Phoenix Contact / Industrie 4.0 Safety trifft auf Security

Die Sicherheitstechnik in Maschinen und Anlagen wird über den Lebenszyklus der Applikation immer wichtiger. Denn da Automatisierungssysteme und IT-Welt zunehmend miteinander vernetzt sind, können Szenarien auftreten, die insbesondere von Safety-Anwendungen eine neue Herangehensweise erfordern.

Da sich Fertigung und IT im Rahmen des Zukunftsprojekts Industrie 4.0 immer mehr im Internet der Dinge verbinden, wachsen auch die Herausforderungen in puncto Security. Ein wichtiges Einfallstor für Hacker stellen die Netzwerkübergänge zwischen der Büro-IT und dem Produktionsnetz dar. Zu den Bedrohungen, denen industrielle Steuerungssysteme derzeit ausgesetzt sind, zählen beispielsweise 

  • die Infektion mit Schadsoftware über das Internet und Intranet,
  • das Einschleusen von Schadsoftware über Wechseldatenträger und externe Hardware,
  • das Social Engineering, also die Beeinflussung von Personen mit dem Ziel, bei ihnen bestimmte Verhaltensweisen hervorzurufen,
  • menschliches Fehlverhalten und Sabotage,
  • ein Einbruch in das System über Fernwartungslösungen,
  • mit dem Internet über das IP-Protokoll gekoppelte Steuerungskomponenten,
  • technisches Fehlverhalten und höhere Gewalt sowie
  • die Kompromittierung von Smartphones im Fertigungsumfeld sowie von Extranet und Cloud-Komponenten.

Eine Studie des Softwareunternehmens Kaspersky aus dem Jahr 2017 zeigt, dass sich etwa jede dritte Cyberattacke auf Rechner für industrielle Kontrollsysteme gegen produzierende Unternehmen richtet. Für das Jahr 2018 befürchten die Experten, dass vermehrt Malware aufkommt, die sich auf Industriesysteme fokussiert. Werden Automatisierungslösungen, welche die funktionale Sicherheit sicherstellen sollen, zum Ziel von Hackerangriffen, so treffen die Welten Safety (funktionale Sicherheit) und Security (Zugriffssicherheit) aufeinander. Zukünftig müssen Hersteller daher eine gemeinsame Strategie entwickeln. Dass dieses Szenario real ist, belegt der aktuelle Fall der Malware Triton in Verbindung mit einem Cyberangriff gegen ein sogenanntes Safety Instrumented System (SIS).

IT-Risikobeurteilung erforderlich

Der Aspekt der funktionalen Sicherheit bezeichnet den Teil der Sicherheit eines Systems, der von der korrekten Funktion des sicherheitsbezogenen (Steuerungs-)Systems und anderen risikomindernden Maßnahmen abhängt. Tritt hier ein kritischer Fehler auf, so fährt die Steuerung das System in einen sicheren Zustand. Die Anforderungen an die Beschaffenheit von sicherheitsrelevanten Steuerungsteilen sind in der B-Norm EN ISO 13849 sowie der Normenreihe IEC 61508, IEC 61511 und IEC 62061 beschrieben. Je nach Risikohöhe werden die entsprechenden risikoreduzierenden Maßnahmen in unterschiedliche Sicherheitsniveaus – Performance Level (PL) oder Safety Integrity Level (SIL) – eingestuft.

Im Gegensatz zur funktionalen Sicherheit schützt die Security Güter vor einer nachteiligen Beeinträchtigung durch beabsichtigte oder versehentliche Attacken auf die Verfügbarkeit, Integrität und Vertraulichkeit ihrer Daten. Dazu werden vorbeugende oder reaktive technische und/oder organisatorische Maßnahmen verwendet. Werden Security-Aspekten im Safety-Umfeld vernachlässigt, kann neben den direkten Auswirkungen auf die Fertigungseinrichtungen ebenfalls einen indirekten Effekt auf den Produktionsprozess und damit das Endprodukt haben. Bei pharmazeutischen Artikeln oder sicherheitsrelevanten Bauteilen für die Automobilindustrie lässt sich leicht nachvollziehen, dass sich dies auf den Konsumenten erheblich auswirkt. Die IEC 61511-1 fordert deshalb für Sicherheitseinrichtungen der Prozessindustrie eine IT-Risikobeurteilung. Hat der Betreiber einer PLT-Sicherheitseinrichtung (Prozessleittechnik) die IT-Risikobeurteilung nach dem vorliegenden NA-Verfahren der NAMUR durchgeführt und die identifizierten Maßnahmen umgesetzt, sollte er seine PLT-Sicherheitseinrichtung nach dem aktuellen Stand der Technik beurteilt haben und somit seiner Sorgfaltspflicht nachgekommen sein (Bild 1).

In der funktionalen wie auch der Zugriffssicherheit ist das potenzielle Risiko zunächst auf Basis einer Risikobeurteilung respektive IT-Bedrohungsanalyse zu bewerten. Hier zeigt sich bereits ein wesentlicher Unterschied bei der Herangehensweise: Während sich die Konstrukteure im Rahmen der Risikobeurteilung gemäß Maschinenrichtlinie auf eher statische Risiken – beispielsweise mechanische oder elektrische Gefährdungen – einstellen müssen, findet sich der IT-Sicherheitsexperte in einem sich ständig verändernden Umfeld wieder. Dort suchen Angreifer mit immer neuen Methoden aktiv nach entsprechenden Schwachstellen, die im Bereich der funktionalen Sicherheit als systematische Fehler betrachtet werden. Einen weiteren wichtigen Einfluss hat der Faktor Mensch: Auf dem Gebiet der Maschinensicherheit wird von »vorhersehbarem Missbrauch« gesprochen, wenn das Bedienpersonal zum Beispiel Schutzeinrichtungen, wie etwa Türschalter, manipuliert. Bei groß angelegten Cyberangriffen auf Industrieanlagen muss hingegen von einem hohen Maß an krimineller Energie ausgegangen werden.