Die Grundüberlegung, die hinter einer sicheren letzten Verteidigungslinie steht, ist die Kombination von Safety und Security. Sowohl die Norm IEC 61511 (funktionale Sicherheit) als auch die Norm IEC 62443 (IT-Sicherheit) empfehlen unabhängige Schutzebenen. Diese von beiden Normen geforderte Trennung der Schutzebenen wird in der Security auch als Defense in Depth bezeichnet. Demzufolge ist die Trennung bzw. Unabhängigkeit von Prozessleitsystem (Distributed Control System, DCS) und Systemen der funktionalen Sicherheit (Safety Instrumented System, SIS) eine zentrale Anforderung. Sind alle Komponenten gleich gut zugänglich, so kann das gesamte System nur so stark sein wie sein schwächstes Glied. Beim Einsatz integrierter Safety-Systeme, wenn also SIS und Standard-Automatisierungssystem auf der gleichen Plattform arbeiten, sind diese gleich gut zugänglich. Daher muss die gesamte Hard- und Software so gut geschützt werden wie die Sicherheitsfunktion. Dies bedeutet, dass das Standard-Automatisierungssystem dem gleichen Managementprozess unterzogen werden muss wie das SIS. Einfacher zu pflegen und zugleich sicherer im Sinne der Security ist es, von Anfang an auf getrennte DCS und SIS zu setzen.
Lebenszyklen von funktionaler und IT-Sicherheit
Eine der größten Herausforderungen beim Aufbau von Systemen ist die Zusammenführung der unterschiedlichen Lebenszyklen von Komponenten der IT, nicht sicherer Automation und der Safety-Systeme. Diese müssen in einer Weise in Einklang gebracht werden, dass Veränderungen an einer Komponente – seien es Patches, ungewollte Bedienungsfehler oder gezielte Angriffe – die Funktionalität der anderen Systeme nicht beeinflussen. Insbesondere müssen die Safety-Systeme geschützt werden, da diese oftmals regulatorischen Auflagen unterliegen. Um also zu verhindern, dass Modifikationen im Rahmen des Security-Lebenszyklus (Updates nach Tagen/Wochen) einen Einfluss auf den Lebenszyklus des funktionalen Sicherheitssystems (Updates nach Jahren) haben, müssen die beiden Bereiche zunächst entkoppelt werden.
Entkopplung bedeutet dabei:
- Die Trennung der Systeme, die Teil der funktionalen Sicherheitslösung sind, von den restlichen Komponenten. Dies ist in den Richtlinien hierzu in IEC 61508-1, Kapitel 7.6.2.7, dargelegt.
- Zu gewährleisten, dass die Bauteile innerhalb der Security-Umgebung für die funktionale Sicherheit keine regelmäßigen Security-Patches erfordern, da dies erheblichen Prüfaufwand nach sich ziehen kann. Gemäß IEC 61511 müssen alle Modifikationen, die zu einer Änderung des Verhaltens des SIS führen, geprüft werden. Es ist davon auszugehen, dass Security-Patches, die potenziell das Zeitverhalten des SIS verändern können, nach Implementierung entweder direkt am System im Feld oder an einem Testsystem, das alle verwendeten Funktionalitäten vollumfänglich prüfen kann, getestet werden müssen.
- Sicherzustellen, dass alle Geräte mit Schreibzugriff auf die Sicherheitslösung Teil der Security-Umgebung, in der das SIS betrieben wird, sind. Das ist vor allem die Engineeringstation. Bedienstationen können auch an das SIS angeschlossen werden. Sind diese außerhalb der Security-Umgebung, muss gewährleistet sein, dass eine Übertragung von Daten zum SIS nicht zu kritischen Situationen führt.
Security-Umgebung für funktionale Sicherheit
Wie eine Safety-Lösung effizient Security-Anforderungen unterstützen kann, soll anhand von Bild 3 erläutert werden. Der Kern der Lösung ist der von Hima entwickelte Secure Safety Core. Dieser umfasst die gesamte Steuerung und die zugehörigen Feldanschlüsse. Die Komponenten innerhalb dieses Kerns beinhalten Schutzmaßnahmen wie die Zwei-Faktor-Authentifizierung, die den unautorisierten Zugriff unterbindet, aber auch den Aufbau einer DMZ-Funktionalität, die z. B. den Schutz vor direktem Zugriff auf Remote IO unterbindet (RIO), oder eine Portfilterung, die lediglich konfigurierte Kommunikation zulässt (ähnlich wie bei Firewalls).
Die Kommunikation zwischen den CPUs und den Kommunikationsprozessoren (COM) wird über ein dediziertes Gateway geleitet, das vollständig von der CPU gesteuert wird. Die COM kann also lediglich Kommunikationsdaten bearbeiten und bereitstellen, jedoch niemals direkten Einfluss auf die CPU nehmen. Um mit der Außenwelt zu kommunizieren, verfügen CPU und COM jeweils über einen Ethernet-Switch. Diese Switches sind vollständig unabhängig voneinander.
