Cyber-Security in Prozessanlagen Worauf Sie bei der Migration Ihres PLT-Systems achten sollten

Anbieter zum Thema

HIMA Paul Hildebrandt GmbH

Weidmüller GTI Software GmbH

VTU Engineering GmbH

Die Migration eines Prozessleitsystems war noch nie so spannend wie heute. Digitalisierte Prozesse und die Verflechtung von OT und IT machen PLT-Systeme angreifbar gegen Cyberangriffe. Was bei der Planung eines Migrationsprojektes bedacht werden sollte, erklärt unser Autor Herbert Andert, Head of Automation bei VTU Engineering..

Die Prozessleitsysteme der 90er und 00er-Jahre sind am Ende ihrer Lebenszyklen angekommen und werden gegen neue getauscht. Bei der Implementierung vor Jahrzehnten war es nicht notwendig, Risikoanalysen zu den betrieblichen Auswirkungen von Sicherheitsvorfällen durchzuführen. Viel zu proprietär war der Aufbau dieser vorigen Generationen von Netz- und Informationssystemen und viel zu selten waren direkte Schnittstellen zur IT-Landschaft vorhanden.

Wer heute ein Migrationsprojekt plant, steht ganz neuen Anforderungen gegenüber. Die voranschreitende Digitalisierung sowie die durch IoT stetig wachsende Automatisierungstiefe fordern ihren Raum und führen zu einer Verflechtung von Information Technology (IT) und Operational Technology (OT). Angriffe auf die Steuerungsebene von Produktionsbetrieben, wie sie jüngst bei namhaftem Unternehmen stattgefunden haben, verursachen Gefahren und kostenintensive Produktionsausfälle. Um das künftig zu vermeiden, sind IngenieurInnen bei PLT-Migrationsprojekten inzwischen gefordert, sich intensiv mit dem Thema Cyber-Security auseinanderzusetzen.

Bildergalerie

Security vom Kick-off bis zum laufenden Betrieb

Für eine erfolgreiche Migration und den sicheren Betrieb eines PLS muss schon zu Beginn des Projekts überlegt werden, wie die Organisation hinter den Security-Maßnahmen aussehen wird. Aufgrund der unterschiedlichen Ausrichtungen sind innerbetriebliche OT-Ressourcen meist auch dann aufzubauen, wenn es bereits etablierte IT-Abteilungen gibt. Da sich die Security-Aufgabenpakete über die gesamte Lebensdauer des PLS erstrecken, sollten diese nicht nur für die Migration, sondern auch für den laufenden Betrieb budgetiert werden.

Ein umfassendes Sicherheitsbewusstsein sollte nicht nur von den ausführenden Systemintegratoren in bewertbarer Form eingeholt werden, sondern ist in Schulungen auch an das Bedien- und Wartungspersonal der Anlagen zu vermitteln.

Im Vergleich marktführender Prozessleitsysteme zeigt sich, dass Anforderungen an die Security grundsätzlich kein KO-Kriterium für Hard- und Software darstellen. Die entscheidenden Kriterien sind die individuelle Umsetzung durch den Planer und den Integrator unter Beachtung der Kundenanforderungen.

Sichere Systemarchitektur durch Trennung von IT und OT

Bei der Auslegung des Gesamtsystems werden durch die Prinzipien „Security-By-Design“, „Minimal-Need-To-Know“ und „Defence-In-Depth“ einerseits so wenige Angriffsstellen wie möglich geschaffen und andererseits die Ausbreitungsmöglichkeiten innerhalb des Systems auf ein Minimum reduziert. Die Auswirkungen von Einzelfehlern werden zusätzlich mittels gestaffelter und aufeinander abgestimmter Sicherheitsebenen sowie gezielt eingesetzter logischer Redundanzen abgeschwächt.

Durch die Systemarchitektur sind Netzwerkzonen aufzubauen, mit denen Bereiche unterschiedlichen Schutzniveaus mittels Firewalls o.ä. voneinander getrennt werden. So sollten z.B. Verbindungen zu Büro-IT-Netzwerken und externe Fernwartungszugänge nur über eine DMZ (Demilitarisierte Zone) hergestellt werden können. Dabei wird die DMZ zwischen zwei unabhängigen Firewalls gebildet, die idealerweise von verschiedenen Stellen (IT, OT) betreut werden. Der sichere OT-Fernwartungs-Zugang erfolgt idealerweise durch einen zentral administrierten VPN-Tunnel der bestehenden IT-Architektur hin zu einem in der DMZ installierten Terminal Server („Jump Server“).

Neben der DMZ sollte auch eine eigene Simulationszone in die Architektur aufgenommen werden. Darin lassen sich, mit den entsprechenden Komponenten, Patches und Updates vorab und ohne Einfluss auf das Produktivsystem, mögliche ungewollte Einflüsse testen.

