Cyber Security im Lifecycle Wie Anlagenbetreiber automatisierte Sicherheitseinrichtungen schützen

Anbieter zum Thema

Haus der Technik e.V.

Weidmüller GTI Software GmbH

Infraserv GmbH & Co. Höchst KG

Vogel Communications Group GmbH & Co. KG

Täglich finden weltweit mehr als sechs Millionen Cyberangriffe statt. Häufig gelten die Angriffe Industrieunternehmen, denen durch Datendiebstahl oder durch Eingriffe in die Produktionsabläufe ernsthafte Schäden entstehen. Während Industrie 4.0 die Modernisierung von Betrieben durch digitale Technologien und vernetzte Produktionsanlagen fordert, nimmt gleichzeitig die Angriffsfläche für Cyberangriffe zu. Wie sorgen Anlagenbetreiber dabei für Cyber Security im Lebenszyklus von automatisierten Sicherheitseinrichtungen?

Um Gefahren, die von technischen Systemen ausgehen, auf ein akzeptiertes Maß zu reduzieren, wird vielfach programmierbare, sicherheitsgerichtete Leittechnik eingesetzt, im Folgenden als automatisierte Sicherheitseinrichtung oder Safety Instrumented System (SIS) bezeichnet. Automatisierte Sicherheitseinrichtungen haben eine beobachtende Funktion und greifen im Anforderungsfall durch Aktivierung von Stellorganen in den Betrieb technischer Systeme ein, um vorab identifizierte, gefährliche Ereignisse zu verhindern. Automatisierte Sicherheitseinrichtungen umfassen typischerweise mehrere automatisierte Sicherheitsfunktionen, die als funktionale Einheiten jeweils eine Sicherheitsschaltung realisieren.

In zunehmendem Maß stellen automatisierte Sicherheitsfunktionen einen wichtigen Bestandteil des Sicherheitskonzeptes technischer Systeme dar. Dies zeigt sich insbesondere in der Absicherung chemischer Produktionen, aus deren Sicht der vorliegende Buchabschnitt geschrieben wurde. In Bild C.4.1 ist beispielhaft das Schema einer automatisierten Sicherheitsfunktion zur Begrenzung des Drucks in einem Behälter einer verfahrenstechnischen Anlage dargestellt. Die Sicherheitsfunktion (PZþ) besteht aus dem Sensorteil, der Verarbeitungseinheit und der Aktorik. Automatisierte Sicherheitsfunktionen kommen in zahlreichen weiteren technischen Bereichen zur Anwendung, z.B. in der Fertigung, in Transportsystemen oder in der Energieversorgung.

Integrität

Die Integrität eines SIS bezeichnet dessen fehlerfreies, bestimmungsgemäßes Funktionieren. Planungs- und Umsetzungsfehler, technische Fehler oder aber Manipulation bzw. Kompromittieren, z.B. durch einen Cyberangriff, können zum Verlust der Integrität führen. Ein zentraler 171 Aspekt beim Betrieb von SISen ist das Sicherstellen der vorab festgelegten und bei der Umsetzung realisierten Versagensrate. Dabei wird zwischen sicheren und gefährlichen sowie zwischen erkannten und unerkannten Fehlern unterschieden. Sichere Fehler führen nicht zum Versagen einer Sicherheitsfunktion, d.h., das Überführen des technischen Systems in einen gefahrlosen Zustand bleibt gewährleistet. Gefährliche Fehler führen zum Versagen von Sicherheitsfunktionen, was im Anforderungsfall zu erheblichen Umwelt- und Personenschäden führen kann. Das Verhindern des gefährlichen Versagens von Sicherheitsfunktionen ist wesentliches Ziel im Lebenszyklus von SISen. Im Folgenden wird die Bezeichnung «gefährliches Versagen» von automatisierten Sicherheitsfunktionen verwendet, womit das Versagen von Sicherheitsfunktionen, z.B. durch Kompromittieren oder das Auftreten gefährlicher Fehler, bezeichnet wird, das nicht automatisch erkannt wird.

Functional Safety Management und SIS-Lebenszyklus

In der Europäischen Union ist die Verantwortung bzgl. der Sicherheit technischer Systeme z.B. durch Artikel 95 EG-Vertrag (freier Warenverkehr) und Artikel 153 EG-Vertrag (Arbeitsschutz) geregelt. Weiter konkretisiert wird dies z.B. durch die Niederspannungsrichtlinie (2006/95/EG), die Maschinenrichtlinie (2006/42/EG) oder die Rahmenrichtlinie für Arbeitsschutz (89/391/EWG). Durch sie sind Hersteller und Betreiber technischer Systeme verpflichtet, deren Sicherheit zu gewährleisten, d.h., bezogen auf das in diesem Abschnitt behandelte Thema, die Integrität von SISen sicherzustellen.

