Anlagenbetreiber sind gesetzlich gefordert, die IT-Risiken ihrer Leittechnik zu beurteilen. Dabei bestehen teils widerstreitende Interessenslagen. Aus dem Blick eines IT-Verantwortlichen ist der Zugang zum System möglichst zu beschränken. Die zugehörigen Maßnahmen sind vertraulich zu behandeln und werden im Hintergrund implementiert. Safety-Ingenieure hingegen planen Schutzeinrichtungen im Expertenteam. Dabei steht im Fokus, die getroffenen Maßnahmen gemeinsam mit den Anlagenverantwortlichen abzustimmen und dem Anlagenpersonal verständlich zu machen. Geplante Safety- und Security-Maßnahmen können aufgrund der verschiedenen Schutzzielbetrachtung entgegenlaufen und sollten daher in einem begrenzten Personenkreis aufeinander abgestimmt sein.
Eine IT-Risikobeurteilung verläuft grundsätzlich anders als eine Gefährdungsbeurteilung gemäß BetrSichV. Zudem unterscheidet sich die Kritikalität der Beurteilung von
Gefährdungen gemäß BetrSichV von Bedrohungen im IT-Umfeld. Denn Angriffe im
IT-Umfeld betreffen die Verfügbarkeit (Security-Availability) und Integrität (Security-Integrity), aber auch die Vertraulichkeit (Security-Confidentiality) von Daten und Informationen. Für das Schadensmaß von IT-Security fehlt meist eine verlässliche Datenbasis, weil viele Angriffe zunächst unentdeckt bleiben. Die Gefährdungen gemäß
BetrSichV werden mittels Schadensausmaß mal Eintrittshäufigkeit beurteilt und beziehen sich auf den gesamten Lebenszyklus
der Anlage. Sicherheitseinrichtungen der BetrSichV unterliegen wiederkehrenden, vom Arbeitgeber festgelegten Prüffristen.
IT-Risiko einer Steuerung beurteilen
Obwohl Prozessleittechnik-(PLT-)-Sicherheitssysteme in der Regel nicht über das Internet angesprochen werden können, sind sie angreifbar. Schließlich sind sie mit Automatisierungstechnik oder temporär mit Wartungsinterfaces verbunden. Diese können wiederum selbst kompromittiert sein. Das Schadprogramm Stuxnet hat das 2010 bewiesen, als es Scada-gesteuerte Frequenz-umrichter manipuliert und sogar Teile von prozesstechnischen Anlagen zerstört hat. Das Security-Niveau von PLT-Systemen ähnelt grundsätzlich dem von konventioneller Automatisierungstechnik und ist entsprechend zu sichern. Wie das in der Praxis umsetzbar ist, zeigt das Beispiel der IT-Risikobeurteilung einer industriellen Steuerung.
TÜV SÜD Chemie Service und TÜV Hessen empfehlen ein schrittweises Vorgehen: Anlagenbetreiber und IT-Experten sollten zu Beginn die gemeinsamen Ziele für die geplante Risikobeurteilung festlegen. Für alle Beteiligten muss klar sein, um welche industrielle Steuerung und welche Prozesse es sich im Detail handelt. Voraussetzung dafür ist, dass alle Komponenten erfasst und dokumentiert sind. Hier kann der Anlagenbetreiber wertvolle Vorarbeit leisten, indem er alle relevanten Informationen im Vorfeld sammelt. Die auf diese Weise erstellte und gegebenenfalls ergänzte Inventarliste der Assets bildet nun die Basis für jede Art der Risikobetrachtung. Sie muss aber immer abschließend und ausschließlich sein. Das bedeutet, dass sämtliche Assets und Schnittstellen erfasst wurden und keine nicht dokumentierten Komponenten in der Organisation vorhanden sind. Grundsätzlich ist es empfehlenswert, eine Realitätsüberprüfung durchzuführen oder aber mit anderen Tools als der Organisationsinhaber ein möglicherweise vorhandenes Inventarisierungsverzeichnis automatisiert zu erstellen.
Im Anschluss daran sollten die Netzzugänge und -grenzen (Interfaces und Schnittstellen) erfasst werden. Um festzustellen, ob die Infrastruktur vor tatsächlich vorhandenen aktuellen Angriffen von außen auch tatsächlich geschützt ist oder ob trotz aller vorhandenen Maßnahmen eventuelle Angriffe doch erfolgreich platziert werden könnten, wird nun die Infrastruktur mit simulierten Angriffen von außen penetriert.
