Startseite » Chemie »

Safety first reicht nicht mehr aus

Zur funktionalen Sicherheit muss Cyber-Security kommen
Safety first reicht nicht mehr aus

Die Verknüpfung von Office- und Automations-IT öffnet die Netzwerkarchitektur und erhöht das Security-Risiko in der Automation. Sicherheitsgerichtete Automatisierungslösungen müssen daher neben der funktionalen Sicherheit auch die Cyber-Security unterstützen. Hier können SIL-3-Steuerungen wie das autarke Sicherheitssystem Himax einen wertvollen Beitrag leisten.

Autoren Stefan Ditting Produktmanager, Hima Paul Hildebrandt Thomas Janzer Produktmanager Software Hima Paul Hildebrandt

Funktionale Sicherheit bildet die Basis für jede Art von Prozessanlage. Neben der Sicherheit ist die Produktivität ein entscheidender Faktor für die Unternehmen. Dazu muss ein Sicherheitssystem in das Prozessleitsystem der Anlage integriert sein. Durch die Integration entsteht über Schnittstellen und Netzwerke allerdings ein Risiko, das Sicherheitsprodukte negativ beeinflusst. Ein Angriff auf die Integrität der Sicherheitssteuerung gefährdet auch die Integrität der funktionalen Sicherheit. An die Security-Eigenschaften Steuerung muss daher derselbe hohe Anspruch gestellt werden wie an ihre funktionalen Sicherheitseigenschaften.
Auf den ersten Blick können wirtschaftliche Gründe dafür sprechen, ein integriertes Sicherheitssystem einzusetzen, das von demselben Hersteller stammt, der auch das Prozessleitsystem lieferte. Schließlich versprechen ein einheitliches Systemkonzept und ein gemeinsamer Bus sowie ein einziges Engineering Tool für die Standard- und die funktional sichere Automation einige Vorteile. Solche Komfortvorteile haben jedoch Nachteile in den Bereichen funktionale Sicherheit und Security, denn alles, was ein Anwender oder die Steuerung tun kann, kann auch ein Angreifer tun. Bei einem integrierten Leitsystem und Sicherheitssystem „aus einer Hand“ müssen alle Automatismen kritisch geprüft werden. Je offener und integrierter eine Sicherheitssteuerung ist, umso mehr Aufwand für Organisation und Security ist erforderlich. Security-Angriffspunkte stellen hier Automatismen wie Diagnoseanzeigen, die automatische Interaktion zwischen Engineering Tool und Steuerung sowie die Interaktion zwischen der Visualisierung des Leitsystems und dem Sicherheitssystem dar.
Getrennte Schutzebenen gefordert
Um systematische Fehler zu reduzieren fordern die Normen IEC 61511-1 (Safety) und IEC 62443-3-3 (Security) getrennte Schutzebenen und eine Unabhängigkeit der Betriebs- und Schutzeinrichtung. Ein autarkes Prozessleitsystem und Sicherheitssystem von verschiedenen Herstellern bedingen per Design unterschiedliche Engineering-Tools und Datenbasen und eine unterschiedliche Bedienung. Solche Systeme von verschiedenen Herstellern vermeiden aufgrund diversitärer Technik Common-Cause-Risiken und reduzieren das Security-Risiko. Dabei sorgt die diversitäre Technik auch für eine klare Trennung der Verantwortungsbereiche und unterstützt die unterschiedliche Handhabung von Betriebs- und Schutzeinrichtungen in der Praxis. Denn wo bei Betriebseinrichtung tägliche Optimierung, Aktualisierung und Änderung im Fokus stehen, gilt für die Schutzeinrichtung, dass diese selten und nur von qualifiziertem Personal bedient werden dürfen. Jeder Zugriff auf eine Schutzeinrichtung stellt ein Risiko dar und Veränderungen sind nur über einen Management-of-Change-Prozess erlaubt.
Die internationale Norm IEC 62443-3-3 fordert eine Abschottung der Produktionsnetzwerke. Dazu werden einzelne Zonen festgelegt (Unternehmensnetzwerk, Leitstelle, Prozessleitsystem etc.), die über definierte Übergänge (Conduits) verbunden sind. Entsprechend der jeweiligen Daten oder Protokolle wird ein Schutz an jedem Übergang in Form einer Firewall installiert. Für dieses Konzept ist es unabdingbar, dass die ausgetauschten Daten klar definiert sind. Nur wenn dieser Aufbau dem Anwender bekannt ist, können entsprechende Schutzmaßnahmen vorgesehen werden.