Da Sicherheit von der Technologie, aber im erheblichen Umfang auch vom Umgang mit der Technologie abhängt, etablieren Betreiber in ihrem Verantwortungsbereich ein Management der funktionalen Sicherheit (engl.: Functional Safety Management, FSM) als Teil der Betriebsorganisation. Für das Vermeiden von Fehlern in sicherheitsgerichteten Einrichtungen existieren weitreichende und umfangreiche Regelwerke und Normen, die im Rahmen des Functional Safety Managements zur Anwendung kommen. Sie regulieren Methoden und Organisationsstrukturen für den «SIS-Lifecycle-Support», der alle Aspekte und Phasen des SIS-Lebenszyklus umfasst. Speziell der Schutz von SISen vor Kompromittierung infolge von Cyberangriffen bedarf aufgrund der besonderen Anforderungen an SISen der Entwicklung dedizierter Konzepte, Methoden und Werkzeuge. Mit dem Verhindern des gefährlichen Versagens der automatisierten Sicherheitseinrichtung als primäres Ziel sollte der Cyberschutz von SISen als Teil des Functional Safety Managements realisiert werden (s. z.B.: BSI, IT-Grundschutz, IND.2.7: Safety Instrumented Systems, Umsetzungshinweise Abschnitt 2.2, IND.2.7.M4 Verankerung von Informationssicherheit im Functional Safety Management, 25.4.2018). Sekundäres Ziel sollte das Verhindern des sicheren Auslösens von Sicherheitsfunktionen in Folge eines Cyberangriffes sein, um die Anforderungsrate der Sicherheitsfunktionen zu gewährleisten.

Der Lebenszyklus eines SIS umfasst die Phasen

• Gefahren- und Risikoanalyse des technischen Systems,

• Entwurf des SIS einschl. Spezifikation,

• Umsetzung (Detailspezifikation aller SIS-Elemente, Planung, Aufbau, Prüfung und Abnahme),

• Betrieb (Monitoring, Wiederholungsprüfung, Reparatur),

• Änderung (Umbau, Erweiterung, Modernisierung oder Migration),

• Stilllegung.

Grundsätzlich unterstützt die fachmännische Anwendung geltender Normen die Gewährleistung der Integrität von Sicherheitsfunktionen und schafft damit eine Basis für den sicheren Betrieb technischer Systeme. Je nach Anwendungsgebiet sind unterschiedliche Normen für Komponentenhersteller, SIS-Ersteller bzw. -Betreiber relevant (u.a. IEC 61 508 als grundlegende Norm für Funktionale Sicherheit, IEC 61 511 für die Prozessindustrie, EN ISO 13 849 und IEC 62 061 für Maschinensicherheit, ISO 26 262 im Bereich Automobil oder IEC 62 280 für den Bereich Railway). Ziel der Normen ist es, Anforderungen und Konzepte zur Vermeidung des gefährlichen Versagens von SISen für alle Lebenszyklusphasen zu standardisieren. Die Normen sind auf das Vermeiden von Entwurfs-, Umsetzungs- und technischen Fehlern ausgerichtet. Dagegen beziehen sich Cyberrisiken auf gezielt herbeigeführtes Versagen von SISen unter Ausnutzung von IT-Sicherheitslücken, was sich bezüglich der Versagensursache grundsätzlich von Fehlern unterscheidet. Daher werden, um Kompromittierung zu verhindern, gezielt darauf ausgerichtete Methoden und Werkzeuge benötigt.

Cyberrisiko für automatisierte Sicherheitseinrichtungen

Betrachtungsgegenstand und funktionale Trennung der Automatisierung

Im technischen Aufbau umfassen automatisierte Sicherheitseinrichtungen folgende Teile (s. auch Bild C.4.2):

• automatisierte Sicherheitsfunktionen, bestehend aus Sensorik, Aktorik, Signalübertragung und -verarbeitung, sicherheitsgerichteter Steuerung und Funktionslogik,

• Bedien-, Wartungs- und Engineeringsysteme für die Komponenten der automatisierten Sicherheitsfunktionen,

• Bedien- und Beobachtungskomponenten der automatisierten Sicherheitsfunktionen, z.B. in nicht-sicherheitsgerichteten Automatisierungssystemen, sowie

• zugehörige Datenkopplungen.

Ein wesentliches Prinzip zur Gewährleistung der Integrität eines SIS ist die Trennung sowohl des funktionalen Aufbaus der Sicherheitsfunktionen und des SIS als auch der dazu erforderlichen Engineeringsysteme, von der nicht-sicherheitsgerichteten Automatisierung und deren Engineeringsystemen. Dies bezieht sich, über die technische Umsetzung hinausgehend, auch auf die Trennung der Tätigkeiten im Lifecycle-Support der Systeme. Die konsequente Anwendung dieses Prinzips führt in der Prozessindustrie zur weitgehenden physikalischen und funktionalen Trennung von Sicherheits- und Nicht-Sicherheitsfunktionen, wie z.B. in den Bildern C.4.1 und C.4.2 dargestellt.

