Mehr Konnektivität innerhalb und außerhalb von Prozessanlagen bringt erhebliche Vorteile, erleichtert Hackern aber auch den Zugriff auf wichtige Systeme. Andy Crosland, Experte für Sicherheitssysteme bei Emerson, erklärt die Sicherheitsbedrohungen für Leit- und Sicherheitssysteme und beschreibt die Schutzebenen, mit denen man sich davor schützen kann.
Das schnelle Wachstum der Industrie 4.0 hat dazu geführt, dass Anwender von Industrieautomatisierungs- und Leitsystemen (Industrial Automation and Control System/IACS) nach Systemen mit mehr Konnektivität suchen. Dazu gehören Verbindungen zum Intranet des Unternehmens sowie zum Internet, um den Austausch von Prozess- und Anlagendaten zu ermöglichen. Die Erfassung und Fernanalyse dieser Daten hat erhebliche Vorteile für Unternehmen in der Prozessindustrie, da das Bedienpersonal – wenn es besser informiert ist — Betriebsentscheidungen treffen kann, die die Effizienz, Zuverlässigkeit und Produktivität steigern. Mit dieser Konnektivität kann sich jedoch auch die potentielle Gefahr von Cyber-Angriffen erhöhen.
Cyber-Angriffe können dazu dienen, sensible Daten zu stehlen, den Prozess zu unterbrechen oder auch ein System in einen unsicheren Zustand zu versetzen, wodurch Personal, Anlagen und deren Umfeld sowie dem Ruf des Unternehmens nachhaltig Schaden zugefügt werden kann. Nach einem Bericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) wurde im Jahr 2015 beispielsweise ein Hochofen eines deutschen Stahlwerks durch einen Angriff auf das IACS beschädigt. Im Jahr 2017 wurde ausführlich über einen böswilligen Cyber-Angriff auf eine Petrochemieanlage in Saudi Arabien berichtet, der speziell auf das Sicherheitssystem abzielte. Wie zahlreiche Vorfälle in den vergangenen Jahren gezeigt haben, ist die Umsetzung zuverlässiger und effektiver Maßnahmen zum Schutz der Systeme, einschließlich des IACS, vor unbefugten Zugriffen bzw. Cyber-Attacken unerlässlich.
Statistik zu Cyber-Attacken
Die Anzahl von Cyber-Angriffen gegen Unternehmen ist alarmierend. Laut statistischen Erhebungen der britischen Regierung für 2019 [1], haben in den vergangenen 12 Monaten 61 % aller Großunternehmen und 60 % aller mittelständischen Unternehmen Verletzungen der Cyber-Sicherheit gemeldet. Die häufigste Art der Vorkommnisse stellen Phishing-Angriffe dar (von 80 % der Unternehmen genannt), gefolgt von Personen, die sich in E‑Mails oder im Internet als das Unternehmen ausgeben (28 %), sowie Viren, Spionage-Software oder Schadprogramme einschließlich Erpressungssoftware (27 %). Dies unterstreicht klar die Bedeutung von Aufklärungsarbeit hinsichtlich neuer Technologien und eines erhöhten Sicherheitsbewusstseins. Während jedoch 78 % der britischen Unternehmen lediglich das obere Management in puncto Cyber-Sicherheit in der Verantwortung sehen, haben nur 33 % formelle Richtlinien und nur 16 % einen konkreten Plan zum Umgang mit Cyber-Angriffen.
Standards und Leitlinien
Die Norm IEC 61511, deren Anwendung sich bei der Auslegung sicherheitstechnischer Systeme (Safety Instrumented Systems/SIS) bewährt hat, fordert eine verpflichtende Risikobewertung zur Erkennung von möglichen Schwachstellen des SIS gegenüber Cyber-Attacken und nennt die Normenreihe ISA/IEC 62443 und technische Berichte als Orientierungshilfe zur Umsetzung eines elektronisch sicheren IACS. Zudem unterstützen Regierungsbehörden und Industrieverbände in großen europäischen Ländern das Anlagenpersonal bei der Optimierung der Cyber-Sicherheit. Die britische Regierungsbehörde Health and Safety Executive (HSE) veröffentlichte ein Dokument [2] mit dem Titel „Operational Guidance“, in dem sie ihre Interpretation der aktuellen Normen zur industriellen Cyber-Sicherheit darlegt. Durch Befolgung dieses Leitfadens kann das Bedienpersonal die Einhaltung der gültigen Arbeitsschutzrichtlinien nachweisen.
Das HSE-Dokument stützt sich bei der Risikominderung auf drei Hauptprinzipien:
- Schützen, erkennen und reagieren – mögliche Angriffe erkennen und in angemessener Weise reagieren, um deren Auswirkungen zu reduzieren.
- Defence-in-Depth-Ansatz – ein mehrstufiger Schutz ist erforderlich, um Ausfälle an einem bestimmten Punkt zu vermeiden.
