Umfassende Datenflüsse verebben längst nicht mehr an den eigenen Unternehmenspforten. Die Zeiten, als Automatisierung bedeutete, dass etwa ein ERP-System zur besseren Planung der Ressourcen auf die Messwerte der Feldebene zugreifen konnte, sind Geschichte. Weit darüber hinaus sind heute Anlagen und Maschinen mit riesigen Datenströmen vernetzt. Die große Chance der neuen Offenheit liegt darin, dass der genaue Betriebszustand aller Komponenten jederzeit verfügbar ist. Maschinen reagieren autonom auf kritische Meldungen, Daten werden intelligent gefiltert und mit entsprechendem Mehrwert ausgelesen, eine vorbeugende Wartung schafft neue Effizienz. Die Liste der Vorteile von Industrie 4.0 ließe sich beliebig fortführen, doch hat die Medaille eine Rückseite: Nur eine verlässlich sichere IT im Umfeld der Prozesssteuerungen garantiert, dass man tatsächlich von den Vorteilen profitieren kann. Immer deutlicher zeichnet sich ab: Nicht nur Menschen müssen vor Maschinen geschützt werden, auch Maschinen benötigen Schutz vor Menschen.
Zweimal Sicherheit
Speziell in den Bereichen Chemie und Petrochemie ist das Thema Safety Integrity Level (SIL) seit Beginn der Nuller-Jahre ein Dauerthema. Um den Anwendern Richtwerte zur Orientierung an die Hand zu geben, wurde 1998 mit der IEC 61508 eine internationale Norm für sicherheitsrelevante Systeme veröffentlicht und 2001 als EU-Norm übernommen. Sie bewertet seither die der Gefahr angepassten Möglichkeiten der Risikoreduzierung mit verschiedenen Sicherheitslevels. Anders als bei der Maschinenrichtlinie, deren Thema es ist, den Schutz von Menschen vor den Gefahren, die von Maschinen ausgehen können, einzuordnen, ist die IT-Sicherheit im Umfeld von Prozesssteuerungen vielerorts noch Neuland. Um dies zu ändern, wurde die Normenreihe IEC 62443 für die besonderen Cybersecurity-Anforderungen industrieller Maschinen und Anlagen entwickelt. Ihr Ziel ist es, die passenden Maßnahmen zu beschreiben, um mögliche Schwachstellen industrieller Netze und Systeme leichter und rechtzeitiger zu identifizieren. Die Norm ist auf einem guten Weg. War die Cybersecurity-Risikoanalyse im Bereich der Sensorik und Aktorik bisher freiwillig, so soll sie bereits mit der kommenden Novellierung der Maschinenrichtlinie Pflicht werden.
Gefahr erkannt, Gefahr gebannt
Wie wichtig ein umfassender Cyberschutz ist, lässt sich aus dem Büroalltag lernen, wo er der Industrie um Jahre voraus ist. Weiterhin wächst hier nicht nur die Anzahl der Vorfälle ständig; auch die Art der Angriffe wird zunehmend ausgeklügelter und herausfordernder. In industriellen Anlagen ist vieles vergleichbar, doch nicht alles. Anlagen sind vielschichtiger und über mehrere Ebenen vernetzt: Sensoren leiten Messwerte an Gateways und Steuerungen weiter, die ihrerseits Informationen und Werte an bedienbare Maschinenoberflächen senden. Hier werden alle Daten in Produktions- und Wartungssystemen gebündelt, von wo aus sie letztendlich im IT-Bereich weiterverwendet werden. Um eine entsprechend tiefgreifende Sicherheit zu erreichen, muss nicht nur die Anlage an sich sicher sein. Auch alle integrierten Komponenten, darunter Füllstandsensoren oder Druckmessgeräte, müssen den erforderlichen Sicherheitsstandards entsprechen. Teil der Vega-Philosophie ist es daher, frühzeitig die Entwicklung neuer Produkte mit einem umfassenden Security-Paket zu begleiten.
Breites Sicherheitsspektrum
Eine Zertifizierung nach IEC 62443-4-2 begleitete daher die Entwicklung des universellen Radar-Füllstandsensors Vegapuls 6X vom ersten Schritt an. Zur Ausrichtung gemäß der IT-Sicherheitsnorm gehörte gleich zu Beginn die Analyse potenzieller Bedrohungen, um Schwachstellen frühzeitig zu erkennen und so frühzeitig wie möglich Gegenmaßnahmen zu entwickeln. Diese sollten sich nicht nur auf die Sicherheit des Gerätes beziehen, sondern den Gesamtprozess im Unternehmen begleiten. Eng flankiert wurden alle Maßnahmen vom TÜV Nord, der diese kritisch auf den Prüfstand stellte.
Im Ergebnis beginnen beim Radarsensor Vegapuls 6X die Sicherheitsmaßnahmen bei seiner vergossenen Elektronik, die mögliche Gerätemanipulationen wirkungsvoll verhindert. Dazu bringt eine Defense-in-Depth-Strategie, ein gestaffeltes Sicherheitskonzept für den Sensor, ergänzende sogenannte Sicherheits-Layers dazu. Die Gesamtstrategie beinhaltet die Anlagensicherheit, die Netzwerksicherheit und die Sicherheitsstrategie der Systemkomponente. Der Vegapuls-Radarsensor kann sich in diesem Sinne die folgenden konkreten Schutzmerkmale auf die Fahnen schreiben: Schutz gegen Datenmanipulation (Verletzung der Integrität), gegen Denial of Service (Verletzung der Verfügbarkeit) und gegen Spionage (Verletzung der Vertraulichkeit).
Das Sicherheitsspektrum runden viele weitere Bereiche ab, darunter eine Benutzer-Authentifizierung, die festlegt, dass jedes Messgerät mit einem individuellen Gerätecode und Bluetooth-Zugangscode ausgeliefert wird. Die Bluetooth-Verbindungen sind durch standardisierte kryptographische Verfahren verschlüsselt, die sich nach der Gerätekonfiguration wieder deaktivieren lassen. In einem Ereignisspeicher kontrolliert der Vegapuls-Sensor alle bisherigen Sperr- und Entsperrvorgänge – sowohl die erfolgreichen als auch die fehlgeschlagenen. Durch eine regelmäßige Kontrolle können versuchte Angriffe oder Manipulation getrackt und entsprechend Maßnahmen eingeleitet werden. Auch Integritätschecks der Firmware sind Teil des Konzepts. Das Softwareupdatepaket ist verschlüsselt und signiert, um zu verhindern, dass unautorisierte Software in das Gerät geladen werden kann. Sollten Daten zu Wiederherstellung benötigt werden, so bietet der DTM die Funktion „Backup & Restore“ an, mit der alle Parameter des Füllstandsensors gesichert werden.
Die Szenarien durchgespielt
Jede Phase der Produktentwicklung des Vegapuls 6X wurde nicht nur sorgfältig geplant und auf Machbarkeit evaluiert, sondern auch nachvollziehbar dokumentiert. Dazu kamen unabhängige Produktprüfungen und Zertifizierungen. Im Ergebnis sind die Radarsensoren Vegapuls 6X für die Abwehr der vielfältigen Angriffsarten gewappnet. So schützen sie beispielsweise vor Szenarien wie unberechtigtes Einschleusen in die Kommunikation, sichern Softwareupdates ab oder schützen die Benutzeranmeldung ins System. Bedacht sind zudem Manipulation von Daten oder gar die Sabotage des gesamten Systems.
Um auf künftige Entwicklungen und Herausforderungen proaktiv reagieren zu können, begleitet ein firmeneigenes PSIRT-Team (Product Security Incident Response-Team) die Einsätze der Radarsensoren. Das Team behandelt Mängel in der IT-Sicherheit, findet und schließt Lücken und überprüft gemeldete Probleme. Aus ihrer Beurteilung neuer Bedrohungen entstehen in der Praxis neben Updates auch wichtige Hinweise und Informationen an alle Beteiligten.
Lebenslanges Lernen
Der zentrale Gedanke, der den Radarfüllstandsensor Vegapuls 6X bei der Entwicklung durchgehend begleitete, war „Einfachheit“. Weder über den Einsatzbereich noch über Technik, Frequenz oder Ausführung sollten sich Anwender Gedanken machen müssen, sondern den Sensor mit wenigen Klicks in Betrieb nehmen können. Dieser Ansatz zieht sich bis hin zum zentralen Thema Cybersecurity durch. Zwar entlässt das umfassende und zertifizierte Sicherheitspaket des Radarsensors die Anwender und Anlagenbetreiber nicht aus ihrer Verantwortung, doch unterstützt es sie wirkungsvoll auf ihrem Weg, Cybersecurity-Schwachstellen zu identifizieren und zu beheben. Dazu gehört es, die in den Security Guidelines genannten Maßnahmen umzusetzen, die den richtigen und sicheren Einsatz des Sensors beschreiben. Mit dem im Sensorpaket enthaltenen Security-Begleitdokument sind Anwender dann mit dem State-of-the-Art-Wissen versorgt, um auch neuartigen Sicherheitsherausforderungen zu begegnen. Darüber hinaus ist und bleibt Cybersecurity ein aus Anlagensicht andauernder und dynamischer Prozess – auch hier ist lebenslanges Lernen zur Kernkompetenz geworden.
Vega Grieshaber KG, Schiltach
Autorin: Claudia Homburg
Marketing,
Vega
Hier finden Sie mehr über:
