Industrie-focus

Proaktive Security-Konzepte statt reaktive Cyberverteidigung:

Sicherheit in Industrieanlagen muss neu gedacht werden

 

Die Zukunft der Prozessindustrie liegt in der Digitalisierung, die unter Schlagworten wie Industrie 4.0 und IoT (Internet der Dinge) weltweit vorangetrieben wird. Die Digitalisierung bietet Anlagenbetreibern viele Chancen hinsichtlich Effizienzsteigerung, Flexibilisierung und Zukunftssicherheit. Dabei gerät oft in den Hintergrund, dass es auch eine Kehrseite der sprichwörtlichen Medaille gibt: Die Bedrohungen, die im Rahmen der Digitalisierung für die Anlagensicherheit entstehen, allem voran durch die stark wachsende und immer professionellere Cyberkriminalität. Nachfolgend wird beleuchtet, warum die Prozessindustrie beim Thema Cybersecurity vom passiven in den aktiven Verteidigungsmodus schalten sollte und was sie dafür tun muss, um die Anlagensicherheit im digitalen Zeitalter zu gewährleisten.

 

Ende 2017 wurde durch den ICS1 Cybersecurity-Spezialisten Dragos bekannt, dass eine Sicherheitssteuerung (SIS) eines Marktbegleiters von HIMA in einer Prozessanlage im Mittleren Osten mittels einer neuen Malware gezielt angegriffen und erfolgreich gehackt wurde. Das Ziel der Angreifer war es offenbar, die Sicherheitsfunktionen des Systems zu deaktivieren, was aufgrund von Programmcodefehlern nicht gelang.2) Das SIS3 wurde kompromittiert und tat genau das, wofür es da ist: Es leitete den Shutdown der Anlage ein. Die professionelle Durchführung des Angriffs verdeutlicht jedoch eindringlich, wie ernst Anlagenbetreiber das Thema Cybersecurity nehmen müssen. Die Cyberattacke stellt zugleich eine neue Dimension der Cyberbedrohung für kritische Infrastrukturen dar. Nach derzeitigem Kenntnisstand wurde sie gezielt geplant und speziell auf das SIS des betroffenen Herstellers ausgelegt. Ein solcher Angriff auf ein SIS ist hochanspruchsvoll und nur mit signifikantem Aufwand durchzuführen.

 

HIMA_Dr. Alexander Horch

Diese Attacke ist der insgesamt fünfte öffentlich bekannte ICS-Vorfall nach Stuxnet, Havex, Blackenergy2 und Crashoverride. Die Bedeutung dieses Vorfalles kann kaum hoch genug eingeschätzt werden, da hierbei erstmals ein Sicherheitssystem erfolgreich angegriffen worden ist, das die letzte Verteidigungslinie vor einer möglicherweise katastrophalen Auswirkung darstellt.

Ein wesentlicher Faktor begünstigte nach aktuellem Wissensstand den Angreifer: Das SIS war während des Cyberangriffs mittels eines Schlüsselschalters im Programmier-Modus belassen. In einer ordnungsgemäßen Konfiguration und dem Controller im Run-Modus, wobei Programmänderungen nicht möglich sind, hätten die Angreifer vor einer ungleich schwierigeren Herausforderung gestanden. Weitere Angriffe auf baugleiche SIS sind bisher nicht bekannt geworden.

 

Das Konzept von Safety verändert sich

Der Vorfall muss als Weckruf dienen, um das Bewusstsein in der Branche für das Thema Cybersecurity weiter zu schärfen. Auch wenn nur ein bestimmtes System gezielt angegriffen worden ist, stellt der Vorfall einen Wendepunkt für die Anlagensicherheit dar. Das Zusammenspiel von Safety und Security muss zukünftig im Zentrum der Betrachtung stehen. Das in obigem Beispiel verwendete SIS unterscheidet sich in Designphilosophie und Technologie deutlich von HIMA-Safety-Systemen und lässt daher keine direkte Übertragbarkeit des Cyberangriffs erwarten. Fakt ist aber: Kein SIS-Hersteller kann heutzutage und in Zukunft eine absolut und jederzeit zuverlässig sichere Lösung gegen alle Eventualitäten und Risiken versprechen.