Auch die kommende Revision der Norm DIN IEC 61511-1 zielt in diese Richtung. Sie spricht sich dafür aus, die Unabhängigkeit, Diversität, physikalische Trennung und Common-Cause-Fehler zwischen Schutzebenen zu prüfen, zu bewerten und sicherzustellen. Diese beinhaltet des Weiteren den eindeutigen Hinweis, dass ein Sicherheitssystem, soweit praktikabel, physikalisch getrennt sein sollte.
Technische Maßnahmen
Ein Sicherheitssystem muss vielfältige Security-Eigenschaften besitzen, um es gegen Safety-Security-Risiken härten bzw. um das Risiko in den Anlagen reduzieren zu können. Die technischen Maßnahmen betreffen verschiedene Bereiche, die PC-Umgebung, das Engineering-Tool, die Kommunikation, die sichere Steuerung und die Safety-Applikation.
In der PC-Umgebung gilt es, Common-Cause-Fehler zu vermeiden. Die äußerste Sicherheitsschicht bildet das Bios-Passwort, um den PC für das Engineering Tool des Sicherheitssystems gegen unerlaubte Zugriffe zu schützen. Hier gilt es, Anwender- und Gruppenrichtlinien mit reduzierten Zugriffsrechten einzurichten. Der Einsatz einer Firewall und einer Antivirensoftware oder besser noch eines Host Intrusion Prevention Systems (HIPS) verbessert weiter den Security-Schutz. Hierbei ist ein HIPS, auch Application Whitelisting genannt, zwar aufwendiger zu konfigurieren, bietet aber vor allem gegen bisher unbekannte Schadsoftware einen besseren Security-Schutz als Antivirensoftware, da nur die vom Anwender freigegebenen Programme ausgeführt werden dürfen.
Um die verschiedenen Security-Maßnahmen richtig zu konfigurieren, müssen die erforderlichen Ports und Benutzerrechte für das Engineering-Tool bekannt und die Engineering-Software zur Security-Software anderer Hersteller kompatibel sein. Damit ist der Anwender in der Wahl flexibel. Auch für diese Schutzebenen gilt das Prinzip der Diversität, d. h. der Einsatz von Produkten unterschiedlicher Hersteller vermeidet gleichartige Fehler.
Engineering Tool, gut geschützt
Silworx, das Engineering-Tool für Himax, läuft auf einem Standard-PC mit Windows. Die Software ist kompatibel zu allen gängigen Antivirus-Schutzprogrammen und kann daher mit der Antivirus-Software eingesetzt werden, die für das jeweilige Unternehmen standardisiert und freigegeben ist. Silworx schützt sich vor fehlerhaften Installationsdaten und Manipulationen über eine CRC-Prüfung, die jedes Mal erfolgt, wenn die Software gestartet wird oder eine Code-Generierung stattfindet. Zusätzlich stehen dem Anwender MD5-Prüfsummen für die Installationsdaten zur Verfügung, um die Korrektheit der Installation zu prüfen.
Silworx besitzt noch weitere Merkmale, die die Security fördern: Eine Datenbankdatei in einem Hima-spezifischen Format beinhaltet die Daten für das mit Silworx generierte Projekt sowie die verschlüsselten Kenn- und Passwörter. Die funktionsrelevanten Projektteile sind zudem über eigene CRC geschützt, sodass auch eine Veränderung der Projektdaten mit dem vorhandenen sicheren Code-Vergleicher erkannt und nachvollzogen werden kann.
Bei jedem Laden der Steuerung kann automatisch ein Projektarchiv angelegt werden. Über diese lückenlose Versionshistorie sind alle Änderungen nachvollziehbar. Diese Backup-Funktion erlaubt auch das Identifizieren und Wiederherstellen des zuletzt gültigen Projektes im Rahmen einer „Recovery Procedure“.