CAT-Simulation als Managed Service
Ein geeignetes Tool für diese hochkomplexen Aufgaben ist die Continuous-Attack- and-Threat- (CAT)-Simulation von TÜV Hessen. Der Managed Service nutzt verschiedene Angriffsmethoden, etwa E-Mail-Bedrohungen, Netzwerkanalysen oder Web Application Firewalls. Grundlage für die Simulation ist die Lion-Plattform (Learning I/O-Network). Das lernende Netzwerk integriert regelmäßig neue Angriffsvektoren in die Simulation. So testen immer neue Kombinationen die Sicherheit der bestehenden Infrastruktur. Managed Services wie die CAT-Simulation dienen der kontinuierlichen Überwachung der IT-Infrastruktur und bilden die tatsächliche technische Sicherheit der Systeme in Echtzeit ab.
Mit den Ergebnissen der Simulation kann
eine erste Gefährdungs- und Risiko-Übersicht erstellt werden. Im nächsten Schritt kommt man zu den Anforderungen, die an eine sichere Umgebung in der Organisation zu stellen sind. Hier sind die jeweilig bekannten Normen, Regeln und Policies heranzuziehen (zum Beispiel die Anforderungen der Kommission für Anlagensicherheit (KAS-44) für Betriebe, die unter die 12. BImSchV, die sogenannte Störfall-Verordnung, fallen). Die Differenz zwischen dem Jetzt-Zustand und der zu realisierenden Sicherheit ist das Ergebnis der sogenannten Lücken- oder Gap-Analyse. Am Ende werden Handlungsempfehlungen und Umsetzungshinweise mit Priorisierungen und Work-arounds bereitgestellt und diskutiert. Mit Tools wie der CAT-Simulation ist es möglich, die umgesetzten Maßnahmen stets in Echtzeit zu bewerten und somit den Erfolg der Einzelmaßnahmen im Hinblick auf die IT-Risikominimierung zu beurteilen.
Normen: Leitlinien für die Praxis
Das allgemeine Vorgehen bei IT-Risikobeurteilungen beschreiben u. a. die IEC 62443 und VDI/VDE 2182 sowie ISO/IEC 27005. Wesentliche Anforderungen thematisiert die Anwendungsregel VDE-AR-E 2802-10-1. Die EmpfBS 1115 deckt sich in ihrem Ansatz mit der Gefährdungsbeurteilung aus § 3 BetrSichV und stimmt mit dem praxisbezogenen Namur-Arbeitsblatt NA 163 überein. Letzteres enthält eine Checkliste und Beispiele für Optimierungen. Das ermöglicht die Risikobeurteilung ohne umfangreiches IT-Wissen. Der Fokus liegt auf Komponenten, Datenverbindungen und Diensten der damit verbundenen Prozesse und Personen. Alle Ergebnisse dokumentiert ein zugehöriger Bericht, die Wirksamkeit neuer Maßnahmen belegen Penetrationstests. Alle Maßnahmen sind mit den Safety-Experten für die Anlage abzustimmen.
Kontext: funktionale Sicherheit
Die IT-Security von PLT-Sicherheitseinrichtungen sollte in ein Management der Funktionalen Sicherheit (FSM) gemäß DIN EN 61511-1 eingebettet sein. Das sorgt für eine übersichtliche Sicherheitsstruktur und erleichtert es, auch künftigen Gefahren zu begegnen. Beispiele betreffen nicht nur den Zugriff durch Dritte, sondern auch die PLT-Architektur, die Datentechnik sowie das Verwalten von Zertifikaten und Updates. Das hilft auch bei den Prozessanlagen, die dem Bundes-Immissionsschutzgesetz unterliegen. Diese müssen aufgrund entsprechender Risikobeurteilungen die Sicherheitsanforderungen mittels Sicherheitsmanagement, zum Beispiel im Konzept zu Störfällen gemäß § 8 und dem Sicherheitsbericht gemäß § 9 12. BImSchV, dokumentieren.
TÜV SÜD Chemie Service und TÜV Hessen unterstützen Anlagenbetreiber dabei, sowohl die wiederkehrenden Prüfungen an Sicherheitseinrichtungen gemäß BetrSichV durchzuführen als auch die Cyber-Security-Schutzanforderungen durch IT-Spezialisten zu prüfen. Das Zusammenwirken mehrerer Fachdisziplinen ist insbesondere hilfreich bei widerstreitenden Safety- und Security-Anforderungen, mit dem Ziel, diese sicher und wirtschaftlich zusammenzuführen.
Suchwort: cav1019tüvsüd
Autor: Klaus-Michael Fischer
Innovation Manager & Technischer Leiter für Brand- und Explosionsschutz,
TÜV SÜD Chemie Service
Autor: Christian Weber
Chief Digital Officer,
TÜV Technische
Überwachung Hessen