Aufgrund einer zunehmenden Funktionalität können SISen allerdings nicht vollständig isoliert von der nicht-sicherheitsgerichteten Automatisierung aufgebaut werden. Vielmehr bestehen die wie in Bild C.4.2 dargestellten typischen, permanenten oder temporären Datenverbindungen der Elemente der automatisierten Sicherheitsfunktionen zu

• Konfigurationssystemen der Sensoren und Aktoren (Asset-Management-Systeme, AMS),

• Engineeringsystemen der Sicherheitssteuerung und der Signalverarbeitung,

• Bedienstationen, u.U. mit sicherheitsrelevanten Funktionen (SIS-Bedienpanel),

• nicht-sicherheitsgerichteten Automatisierungssystemen (z.B. zum Bedienen und Beobachten des SIS sowie zur Langzeitarchivierung von Betriebsdaten für Monitoring- und Diagnoseaufgaben) und

• Elementen aus der IT-Infrastruktur (z.B. zur Nutzeradministration und der Versorgung mit Patches sowie zur Handhabung von Konfigurationen und Anwenderprogrammen).

Die Elemente der automatisierten Sicherheitseinrichtungen und des SIS-Lifecycle-Supports, deren Manipulation zum gefährlichen Versagen von automatisierten Sicherheitsfunktionen führen können, bilden den «Betrachtungsgegenstand» für eine Absicherung gegen Cyberangriffe (engl.: System under Consideration, im Folgenden auch als SuC abgekürzt). Ein SuC umfasst demnach einerseits den physikalischen Aufbau, Daten und Konfigurationen des SIS und andererseits Organisation, Personen, Prozesse sowie Methoden, Werkzeuge und Daten und Dokumente des SISLifecycle-Supports.

Bedrohung durch Cyberangriffe

Der zunehmende Einsatz von programmierbaren Komponenten und Datenverbindungen in SISen unterstützt Effizienzsteigerungen u.a. beim Betrieb der Systeme, z.B. im Bereich Bedienung, Wartung, Änderung, Wiederholungsprüfung, Monitoring und Diagnose. Allerdings können dadurch Cyber-Sicherheitslücken entstehen, wodurch das Risiko von Kompromittierungen durch Cyberangriffe zunimmt.

Manipulationen bzw. Kompromittierungen unterscheiden sich von unbeabsichtigt herbeigeführten oder zufälligen technischen Fehlern in mehreren Punkten:

• Ein gleichzeitiges gefährliches Versagen einer Vielzahl von Funktionen ist möglich – mit potenziell gravierenderen Auswirkungen als bei Einzelfehlern.

• Die Ursache des Versagens ist «intelligent», wodurch komplexe Versagens-Szenarien möglich werden.

• Bei gefährlichem Versagen eines SIS aufgrund von Cyberangriffen geht es hauptsächlich um den Verlust der Integrität von Daten und Software in programmierbaren und programmtechnisch konfigurierbaren Systemkomponenten einschließlich der Datenverbindungen.

• Sicherheitskonzepte und Sicherungsmaßnahmen gegen Cyberangriffe sind naturgemäß eher auf «IT-Aspekte» ausgerichtet und nur zum geringeren Teil von mechanisch-technischer Art.

• Für die Realisierung von Sicherheitskonzepten sind, neben einer Qualifikation im Bereich Functional Safety Management, Kenntnisse im Bereich IT Security erforderlich, um Cybersicherheit für SISen gewährleisten zu können.

Das Manipulieren bzw. Kompromittieren eines SIS kann das absichtliche Herbeiführen einer Gefahr darstellen. Veröffentlichte Ereignisse von erfolgreichen Cyberangriffen auf Automatisierungssysteme zeigen, dass die Bedrohung real ist. Insbesondere für automatisierte Sicherheitseinrichtungen mit niedriger Anforderungsrate werden aus Betreibersicht folgende drei Auswirkungen von technischem Versagen durch Kompromittierung unterschieden:

• Auslösen der Sicherheitsfunktion (sicher, aber nicht erwünscht),

• Deaktivieren von Sicherheitsfunktionen (unsicher, da gefährliches Versagen),

• Deaktivieren von Sicherheitsfunktionen und anschließendes Herbeiführen des Anforderungsfalls (die gefährliche Situation tritt unmittelbar ein).

