Sicherheit in Industrieanlagen muss neu gedacht werden

Proaktive Cybersecurity ist gefragt

Anzeige
Die Digitalisierung bietet Anlagenbetreibern viele Chancen hinsichtlich Effizienzsteigerung, Flexibilisierung und Zukunftssicherheit. Aber sie hat auch eine Kehrseite: Es sind die Bedrohungen, die im Rahmen der Digitalisierung für die Anlagensicherheit entstehen, allen voran die immer professionellere Cyberkriminalität. Daher ist es dringend erforderlich, dass die Prozessindustrie beim Thema Cybersecurity vom passiven in den aktiven Verteidigungsmodus schaltet.

Die stark wachsende und immer professioneller werdende Cyberkriminalität zwingt sowohl Hersteller von Sicherheitslösungen als auch deren Anwender in der Prozessindustrie, eine proaktive Cybersecurity-Strategie zu verfolgen und ein ganzheitliches Safety-Konzept aufzubauen. Als Anlagenbetreiber muss man im Rahmen der Risikobewertung den finanziellen Aufwand für effektive Safety- und Security-Konzepte mit den Kosten eines potenziellen Shutdowns in Relation setzen, der schnell in die Millionen gehen kann. Das in Cybersecurity investierte Geld, in der Regel nur ein Bruchteil der Shutdown-Kosten, ist kein verlorenes Geld, sondern es sichert die Produktivität und Produktivität der gesamten Anlage.

Wie man sich schützen kann

Man kann als Anwender für eine bestmögliche Verteidigung sorgen, indem man Sicherheitssysteme verwendet, die selbst nur minimale Angriffsmöglichkeiten bieten. Auf den autarken SIS von Hima läuft beispielsweise ein zu 100 % eigenes Betriebssystem, das speziell für sicherheitsgerichtete Anwendungen entwickelt wurde. Dieses umfasst alle Funktionen einer Sicherheits-SPS, verzichtet aber darüber hinaus auf weitere unnötige Funktionen. Es gibt keine Softwarekomponenten aus Softwarepaketen von Drittanbietern und keine eingebauten Backdoors. Typische Attacken auf IT-Systeme sind daher nicht erfolgreich. Die Betriebssysteme der Steuerungen werden bereits während ihrer Entwicklung auf ihre Widerstandsfähigkeit gegenüber Cyberattacken getestet. Dies wird durch Security-Zertifizierung des Entwicklungsprozesses ebenso sichergestellt wie durch die für die funktionale Sicherheit notwendigen Entwicklungsprozesse (z. B. Vieraugenprinzip).

Für Anlagenbetreiber ist es aber nicht damit getan, dass sie auf normenkonforme Hardware und Software setzen. Cybersecurity ist eine Daueraufgabe und muss schon bei der Konzeption neuer Anlagen oder vor Modernisierungsmaßnahmen gemeinsam von Anlagenbetreiber und Safety-Spezialist entwickelt werden. Für Bestandsanlagen ist mindestens eine genaue Analyse von möglichen Schwächen bei der Cybersecurity zu fordern. Neben technischen Maßnahmen müssen von den Anwendern hierbei auch organisatorische Maßnahmen ergriffen werden. Denn keine vorhandene Technologie kann einen 100 %igen Schutz gegen neu entstehende Angriffsmöglichkeiten bieten. Aus diesem Grund besteht ein hoher Bedarf an regelmäßiger Überprüfung interner Netzwerke und Kommunikationssysteme beispielsweise durch Penetrationstests unabhängiger Stellen.

Selbst den Hacker engagieren

In anderen Branchen ist es heute schon üblich, dass feste Budgetgrößen für andauernde Sicherheits-Audits veranschlagt sind. Hier werden die eigenen Maßnahmen zur Cybersecurity von externen Spezialisten in „Threat Tests“ auf Herz und Nieren geprüft, mit dem Ziel, Schwachstellen zu finden und diese dann zu beheben. Man setzt also selbst proaktiv Hacker ein, um mögliche Angriffspunkte zu finden, die andere Hacker nutzen könnten.

Ergebnisse solcher Tests sollten verwendet werden, um die Sicherheitsmaßnahmen in der gesamten Branche auf ein einheitliches und wirksames Niveau zu heben. Eine Hilfe hierzu können Verbände und das Bundesamt für Sicherheit in der Informationstechnik (BSI) leisten. Letzteres hat bereits hilfreiche Dokumentation zum Thema Cybersecurity in industriellen Steuerungssystemen aus Sicht der Hersteller wie auch der Betreiber beschrieben.

