Industrielle Automation 6/2018

Funktionale Sicherheit

Funktionale Sicherheit meets Cyber Security Sicherheit 4.0 in der Industrie: Quadratur des Kreises? Im digitalen Zeitalter werden Fertigungsprozesse, IT und Office- Welt immer enger miteinander verzahnt. Das macht Unternehmen flexibler, aber auch angreifbar. Funktionale Sicherheit und Cyber Security müssen daher zum integralen Bestandteil zukünftiger Architekturen werden. Worin das Sicherheits-Dilemma besteht und welche Wege es für Betreiber, Anbieter und Systemintegratoren gibt – darüber berichten die Sicherheits-Experten Nigel Stanley und Jörg Krämer, beide TÜV Rheinland. Zahlreiche Hardware- und Software-Komponenten sind integraler Bestandteil industrieller Verarbeitungs-, Herstellungsund Produktionssysteme. Ihre einwandfreie Funktion sowie eine hohe Verfügbarkeit sind für die zuverlässige Erzeugung und Bereitstellung von Produkten oder Dienstleistungen unerlässlich. Es ist daher wichtig, mögliche Ursachen und Gefahrenquellen frühzeitig zu erkennen und Maßnahmen zu ergreifen, diese bestmöglich zu vermeiden. Die Themen Safety (Funktionale Sicherheit) und Cyber Security (Informationssicherheit) gewinnen daher zunehmend an Bedeutung. Denn selbst Anlagen mit rigorosen funktionalen Sicherheitskonzepten sind nicht automatisch gegen Cyber-Attacken gefeit. Ein industrieller HMI (Human Machine Interface)-PC mit ausgereiften und ordnungsgemäß implementierten Steuer systemen ist ohne Cyber-Security-Schutz anfällig für Angriffe. Dazu ist nicht einmal die Kompromittierung sicherer Verarbeitungssysteme notwendig. Sinnlose Befehle an die übergeordnete Steuerung von RTUs (Real Time Units) sind ausreichend, um den gesamten Prozess in der Produktion lahm zulegen. Das bedeutet: Prozesse oder Hardware-Komponenten, die auf irgendeine Weise in Computer- oder Internettech nologie integriert oder mit ihr verbunden sind, können nicht mehr länger als „sicher“ im herkömmlichen Sinn betrachtet werden, sofern die Steuerungssysteme nicht auch in punkto Cyber Security ab gesichert sind. Funktionale Sicherheit und Cyber Security – eine Frage der Priorität? Problematisch für die integrierte Absi che - rung der Industrie 4.0 ist, dass sich die Schutzziele von Funktionaler Sicherheit und Cyber Security stark voneinander unterscheiden – und vielfach Funktionale Sicherheit noch Priorität hat vor Cyber Security. Die Lebensdauer von Steuerungssystemen übersteigt die eines unternehmensinternen IT-Systems nicht selten um das Zehnfache. Software-Aktualisierungen werden hier nur sehr unregelmäßig oder gar nicht durchgeführt. Diese Praxis wiederum steht im Gegensatz zur stetig steigenden Patches-Anzahl für unternehmensinterne IT-Systeme. Die Anwen dung unternehmensinterner IT-Tools, -Techniken und -Verfahren kann desas tröse Auswirkungen auf betriebstechnische Sys teme haben. Gleiches gilt aber auch umgekehrt. Was bedeutet „Safety“, wofür steht „Security“? Noch einmal zur Begriffsklärung: Bei Funktionaler Sicherheit geht es darum, Menschen vor den Auswirkungen der Technik zu schützen, z. B. durch Fehlfunk tionen von Maschinen und Anlagen, hervorgerufen durch ungewollte oder unberechtigte Eingriffe in die IT-Komponenten. Funktionale Sicherheit sichert gewünschte Abläufe wie vorgesehen ab und gewährleistet, dass beim Auftreten von Fehlern entsprechende Maßnahmen greifen, beispiels weise die Einstellung von Aktivitäten. Cyber Security zielt darauf ab, Fabrikautomation und Prozesssteuerungen abzusichern. Hier geht es um Schutz und Verfügbarkeit von Kontroll- und Steuerungssystemen gegen absichtliche herbeigeführte oder ungewollte Fehler – beispielsweise durch Menschen wie etwa Hacker. Ziel muss Angela Recino, IT-Journalistin bei Angela Recino – Bewegte Kommunikation in Sankt Augustin 64 INDUSTRIELLE AUTOMATION 6/2018