Ein zweistufiges Benutzermanagement für die Projekt- und Steuerungszugriffe sorgt für weiteren Schutz. Stufe 1 beinhaltet das Zugriffsrecht auf die Projektdaten. Hier können die personalisierten Benutzer mit individuellem Benutzerpasswort angelegt und Benutzergruppen zugeordnet werden. In der zweiten Stufe werden die Zugriffsrechte pro Steuerung festgelegt und die gewünschten Gruppen ausgewählt. Sie erhalten ein spezielles Passwort.
Vorteile des Verfahrens sind, dass der Benutzer nur sein eigenes Passwort kennt und bei einer individuellen Änderung die Steuerung selbst nicht verändert wird. Dies erhöht zum einen die Security, zum anderen ist es, zum Beispiel bei Mitarbeiterwechsel, nicht notwendig, Änderungen in der Sicherheitssteuerung vorzunehmen. Zugriffe werden im Projektlog und in der Steuerungsdiagnose aufgezeichnet.
Sichere Kommunikation
Das Konzept der Trennung ist auch in den Hima-Steuerungssystemen durchgängig realisiert. Für eine hohe Cyber-Security können für die Kommunikation verschiedene Schutzebenen mit einer virtuellen oder physikalischen Trennung aufgebaut werden. Die CPU-Module der Himax führen die Sicherheitsanwendung aus und können Kommunikationsaufgaben übernehmen. Beide Bereiche sind auf der CPU durch einen SIL3-zertifizierten Schutz des Speichers und des Timings getrennt.
Wird eine nicht sichere Datenübertragung direkt an der CPU angeschlossen, sorgt eine integrierte Firewall für eine virtuelle Trennung, indem nur die vom Anwender konfigurierten Protokolle und Daten unterstützt werden. Ungültige bzw. nicht bekannte Protokollanfragen oder das Lesen/Schreiben von nicht konfigurierten Adressbereichen werden von der Steuerung ignoriert. Zur weiteren Risikoreduzierung kann ein physikalisch getrenntes Kommunikationsmodul eingesetzt werden. Es hat dieselben Security-Firewall-Eigenschaften wie das Prozessormodul und ist über den internen Systembus mit der CPU verbunden. Da das Kommunikationsmodul nicht die CPU beeinflussen kann, ist die sichere Funktion physikalisch von der nicht sicheren Kommunikation getrennt.
Diese Merkmale bedingen ein stabiles, robustes Systemverhalten. Hima bezieht von Beginn an Maßnahmen zur Cyber-Security in die Produktentwicklung mit ein. Dazu zählt das Achilles-Testverfahren von Wurldtech, bei dem ständig aktualisierte Tests im Entwicklungsprozess aller neuen Produkte durchgeführt werden.
Die sicherheitsgerichtete Steuerung Himax selbst bietet etliche Möglichkeiten für eine sichere Kommunikation. Nicht genutzte physikalische Ports können deaktiviert und somit ein unbefugter Zugriff verhindert werden. Zudem ist ein abgestuftes Blockieren von Steuerungszugriffen möglich. Über Systemvariablen können Online-Änderungen und das Forcen von Werten blockiert werden. Der Read-only-Betrieb bietet zusätzlichen Schutz vor Manipulationen. Über einen Schlüsselschalter am Installationsort des Systems können die Systemvariablen über einen digitalen Eingang beschrieben und freigegeben oder gesperrt werden. Wird dieser Schlüssel abgezogen, erlaubt die Steuerung im RUN-Modus nur das Lesen.
Last but not least bietet die Safety-Applikation selbst Maßnahmen für eine erhöhte Security. So kann beispielsweise der CRC-Schutz genutzt werden, um Programmänderungen im System anzuzeigen und Alarme auszulösen.
Halle 11.1, Stand C15
prozesstechnik-online.de/cav0615482
Unsere Webinar-Empfehlung
Newsletter

Jetzt unseren Newsletter abonnieren

cav-Produktreport

Für Sie zusammengestellt

Webinare & Webcasts

Technisches Wissen aus erster Hand

Whitepaper

Hier finden Sie aktuelle Whitepaper

Top-Thema: Instandhaltung 4.0

Lösungen für Chemie, Pharma und Food

Pharma-Lexikon

Online Lexikon für Pharma-Technologie

phpro-Expertenmeinung

Pharma-Experten geben Auskunft

Prozesstechnik-Kalender

Alle Termine auf einen Blick


Industrie.de Infoservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de