berücksichtigen.

Bitfehlerwahrscheinlichkeit verändert den Informationsgehalt verschlüsselter Nachrichten

Die Bitfehlerwahrscheinlichkeit beschreibt wie hoch die Wahrscheinlichkeit ist, dass ein Bit auf dem Übertragungsweg seinen Zustand ändert. Aufgrund der verwendeten Verschlüsselungsalgorithmen verändert ein einzelnes Bit im Chiffrat nicht nur ein korrespondierendes Bit in der entschlüsselten Nachricht. Der Fehler bleibt nicht einmal auf ein Byte beschränkt, sondern es wird ein gesamter Informationsblock verändert.

In der Praxis generiert beispielsweise ein typisches Safety-Telegramm, bestehend aus 12 Byte, eine verschlüsselte Nachricht von 128 Bit Länge (ein Informationsblock). Verändert man ein einzelnes Bit im Chiffrat und versucht dann die Nachricht zu entschlüsseln, zeigt sich gegenüber der ursprünglichen Nachricht im Mittel eine Abweichung bei 64 Bit, also der Hälfte der übertragenen Information.

Informationsveränderung führt zu Konflikt mit der Norm

Das führt zu einem Konflikt mit der bestehenden Norm. IEC61784-3 fordert eine Fehlererkennung (z.B. mittels zyklischer Redundanzprüfung CRC, Cyclic Redunancy Check), die für eine Bitfehlerwahrscheinlichkeit von 0,01 ausreichend ist. Im Gegensatz dazu fordert die Bahnnorm EN50159 das gleiche für eine BEP von 0,5 und geht damit vom maximal möglichen Fehlerwert aus.

Wie gezeigt steigt der BEP-Wert im Falle von verschlüsselt übertragenen Meldungen sehr stark. Gerade in der Kombination von Safety und Security müssen daher hohe Maßstäbe an die Robustheit des Safety-Protokolls angelegt werden und eine BEP von 0,5 beherrscht werden.

Fazit: Die Kommunikation basierend auf OPC UA findet in der Prozessindustrie zunehmend Verbreitung. Als Nachfolger des gut etablierten OPC Standards, der für die Kommunikation der Controller-Ebene mit überlagerten Ebenen intensiv genutzt wurde, wird OPC UA zukünftig um die Eigenschaften Echtzeitfähigkeit und Safety erweitert werden.

Bei Neuinstallationen bietet sich die Nutzung von OPC UA heute schon oft an, das neben Safety- und Security-Funktionen noch eine Reihe weiterer Vorteile bietet. Auch beim Retrofit ist im Zusammenspiel mit der Anpassung an Industrie-4.0-Anforderungen eine Umstellung auf dieses Protokoll auf jeden Fall eine interessante Option. Es gibt aber durchaus Anwendungsfälle, in denen es bessere Alternativen gibt.

Hier sind zwei Bedingungen zu berücksichtigen: Zum einen muss die SPS oder das SIS (Safety Instrumented System) solche Alternativen zulassen, zum anderen muss beim Einsatz von Verschlüsselung zur Herstellung von Automation Security darauf geachtet werden, dass die beschriebene Bitfehlerwahrscheinlichkeit von 0,5 beherrscht wird.

* * Der Autor ist Vice President Research, Development & Product Management bei der Hima Paul Hildebrandt GmbH in Brühl.

* Kontakt: Tel. +49-6202-709-0

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45997893 / Meilenstein: Sicherheitstechnik)