KOMPONENTEN UND SOFTWARE Security befasst sich mit den Gefahren, die von außen auf Systeme einwirken können, zum Beispiel ein gezielter Hackerangriff es sein, eine Störung oder gar einen Ausfall der Produktion zu verhindern. Vor diesem Hintergrund aktueller Sicherheitsvorfälle wird klar: Kein Produktionsunternehmen kann sich mehr leisten, Cyber Security zugunsten von Funktionale Sicherheit zu vernachlässigen. Da Hacker jeglicher Art mittlerweile ein gesteigertes Interesse an industriellen Prozessen und Steuersystemen demons trieren, müssen diese Bedrohungen analysiert und auf eine Weise gehandhabt werden, die die Identifizierung der wichtigsten potenziellen Schwachstellen und Risiken für ein Unternehmen ermöglicht. Normen verstehen und anwenden Neu entwickelte Standards wie IEC 62443 – ein Normenkatalog, der sich mit den Verfahren zur Sicherung industrieller Steuersysteme befasst – und IEC 61508 – ein Standard, der vom Ausfall der Sicherheitsfunktionen eines Geräts ausgeht – bieten eine strukturierte Herangehensweise für die gleichberechtigte Inte gration von Funktionaler Sicherheit und Cyber Security. Betreiber, Anbieter und Systemintegratoren industrieller Automation können die Problemstellung nur auf effiziente und wirtschaftliche Art und Weise bewältigen, wenn sie diese und ähnliche Normen verstehen lernen bzw. annehmen. Wichtig hierbei ist, die relevanten Standards der Funktionalen Sicherheit bzw. Cyber Security über den gesamten Produkt- oder Prozess-Lebenszyklus hinweg – von der Spezifizierung über das Design bis hin zu Betrieb und Wartung – zu berücksich tigen. Dazu ist eine effiziente Risiko- und Gefahrenanalyse und eine Spezifizierung der geeigneten Safety Integrity Level (SIL) und Security Level (SL) erforderlich, die eine Reihe organisatorischer und technischer Kontrollen erfordert: n Systemintegratoren müssen die Funktionale Sicherheit/Cyber Security über ihr Systemdesign verwalten. Systembetreiber sollten sicher sein, dass sie über die entsprechende Sicherheitsdokumentation für Systeme und Produkte verfügen und einen sicheren Betrieb gewährleisten können. n So sollten Produktanbieter genau prüfen, wie – vom Design bis hin zur Installation ihrer Produkte – Probleme der Funktio- nalen Sicherheit/Cyber Security gehandhabt werden und dabei nicht nur die Erfüllung von Normen in Betracht ziehen. Denn ein gutes Risikomanagement beginnt schon bei einem sicheren Design. Die Herausforderungen im Rahmen von Industrie-4.0- Projekten lassen sich nur sicher realisieren, wenn Funktionale Sicherheit und Cyber Security für alle Elemente der industriellen Automation kombiniert werden können. Nigel Stanley, TÜV Rheinland Zusammenfassung Das Projekt Industrie 4.0 lässt sich nur realisieren, wenn Funktionale Sicherheit und Cyber Security für alle Elemente der industriellen Automation kombiniert werden können. Detaillierte Informationen über die Anforderungen der Normen sowie eine systematische Übersicht der Standards für die wichtigsten Phasen industrieller Automation bietet TÜV Rheinland in seinem Whitepaper (Download: tuv.com/c2f). Bilder: Fotolia, TÜV Rheinland www.tuv.com KS98-2 Prozesse im Handumdrehen automatisieren •Flexibel und anpassungsfähig -Modulares I/O + Remote I/O, bis zu 30 Regelkanäle •Schnell zum Ziel -Bewährte Bibliotheksfunktionen werden einfach grafisch verschaltet •Kommunikationsstark -USB, Ethernet und Feldbusse für Online Daten, Parameter und Datenaufzeichnungen www.west-cs.de/ks98-2 PMA Prozeß- und Maschinen-Automation GmbH Miramstraße 87 •D-34123 Kassel Ein Unternehmen der West Control Solutions Gruppe Telefon: +49 561 505 1307 E-Mail: de@west-cs.com www.west-cs.de/kontakt