Dies liegt vor allem daran, weil Arbeitsprozesse und organisatorische Mängel immer noch mit Abstand die häufigste Angriffsfläche für erfolgreiche Cyberattacken sind (Abbildung 1). Bleiben beispielsweise Schnittstellen an Systemen im laufenden Betrieb offen und dadurch programmierbar, wird Angreifern ein mögliches Einfallstor geöffnet. Als Konsequenz des Cyberangriffs ist Anlagenbetreibern dringend geraten, nicht nur auf cybersichere Komponenten zu setzen, sondern ein ganzheitliches Security-Konzept für die eigenen Anlagen zu definieren und gemeinsam mit Herstellern konsequent umzusetzen.

Sicherheitsgerichtete Automatisierungslösungen in Industrieanlagen müssen nicht mehr nur eine sichere Notabschaltung (ESD), sondern auch effektiven Schutz vor Cyberangriffen bieten. Hierbei entsteht ein Paradigmenwechsel: Bisher mussten einmal sicher ausgelegte Automatisierungen lediglich regelmäßig auf die einmal definierte Risikoreduktion überprüft werden. Zukünftig müssen Safety-Lösungen im Sinne der Security regelmäßig angepasst und erweitert werden. Dieser Paradigmenwechsel betrifft Anbieter und Betreiber sicherheitstechnischer Automatisierungskomponenten gleichermaßen.

Über den Autor

Dr. Alexander Horch ist Vice President Research, Development & Product Management beim Safety-Spezialisten HIMA Paul Hildebrandt GmbH. Bild © HIMA

HIMA_Risk Reduction Layered Sphere

Damit verändert sich komplett die Wahrnehmung von Safety-Lösungen: Ein zentrales Element moderner Sicherheitslösungen besteht darin, Cyberangriffe abzuwehren und damit kostspielige Shutdowns zu verhindern, so dass SIS verstärkt ein signifikanter Faktor für die Profitabilität einer Anlage werden.

 

Normenkonformität und Ebenentrennung als Grundlage

Es ist positiv zu bewerten, dass Unternehmen in der Prozessindustrie zunehmend die Wichtigkeit von Safety- und Security-Standards für die Sicherheit und Wirtschaftlichkeit ihrer Anlagen erkennen. Dennoch gibt es immer noch Unternehmen, die kein komplett normenkonformes SIS im Einsatz haben. Das bedeutet: Sie gehen ein ungleich höheres Risiko für Produktionsverluste und Schäden an Mensch und Umwelt ein. Um ein Höchstmaß an Safety und Security zu erreichen, ist es für Anlagenbetreiber unter anderem von größter Bedeutung, die Forderung der Normen für funktionale Sicherheit und Automation Security (IEC 61511 und IEC 62443) nach physikalischer Trennung von Sicherheits- (SIS) und Prozessleitsystem (BPCS) umzusetzen.

Die Normenkonformität spielt eine wichtige Rolle in der Abwehr von Cyberangriffen: Sicherheits- und Prozessleitsystem gelten nur dann im Sinne der IEC 61511 als autarke Schutzebenen, wenn sie auf unterschiedlichen Plattformen, Entwicklungsgrundlagen und Philosophien basieren. Das bedeutet konkret, dass die Systemarchitektur grundsätzlich so ausgelegt sein muss, dass keine Komponente von der Prozessleitsystem-Ebene und der Safety-Ebene gleichzeitig genutzt werden darf, ohne eine detaillierte sicherheitstechnische Analyse. Ohne klare Trennung können beispielsweise durchgeführte Patches im Prozessleitsystem auch Funktionalitäten des darin integrierten Sicherheitssystems beeinflussen. Das kann fatal sein.

Button-1

Abbildung 2: Sowohl die Safety- als auch die Cybersecurity-Norm fordern getrennte Schutzebenen. Bild © HIMA

website design software