Gute Sicherheitstechnik reicht nicht

Der „Faktor Mensch“ ist die häufigste Ursache von Cyberrisiken. Hierzu zählen nicht nur gezielte Cyberattacken, um Produktionsabläufe zu stören oder Industriegeheimnisse zu stehlen, sondern auch Störungen, die durch Unachtsamkeit entstehen können. Für sicherheitsgerichtete Systeme spielen die üblichen Regeln der Cybersecurity eine noch wichtigere Rolle, da diese die letzte Verteidigungslinie vor einer möglichen Katastrophe darstellen. Ein Schutz vor menschlichen Eingriffen – absichtlich oder unabsichtlich – ist daher besonders wichtig. Ein umfassendes Schutzkonzept beinhaltet daher beispielsweise besonderen Zugangsschutz, eine physische Absicherung oder Plausibilitätschecks von Änderungen. Hierbei kann und muss die Technologie die Grundlage liefern, um den Menschen zu entlasten.

Darüber hinaus ist es wichtig, dass die Möglichkeiten einer Manipulation ständig im Auge behalten und berücksichtigt werden. Hier unterscheiden sich sicherheitskritische Anwendungen ganz zentral von anderen industriellen SPS- oder Office-Anwendungen. Um Security im Bereich Safety sicherzustellen, ist eine Menge Know-how nötig. Dies ist insbesondere in kleinen Betrieben eine große Herausforderung. Die Aufrechterhaltung und kontinuierliche Weiterentwicklung der Security für Anlagenbetreiber stellt daher oft eine kaum machbare Herausforderung dar. Es empfiehlt sich daher – ähnlich wie bei den oben genannten Threat Tests – erfahrene Safety- und Security-Experten mit ins Boot zu holen, um gemeinsam effektive Konzepte zu entwickeln und zu implementieren. Ein großes aktuelles Problem stellt das (spear-)phishing dar, also das gezielte Ausspionieren von Zugangsdaten zu geschützten Systemen. Wenn Mitarbeiterpassworte bekannt werden, wird ein Hacker-Angriff zum Kinderspiel. Keinesfalls sollten Anlagenbetreiber ihre Mitarbeiter jedoch als das schwächste Glied in der Kette der Cybersecurity ansehen. Es geht vielmehr darum, alle Mitarbeiter zu motivieren, sich mit dem Bereich IT-Security auseinanderzusetzen und Teil einer wirksamen proaktiven Cybersecurity-Strategie zu sein und nicht darum, Schuld zu delegieren.

Wenn durch die Aktion oder Nichtaktion eines Mitarbeiters ein Schaden entsteht, dann ist das in erster Linie ein systemisches und kein menschliches Problem. Es ist deswegen notwendig, fehlendes technisches Wissen zu vermitteln und Mitarbeiter mit Bedrohungsszenarien, wie etwa bekannten Social-Engineering-Strategien, vertraut zu machen. Aus diesem Grund sind umfangreiche Programme zur Security-Schulung und Steigerung des Bewusstseins von Mitarbeitern ein wichtiges Maßnahmenpaket innerhalb eines proaktiven Safety-Konzepts.

www.prozesstechnik-online.de

Suchwort: cav0318hima


Autor: Dr. Alexander Horch

Vice President Research, Development & Product Management,
Hima Paul Hildebrandt


Paradigmenwechsel: Safety-Konzept im Wandel

Sicherheitsgerichtete Automatisierungslösungen in Industrieanlagen müssen nicht mehr nur eine sichere Notabschaltung (ESD), sondern auch effektiven Schutz vor Cyberangriffen bieten. Hier entsteht ein Paradigmenwechsel: Bisher mussten einmal sicher ausgelegte Automatisierungen lediglich regelmäßig auf die einmal definierte Risikoreduktion überprüft werden. Zukünftig müssen Safety-Lösungen im Sinne der Security regelmäßig angepasst und erweitert werden. Dieser Paradigmenwechsel betrifft Anbieter und Betreiber sicherheitstechnischer Automatisierungskomponenten gleichermaßen.

Damit verändert sich komplett die Wahrnehmung von Safety-Lösungen: Ein zentrales Element moderner Sicherheitslösungen besteht darin, Cyberangriffe abzuwehren und damit kostspielige Shutdowns zu verhindern, sodass SIS verstärkt ein signifikanter Faktor für die Profitabilität einer Anlage werden.



Hier finden Sie mehr über:
Anzeige

Newsletter

Jetzt unseren Newsletter abonnieren

cav-Produktreport

Für Sie zusammengestellt

Webinare & Webcasts

Technisches Wissen aus erster Hand

Whitepaper

Hier finden Sie aktuelle Whitepaper

Top-Thema: Instandhaltung 4.0

Lösungen für Chemie, Pharma und Food

Pharma-Lexikon

Online Lexikon für Pharma-Technologie

Prozesstechnik-Videos

Hier finden Sie alle aktuellen Videos

phpro-Expertenmeinung

Pharma-Experten geben Auskunft

Prozesstechnik-Kalender

Alle Termine auf einen Blick

Anzeige
Anzeige

Industrie.de Infoservice

Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de