Zum Verhindern dieser Auswirkungen muss das SIS gegen Cyberangriffe geschützt werden. Dabei sind nicht nur neue oder modernisierte, sondern auch bestehende SISen Teil der Betrachtung. Für neue SISen ist es sinnvoll, Schutzmaßnahmen bereits beim Entwurf zu entwickeln und vor Inbetriebnahme umzusetzen (Security by design). Grundsätzlich sollte dabei bezüglich der Schwerpunkte der Maßnahmen zwischen Komponentenherstellern, Erstellern, Betreibern und Instandhaltern von SISen unterschieden werden, da sie unterschiedliche Verantwortlichkeiten, Aufgaben und Beiträge im Bereich der SISen und der SIS-Cybersicherheit haben.

Beim Identifizieren und Umsetzen von Cyber-Sicherungsmaßnahmen muss berücksichtigt werden, dass Cyberangriffe typischerweise in mehreren Schritten verlaufen, die in zwei Phasen eingeteilt werden können: Ausspähen des Systems sowie Planung und Durchführung des Angriffs (s. Bild C.4.3). Sicherungsmaßnahmen müssen so aufgesetzt sein, dass Ausspähen weitestgehend erschwert und ein erfolgreicher Angriff verhindert werden. Neben dem Schutz des SIS gegen Kompromittieren ist daher der Diebstahlschutz von Informationen über das SIS und von Daten aus dem SIS-Lebenszyklus ein wesentliches, präventives Element.

Grundsätzliches zur Cybersicherheit von SIS

Bestehende Normen und Regelwerke, z.B. IEC 62 443, beschreiben das Vorgehen zum Cyberschutz von Automatisierungssystemen gegen Cyberbedrohungen. Die Regelwerke können dazu beitragen, Cyber-Security-Konzepte, -Methoden und -Werkzeuge speziell für SISen zu entwickeln und umzusetzen. Dabei steht ein wesentliches Ziel im Vordergrund: Die im Rahmen der Risikoanalyse des technischen Systems spezifizierte Funktion eines SIS muss auch bei Cyberangriffen erhalten bleiben, d.h., gefährliches Versagen muss verhindert werden.

Angriffspunkte bei Daten, Prozessen und Organisationen aus allen Phasen eines SIS-Lebenszyklus können unterschieden werden in direkt oder indirekt relevant bezüglich der SIS-Integrität. Direkt relevant für die SIS-Integrität bedeutet in diesem Zusammenhang, dass durch Kompromittierung direkt das gefährliche Versagen von Sicherheitsfunktionen erreicht werden kann. Direkt relevant bezüglich der Integrität eines SIS können Konfigurationen, Systemprogramme und Anwenderprogramme von SIS-Komponenten, Datenkopplungen, Engineering-, Bedien-, Beobachtungs-und Überwachungssysteme sowie Asset-Management-Systeme des SIS sein. Typische indirekt relevante Angriffspunkte sind Dokumente wie beispielsweise SIS-Spezifikationen, Prüfdokumente und Prüfprozeduren oder Zugänge zu Dokumenten und Unterlagen.

Ein SIS kann auf vielfältige Weise manipuliert bzw. kompromittiert werden. Durch Standardisierung bei gleichzeitiger individueller Sicherung der Systeme bietet sich die Möglichkeit, diese Vielfalt einzuschränken. Sicherheitslücken können anhand der Analyse des SIS-Lebenszyklus systematisch erfasst und geschlossen werden. Unter Abwägung der Kritikalität der Sicherheitslücken können Gegenmaßnahmen definiert, priorisiert und umgesetzt werden. In diesem Sinne lässt sich ein Management der Cybersicherheit für SISen ausgehend von einem bereits standardisierten SIS-Lifecycle-Support entwickeln und umsetzen.

SIS-Cyber-Security-Management

Grundkonzept und Kernelemente

Potenzielle Gefahren einerseits sowie die speziellen technischen Anforderungen an den Cyberschutz von SISen andererseits motivieren die Entwicklung und Umsetzung eines Cyber-Sicherheitsmanagements (engl.: Cyber Security Management, im Folgenden auch mit CSM abgekürzt) für automatisierte Sicherheitseinrichtungen. Für die Realisierung eines SIS-Cyber-Security-Managements (im Folgenden auch mit SIS-CSM abgekürzt) spielt folgende Überlegung eine wesentliche Rolle. Wie in Abschnitt zuvor beschrieben, ist – als eines der zentralen Konzepte der funktionalen Sicherheit – eine ausreichende Trennung der nicht-sicherheitsgerichteten von der sicherheitsgerichteten Automatisierung umzusetzen. Technisch betrachtet wird dazu das SIS in die Cyber-Sicherheitszonen des Automatisierungsnetzwerkes integriert, wodurch bereits ein gewisser Schutz vor Cyberangriffen erreicht werden kann. Da ein SIS innerhalb der Automatisierung eine funktional weitestgehend abgeschlossene Einheit mit hohen Anforderungen an die Integrität darstellt, sollte es mit einem dedizierten, entsprechend angepassten Cyber-Sicherheitskonzept geschützt werden. So wird gewährleistet, dass es zuverlässig bestimmungsgemäß funktionieren kann.

