Ganzheitlicher Ansatz für eine sichere letzte Verteidigungslinie

Cyberbedrohungen werden als kritisches Gefahrenpotential für alle Unternehmen erkannt. Sie rangieren laut einer aktuellen Allianz Studie mittlerweile auf Rang 2 – gleich hinter den Gefahren, die durch einen kompletten Zusammenbruch der Supply Chain entstehen – und noch vor Naturkatastrophen und ungünstigen Marktentwicklungen. Der folgende Beitrag beleuchtet, wie die Prozessindustrie einen ganzheitlichen Ansatz in der Funktionalen Sicherheit umsetzen kann, um das Risiko für Anlagen im digitalen Zeitalter zu minimieren.

Die Grundüberlegung, die hinter einer sicheren letzten Verteidigungslinie steht, ist die Kombination von Safety und Security. Sowohl die Norm IEC 61511 (Funktionale Sicherheit) als auch die Norm IEC 62443 (IT-Sicherheit) empfehlen unabhängige Schutzebenen. Diese von beiden Normen geforderte Trennung der Schutzeben wird in der Security auch als „Defense in Depth“ bezeichnet (Abbildung 1). Demzufolge ist die Trennung bzw. Unabhängigkeit von Prozessleitsystem (Distributed Control System, DCS) und Systemen der Funktionalen Sicherheit (Safety Instrumented System, SIS) eine zentrale Anforderung. Sind alle Komponenten gleich gut zugänglich, so kann das gesamte System nur so stark sein, wie sein schwächstes Glied. Beim Einsatz integrierter Safety-Systeme, wenn also SIS und Standard-Automatisierungssystem auf der gleichen Plattform arbeiten, sind diese gleich gut zugänglich. Daher muss die gesamte Hard- und Software so gut geschützt werden wie die Sicherheitsfunktion. Dies bedeutet, dass das Standard-Automatisierungssystem dem gleichen Managementprozess unterzogen werden muss wie das SIS. Einfacher zu Pflegen und zugleich sicherer im Sinne der Security ist es, von Anfang an auf getrennte DCS und SIS zu setzen.
 

Unterschiedliche Lebenszyklen von Funktionaler und IT-Sicherheit


Eine der größten Herausforderungen beim Aufbau von Systemen ist die Zusammenführung der unterschiedlichen Lebenszyklen von Komponenten der IT, nicht sicherer Automation und der Safety-Systeme. Diese müssen in einer Weise in Einklang gebracht werden, dass Veränderungen an einer Komponente – seien es Patches, ungewollte Bedienungsfehler oder gezielte Angriffe – die Funktionalität der anderen Systeme nicht beeinflussen. Insbesondere müssen die Safety Systeme geschützt werden, da diese oftmals regulatorischen Auflagen unterliegen. Um also zu verhindern, dass Modifikationen im Rahmen des Security-Lebenszyklus (Updates nach Tagen/Wochen), die einen Einfluss auf den Lebenszyklus des funktionalen Sicherheitssystems (Updates nach Jahren) haben, müssen die beiden Bereiche zunächst entkoppelt werden.
 
Entkopplung bedeutet:
 

  1. Die Trennung der Systeme, die Teil der funktionalen Sicherheitslösung sind, von den restlichen Komponenten. Dies ist in den Richtlinien hierzu in IEC 61508-1, Kapitel 7.6.2.7, dargelegt.
     
  2. Zu gewährleisten, dass die Bauteile innerhalb der Security-Umgebung für die Funktionale Sicherheit keine regelmäßigen Security-Patches erfordern, da dies erheblichen Prüfaufwand nach sich ziehen kann. Gemäß IEC 61511 müssen alle Modifikationen, die zu einer Änderung des Verhaltens des SIS führen, geprüft werden. Es ist davon auszugehen, dass Security-Patches, die potentiell das Zeitverhalten des SIS verändern können, nach Implementierung entweder direkt am System im Feld oder an einem Testsystem, das alle verwendeten Funktionalitäten vollumfänglich prüfen kann, getestet werden müssen.
     
  3. Sicherzustellen, dass alle Geräte mit Schreibzugriff auf die Sicherheitslösung Teil der Security-Umgebung, in der das SIS betrieben wird, sind. Das ist vor allem die Engineeringstation. Bedienstationen können ebenfalls an das SIS angeschlossen werden. Sind diese außerhalb der Security-Umgebung, muss gewährleistet sein, dass eine Übertragung von Daten zum SIS nicht zu kritischen Situationen führt.
     

