Startseite » Safety »

Sicherheit durch getrennte Schutzebenen mit Hima

Funktionale Sicherheit trotz Cyber-Kriminalität
Sicherheit durch getrennte Schutzebenen mit Hima

4. April 2017
8 Minuten Lesezeit
Wie in vielen anderen Bereichen stellt die Cyber-Kriminalität heute auch in der Prozessindustrie ein Risiko dar. Für einen effektiven Schutz der Mitarbeiter, des Unternehmens selbst sowie der Umwelt muss deshalb die Forderung der Normen für funktionale Sicherheit und Cyber-Security nach einer Trennung des Prozessleit- und des Sicherheitssystems umgesetzt werden.

Dr. Alexander Horch, Leiter des Bereichs Forschung, Entwicklung und Produktmanagement, Hima Paul Hildebrandt

Um sich dem Zusammenspiel von Safety und Security anzunähern, ist es sinnvoll, zunächst einige Begrifflichkeiten zu klären. Es gibt zahlreiche Definitionen von Sicherheit. Ganz allgemein gilt: Sicherheit ist die Abwesenheit von Gefahr. Das bedeutet, ein Zustand ist sicher, wenn keine Gefahren drohen. Da es gerade bei komplexen Systemen häufig nicht möglich ist, alle Risiken völlig auszuschließen, spricht man in der Industrie davon, dass Sicherheit die Freiheit von unvertretbaren Risiken ist.
Diese Minimierung von Risiken auf ein vertretbares Maß ist Aufgabe der funktionalen Sicherheit. Hiermit ist gemeint, dass die Sicherheit einer Anwendung von der Funktion eines entsprechenden technischen Systems, beispielsweise einer Sicherheitssteuerung, abhängt. Erfüllt dieses System seine Schutzfunktion, gilt die Anwendung als funktional sicher. Folgendes Beispiel verdeutlicht den Unterschied: Wenn aus einer Pipeline Öl strömt und Menschen vor Ort gefährdet, ist das ein Problem der Sicherheit. Kann ein System die Vereisung einer Pipeline nicht verhindern, obwohl genau das seine Aufgabe ist, und es kommt in der Folge zu einer kritischen Situation, ist das ein Problem der funktionalen Sicherheit. Systeme der funktionalen Sicherheit schützen Menschen, Anlagen und Umwelt. Beispielsweise schalten sie Anlagen ein oder aus, wenn plötzlich gefährliche Situationen auftreten und Menschen nicht reagieren (können) oder andere Sicherheitsvorkehrungen nicht funktionieren. Sie sollen verhindern, dass es zu Unfällen oder unerwünschten, kostspieligen Anlagenstillständen kommt.
Getrennte Schutzebenen reduzieren Risiko
Unternehmen in der Prozessindustrie erkennen zunehmend die Wichtigkeit von Safety-Standards für die Sicherheit und Wirtschaftlichkeit ihrer Anlagen. Die Norm IEC 61511 für funktionale Sicherheit definiert klar, wie sich das Risiko von Stillständen und Zwischenfällen bestmöglich reduzieren lässt: Sie verlangt getrennte Schutzebenen für die Bereiche Steuerung und Überwachung, Prävention und Eindämmung sowie Notfallmaßnahmen. Jede dieser drei Ebenen übernimmt bestimmte Teilfunktionen in der Risikominimierung und zusammen reduzieren sie die Gefahren, die vom gesamten Produktionsprozess ausgehen. Darüber hinaus schreibt die IEC 61511 für jede Schutzebene Unabhängigkeit, Diversität und physikalische Trennung vor. Um diese Anforderung zu erfüllen, müssen die Funktionen der verschiedenen Ebenen ausreichend unabhängig voneinander sein. Dabei reicht es nicht aus, unterschiedliche I/O-Module für die verschiedenen Ebenen zu verwenden, da Automatisierungssysteme auch von Funktionen in E/A-Bussystemen, CPUs und Software abhängen. Sicherheits- und Prozessleitsystem gelten nur dann im Sinne der IEC 61511 als autarke Schutzebenen, wenn sie auf unterschiedlichen Plattformen, Entwicklungsgrundlagen und Philosophien basieren. Konkret bedeutet das, dass die Systemarchitektur grundsätzlich so ausgelegt sein muss, dass keine Komponente von der Prozessleitsystem-Ebene und der Safety-Ebene gleichzeitig genutzt werden darf.
Das Risiko von Cyber-Attacken steigt
Spätestens seit dem Angriff des Stuxnet-Virus auf eine Industriesteuerung 2010 wissen wir, dass auch Industrieanlagen verwundbar sind und ein attraktives Ziel für Cyber-Angriffe darstellen. In den letzten fünf bis zehn Jahren ist durch die zunehmende Digitalisierung das Risiko von Cyber-Attacken auf industrielle Anlagen deutlich gestiegen. Diese gefährden nicht nur die Informationssicherheit, sondern in steigendem Maße unmittelbar auch die Anlagensicherheit. Anlagenbetreiber müssen dieses Risiko im Blick haben und aktiv adressieren. Dies geschieht über verschiedene Systeme und Maßnahmen zur Steigerung der Cyber Security.
Im Gegensatz zu Systemen der funktionalen Sicherheit, die vor allem den Schutz des Menschen zum Ziel haben, schützen diese technische Informationssysteme vor absichtlicher, aber auch ungewollter Manipulation oder vor Attacken – sei es um Produktionsabläufe zu stören oder Industriegeheimnisse zu stehlen. Die beschriebenen Umstände führen dazu, dass die Themen Safety und Security heute eng miteinander verwoben sind. Insbesondere für sicherheitsgerichtete Systeme spielt Cyber Security, wie etwa in der Prozessindustrie, eine ganz zentrale Rolle, da diese die letzte Front vor einer möglichen Katastrophe darstellen.
Normen legen den Rahmen fest
Bei Design, Betrieb und Spezifikation von Sicherheitssteuerungen sind wichtige internationale Normen einzuhalten. Hier ist zunächst die Basisnorm für sicherheitstechnische Systeme IEC 61508 zu nennen, die branchenübergreifend für alle sicherheitsgerichteten Systeme (elektrische, elektronische und programmierbare elektronische Geräte) gilt. Die von der Basisnorm abgeleitete, bereits beschriebene IEC 61511 setzt die Grundnorm für die Prozessindustrie um und legt fest, welche Auswahlkriterien bei den Komponenten der Sicherheitsfunktionen gelten.
Darüber hinaus ist die Normenreihe IEC 62443 für IT-Sicherheit in Netzen und Systemen – die de facto Norm für Cyber Security – zu beachten. Sie verlangt unter anderem ein Managementsystem für die IT-Sicherheit, getrennte Schutzebenen mit voneinander unabhängigen Betriebs- und Schutzeinrichtungen sowie Maßnahmen, um die IT-Sicherheit über den kompletten Lebenszyklus einer Anlage sicherzustellen. Außerdem fordert sie abgeschottete Zonen für Unternehmensnetzwerk, Leitstelle, Sicherheitssystem (Safety-Instrumented System, SIS) und Prozessleitsystem (Basic Process Control System, BPCS), die jeweils durch eine Firewall vor unerwünschten Zugriffen geschützt werden sollen.
Cyber Security by Design
Die beiden englischen Begriffe Safety und Security werden beide von dem deutschen Begriff Sicherheit umfasst. Dies ist nicht nur sprachlich von Interesse, sondern auch inhaltlich ein sehr geeignetes Bild: Es macht deutlich, wie sehr beide Themen heute miteinander verwoben sind, und, dass sie gemeinsam betrachtet werden müssen.
Standardisierte Hard- und Software in der Prozessleittechnik erfordern regelmäßige Patches, um Schwachstellen in Software und Betriebssystem zu beheben. Aufgrund der Komplexität der Software-architektur ist jedoch eine analytische Bewertung der Risiken, die durch ein System-Update entstehen könnten, schwierig bis unmöglich. So können durchgeführte Patches im Prozessleitsystem zum Beispiel auch Funktionalitäten des darin integrierten Sicherheitssystems beeinflussen. Damit in sicherheitsrelevanten Prozessen bei Leitsystem-Patches keine kritischen Fehler mit unabsehbaren Folgen auftreten können, müssen deshalb Prozessleit- und Sicherheitssystem technologisch voneinander getrennt werden. Nur so ist garantiert, dass Updates im Leitsystem die funktionale Sicherheit nicht beeinträchtigen. Für eine wirkungsvolle Cyber Security reicht es dementsprechend nicht aus, ein vorhandenes Produkt im Nach-hinein durch zusätzliche Software-Funktionalität zu verbessern. Jede Lösung zur funktionalen Sicherheit muss von Beginn an im Sinne der Cyber Security durchdacht und entworfen werden. Das gilt für die Firmware ebenso wie für die Anwendungssoftware.
Effektiver Schutz vor Cyber-Attacken
Auf den autarken Sicherheitssteuerungen von Hima läuft ein eigenes Betriebssystem, das speziell für sicherheitsgerichtete Anwendungen entwickelt wurde. Dieses umfasst alle Funktionen einer Sicherheits-SPS, verzichtet aber darüber hinaus auf weitere Funktionen. Typische Attacken auf IT-Systeme sind daher nicht erfolgreich. Die Betriebssysteme der Steuerungen werden zudem bereits während ihrer Entwicklung auf ihre Widerstandsfähigkeit gegenüber Cyber-Attacken getestet. Außerdem sind in den Hima-Steuerungen Prozessor und Kommunikationsprozessor getrennt, sodass sie selbst im Falle einer Attacke auf den Kommunikationsprozessor eine hohe Betriebssicherheit gewährleisten. Sie ermöglichen den Betrieb verschiedener, physikalisch getrennter Netzwerke auf nur einem Kommunikationsprozessor oder Prozessormodul. So kann der direkte Zugriff auf ein Automatisierungsnetzwerk von einem angeschlossenen Entwicklungsarbeitsplatz verhindert werden. Außerdem lassen sich einzelne, ungenutzte Schnittstellen deaktivieren.
Darüber hinaus läuft das Konfigurations-, Programmier- und Diagnose-Tool Silworx in einer Windows-Umgebung, die in einer Weise funktioniert, die es so unabhängig wie möglich von Windows-Funktionen macht. Dieses Konzept ermöglicht einen sicheren Betrieb, ohne Störungen durch andere Programme oder Updates. Es bietet maximalen Schutz vor Bedienfehlern und kreiert ein Set an bewährten Daten-Bausteinen zur Programmierung der Sicherheits-SPS. Dennoch erlaubt Silworx via Schnittstellen eine Übertragung von Konfigurationsdaten von Dritt-Systemen in das bewährte Daten-Set. Zudem verfügt das Programmier-Tool über ein zweistufiges Nutzer-Management, über das sich die Zugriffsrechte individuell einstellen lassen, sodass sowohl die Anwendung als auch das Sicherheitssystem optimal geschützt werden. Beispielsweise ist bei einer Passwortänderung kein neuer Patch notwendig und die Anlage muss nicht neu zertifiziert werden.
Beim Vergleich der Norm für die Prozessindustrie und der Norm für Cyber Security fällt auf, dass beide die Trennung von Sicherheits- (SIS) und Prozessleitsystem (BPCS) fordern. Diese Unabhängigkeit der Sicherheitssysteme ist nicht nur Grundvoraussetzung für den effektiven Schutz von prozesstechnischen Anlagen, sondern auch aus praktischen und wirtschaftlichen Erwägungen heraus sinnvoll, zum Beispiel, weil Lebenszyklen und Veränderungsgeschwindigkeit sich bei SIS und BPCS stark unterscheiden. Anlagenbetreiber haben so die Freiheit, unter verschiedenen Herstellern jeweils die Best-of-Breed-Lösung auszuwählen.
Keine funktionale Sicherheit ohne Cyber Security
Um Sicherheitssysteme wirtschaftlich betreiben zu können, ist die Integration umfassender Betriebs- und Wartungsinformationen notwendig. Trotz der geforderten Unabhängigkeit lassen sich Hima-Systeme problemlos in alle führenden Prozessleitsysteme integrieren (Independent Open Integration). Dabei übernimmt Hima die PLS-SIS-Integration und ermöglicht die gewünschten Funktionalitäten. Die Integration erfolgt über leistungsfähige, herstellerübergreifende Kommunikationsstandards.
Zusammenfassend lässt sich festhalten, dass von der Prozessleittechnik unabhängige Systeme, die sich trotz physikalischer Trennung im Sinne der Indipendent Open Integration einfach in Prozessleitsysteme einbinden lassen, das höchste Maß an Safety und Security in sicherheitskritischen Anwendungen bieten. Die Erfahrung aus der Praxis zeigt, dass sie die beste Lösung darstellen, um die Betriebssicherheit und die Verfügbarkeit von prozesstechnischen Anlagen zu erhöhen und somit die Wirtschaftlichkeit in der Produk-tion zu verbessern. ik
www.hima.de
Teilen:
Newsletter

Abonnieren Sie unseren Newsletter

Jetzt unseren Newsletter abonnieren

Webinare & Webcasts

Technisches Wissen aus erster Hand

Whitepaper

Hier finden Sie aktuelle Whitepaper

Videos

Hier finden Sie alle aktuellen Videos


Industrie.de Infoservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de