Im Grundsatz muss also, unabhängig von der realisierten Cybersicherheit der nicht-sicherheitsgerichteten Automatisierung, für die Widerstandsfähigkeit des SIS gegen Cyberangriffe gesorgt werden, insbesondere gegen Angriffe, die gezielt auf das SIS ausgerichtet sind. Dabei sollte die Realisierung von Fail-Safe-Ansätzen angestrebt werden, um unbeabsichtigtes Kompromittieren des SIS – mit gefährlichem Versagen als Folge – zu verhindern. Angriffshäufigkeiten und Erfolgswahrscheinlichkeiten von Angriffen sollten nicht betrachtet werden, da sie statistisch nicht belastbar ermittelt werden können. Beim Entwickeln eines SIS-Cyber-Security-Managements kann, wie bereits beschrieben, auf bestehende Cyber-Security-Methoden und -Standards für Automatisierungssysteme aufgebaut werden. Deren Eignung und Wirksamkeit sollte in Bezug auf die Integritätsanforderungen der SISen geprüft werden. Folgende Elemente sollten im Rahmen eines SIS-CSM realisiert werden:

• SIS-Cyber-Sicherheitskonzept,

• Cyber-Risikoanalyse,

• Cyber-Risikohandhabung inkl. eines Incident Managements,

• personelle Organisation des SIS-CSM,

• Auditierung und kontinuierliche Verbesserung.

Dadurch werden wesentliche Kernelemente eines Cyber-Security-Managements abgedeckt. Ziel ist die Gewährleistung der Sicherheit des technischen Systems, d.h. der Integrität der automatisierten Sicherheitseinrichtung in den relevanten Phasen des Lebenszyklus. SIS-Cybersicherheit ist ein wichtiges Element zum Erreichen dieses Ziels – neben den Elementen des Functional-Safety-Managements. In den folgenden Abschnitten wird das SIS-CSM näher beschrieben.

SIS-Cyber-Sicherheitskonzept

Das SIS-Cyber-Sicherheitskonzept beschreibt das Ziel des SIS-CSM, den Anwendungsbereich und die Grundlagen für die Umsetzung eines Cyberschutzes für SISen. Dies schließt die Entwicklung, Anwendung und Pflege der dazu erforderlichen Methoden und Werkzeuge, auch bezüglich der Sicherung von Prozessen, Organisationsstrukturen und der ausführenden Personen im SIS-Lifecycle-Support, mit ein. Das SIS-Cyber-Sicherheitskonzept bildet damit ein wesentliches Element für die Entwicklung und Umsetzung des SIS-CSM. Wesentliche Punkte, die im SIS-Cyber-Sicherheitskonzept behandelt werden, können folgende sein:

• Eingrenzung des Anwendungsbereichs (betrachtete technische Systeme, betrachtete automatisierte Sicherheitssysteme),

• Beschreibung der Problemstellung (Verantwortung für die SIS-Integrität, betrachtete Gefahren durch Cyberangriffe, Begründung des Bedarfs eines Cyberschutzes),

• Einführen und Erklären der relevanten Themenfelder und Begriffe,

• Beschreibung der Lösung (Risikoanalyse und -handhabung, Maßnahmen, Auditierung und Verbesserung, Einbindung des SIS-CSM in das FSM),

• Organisation der ausführenden Personen,

• erforderliche Methoden und Werkzeuge.

SIS-Cyber-Risikoanalyse

Ziel der SIS-Cyber-Risikoanalyse ist das Identifizieren der potenziellen Gefahren, die z.B. durch Kompromittieren entstehen können, sowie die Identifikation der Cyber-Sicherheitslücken als mögliche Gefahrenquellen. Im Lebenszyklus des SIS erfolgt dies nach dem Allozieren von Sicherheitsfunktionen im Rahmen der Risikobetrachtung des abzusichernden technischen Systems als Teil der automatisierungstechnischen Umsetzung des SIS. Dabei sollten sich die Ersteller der Risikobetrachtung des technischen Systems darüber bewusst sein, dass eine automatisierte Sicherheitsfunktion einer Cyberbedrohung unterliegen kann, und dies beim Allozieren der Sicherheitsfunktionen berücksichtigen. Entwurf und Umsetzung der automatisierten Sicherheitsfunktion erfolgen durch entsprechend qualifizierte Automatisierungstechniker, die eine ausreichende Qualität bezüglich der geforderten Versagensrate der Sicherheitsfunktion realisieren.