Security-Umgebung für Funktionale Sicherheit


Wie eine Safety-Lösung effizient Security-Anforderungen unterstützen kann, soll anhand von Abbildung 2 erläutert werden. Der Kern der Lösung ist der von HIMA entwickelte „Secure Safety Core“. Dieser umfasst die gesamte Steuerung und die zugehörigen Feldanschlüsse. Die Komponenten innerhalb dieses Kerns beinhalten Schutzmaßnahmen wie die Zwei-Faktor-Authentifizierung, die den unautorisierten Zugriff unterbindet, aber auch den Aufbau einer DMZ-Funktionalität, die z.B. den Schutz vor direktem Zugriff auf Remote IO unterbindet (RIO), oder eine Portfilterung, die lediglich konfigurierte Kommunikation zulässt (ähnlich wie bei Firewalls).

Die Kommunikation zwischen den CPUs und den Kommunikationsprozessoren (COM) wird über ein dediziertes Gateway geleitet, das vollständig von der CPU gesteuert wird. Die COM kann also lediglich Kommunikationsdaten bearbeiten und bereitstellen, jedoch niemals direkten Einfluss auf die CPU nehmen. Um mit der Außenwelt zu kommunizieren, verfügen CPU und COM jeweils über einen Ethernet-Switch. Diese Switches sind vollständig unabhängig voneinander.
 
Ein Leitsystem (Basic Process Control System, BPCS), das an einem COM-Modul angeschlossen ist, kann beispielsweise lesend und schreibend auf diese COM zugreifen. Der Zugriff auf die CPU oder an die CPU angeschlossene Geräte bleibt dem BPCS jedoch verwehrt. So ist es möglich, den spezifizierten Betrieb der einzelnen CPUs auch dann aufrechtzuerhalten, wenn ein erfolgreicher Angriff auf einen Kommunikationsprozessor durchgeführt und dieser unter die Kontrolle des Angreifers gebracht wurde. Die Sicherheitsfunktion ist somit noch voll erhalten.

Dieser Secure Safety Core ist vor den angeschlossenen Feldgeräten aufgebaut. Ein direkter Zugang zu den Feldgeräten bleibt externen Komponenten verwehrt, was dem Defense-in-Depth-Ansatz entspricht. Mittels dieser Schutzmaßnahmen wird gewährleistet, dass Sicherheitsfunktionen auch bei Angriffen aufrechterhalten werden können.
 

Secure Anbindung an die Außenwelt


Sehr oft werden mehrere Sicherheitslösungen über mehrere SIS und/oder RIO verteilt. Aus diesem Grund werden die zugehörigen Systeme im HIMA Security Environment for Functional Safety zusammengefasst. Diese folgen alle dem oben beschriebenen Ansatz des Secure Safety Core, bieten alle denselben Schutz und ermöglichen somit den securen Betrieb für zentrale wie für dezentrale Lösungen.

Typischerweise müssen Komponenten eines Systems der Funktionalen Sicherheit mit der Außenwelt kommunizieren können. Dazu sind dedizierte Kommunikationskanäle (conduits) zwischen der Plant Security Zone und der übergeordneten Zone (z.B. Automation Domain oder Information Domain) zu schaffen. Häufig verwendete Kommunikationsschnittstellen sind OPC (Open Platform Communications)-Server oder immer noch das bewährte Modbus TCP-Protokoll. Diese sind den Security-Anforderungen gemäß ausreichend zu schützen. Dies geschieht häufig durch Firewalls.
 
Durch die Funktionen des Secure Safety Core und den normgerechten Aufbau in unterschiedliche Schutzebenen (Zones and Conduits) bietet die HIMA-Sicherheitsplattform eine effektive Trennung. Diese Trennung sollte selbstverständlich gemäß IEC 62443 und dem darin beschriebenen Defense-in-Depth Ansatz in der gesamten Anlage aufgebaut werden (Abbildung 2 und 3).
 

Bestens für die Zukunft vorbereitet


Hinsichtlich des Prozessor- und Kommunikationsmoduls wird die IT-Sicherheit der HIMA-Hardware durch das Security-Zertifikat Achilles-Level 1 belegt. Dieses Zertifikat wurde vom unabhängigen kanadischen Industrial-Security-Spezialisten Wurldtech erstmals 2009 für die HIMA-Steuerung HIMax erstellt. Bei den Tests, die der Zertifizierung vorausgingen, waren CPU und COM zu keiner Zeit hinsichtlich der IT-Sicherheit beeinträchtigt. Ebenso gehört HIMA weltweit zu den ersten Unternehmen, die das neue Cyber-Security-Zertifikat vom TÜV Rheinland erhalten haben. Das Prüfunternehmen zertifizierte das Prozessor- und das HIMax-Kommunikationsmodul für SL1 gemäß der internationalen Standards IEC 62443-4-1, IEC 62443-4-2 und ISASecure EDSA 2.0.0. Dabei beschreibt der Teil -4-1 den Entwicklungsprozess und Teil -4-2 die Funktionalitäten des Produktes, das zertifiziert wird.
 

Die sichere letzte Verteidigungslinie aus einer Hand


Aus der Sicht des Anwenders ist es sinnvoll, eine durchdachte Sicherheitsumgebung aus einer Hand zu nutzen, die sowohl die Anforderungen hinsichtlich der Funktionalen Sicherheit als auch bezüglich der IT-Sicherheit berücksichtigt. HIMA hat sich dieser Herausforderung gestellt und seine Safety-Expertise aus über 45 Jahren zur weltweit ersten cybersicheren einheitlichen Sicherheitsplattform zusammengeführt, die allen Anforderungen einer sicheren letzten Verteidigungslinie gerecht wird. Das Plattformkonzept setzt sich aus flexibel miteinander kombinierbaren HIMA-Lösungen zusammen, die alle auf demselben Engineering-Tool, demselben Sicherheitskonzept, derselben Firmware und demselben Kommunikationsprotokoll basieren. Die HIMA Smart Safety Platform sorgt dafür, dass die Sicherheitsstandards in allen Anlagen nach den strengsten internationalen Normen erfüllt werden – überall auf der Welt. In ihr sind das besprochene HIMA Security Environment for Functional Safety mit dem Secure Safety Core als integrale Bestandteile enthalten und das „Defense in Depth“-Konzept wirksam umgesetzt.
 
Damit bietet HIMA eine zukunftssichere Lösung für die Prozessindustrie an, die zugleich „safe & secure“ ist, da sie sowohl die Schutzebentrennung umsetzt als auch die unterschiedlichen Lebenszyklen berücksichtigt. Unabhängig von der Komplexität und Größe der Anlage können Anwender mit der HIMA Smart Safety Platform ihre Betriebskosten senken und die Anlage produktiver betreiben. Der Anwender kann die Komplexität der funktionalen Sicherheitssysteme reduzieren und schützt sich gleichzeitig vor den wachsenden Risiken im Bereich der Cybersecurity.

Der Autor Stefan Ditting ist Produktmanager bei HIMA.

Die Prozessindustrie benötigt beim Thema Cybersecurity einen ganzheitlichen Ansatz für eine sichere letzte Verteidigungsline, um die Anlagensicherheit im digitalen Zeitalter zu gewährleisten.

Sowohl die Norm IEC 61511 (Safety) als auch die Norm IEC 62443 (Security) fordern den Aufbau mehrerer unabhängiger Schutzschichten.

Um Safety & Security optimal umzusetzen, hat HIMA eine Security-Umgebung für Funktionale Sicherheit („HIMA Environment for Functional Safety“) mit dem „HIMA Secure Safety Core“ entwickelt.

Über HIMA

Die HIMA Gruppe ist der weltweit führende unabhängige Anbieter smarter Safety-Lösungen für die Industrie. Mit global mehr als 35.000 Installationen TÜV-zertifizierter Sicherheitssysteme gilt HIMA als Technologieführer der Branche. Die spezialisierten Ingenieure des Unternehmens entwickeln individuelle Lösungen, mit denen Kunden im digitalen Zeitalter die Funktionale Sicherheit erhöhen, Cybersecurity stärken und die Rentabilität ihrer Anlagen und Fabriken steigern. Seit mehr als 45 Jahren gilt HIMA als verlässlicher Partner der weltgrößten Unternehmen der Öl-, Gas-, Chemie- und energieerzeugenden Industrie. Sie alle vertrauen auf Lösungen, Services und Beratungsleistungen von HIMA, stellen so einen unterbrechungsfreien Betrieb ihrer Anlagen sicher und schützen ihre Wirtschaftsgüter, ihre Mitarbeiter und die Umwelt. Zum HIMA-Portfolio gehören smarte Safety-Lösungen, die Daten in geschäftsrelevante Informationen umwandeln und damit zu höherer Sicherheit und Anlagenverfügbarkeit beitragen. Darüber hinaus bietet HIMA umfassende Lösungen für die effiziente Kontrolle und das Monitoring von Turbomaschinen (TMC), Brennern und Kesseln (BMC) und Pipelines (PMC). In der globalen Bahnindustrie sind die CENELEC-zertifizierten SIL 4-Safety-Controller auf COTS-Basis von HIMA führend in puncto Funktionaler und IT-Sicherheit sowie bei der Rentabilität. Das 1908 gegründete Familienunternehmen mit Hauptsitz in Brühl in Deutschland ist heute an mehr als 50 Standorten weltweit vertreten. Rund 800 Mitarbeiter erwirtschaften dabei einen Umsatz von €123 Millionen (2017). Erfahren Sie mehr unter: www.hima.com

Zurück zur Übersicht