Durch die Trennung der Verantwortlichkeiten von IT und OT, werden nicht nur Mehrfachfehler mit einer gemeinsamen Ursache vermieden, sondern auch Platz geschaffen für die erfolgreiche Koexistenz der beiden unterschiedlichen Paradigmen „Sicherheit durch Versionsaktualität“ auf Seiten der IT und „Produktionsverfügbarkeit durch Sicherheit“ im OT-Bereich.

Zur sicheren Netzwerkstruktur zählt ebenfalls eine – idealerweise physische – Trennung von Terminal- und Anlagenbus, sowie zu Netzwerken anderer Package Units (HKLS, I-LUFT, Perimeterschutz, etc.). Diese werden ausschließlich über standardisierte Schnittstellen und Protokolle (ProfiNet, Modbus TCP, etc.) angebunden. Komponenten zur Aufgabenerfüllung im Sinne der funktionalen Anlagensicherheit sollten generell nur in dedizierten Netzwerken miteinander verbunden werden.

Visualisierung von komplexen Automatisierungsabläufen

Beschäftigt man sich mit neuen Prozessleitsystemen, rückt herstellerunabhängig auch die Virtualisierung in den Kontext, die sich u.a. aufgrund der Vorteile im Patchmanagement, Backup und Recovery auch im Bereich der Cyber-Security bereits etabliert hat. Hierbei darf jedoch die Trennung unterschiedlicher Sicherheitszonen nicht durch gemeinsame Virtualisierungshosts übergangen werden können. Ressourcen bestehender IT-Rechenzentren für die Installation neuer OT-Systeme heranzuziehen, ist also nicht ohne weiteres möglich sowie im Hinblick auf die unterschiedlichen Anforderungen aus Wartung, Instandhaltung und Patchmanagement auch nicht unbedingt sinnvoll.

Aufgrund der steigenden Komplexität innerhalb der zu definierenden Rollen (Admin, Supervisor, Operator, etc.), deren Rechtevergabe und zeitlich begrenzten Passwörter, ist eine Realisierung des Usermanagements durch zentrale Directory-Server anzustreben. Diese sollten jedoch im OT-seitigen Netzwerk inkludiert werden, um Abhängigkeiten zu externen Geräten auszuschließen.

Virenscan und Datensicherung für die Prozessanlage

Um die größtmögliche Cyber-Security sicherzustellen, sollte neben den Softwarepaketen des Prozessleitsystems auf den geeigneten Plattformen auch eine Anti-Schadsoftware installiert werden. Bei der Auswahl der Software und der Installationsziele sind die Vorgaben bzw. Einschränkungen des PLS-Herstellers zu beachten. Im Sinne der Wartungsfreundlichkeit sind Lösungen zu bevorzugen, bei denen alle Installationen im Netzwerk zentral aktualisiert werden können, ohne dabei direkte Verbindungen zu Updateservern im Internet herzustellen.

Zur lückenlosen Erfassung von Änderungen aller installierter Software eignet sich ein Versionierungs-Tool. Darüber hinaus sollte ein geeigneter Prozess zur Datensicherung und Wiederherstellung implementiert werden, der idealerweise statische (Konfiguration etc.) als auch dynamische Daten (Schwellenwerte etc.) sichert. Sicherheitsrelevante Benutzereingriffe, unsichere Zustände und Angriffe müssen, gegen spätere Modifikation geschützt, protokolliert werden können.

Eine Dokumentation zusätzlich zu den üblichen ordnungsgemäßen Bestandteilen runden ein genaues Abbild der Systemarchitektur inklusive der Definition unterschiedlicher Sicherheitsebenen, Netzwerkteilnehmer-, Schnittstellen- und Portlisten, Patchmanagement-Definitionen und ein systematisch beschriebenes Desaster-Recovery-Konzept im ‚Was-Wäre-Wenn-Stil‘ der sicherheitstechnischen Dokumentationsforderungen ab.

Ressortübergreifende Kompetenz von VTU Engineering: VTU Engineering erarbeitet gemeinsam mit der IT- und Betriebsmannschaft des Kunden ein ganzheitliches Cyber-Safety-Konzept und unterstützt zusätzlich mit ressortübergreifender Kompetenz aus Automations-, Elektrotechnik-, Mess- und Regeltechnik bei der Automatisierung von Prozess- und Fertigungsanlagen. Die Sicherstellung der Produktionsverfügbarkeit spielt dabei in Planung und Umsetzung von der Feldebene über SPS und Prozessleitsystemen bis zu Manufacturing Execution Systems (MES) eine wesentliche Rolle.

* Head of Automation bei VTU Engineering

(ID:47014320)