Zu den Gefahren durch Cyber-Sicherheitslücken gehört, wie im vorigen Abschnitt beschrieben, das gefährliche Versagen einzelner oder mehrerer Sicherheitsfunktionen bzw. des gesamten SIS, ggf. bei gleichzeitigem Herbeiführen des Anforderungsfalls. Im Rahmen der SIS-Cyber-Risikoanalyse wird auf die daraus potenziell resultierenden, schweren Umwelt- und Personenschäden Bezug genommen, so dass darauf aufbauend im Rahmen der Risikohandhabung der Umfang der Cyber-Sicherungsmaßnahmen abgeleitet und bewertet werden kann. Die SIS-Cyber-Risikoanalyse kann als Fehleranalyse des umzusetzenden bzw. umgesetzten SIS in Bezug auf Cyberangriffe interpretiert werden. Die Prüfung des SIS-Cyberschutzes muss ein Teil der formalen Abnahme des SIS zur Erteilung der Betriebserlaubnis für das abgesicherte technische System werden.

Im Sinne der Cybersicherheit sind grundsätzlich dynamische und statische Daten manipulierbar. Daher sollten alle Elemente des SuC, also des SIS und des SIS-Lifecycle-Supports, bezüglich der Daten, deren Kompromittierung direkt oder indirekt zum gefährlichen Versagen von Sicherheitsfunktionen führen kann, auf Möglichkeiten des Ausspähens und auf ihre Kompromittierbarkeit analysiert werden. Die Effektivität und Effizienz dieser Aktivität hängt u.a. vom Standardisierungsgrad des SuC ab. Wenn für ein Element des SuC festgestellt wird, dass eine implementierte Sicherheitsfunktion durch Manipulation direkt oder indirekt außer Kraft gesetzt werden kann, so müssen Sicherungsmaßnahmen dagegen umgesetzt werden.

SIS-Cyber-Risikohandhabung

Die Risikohandhabung zielt auf den Schutz des SIS und des SIS-Lifecycle-Supports vor Ausspähen und Manipulieren bzw. Kompromittieren ab. Den Rahmen dazu bilden folgende Elemente, die mittels des SIS-CSM entwickelt und aktiviert werden:

• allgemeine Cyber-Sicherheitsrichtlinien sowie allgemeines und anwendungsspezifisches SISCyber-Sicherheitskonzept,

• Rollen und Verantwortlichkeiten,

• Qualifizierung sowie Bewusstsein für den Bedarf von SIS-CSM,

• Konzeption, Umsetzung, Prüfung und Verbesserung der Sicherungsmaßnahmen,

• Incident Management,

• Eingliederung in das Functional-Safety-Management.

Anhand der Risikoanalyse werden, ausgehend vom SIS-Cyber-Sicherheitskonzept, die Teilziele für die Sicherungsmaßnahmen konkretisiert. Dazu erfolgt zunächst die Bestandsaufnahme des SuC als Grundlage für die Analyse der Verwundbarkeiten. Das grundsätzliche Vorgehen zur Maßnahmenrealisierung und -wartung kann darauf aufbauend festgelegt und die abzudeckenden Maßnahmen-Kategorien sowie -Methoden, auch zur Gewährleistung der Wirksamkeit der Sicherung, können definiert werden.

Bezüglich der drei Kerneigenschaften Verfügbarkeit, Integrität und Grad des Informationsschutzes ergeben sich, im Vergleich zu anderen programmierbaren, vernetzten Automatisierungssystemen, folgende wichtigen Anforderungen für SISen:

• Realisierung von «Fail-safe»-Ansätzen (d.h. Anwendung robuster Konzepte und Technologien) zum Garantieren der SIS-Integrität in der Betriebsphase (im Vergleich zur nicht-sicherheitsgerichteten Automatisierung ist Verfügbarkeit auch wichtig, aber in diesem Zusammenhang zweitrangig),

• Schutz der Daten vor Diebstahl durch potenzielle Angreifer (zum Erschweren von Angriffen müssen Informationen zum SuC geschützt werden, IP-Schutz ist in diesem Zusammenhang zweitrangig),

• formales Prüfen und Dokumentieren der wesentlichen Schritte der Sicherungsaktivitäten,

• Favorisieren von Standardisierungen vor Individuallösungen (aufgrund der besseren Handhabbarkeit in Bezug auf die Langlebigkeit von SISen und den seltenen Möglichkeiten für Abschaltungen oder Neustarts der Systeme).

Alle Sicherungsmethoden, die zur Anwendung kommen sollen, müssen bezüglich ihrer Wirkung auf das SIS geprüft werden. Aufbauend auf diese Herangehensweise kann im Rahmen des SISCSM ein Rahmenwerk für Sicherungsmethoden und -maßnahmen erarbeitet und als Teil des SISCyber-

Sicherheitskonzepts realisiert werden.

