Die 2016 revidierte Norm IEC 61511 fordert ein Security Risk Assessment hinsichtlich der IT-Security, also eine Risikobewertung für Sicherheitssysteme (Safety Instrumented Systems – SIS). Um systematische und stochastische Fehler in einer Anlage zu vermeiden bzw. ihre Auswirkungen einzudämmen, macht die IEC 61508 (funktionale Sicherheit) konkrete Vorgaben. Die Norm bezieht sich auf elektrische, elektronische und programmierbare elektronische sicherheitsgerichtete Systeme. Dennoch suchte man Fehlerursachen bislang fast ausschließlich in der Hardware. Ein Sicherheitssystem (SIS) besteht aber nicht nur aus Aktoren, die im Notfall Anlagen in den sichern Zustand führen und Sensoren, die den Aktoren, eine entsprechende Steuerung übernimmt die sichere Kommunikation. Denn beeinflussen auch Sicherheitslücken in der Software der Sicherheitssteuerung die gesamte funktionale Sicherheit einer Anlage? Und wenn ja, wo sind die Gefahren? Lassen sich mit einer HAZOP (hazard and operability study) Gefahren bezüglich Security analysieren und dementsprechende Maßnahmen zur Vermeidung bzw. Beherrschung in Sicherheitssystemen umsetzen, wie sie die revidierte IEC 61511 fordert? Können auch auf Softwareseite durch konsequenten Einsatz eines Functional-Safety-Management-Systems systematische Fehler vermieden und stochastische Fehler schneller entdeckt und eingedämmt werden?
Norm fordert Risikoeinschätzung
Die aktuelle Gesetzgebung fordert, dass der Anlagenbetreiber eine regelmäßige Risikoeinschätzung hinsichtlich IT-Security seiner Sicherheitssysteme durchführen muss, um Risiken zu identifizieren. Die IEC 61511:2016 ist seit gut einem Jahr als internationaler Standard für die Prozessindustrie gültig; auf nationaler Ebene wird derzeit die VDI 2180 vorbereitet, um die Forderungen des Standards für Deutschland festzulegen. Für Sicherheitssysteme relevant ist vor allem der Abschnitt 8.2.4 der IEC 61511.
Allerdings bildet für viele die Umsetzung der Norm eine große Hürde, da sie tiefgreifendes Know-how in den Bereichen Prozessautomatisierung, funktionale Sicherheit und der IT-Security erfordert. Dennoch ist der Anlagenbetreiber in der Pflicht sicherzustellen, dass seine Sicherheitssysteme nicht angreifbar sind. Betroffen sind Industrieanlagen im Neubau ebenso wie Bestandsanlagen. In beiden Fällen kann es sinnvoll sein, Experten ins Boot zu nehmen. Denn laut Norm ist die Risikobeurteilung zwingend Teil einer Anlagenentwicklung im Lebenszyklus der funktionalen Sicherheit, muss aber auch bei jeder Änderung des Sicherheitssystems und in regelmäßigen Prüfungen wiederholt werden, um sicherzustellen, dass eine Anlage in Bezug auf die funktionale Sicherheit auf dem aktuellen Stand der Technik ist.
Externe Dienstleister wie Rösberg Engineering in Karlsruhe können von der Entwurfsplanung bis hin zu Anlagenänderungen dabei helfen, die Risikobeurteilung durchzuführen und für die Nachweispflicht zu dokumentieren. Laut Forderung der Norm muss für Cybersecurity ebenso wie bei der funktionalen Sicherheit der gesamte Sicherheitslebenszyklus einer Anlage betrachtet werden. Daher ist es sinnvoll, den Berater für das Thema funktionale Sicherheit bereits frühzeitig mit ins Projekt zu nehmen. In Bezug auf Cybersecurity gilt es immer das gesamte Kommunikationsnetzwerk samt Systemsteuerung zu betrachten, mögliche Schwachstellen ausfindig zu machen und Sicherheitslücken zu schließen. Externe Dienstleister überzeugen an dieser Stelle nicht nur durch ihren neutralen Blick, sondern auch durch die Spezialisierung auf die Themen funktionale und IT-Sicherheit sowie den geübten Umgang mit den entsprechenden Vorgehensweisen.