- Verwaltungs- und betriebliche Verfahren sind erforderlich, da die Technologie allein keinen ausreichenden Schutz gewährleisten kann.
Risikobeurteilungen
Zur weiteren Unterstützung der Risikominderung können Risikobewertungen der Prozesssicherheit vorgenommen werden, um die Wahrscheinlichkeit und mögliche Folgen einer Reihe von Vorfällen zu definieren, gegen die für eine höchstmögliche Sicherheit Maßnahmen ergriffen werden sollten. Risikobeurteilungen können eine Herausforderung darstellen, da es die kontinuierliche Entstehung neuer Bedrohungen erschwert, historische Daten zu verwenden, um die Wahrscheinlichkeit künftiger Vorfälle zu bestimmen. IACS-Anbieter greifen jedoch auf Experten zurück, die Cyber-Sicherheitsrisiken regelmäßig und kontinuierlich bewerten, um Unternehmen die Bewältigung dieser Herausforderung zu erleichtern.
Zu den gängigen Gefahrenquellen gehören Würmer und Viren, transportable Medien wie USB-Sticks und temporäre Verbindungen — beispielsweise zu Firmenlaptops, Software-Fehler – wie etwa in der System-Firmware, unbefugte lokale oder Fernzugriffe, unzulässige Handlungsweisen vertrauenswürdiger Personen ( z. B. zugriffsberechtigter Mitarbeiter oder Hersteller), unzulässiger Datentransfer, unbeabsichtigte Eingriffe von Mitarbeitern, Dienstverweigerung, Systemsabotage und Diebstahl. Die Anfälligkeit einer Anlagenkomponente gegenüber jeder dieser genannten Bedrohungen sollte bewertet und die Ergebnisse sicher mit eingeschränktem Zugriff gespeichert werden. Nach einer ersten Risikobeurteilung sollten verschiedene Cyber-Sicherheitslösungen in Betracht gezogen und regelmäßige Folgeaudits durchgeführt werden.
ICSS-Sicherheit
Integrierte Leit- und Sicherheitssysteme (Integrated Control and Safety System/ICSS) werden in Anwendungen der Prozessindustrie seit vielen Jahren erfolgreich eingesetzt. Die Einbindung dieser Systeme hat viele Vorteile, bringt jedoch auch Bedenken dahingehend mit sich, dass durch eine Cyber-Attacke auf das IACS ein Eindringen in das SIS möglich sei, was nicht nur eine Prozessstörung, sondern ggf. einen katastrophalen Sicherheitsvorfall zur Folge haben kann. Aus diesem Grund bemühen sich Automatisierungsanbieter wie Emerson bei der Produktentwicklung vorrangig um einen Defence-in-Depth Ansatz, damit die Einbindung die SIS-Sicherheit nicht beeinträchtigt und eine Trennung zwischen dem SIS und dem Basisleitsystem (Basic Process Control System/BPCS) gemäß IEC 61511 und den Konzepten der ISA/IEC 62443 eingehalten wird. Im HSE-Leitfaden ist keine bestimmte Architektur zur Gewährleistung dieser Trennung vorgegeben, und es gibt keinen Grund, warum das SIS innerhalb eines ICSS nicht sicher sein kann, sofern das System ordnungsgemäß gesichert ist.
Schutzebenen
Mehrere Schutzebenen kommen bei der Gefahrenreduzierung von Prozessunfällen zum Einsatz, das gleiche Konzept wird bei der SIS-Cybersecurity angewandt. Zunächst sollte ein unbefugter Zugriff auf das Leitsystem weitestgehend erschwert werden. Betriebsleiter sollten ein System zur Verwaltung von Benutzerrechten einführen, bei dem Bedienern lediglich zu den System- und Netzwerkkomponenten Zugriff gewährt wird, die sie für die Ausübung ihrer Arbeit benötigen. Alle zugehörigen Standorte müssen so sicher sein wie der Hauptproduktionsstandort. Zu den erweiterten Sicherheitsmaßnahmen gehören Managed Switches, die den Zugriff auf Teile des Kommunikationsnetzwerkes begrenzen, Netzwerk-Hardenings, die die Systemangriffsfläche durch Deaktivierung unbenutzter Windows-Dienste und externer Medien (USB etc.) minimieren, Patch-Management, um sicherzustellen, dass Software-Fixes rechtzeitig angewandt werden, Endpunktschutz, Firewalls, demilitarisierte Zonen und eine sichere Architektur nach bewährten Verfahren. Auch wenn ein Hacker-Zugriff auf das äußere Leitsystem immer noch möglich ist, verfügt ein gut konstruiertes ICSS mehrere zusätzliche Schutzebenen für das darin enthaltene SIS, wodurch böswillige Aktionen, die für unsichere Zustände sorgen, verhindert werden können.
Die Netzwerkisolation ist eine wichtige Methode zur Sicherung des SIS innerhalb des ICSS. Der Einsatz von Proxy-Servern begrenzt und regelt den Datenfluss zwischen separaten Netzwerken und erlaubt lediglich eine freigegebene Kommunikation. Diese Technik kann verhindern, dass sich eine Gefährdung auf BPCS-Netzwerkebene direkt auf die SIS-Logiksysteme in einem separaten Sicherheitsnetzwerk auswirkt.
Ein spezifisches Protokoll zwischen BPCS und SIS mit Validierungsprüfungen innerhalb des Logic Solvers im Falle von Datenänderungsanfragen reduziert die Gefahr unerlaubter Änderungen des SIS zusätzlich. Unabhängig davon, ob das SIS vollständig integriert ist oder das SIS eines Fremdanbieters über offene Protokolle verbunden ist, werden Wartungs-Bypässe in der Regel im BPCS gesetzt. Eine solide Bypass-Management-Funktion innerhalb des Logiksystems ist der Schlüssel. Dazu gehören die Vermeidung mehrerer Bypässe, die automatische Entfernung aktiver Bypässe nach einer bestimmten Zeit und die Forderung nach zusätzlichen Genehmigungen von Bypässen über physikalische Schlüssel oder elektronische Signaturen. Eine enge Vernetzung zwischen BPCS und SIS erlaubt sofortige Benachrichtigungen, wenn Bypässe im SIS vorhanden sind, wodurch die Identifizierung eines unerlaubten Bypasses vereinfacht wird.
Eine weitere wirksame Methode zur Reduzierung von Cybersecurity-Risiken besteht darin, die physische Anwesenheit am Standort des Logic Solvers zu fordern, bevor Konfigurationsänderungen heruntergeladen werden können. Die meisten Industrieprozessanlagen verfügen über wirksame Zugangssteuerungssysteme, so dass Hacker selbst bei einer Beeinträchtigung der IACS-Sicherheit von außerhalb der Anlage keinen physischen Zugang zu sicheren Bereichen haben und die SIS-Konfiguration nicht ändern können. Eine effektive Lösung zur Durchsetzung der physischen Anwesenheit sollte Mechanismen enthalten, mit denen das System nicht unbeabsichtigt in ungeschütztem Zustand zurückgelassen werden kann.
In der IEC 61511 werden strenge Anforderungen an die Kontrolle von Änderungen des SIS gestellt. Audit-Trail-Managementsysteme für die Konfiguration können die Feststellung und Vermeidung unbefugter Änderungen unterstützen, insbesondere wenn elektronische Signaturen mehrerer Anwender erforderlich sind, um Änderungen freizugeben. Zusätzliche Maßnahmen bei der Anmeldung wie z. B. Smart-Karten für die Zwei-Faktor-Authentifizierung können die Sicherheit weiter erhöhen.
Die Sicherheitsüberwachung ist nicht nur ein wichtiger Mechanismus zur Erkennung von Bedrohungen, sondern hilft auch bei der Forensik und Vermeidung ähnlicher Angriffe in der Zukunft. Eine zentralisierte Plattform für das Sicherheits‑, Informations- und Ereignismanagement (Security Information and Event Management/SIEM) kann Systemvorfälle und Protokolle von Workstations, Servern und Netzwerkausrüstung in informativen Dashboards für eine sofortige Reaktion speichern. Ein SIEM kann den Netzwerkdatenverkehr außerdem mit Network Security Monitoring-Anwendungen überwachen, die einen Kommunikationsfluss in nur eine Richtung als zusätzliche Sicherheitsüberwachungsfunktion nutzen.
Als letztes Mittel für die komplette Systemwiederherstellung oder die Wiederherstellung von Dateien muss eine umfassende Backup- und Wiederherstellungslösung für Systeme vorhanden sein. Diese erfordert eine Backup-Datenspeicherung an verschiedenen geografischen Standorten für den Fall eines Vorfalls, der lokale Server betrifft, oder zum Schutz vor Erpressungen. Backup-Daten sollten regelmäßig überprüft werden, um sicherzustellen, dass sie gültig und bei Bedarf sofort verfügbar sind.
Wie oben bereits erwähnt, reicht die Einführung der Technologie allein nicht aus. Unternehmen sollten über verwaltungsgestützte Cybersecurity-Richtlinien und Verfahren verfügen, alle Nutzer des Leit- und Sicherheitssystems sollten angemessen geschult sein und eine Internetsicherheitskultur sollte auf allen Ebenen umgesetzt werden. Alle Mitarbeiter müssen sich der Gefahren für die Systemintegrität und der möglichen Konsequenzen einer Sicherheitsverletzung bewusst sein. Ein Verfahren zum Umgang mit Vorfällen muss umgesetzt werden, das Vorbereitung, Identifizierung, Analyse, Eingrenzung, Beseitigung und Wiederherstellung abdeckt. Zuletzt müssen in regelmäßigen Abständen Cybersecurity-Audits geplant und durchgeführt werden. Da immer neue Sicherheitsbedrohungen auftreten, sollte die Internetsicherheit als kontinuierlicher Vorgang betrachtet werden, der regelmäßig überprüft wird.