Automatisieren Schutz industrieller Anlagen mit integrierter Sicherheit

Die Bedrohung von Industrieanlagen durch Hacker-Angriffe und Schad-Software ist nicht zu unterschätzen. Mit der durchgängigen Kommunikation ergeben sich viele Angriffspunkte. Ein allumfassendes Security-Konzept ist daher unabdingbar.

Hackerangriffe auf Regierungsstellen, Vereinigungen wie NATO oder IWF sowie auf Firmen und Konzerne wie Sony oder Google machen deutlich, dass der sogenannte „Cyber War“ längst zur Realität geworden ist. Mittlerweile sind auch Industrieunternehmen und industrielle Anlagen betroffen, wie jüngste Sicherheitsvorfälle aus aller Welt deutlich machen. Ziele und Taktiken der Angriffe haben sich verändert, das Vorgehen wird zunehmend aggressiver und die Werkzeuge effektiver. Die veränderte Bedrohungslage erfordert ein grundlegendes Umdenken in Bezug auf Informations- und Zugriffsschutz sowie auf das Vorgehen bei der Etablierung von Sicherheitskonzepten.

In der industriellen Automations- und Leittechnik werden zunehmend standardisierte Hardware- und Software-Komponenten eingesetzt, die auch eine durchgängige Vernetzung untereinander sowie mit der Büro-IT und dem Internet ermöglichen. Diese offenen Systeme erleichtern die Integration der einzelnen Komponenten und vermindern die Abhängigkeit von bestimmten Zulieferern, da die Interoperabilität deutlich besser ist bzw. dadurch erst möglich wird. Sie beschleunigt die Produktion, ermöglicht eine bessere Übersicht und senkt Entwicklungs- und Produktionskosten. Insgesamt wird damit eine gesteigerte Effizienz angestrebt, um die Wettbewerbsfähigkeit aufrecht zu erhalten oder zu verbessern.

Diesen Vorteilen stehen jedoch Risiken gegenüber, da offene Systeme auch anfällig sind für Attacken, Manipulationen, Sabotage und Industriespionage.

Was das Thema Security und die Etablierung von Sicherheitskonzepten angeht, sieht die Situation im Automatisierungsumfeld etwas anders aus als im Büroumfeld. Automatisierungsnetze abzusichern stellt eine große Herausforderung dar, da dies mit anderen, ebenfalls wichtigen Anforderungen wie hoher Leistung oder guter Benutzerfreundlichkeit kollidiert. Hinzu kommt, dass die Absicherung eines Netzwerkes ständige Aufmerksamkeit und Anpassungen erfordert und es nicht mit dem einmaligen Einrichten getan ist, wie es ansonsten beim Aufbau eines Automatisierungssystems üblich ist. Auch nach der Inbetriebnahme einer Anlage müssen die Bedrohungen weiterhin bewertet und darauf ggf. mit Anpassungen und Updates reagiert werden, damit die Anlage auch sicher bleibt.

Gefahrenpotenziale erkennen und minimieren

Wenn es um den Schutz der eigenen Anlagen geht, ist es wichtig, dass die Betreiber ein ausreichendes Bewusstsein für die Risiken haben; es ist jedoch ebenso wichtig, ein gesundes Vertrauen in die eigenen Sicherheitsvorkehrungen und die Zuverlässigkeit der Mitarbeiter zu entwickeln. Zu wenig Sicherheit ist fahrlässig, zu viel Sicherheit ist unwirtschaftlich. In diesem Spannungsfeld sollte jeder Anwender mit dem richtigen Augenmaß bedarfsgerechte und angepasste Maßnahmen für seine industriellen Anlagen implementieren.

Die Frage ist nun, wie Gefahrenpotenziale signifikant minimiert und hinreichende, aber auch bezahlbare Sicherheit in der industriellen Automation erreicht werden kann.

Eine Standardlösung gibt es leider nicht, da jede Anlage individuelle Randbedingungen, Gefährdungen und Schutzziele hat. Aber es gibt bewährte Vorgehensweisen bzw. eine überschaubare Anzahl von Eckpunkten für ein effizientes Security-Konzept, die untersucht werden müssen, da einzelne Sicherheitsmaßnahmen alleine lückenhaft und damit unzureichend sind und nur ein Gesamtkonzept optimalen Schutz bieten kann. Auch können die technischen Maßnahmen nur mit den jeweiligen unterstützenden organisatorischen Maßnahmen wirksam sein.

Für den sicheren Betrieb sind die Betreiber zuständig, aber Hersteller mit ausreichend breitem Portfolio wie Siemens können dabei unterstützen, indem entsprechende Beratungsleistung und sicherheitstechnisch „gehärtete“ Produkte mit Security-Funktionen zur Verfügung gestellt werden.

Das Security-Management

Am wichtigsten ist zunächst die Etablierung eines Security-Prozesses bzw. Security-Managements. Um fundiert entscheiden zu können, welche Maßnahmen letztendlich realisiert werden müssen, ist zunächst zu analysieren, welche Risiken konkret bestehen, die nicht toleriert werden können.

Hierbei spielen sowohl die Eintrittswahrscheinlichkeit eines Risikos als auch die mögliche Schadenshöhe eine Rolle. Werden Risikoanalyse und Ermittlung der Schutzziele vernachlässigt oder gar nicht durchgeführt, ist die Gefahr groß, dass unpassende, zu teure oder wirkungslose Maßnahmen getroffen werden und manche Schwachstellen nicht erkannt und nicht behoben werden (Bild 1).

Aus der Risikoanalyse ergeben sich dann Schutzziele, die als Basis für konkrete Maßnahmen dienen - und zwar sowohl organisatorische als auch technische Maßnahmen, die sich ergänzen müssen. Die Maßnahmen müssen nach der Implementierung überprüft werden.

Von Zeit zu Zeit oder wenn sich Änderungen ergeben haben, muss das Risiko erneut bewertet werden, da sich ja die Bedrohungslage mittlerweile geändert haben könnte. Dann beginnt der Prozess wieder von vorne (Bild 2).

Sicherung der Schnittstellen zwischen Unternehmens- und industriellem Anlagennetz

Dieses Element ist erforderlich, wenn eine Netzwerkverbindung zwischen Unternehmens- und Anlagennetzwerk vorhanden ist. Dies fällt vor allem in die Verantwortlichkeit der IT-Abteilung, da es in erster Linie um die Definitionen geht, welche Zugriffe aus dem Unternehmensnetz in das Anlagennetz zulässig sind und was datentechnisch in umgekehrter Richtung übertragen werden darf.

Diese Definitionen sind in Regeln und Zugriffsrechte zu übersetzen, die es mit technischen Maßnahmen umzusetzen gilt. Hier kann auch das Einrichten einer sogenannten Demilitarisierten Zone (DMZ) sinnvoll sein, in der beide Teilnetzwerke Daten miteinander austauschen können, ohne eine direkte Verbindung miteinander zu haben (Bild 3).

Schutz PC-basierter Systeme im Anlagennetz

Ebenso wie PC-Systeme in Büros gegen Schad-Software geschützt werden müssen und entdeckte Schwachstellen im Betriebssystem oder in der Anwender-Software durch Updates oder Service-Packs geschlossen werden müssen, bedürfen auch industrielle PCs und PC-basierte Steuerungssysteme im Anlagennetz entsprechender Schutzmaßnahmen. Viele der im Büroumfeld bewährten Schutzsysteme können hier genauso eingesetzt werden, z.B. Virenscanner. Da selbst die besten Virenscanner nicht immer alle Viren erkennen können und gegen neue bis zum Pattern-Update gänzlich machtlos sind, sollten ggf. Alternativen überlegt werden, insbesondere da im Automatisierungsumfeld Software nicht immer zeitnah aktualisiert werden kann, wenn gerade kein Wartungsfenster zur Verfügung steht wie bei 24/7-Betrieb.

Der Einsatz von sogenannter Whitelisting-Software ist eine geeignete Alternative zu Virenscannern. Whitelisting arbeitet mit Positivlisten, in denen der Benutzer festlegen kann, welche Prozesse bzw. Programme auf dem Rechner laufen dürfen. Versucht dann ein Benutzer oder eine Schad-Software ein neues Programm zu installieren, so wird dies unterbunden und der Schaden verhindert.

Hersteller von Industrie-Software können hierbei den Anwender unterstützen, indem sie ihre Software auf Verträglichkeit mit Virenscannern oder Whitelisting-Software testen.

Netzwerksicherheit durch Zugangsschutz

Ein weiteres Element eines industriellen Security-Konzeptes ist die Netzwerksicherheit, genauer der Netzwerkzugangsschutz. Die wenigsten Automatisierungsgeräte verfügen derzeit über Security-Funktionen, mit denen die Kommunikation gegen Spionage oder Manipulation durch Verschlüsselung gesichert werden kann bzw. durch die die Kommunikationspartner sicher authentifiziert werden können. Das wird sich aufgrund der langen Lebenszyklen von Automatisierungsanlagen und ihren Geräten auch so schnell nicht ändern können.

Obwohl zunehmend mehr Geräte herstellerseitig damit ausgestattet werden, wird es wohl weiterhin Geräte geben, die aufgrund von Kostenoptimierung oder anderen Gründen über keine derartigen Security-Funktionen verfügen. Hinzu kommt, dass in manchen Fällen Echtzeit-Anforderungen bestehen, die leistungsintensive Security-Funktionen wie Verschlüsselung oder sichere Authentifizierung zumindest derzeit noch nicht erlauben.