FSM-System und IT-Security
Die Karlsruher Experten waren bereits in zahlreichen Unternehmen an der Integration eines Functional Safety Management-Systems beteiligt. Sie haben ein FSM-System entwickelt, das sich am Sicherheitslebenszyklus orientiert, wie er in der IEC 61511 definiert ist. Zum Vermeiden systematischer Fehler nutzt das FSM-System sogenannte Formatvorlagen. Diese helfen, potentielle Fehlerursachen beispielsweise in Instandhaltungsarbeiten systematisch abzufragen. Zudem haben die Karlsruher eigene Formatvorlagen entwickelt, die den Anlagenbetreibern im Zuge der Beratung zur Verfügung gestellt werden. Ebenso wichtig wie diese Dokumentation ist die systematische Benennung von SIL-Leveln und Verantwortlichen für die Verifikation einzelner Schritte.
Das bewährte FSM-System haben die Automatisierungsexperten nun um ein Modul für IT-Security Risk Assessment erweitert. Auch hier fließt die über Jahre gesammelte Erfahrung ein. Mit dem Tool werden Anwender systematisch durch die Gefahrenanalyse und Risikobeurteilung geführt, um beispielsweise konkrete Angriffspunkte für Cyberattacken zu finden. Die Vorgehensweise kann ebenfalls aufdecken, wo Probleme im gesamten Sicherheitssystem, also auch in der Software des PLCs, Auswirkungen auf die funktionale Sicherheit der Gesamtanlage haben können. Mit diesen Informationen lässt sich dann klären, welche Maßnahmen der Anlagenbetreiber ergreifen kann, um die funktionale Sicherheit einer Anlage auch im Falle von Problemen mit dem Sicherheitssystem zu gewährleisten. Wesentlicher Teil einer Gefahrenanalyse und Risikobeurteilung ist zudem die nachvollziehbare Dokumentation nach rechtlichen Vorgaben.
Forderung nach Abschnitt 8.2.4 der IEC 61511
Laut Norm muss sowohl für das Sicherheitssystem selbst als auch das BPCS (Basic Process Control System) samt aller mit dem Sicherheitssystem verbundenen Systeme eine Risikobeurteilung hinsichtlich der IT-Sicherheit durchgeführt werden. Es gilt alle möglichen Bedrohungen zu benennen, gleichgültig ob diese nun durch unbeabsichtigtes menschliches Versagen oder aktive bösartige Manipulation verursacht werden. Für diese Bedrohungen sind dann die möglichen Konsequenzen in Schadensausmaß, Wahrscheinlichkeit ihres Eintretens, Aufenthaltsdauer von Personen und Abwendbarkeit der potentiellen Gefahr zu bewerten. Dabei ist es wichtig, alle Phasen des Lebenszyklus des Sicherheitssystems zu betrachten. Für alle Phasen gilt es Maßnahmen zur Risikoreduzierung festzulegen und entsprechend zu dokumentieren.
Konkrete Vorgaben für die Risikoanalyse zum Schutz vor Cyberattacken macht die IEC 62443 (Industrielle Kommunikationsnetze – IT-Sicherheit für Netze und Systeme), auf die die IEC 61511 verweist: Generell darf das IT-Security Risk Assessment des Sicherheitssystems ausdrücklich Teil einer Risikoanalyse der gesamten Prozessautomatisierung einer Anlage sein. Somit haben es die Unternehmen mit der Umsetzung der IEC 61511 einfacher, die bereits ein Functional Safety Management System implementiert haben.
Weitere Informationen zum Thema