Ein Leitsystem (Basic Process Control System, BPCS), das an einem COM-Modul angeschlossen ist, kann beispielsweise lesend und schreibend auf diese COM zugreifen. Der Zugriff auf die CPU oder an die CPU angeschlossene Geräte bleibt dem BPCS jedoch verwehrt. So ist es möglich, den spezifizierten Betrieb der einzelnen CPUs auch dann aufrechtzuerhalten, wenn ein erfolgreicher Angriff auf einen Kommunikationsprozessor durchgeführt und dieser unter die Kontrolle des Angreifers gebracht wurde. Die Sicherheitsfunktion ist somit noch voll erhalten.
Dieser Secure Safety Core ist vor den angeschlossenen Feldgeräten aufgebaut. Ein direkter Zugang zu den Feldgeräten bleibt externen Komponenten verwehrt, was dem Defense-in-Depth-Ansatz entspricht. Mittels dieser Schutzmaßnahmen wird gewährleistet, dass Sicherheitsfunktionen auch bei Angriffen aufrechterhalten werden können.
Secure-Anbindung an die Außenwelt
Sehr oft werden mehrere Sicherheitslösungen über mehrere SIS und/oder RIO verteilt. Aus diesem Grund werden die zugehörigen Systeme im Hima Security Environment for Functional Safety zusammengefasst. Diese folgen alle dem oben beschriebenen Ansatz des Secure Safety Core, bieten alle denselben Schutz und ermöglichen somit den sicheren Betrieb für zentrale wie für dezentrale Lösungen.
Typischerweise müssen Komponenten eines Systems der funktionalen Sicherheit mit der Außenwelt kommunizieren können. Dazu sind dedizierte Kommunikationskanäle (conduits) zwischen der Plant Security Zone und der übergeordneten Zone (z. B. Automation Domain oder Information Domain) zu schaffen. Häufig verwendete Kommunikationsschnittstellen sind OPC-(Open Platform Communications)-Server oder immer noch das bewährte Modbus-TCP-Protokoll. Diese sind den Security-Anforderungen gemäß ausreichend zu schützen. Dies geschieht häufig durch Firewalls.
Durch die Funktionen des Secure Safety Core und den normgerechten Aufbau in unterschiedliche Schutzebenen bietet die Hima-Sicherheitsplattform eine effektive Trennung. Diese Trennung sollte gemäß IEC 62443 und dem darin beschriebenen Defense-in-Depth-Ansatz in der gesamten Anlage aufgebaut werden (Bild 3 und 4).
Bestens für die Zukunft vorbereitet
Hinsichtlich des Prozessor- und Kommunikationsmoduls wird die IT-Sicherheit der Hima-Hardware durch das Security-Zertifikat Achilles-Level 1 belegt. Dieses Zertifikat wurde vom unabhängigen kanadischen Industrial-Security-Spezialisten Wurldtech erstmals 2009 für die Hima-Steuerung Himax erstellt. Bei den Tests, die der Zertifizierung vorausgingen, waren CPU und COM zu keiner Zeit hinsichtlich der IT-Sicherheit beeinträchtigt. Hima gehört zu den ersten Unternehmen, die das Cyber-Security-Zertifikat vom TÜV Rheinland erhalten haben. Das Prüfunternehmen zertifizierte das Prozessor- und das Himax-Kommunikationsmodul für SL1 gemäß der internationalen Standards IEC 62443-4-1, IEC 62443-4-2 und ISASecure EDSA 2.0.0. Dabei beschreibt der Teil 4-1 den Entwicklungsprozess und Teil 4-2 die Funktionalitäten des Produktes.
Aus der Sicht des Anwenders ist es sinnvoll, eine durchdachte Sicherheitsumgebung aus einer Hand zu nutzen, die sowohl die Anforderungen hinsichtlich der funktionalen Sicherheit als auch bezüglich der IT-Sicherheit berücksichtigt. Hima hat sich dieser Herausforderung gestellt und seine Safety-Expertise aus über 45 Jahren zur weltweit ersten cybersicheren einheitlichen Sicherheitsplattform zusammengeführt, die allen Anforderungen einer sicheren letzten Verteidigungslinie gerecht wird. Das Plattformkonzept setzt sich aus flexibel miteinander kombinierbaren Hima-Lösungen zusammen, die alle auf demselben Engineering-Tool, demselben Sicherheitskonzept, derselben Firmware und demselben Kommunikationsprotokoll basieren. Die Hima Smart Safety Platform sorgt dafür, dass die Sicherheitsstandards in allen Anlagen nach den strengsten internationalen Normen erfüllt werden – überall auf der Welt. In ihr sind das besprochene Hima Security Environment for Functional Safety mit dem Secure Safety Core als integrale Bestandteile enthalten und das Defense-in-Depth-Konzept wirksam umgesetzt.
Suchwort: cav0519hima
Autor: Stefan Ditting
Produktmanager Himatrix,
Hima
Hier finden Sie mehr über:
