Cyber-Attacken auf Prozessanlagen nehmen zu. Sicherheitsgerichtete Automatisierungslösungen müssen heute daher neben der funktionalen Sicherheit (Safety) auch Cybersecurity unterstützen. Ein jeweils autarkes Prozessleitsystem und Sicherheitssystem erhöhen die Security. Die Security-Norm IEC 62443 für die Anlagensicherheit und die jüngste Version der Safety-Norm IEC 61511 zur Anlagensicherung unterstützen diesen Ansatz, indem sie getrennte Schutzebenen und unabhängige Betriebs- und Schutzeinrichtungen fordern.
Der Computerwurm Stuxnet in iranischen Atomanlagen, Cyber-Angriffe auf Industrieanlagen infolge zu laxer Authentifizierung, Änderung der Sicherheitssteuerung durch fehlerhafte Programmierung – Beispiele wie diese verdeutlichen den Bedarf an einer besseren IT-Sicherheit. Selbst wenn man böswillige Bedrohungen ausschließt, gibt es Sicherheitslücken bei allen Arten von Automatisierungssystemen. Hierzu gehören das sicherheitsgerichtete System selbst und das verteilte Leitsystem (DCS), wobei Ersteres ein Bestandteil des DCS sein kann. Aus diesem Grund fordern viele Sicherheitsexperten, die Komponenten des Sicherheitssystems (Safety Instrumented System, SIS) von denen des DCS physisch zu trennen.
Der Entwurf der IEC 62443 als der IEC-Standard für Cybersecurity behandelt die notwendigen Sicherungsverfahren, um Cybersicherheitsattacken auf Netzwerke und Systeme von Anlagen zu unterbinden. Die Norm fordert, Gesamtanlagen durch Aufteilung zu trennen, und führt das Konzept von Sicherheitszonen, festgelegten Kanälen und zusätzlichen Firewalls in jedem Kanal ein. Diese Gliederung hat ein gestaffeltes System unterschiedlicher Schutzmechanismen (Defence in Depth) zur Folge.
Nach der jüngsten Version der Safety-Norm IEC 61511 muss sichergestellt sein, dass vorgegebene physische Strukturen gewährleistet werden. Eine weitere Anmerkung der IEC 61511 betrifft insbesondere das Problem der Cybersecurity und Anlagensicherheit. Demnach sollten die Sicherheitsfunktionen von nicht sicherheitsgerichteten Funktionen physikalisch getrennt sein. Voneinander unabhängige Schutzschichten sind hier von entscheidender Bedeutung.
Die IEC 61511 und IEC 62443 fordern des Weiteren voneinander unabhängige Schutzschichten. Die beiden Standards schreiben gemeinsam vor:
- Voneinander unabhängige Steuerung und Anlagensicherheit
- Verringerung systematischer Entwurfs-fehler
- Trennung der Verantwortung für Technik und Management
- Verringerung der Auswirkung von Fehlern mit gemeinsamen Ursachen
- In komplexen Prozessanwendungen beinhaltet die Ebene 1 (Level 1) Feldgeräte wie Sensoren und Aktoren, die jeweils ihre eigene IT-Relevanz haben. Die Komponenten auf Ebene 2 verarbeiten die Daten, die durch die Sensoren erfasst wurden bzw. von den Aktoren benötigt werden. Auf beiden Ebenen ist die Übertragung und Verarbeitung von Daten in Echtzeit von entscheidender Bedeutung. Daher eignet sich ein auf Software beruhender Schutz vor Malware (z. B. Virenscanner) dafür nicht. Das erfordert alternative Maßnahmen, wie die begrenzte Zugänglichkeit des Datenaustauschs und die logische Trennung von Einheiten.
Schutzebenen
Die IEC 61511 fordert unterschiedliche und voneinander unabhängige Schutzebenen. Werden zwei Schutzebenen zusammengelegt, muss die Risikominderung neu eingeschätzt werden. Dabei muss nachgewiesen werden, dass dieselbe Gesamtrisikominderung wie bei zwei bestehenden unterschiedlichen Schutzschichten erreicht wird.
Die IEC 61508 legt Anforderungen hinsichtlich der Fehlerausfallrate bei Zufallsfehlern (Hardware) und der systematischen Fehler wie Konstruktions- und Softwarefehler fest. Normalerweise wird die erforderliche Risikominderung einer Anwendung allgemein ermittelt. Dabei wird nicht berücksichtigt, wie das SIS realisiert wird, da in dieser Projektphase die technische Plattform in der Regel noch nicht ausgewählt wurde.
Während dieses Prozesses finden sich in der IEC 61511 definierte Strukturen als Ausgangspunkt, wobei die erforderliche Risikominderung definiert wird, die das SIS erreichen soll. Nach der IEC 61511 muss hierbei eine ausreichende Unabhängigkeit zwischen den verschiedenen Schutzebenen bestehen. Dies setzt voraus, dass es zwei voneinander unabhängige Ebenen zur Risikominderung gibt:
- das übergeordnete Prozessleitsystem (Overall Basic Control System, BPCS) mit einem Risikominderungsfaktor von 10
- das SIS mit einem Risikominderungsfaktor je nach Sicherheitsvorschrift (z. B. 1000 bei SIL 3)
Das herkömmliche Konzept setzt voraus, dass eine Risikominderung von 1000 und 10 000 erreicht wird, da die Risikominderung teilweise durch das BPCS (bis 10 gemäß IEC 61511) und durch das SIS (1000 bei einer SIL-3-konformen Lösung) realisiert wird. Bei der integrierten Lösung sind gemeinsame Komponenten für das BPCS und SIS vorhanden. Je nach Aufbau sind dies entweder die CPU, E/A-Busse oder die Software (z. B. Betriebssystem) und Symbolbibliotheken. Diese gemeinsam verwendeten Komponenten müssen eine Risikominderung zwischen 1000 und 10 000 gewährleisten, um die ursprünglichen Anforderungen an die Risikominderung einzuhalten. In der Praxis bedeutet dies, dass SIL-4-Anforderungen zu erfüllen wären, was zurzeit nicht erreichbar ist.
Hohe Robustheit, weniger Patches
Auf der Automatisierungsplattform werden immer komplexere Funktionen realisiert. Des Weiteren stellen handelsübliche Standardbetriebssysteme (COTS-Betriebssysteme) eine breite Palette von Merkmalen bereit, die auf der Automatisierungsplattform weder nötig noch erwünscht sind. Dadurch erhöht sich die Komplexität und es müssen häufig Aktualisierungen (Patches) installiert werden, um Sicherheitslücken zu beseitigen. Jede im SIS installierte Aktualisierung muss anschließend getestet werden, um nachzuweisen, dass seine Funktionalität nicht beeinträchtigt ist.
Hima setzt für Anwendungen in der Prozessindustrie keine COTS-Betriebssysteme ein. Die Laufzeitanwendungen seiner Automatisierungsprodukte werden durch Systeme betrieben, die das Unternehmen ausschließlich für seine Produkte entwickelt hat. Diese Betriebssysteme unterstützen alle Merkmale, die zum Betrieb eines SIS erforderlich sind, enthalten aber keine weiteren Funktionalitäten. Diese eindeutige Konzentration verbessert die Robustheit von Hima-Produkten, verringert die Anzahl von Sicherheitslücken aufgrund von Problemen bei der IT-Sicherheit und erfordert weniger Patches.
www.prozesstechnik-online.deSuchwort: cav0316hima
Peter Sieber
Vice President Global Sales & Regional Development, Hima
Teilen: