Startseite » Safety »

Funktionale Sicherheit und IT Security

Mit Industrie 4.0 steht der nächste Paradigmenwechsel an
Funktionale Sicherheit und IT Security

17. November 2016
7 Minuten Lesezeit
Mit der Einführung der Funktionalen Sicherheit in der Fertigungsindustrie wurde in den letzten Jahrzehnten ein wesentlicher Schritt in Richtung Maschinensicherheit und damit auch ein Paradigmenwechsel vollzogen. Die Übertragung sicherheitsgerichteter Nachrichten und Standardprotokolle über dasselbe Ethernetkabel erfordert neue Betrachtungen. So erlaubt es die Funktionale Sicherheit beispielsweise Sicherheitsfunktionen zu definieren, die aktiv auf einen Security-Angriff reagieren können.

Der Autor: Bernard Mysliwiec, Mysafeautomation

Erlaubte in der ersten Phase der Einführung der Maschinenrichtlinie die Normenlage lediglich die Verwendung von Relaistechnik, so hat die Feldbustechnik in der nächsten Phase weitere Möglichkeiten für die funktionale Sicherheit in Maschinen und Anlagen eröffnet. Mit der Übertragung sicherer und Standard-Protokolle über Profisafe ist eine effiziente und kostensparende Single-Channel-Technologie von PI (Profibus & Profinet International) verfügbar. Mit Industrie 4.0 steht bereits der nächste Paradigmenwechsel an, der moderne Automatisierungskonzepte in einer vernetzten Welt fordert. Die Maschinen sollen untereinander sowie mit der Außenwelt kommunizieren, was jedoch auch völlig neue Gefährdungen mit sich bringt. Die ersten Bemühungen um die Maschinenrichtlinie gehen in die 70er zurück. Die Grundprinzipien der Funktionalen Sicherheit, wie sie in der IEC 61508 beschrieben sind, wurden später auf sektorspezifische Normen (ISO 13849, IEC 62061) übertragen.
IT Security in Safety-Anwendungen
Mit der Einführung der Ethernet-basierten Steuerungskomponenten kamen jedoch neue Herausforderungen: Anlagen sollen aus der Ferne übers Internet erreichbar sein, um Diagnose, Wartung, Updates oder andere Aufgaben durchzuführen. Dies trifft nicht nur die betrieblichen Standardfunktionen, sondern auch die sicherheitsgerichteten Funktionen der Anlage. Dabei müssen neue Aspekte betrachtet werden, insbesondere kommen neue Gefährdungen hinzu, die nicht mehr nur von der Maschine sondern durch den Mensch verursacht werden. Hier sind Security-Maßnahmen zu treffen, wie sie in der IEC 62443 Reihe beschrieben sind.
Das bedeutet:
  • Safety schützt den Mensch vor der Maschine
  • Security schützt die Maschine vor dem Mensch
Dadurch ist eine neue Betrachtungsweise durch spezifische Risikoanalysen notwendig, um die Konsequenzen externer Angriffe bewerten zu können. Das wird an einem einfachen Beispiel deutlich. Eine sichere Steuerung besteht aus mehreren Teilsystemen, die gesamte Sicherheitsfunktion wird durch den Maschinenhersteller auf Teilsysteme unterschiedlicher Hersteller verteilt. Beim Einsatz gleicher Hardwarekomponenten verschiedener Hersteller können aus der Kombination von Laserscanner, Steuerung, Bedienpanel und Antriebssystem beispielhaft zwei unterschiedliche Sicherheitsfunktionen aufgebaut werden:
  • Schutzfeld: Der Maschinenbediener tritt zu nah an die gefährliche Stelle, die Antriebe gehen unmittelbar in den sicheren Halt (SOS)
  • Warnfeld: In der Betriebsart Einrichten kann ein geschulter Bediener die Maschine mit sicherer reduzierter Geschwindigkeit (SLS) fahren
Aus Safety-Sicht ergeben sich definierte Rollen: Ein Technologie-Anbieter, wie PI mit Profisafe, definiert die sicheren Kommunikationsmechanismen und lässt diese Mechanismen durch eine akkreditierte Prüfstelle gegen relevante Prüfgrundlagen validieren. Ein Gerätehersteller implementiert diese Technologie, sorgt dafür, dass die gerätespezifischen sicheren Funktionen gemäß Stand der Technik umgesetzt werden (Nachweis durch IEC 61508). Das Gerät wird durch eine akkreditierte Prüfstelle validiert. Der Maschinenhersteller übernimmt die Risikoanalyse der Maschine, definiert die notwendigen Sicherheitsfunktionen und implementiert die Funktionen in die einzelnen Teilsysteme, eventuell entwickelt er seine eigenen. Er verifiziert, validiert, erstellt die technische Dokumentation sowie die Informationen zum Gebrauch der Maschine, so wie sie in der Maschinenrichtlinie aufgeführt sind.
Die Anforderungen der Funktionalen Sicherheit gelten über alle Phasen und bei jedem Beteiligten:
  • Functional Safety Management
  • Auswahl geeigneter Geräte und Strukturen mit entsprechenden Diagnosemöglichkeiten
  • Auswahl von zuverlässigen Komponenten
Es geht darum, systematische sowie sporadische Fehler zu vermeiden bzw. zu beherrschen. Die Bewertungskriterien (SIL, PL) sind zuerst qualitativ, dann quantitativ bestätigt.
Die Anforderungen an IT Security sind in der Hinsicht kaum anders. Sie gelten über alle Phasen und bei jedem Beteiligten:
  • IT Security Management
  • Auswahl geeigneter Geräte und Strukturen
Dabei geht es darum, systematische Fehler zu vermeiden bzw. zu beherrschen. Die Bewertungskriterien (SL, FRs) sind nur qualitativ. Die Maßnahmen zum Schutz der Steuerung sind in der IEC 62443 beschrieben. In der aktuellen Version der IEC 62443-2-4 werden die in der Fertigungsindustrie gängigen Technologien verboten, was nicht gerade für die Akzeptanz dieser Norm spricht. Aus Safety-Sicht wird zwischen Daten unterschieden, die abgehört bzw. gestohlen werden (Spionage) und Daten, die manipuliert bzw. verfälscht werden (Sabotage). Besonderes Merkmal ist, dass die Risikoanalyse eigentlich vom Ziel abhängig ist – einer Anlage oder einer besonders kritischen Infrastruktur. Bei der Bewertung der geforderten Security Level (SL-T) wird nicht vom Schaden, sondern von der angeblichen Stärke des Angreifers ausgegangen. In der Fertigungsindustrie weiß der Maschinenhersteller unter Umständen weder, wo die Maschine eingesetzt wird, noch welche Endprodukte damit gefertigt werden.
Auch bei verketteten Maschinen ergeben sich Änderungen gegenüber dem üblichen Model der IEC 62443:
  • In einem Fall werden Maschinen vom Endanwender für einen bestimmten Zweck mechanisch und funktionell zusammengeführt.
  • Im anderen Fall (Just In Time) werden Maschinen von unterschiedlichen Herstellern sowohl mechanisch als auch funktionell zusammengeführt. Man denkt an Abgasanlagen-, Sitze- oder Armaturen; an verschiedene Lieferanten der Automobilproduktion.
Die Fertigungsindustrie zeichnet sich heute durch schnelle Produktionsabläufe aus. Verschiedene Anwendungsfälle gelten dabei als universell. Deren Betrachtung unter Safety- und Security-Aspekten fordert jedoch angepasste Maßnahmen, wie sie bereits in der Profi-safe-Umwelt-Spezifikation beschrieben sind. Die Anlage wird in Profisafe-Inseln (Zonen) geteilt, die über Profinet und Profibus (Conduit) verbunden sind, sodass die notwendigen (auch sicherheitsgerichteten) Eingriffe möglich sind.
Anforderungen von Industrie 4.0
Bei Industrie 4.0 können Anlagen durch die Internetanbindung an bestimmte Fertigungen angepasst werden. Anlagenteile werden zu- oder abgeschaltet, Funktionen modifiziert. Die Produktion bleibt bei Ausfall von Geräte durch Rekonfiguration erhalten. Dies alles entspricht anderen Bewegungen, anderen Geschwindigkeiten und so entstehen neue Gefährdungen für den Mensch, die nach Maschinenrichtlinie zu beherrschen sind.
Im internationalen IEC Technical Committee 44, zuständig für die Sicherheit der Maschine, ist eine Norm/Textvorschlag (IEC 63074) in Vorbereitung. Ähnlich wie bei der Funktionalen Sicherheit werden dort die Grundprinzipien erklärt. Darin wird darauf eingegangen, wie aus externen Angriffen Risiken für den Mensch entstehen können.
Daraus werden in Anlehnung an die IEC 62443-Serie Security-Anforderungen abgeleitet, die für den Schutz der Sicherheitsfunktionen benötigt werden. Diese Anforderungen gliedern sich über alle Lebensphasen der Maschine oder Anlage und betreffen:
  • Organisatorische Maßnahmen
  • Passive und aktive technische Maßnahmen
Mögliche Reaktionen sind dabei beschrieben:
  • Das Security-Risiko durch das Konzept der Steuerung ausschließen
  • Die Folgen des Angriffs minimieren
  • Die Folgen des Angriffs akzeptieren
  • Das Security-Risiko über eine weitere Instanz abfangen
Darin wird vor allem gefordert, die Ergebnisse in jedem Schritt zu dokumentieren, damit in der notwendigen wiederkehrenden Analyse die Effektivität der bereits eingesetzten Maßnahmen gegen neue Angriff-Szenarien geprüft werden kann. Es gilt dabei einzuschätzen, was Ziel dieser Angriffe sein könnte. Wenn zuerst an die Anlage gedacht wird, werden andere Maßnahmen gefordert als bei den Angriffen, die gegen Maschinenhersteller von Steuerungsteilen oder gar gegen Technologie-Anbieter gerichtet sind.
Im Normvorschlag bleibt der Kerngedanke erhalten, demnach die Umwelt der Sicherheitsfunktion entweder organisatorisch oder automatisch überwacht bleiben soll. Auch wenn davon ausgegangen werden kann, dass die Spionage an einer Anlage bezüglich Safety kein Risiko darstellt, muss bei allen Angriffen, die eine Änderung des Verhaltens der Maschine verursachen können (Sabotage), die Funktionale Sicherheit betrachtet werden. Dies beginnt bei der Verfälschung von Informationen während der Datenübertragung, denn falsche Informationen über den Zustand der Anlage können beispielsweise zu einer gefährlichen Situation führen. Aber auch zugängliche Grenzwerte können durch unerlaubte Bediener geändert werden und zu Schaden führen. Dies ist der Fall bei der Eingabe sicherer Grenzwerte, z. B. von sicheren Drehzahlbegrenzungen bei konstanter Schnittgeschwindigkeit in Drehmaschinen. Dabei ist erkennbar, dass die als Safety eingestuften Maßnahmen wie Passwortschutz oder 4-Augen-Prinzip eigentlich als Security einzustufen sind.
Die Funktionale Sicherheit erlaubt es, Sicherheitsfunktionen zu definieren, die aktiv auf den Security-Angriff reagieren können. Hier kann der Maschinenhersteller die Maßnahmen erkennen, die zum Schutz der Sicherheitsfunktion zutreffend sind, und daraus festlegen, welche Komponenten und Technologien einzusetzen sind. Er kann bestimmen, welche Security-Maßnahmen eingebaut und dann bei der wiederkehrenden Security-Risikoanalysen zu pflegen sind. Das Technical Committee 44 versucht, mit den Anwendern der Normen in Kontakt zu bleiben, und dieser Ansatz wurde mit zahlreichen Maschinenherstellern vorgestellt. Die positiven Reaktionen ermutigen den Arbeitskreis, in dieser Richtung weiter zu arbeiten. ge
Kontakt

40310004

info

Profibus Nutzerorganisation e.V.
Karlsruhe
www.profibus.com
Ein Beispiel im Video:
http://t1p.de/xu5o
Teilen:
Newsletter

Abonnieren Sie unseren Newsletter

Jetzt unseren Newsletter abonnieren

Webinare & Webcasts

Technisches Wissen aus erster Hand

Whitepaper

Hier finden Sie aktuelle Whitepaper

Videos

Hier finden Sie alle aktuellen Videos


Industrie.de Infoservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de