SIS-Cyber-Sicherungsmaßnahmen

Im SIS-CSM stellen die Maßnahmen zur Sicherung des SIS sowie das Sicherstellen deren Wirksamkeit die zentralen und wesentlichen Elemente dar. Im Folgenden werden einzelne Sicherungsmaßnahmen auch als (Cyber-) Sicherungsmaßnahmen bezeichnet. Die Gesamtheit der Maßnahmen für ein konkretes SIS wird im Folgenden als «Realisierung der Sicherungsmaßnahmen » bzw. als «Realisierung des Cyberschutzes» bezeichnet.

Für SISen, die typischerweise in der Prozessindustrie umgesetzt werden, ermöglicht die Maßnahmen-Checkliste des Namur-Arbeitsblattes NA 163, Rev. 2017, ein systematisches Ableiten des Bedarfs für Cyber-Sicherungsmaßnahmen. Die Checkliste unterstützt damit die Risikohandhabung im Rahmen des SIS-CSM für diese Systeme. Details hierzu sind im NA 163 sowie den Anhängen beschrieben.

Abhängig von den jeweils realisierten Architekturen und dem Lebenszyklus-Konzept in den unterschiedlichen Bereichen der technischen Anwendung kann geprüft werden, ob auf dieser Basis eine Bewertung und Anpassung der Maßnahmen zur Entwicklung und Umsetzung eines SIS-Cyber-Security-Managements erfolgen kann. Dabei dürfen sich Cyber-Sicherungsmaßnahmen nicht gegenseitig aufheben. Sie sollen lückenlosen Schutz des SIS gewährleisten und folgende weitere Eigenschaften aufweisen, die vom Grundsatz für gute Lösungen im SISLifecycle gelten:

• ausreichend effektiv, um die identifizierten Gefahren abzuwehren,

• einschätzbar bezüglich des Umsetzungs- und Wartungsaufwandes,

• einfach umzusetzen und zu nutzen,

• möglichst geringe Auswirkungen auf den abgesicherten technischen Prozess,

• möglichst wartungsarm,

• untereinander unabhängig,

• in der Gesamtheit bezüglich Aufwand und Wirkung ausbalanciert.

Die Realisierung der Cyber-Sicherungsmaßnahmen für ein SIS sowie der Cyberschutz des SISLifecycle-Supports können so durch zielgerichtete Verminderung der Möglichkeiten von Cyberangriffen erreicht werden. Folgende Schutz- und Überwachungskonzepte sollten bei der Realisierung berücksichtigt werden:

• Personenschutz,

• physischer Zugangsschutz,

• Netzwerksegmentierung und Schutz der Netzwerkzonen,

• Zugangskontrolle und -administration,

• Sicherung der programmierbaren und konfigurierbaren SIS-Komponenten gegen Datendiebstahl und Kompromittierung,

• Überwachen, Aktualisieren und Sicherstellen der Wiederherstellbarkeit der Sicherungsmaßnahmen.

Die Sicherungsmaßnahmen sollten regelmäßig geprüft werden. Eine Dokumentation aller durchzuführenden und durchgeführten Schritte unterstützt einerseits den Nachweis der Maßnahmenumsetzung und andererseits die Realisierung eines SIS-Cyber-Security-Managements.

Organisation, Auditierung und kontinuierliche Verbesserung

Die Entwicklung und Umsetzung des SIS-Cyber-Security-Managements bedarf des Aufbaus von Organisationen und Prozessen sowie der Qualifikation und Beauftragung von Personen zur Durchführung der Aufgaben. So kann der Cyberschutz einerseits umgesetzt und andererseits auditiert und kontinuierlich verbessert werden. Diesbezüglich empfiehlt die Checkliste im Anhang des NA 163 eine Reihe von Maßnahmen und Aktivitäten. Dazu gehört u.a. die Schulung und Benennung eines Cyber-Security-Verantwortlichen für SISen, der über Grundkenntnisse der IT-Security und des Functional-Safety-Managements verfügt und der in die Organisation der IT-Security und des Functional-Safety-Managements eingebunden ist. Alle am SIS-Lebenszyklus beteiligten Personen sollen bezüglich SIS-Cyber-Security geschult sein und nach IEC 62 443-2-4 arbeiten. Ein Ereignis-Management sollte umgesetzt und im Fall von aktuellen Bedrohungen sollen Abläufe geregelt sein (Incident Management). Änderungen sollten, geregelt durch ein Change Management mit Änderungsverfolgung und Rollentrennung, nur nach Prüfung und Freigabe umgesetzt werden. Ereignisse sollen kontinuierlich nachverfolgt werden. Als Teil eines Schwachstellen- und Bedrohungsmanagements sollte ein Sicherheits-Informations-Ereignis-Management (SIEM) umgesetzt sein, einschließlich der Überwachung und Auswertung Cyber-sicherheitsrelevanter Meldungen. Meldungen von internen und externen Computer Emergency Response Teams (CERTs) sollten berücksichtigt werden.

Realisierungen von Sicherungsmaßnahmen sowie das SIS-CSM allgemein sollten regelmäßig auditiert werden. Eine jährliche Durchführung der Überprüfung des Cyberschutzes für operative SISen erscheint aufgrund der schnellen Entwicklungen im IT-Bereich sinnvoll. Auf dieser Basis und auf Basis der Auditierung des SIS-CSM sollten erkannte Schwachstellen identifiziert, dokumentiert und behoben werden.

Einbindung in den SIS-Lebenszyklus

Da der überwiegende Teil der Elemente des SIS-Lifecycle-Supports, direkt oder indirekt, Einfluss auf die Integrität von automatisierten Sicherheitseinrichtungen haben kann, ist es zweckmäßig, zunächst alle Elemente des SIS-Lifecycles (s. Bild C.4.4) im Rahmen der SISCyber-Risikoanalyse zu berücksichtigen.

Die Einbindung des SIS-Cyber-Security-Managements in den SIS-Lebenszyklus kann schrittweise umgesetzt werden. Zunächst kann ein risikobasierter Ansatz angewendet werden, der sukzessive vertieft und systematisiert wird. Zur Abwägung des Umfangs der Maßnahmen kann z.B. eine dreigliedrige Risikoeinschätzung in hoch – mittel – niedrig erfolgen. Wesentliche Verbesserung können schrittweise umgesetzt und regelmäßig bezüglich des identifizierten Risikos bewertet und angepasst werden. Parallel dazu kann das SIS-Cyber-Sicherheitskonzept im Rahmen des Functional-Safety-Managements entwickelt und umgesetzt werden.

Praktische Anwendbarkeit der Methoden

Um die aufgeführten Anforderungen in ein praxistaugliches SIS-Cyber-Sicherheitskonzept umzusetzen, ist eine Bündelung in Handlungsanweisungen sinnvoll. Es geht darum, «anwendertaugliche» Methoden und Werkzeuge zur Umsetzung der SIS-Cybersicherheit zur Verfügung zu stellen und zur Anwendung zu bringen. In diesem Zusammenhang kann auf das NAMUR-Arbeitsblatt NA 163, z.B. Teil 6, verwiesen werden, das auf SISen ausgerichtet ist, die in der Prozessindustrie nach IEC 61 511 aufgebaut und betrieben werden. Die Berücksichtigung der Eigenarten dieser SISen wird darin explizit hervorgehoben. Die Erfassung der Assets und die Risikoanalysen zum Identifizieren des Sicherungsbedarfs, d.h. der Sicherheitslücken und der Ausprägung vorhandener Sicherungsmaßnahmen, sollte vom Fachpersonal der Automatisierung in kurzer Zeit durchführbar sein. Die Werkzeuge zur Durchführung sollten vom SIS-Fachpersonal, das im Bereich IT-Sicherheit geschult ist, entwickelt und gepflegt werden können. Dabei sollte darauf geachtet werden, dass das SIS-Cyber-Security-Management immer kompatibel zu den Workflows und Prozessen des SIS-Lifecycles ist und diese nicht im Sinne der Erhöhung von Fehlerpotenzialen beeinflusst. Es muss möglich sein, trotz standardisierter Ansätze jede Realisierung von Sicherungsmaßnahmen auf den individuellen Lebenszyklus des jeweiligen SIS ausrichten zu können.

* Dr. Tobias Kleinert studierte Maschinenbau an der Rheinisch-Westfälisch Technischen Hochschule Aachen. Seit der Promotion an der Ruhr-Universität Bochum arbeitet er für BASF u.a. in den Bereichen Advanced Process Control, Produktionstechnologie HPPO und der Technischen Expertise Automatisierung. Im Arbeitskreis 4.18 Automation Security der Namur Interessengemeinschaft Automatisierungstechnik der Prozessindustrie e.V. arbeitete er aktiv an der Entwicklung des Arbeitsblattes NA 163 Security for Safety mit.

* Thomas Leifeld studierte Elektrotechnik an der Technischen Universität Kaiserslautern und der University of Edinburgh. Im Anschluss forschte er an der Technischen Universität Kaiserslautern am Lehrstuhl für Automatisierungstechnik. Im Rahmen seiner Forschungstätigkeiten war er Mitglied der Ad-hoc-Arbeitsgruppe Security for Safety im Namur Arbeitskreis 4.18 Automation Security und wirkte unter anderem an der Entwicklung der Arbeitsblattes NA 163 IT-Risikobeurteilung von PLT-Sicherheitseinrichtungen mit. Nach seiner Tätigkeit als Automation Engineer im Fachzentrum Automatisierungstechnik in der Fachgruppe Control Systems and Business Integration der BASF ist er seit 2019 wissenschaftlicher Mitarbeiter an der Technischen Universität Kaiserslautern.

(ID:46462438)