Automation Security Agenda 2020
Cyber Security im Rahmen von Industrie 4.0 und IoT
Da passt die NAMUR Empfehlung NE 153 gut ins Konzept, die jetzt in Zusammenarbeit mit erfahrenen Vertretern aus Industrie, Verbänden und Forschungseinrichtungen entstanden ist. CHEManager hat dazu Stellungnahmen von Experten eingeholt, die an der Erarbeitung der NE 153 beteiligt waren.
Anfang April 2015 blieben über etliche Stunden die Bildschirme der elf TV-Programme des französischen Fernsehsender TV5 Monde leer: Ein offenbar von Anhängern der Extremistenmiliz "Islamischer Staat" verübter Cyberangriff hatte die französische Sendergruppe blockiert. Zudem verschafften sich die Hacker Zugriff zu Internetseiten des Senders. Mit einem "elektronische Dschihad" gehen Islamisten im Kampf gegen "Ungläubige" vor, äußerte sich der Chef des deutschen Verfassungsschutzes, Hans-Georg Maaßen, dazu. Für ihn stellt der Hacker-Angriff auf den französischen Sender eine neue Form des Cyberkriegs dar.
Wenige Wochen später wurde bekannt, dass unbekannte Hacker Daten von Bundestags-Computern abgezweigt haben. Die Cyberattacke war offenbar so massiv, dass das Parlament sein gesamtes Computer-Netzwerk neu aufbauen muss. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist zu dem Ergebnis gekommen, dass das bestehende Netz nicht mehr gegen den Angriff verteidigt werden kann und aufgegeben werden muss – ein Totalschaden, dessen Brisanz bezüglich der abgeflossenen Daten überhaupt nicht zu bemessen ist.
Nichts und niemand ist sicher
Selbst Unternehmen wie Kaspersky, die sich dem Schutz der kritischen Infrastruktur von kleinen und großen Unternehmen verschrieben haben, sind gegen Cyber-Angriffe nicht gefeit: Ein Trojaner hat das Unternehmen infiziert und die Angreifer haben das Netzwerk von Kaspersky durchforstet. Den Untersuchungen zufolge ist der Spionage-Trojaner fast identisch aufgebaut wie der Duqu-Wurm, der Ende 2011 etwa Betriebsgeheimnisse aus verschiedenen industriellen Zielen abziehen wollte. Kaspersky vermutet, dass dieselben stattlichen Akteure hinter dem neuen Angriff stecken.
Jewgeni Kasperski erwartet in Zukunft verstärkte Attacken auf die Infrastruktur in öffentlichen, industriellen und wirtschaftlichen Einrichtungen. Der Angriff auf ein Stahlwerk in Deutschland im Dezember 2104 hat gezeigt, dass das möglich ist. Dabei wurde wohl zunächst das Büronetzwerk des Unternehmens infiziert und danach das Industrienetzwerk. Am Ende wurde ein Sicherheitsstopp des Hochofens in der Anlage ausgelöst – für ein Stahlwerk bedeutet das einen riesigen Schaden. Schon in 2012 wurde das Finanzsystem aller Großbanken in Südkorea attackiert – ähnliche Angriffe können weltweite Finanzkrisen allergrößten Ausmaßes auslösen. Angriffe krimineller Organisationen auf Industrie und Logistik, etwa um Kohle von Kohleminen oder Öl von Ölanlagen zu stehlen, muten dagegen fast harmlos an. In der Ukraine wurde Getreide gestohlen, indem unter anderem die Waagen manipuliert wurden. Vor etwa zwei Jahren wurde das Verladesystem im Hafen von Antwerpen attackiert, um so Kokain an den Kontrollen vorbei zu entladen. So agiert die traditionelle Mafia auch vermehrt über den Cyberspace.
Im privaten Bereich werden die Attacken auf Smart TV, Smart Cars und Smart Home laut Kasperski zunehmen – alles was wegen Geld angegriffen werden kann, wird angegriffen, lautet die einfache Formel.
Ohne Security keine Industrie 4.0
Ob man die Begriffe „Industrie 4.0“ oder „IoT“ mag oder nicht: Die durchgängige Digitalisierung und komplette Vernetzung in der Produktion hat bereits begonnen und der digitale Wandel ist ein Tempothema.
Wichtig ist es nun, datenzentrierte Geschäftsmodelle zu entwickeln und umzusetzen. Dabei ist es vor allem notwendig, schnell, branchenintern und -übergreifend, national und international zusammen zu arbeiten. Erste Lösungsansätze und Techniken gibt es, mit denen Unternehmen Industrie 4.0 angehen können. Dazu zählt beispielsweise die Darstellung einer Referenzarchitektur für Industrie 4.0 (RAMI 4.0) und die Industrie 4.0-Komponente, die einen Industrie-4.0-fähigen Produktionsgegenstand konkret beschreibt. Der ZVEI hat die Modelle gemeinsam mit seinen Partnern Anfang 2015 entwickelt und damit einen wichtigen Meilenstein in der Standardisierung geschaffen.
„Cybersicherheit ist ein Kernthema für das Gelingen von Industrie 4.0“ sagt Carolin Theobald vom Fachverband Automation des ZVEI. „Im digitalen Zeitalter entstehen Daten in schier unendlicher Größe und Vielfalt. Sie sind die Basis der neuen Geschäftsmodelle. Die Verknüpfung und Analyse von Daten kann großen Nutzen stiften, birgt aber auch Gefahren und ruft bei vielen Unternehmen große Sorgen hervor. Wir brauchen akzeptierte Regeln, aber auch das Vertrauen, dass die digitale Welt Sicherheit bietet. Damit ist Cybersicherheit eines der zentralen Themen unserer Zeit.“
Design, Implementierung und Betrieb sicherer Automatisierungssysteme
Um die Cyber Security in prozesstechnischen Anlage zu erhöhen und gleichzeitig die Komplexität des Engineering und der Handhabung von Automatisierungssysteme in Grenzen zu halten, hat die NAMUR die NE 153 „Automation Security Agenda 2020 – Design, Implementierung und Betrieb industrieller Automatisierungssysteme“ herausgegeben.
Moderne Automatisierungslösungen setzen im zunehmenden Maße offene und vernetzte Systemarchitekturen sowie Komponenten der Standard IT ein, häufig mit direkter oder indirekter Verbindung zum Internet. Solche Automatisierungslösungen sind erhöhten Risiken und Bedrohungen ausgesetzt, denn die für die Standard IT bekannten Angriffe, Fehler etc. wirken sich damit auch in der industriellen Automatisierungstechnik aus.
Derzeit werden technische IT-Security Maßnahmen in der Regel zusätzlich zu den eigentlichen automatisierungstechnischen Komponenten eingebaut. Dies führt zur Erhöhung der Komplexität von Automatisierungslösungen, die immer schwerer beherrschbar wird. Um dem langfristig zu begegnen, werden für zukünftige Automatisierungslösungen einige grundsätzliche Anforderungen definiert und in der neuen NAMUR Empfehlung NE 153 „Automation Security 2020 – Design, Implementierung und Betrieb industrieller Automatisierungssysteme“ zusammengefasst.
Diese Anforderungen können im Kern wie folgt zusammengefasst werden: IT-Security Konzepte müssen zukünftig ein integraler Bestandteil im Funktionsumfang automationstechnischer Komponenten und Lösungen sein. Damit besteht die Chance, die Komplexität von Automatisierungslösungen erheblich zu reduzieren.
Security-Ziele der NAMUR
Die neue NE 153, die durch den NAMUR-Arbeitskreis AK 4.18 „Automation Security“ erstellt wurde, soll bewirken, dass sich zukünftig die IT- Sicherheit über ein Basisniveau hinaus deutlich erhöht. Martin Schwibach, Business Process Management Site & Production der BASF in Ludwigshafen und Arbeitskreisleiter des AK 4.18 äußert sich dazu: „Es wurden eine Reihe grundsätzlicher Anforderungen zusammengestellt, die auch neue oder erweiterte Handlungsfelder für Forschung und Entwicklung – ebenso in der konventionellen IT - aufzeigen. Es besteht die Erwartungshaltung innovative Sicherheitstechnologien und -konzepte frühzeitig auf ihre Anwendbarkeit in der Automatisierungstechnik geprüft und in neue Produkte integriert werden. Einige der Anforderungen sind schon heute umsetzbar. Andere spiegeln die Erwartungen an eine zukünftige Generation von Automatisierungslösungen wider.“
Die NAMUR hatte bereits im November 2013 dazu aufgerufen, dass Hersteller und Betreiber gemeinsam an einer Agenda 2020 zur IT-Sicherheit arbeiten, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen, die ein System verarbeitet, sicherzustellen. Die Reihenfolge entspricht hier auch der Priorität der Schutzziele. Dabei steht meist im Mittelpunkt, eine Information und gegebenenfalls auch Systeme gegen unerlaubten Zugriff zu schützen. IT Sicherheit im Umfeld der Automatisierung – im Folgenden als Automation Security bezeichnet - hat in der Regel einen anderen Schwerpunkt. Im Vordergrund steht hier die Verfügbarkeit der Produktionsanlage. Es muss sichergestellt sein, dass die Produktion aufrechterhalten bleibt, auch wenn sie durch Falschbehandlung oder Angriff beeinträchtigt wird.
Offensichtliche und zielgerichtete Angriffe auf Produktionsanlagen nehmen in den letzten Jahren zu. Stuxnet als der erste in den Medien breit diskutierte Angriff hat gezeigt, dass auch automatisierungstechnische Systeme in den unmittelbaren Fokus von Angriffen geraten können. Zum anderen wuchs das Bewusstsein, dass Schwachstellen und Angriffe aus der IT Auswirkungen auf die in der Produktion eingesetzten Anwendungen haben können. Somit steigen die Bedeutung und die Anforderungen an Automation Security in den letzten Jahren in der Prozessautomatisierung kontinuierlich. „Zuverlässigkeit und Verfügbarkeit, Nachhaltigkeit und Investitionssicherheit sind die Prämissen, die jedes neue Automatisierungssystem erfüllen muss, um erfolgreich in verfahrenstechnischen Anlagen eingesetzt werden zu können“ betont Schwibach. „Die Standards, die sich in der IT durchsetzen, sind es, die auch die Trends in der Automation setzen. IT und Automatisierungstechnik nutzen die gleichen Basistechnologien. Insellösungen in Produktionsbetrieben sind ein Auslaufmodell. Hersteller setzen sowohl bei Hardware als auch bei der Software und Kommunikationstechnik verstärkt auf Entwicklungen, die auch in der IT erfolgreich eingesetzt werden.“
„Wir Betreiber leiden darunter, dass die Security-Konzepte, die von den Automatisierungsherstellern geliefert werden, ausschließlich reaktiv sind. Designfehler in den Systemen und Lösungen, die in der Regel schon mehrere Jahre in Betrieb sind, werden durch aufwändige und oft wenig wirkungsvolle Konzepte „gehärtet“: Upgrades und Patches werden als Lösung angeboten. Security Konzepte, die auf eine quasi kontinuierliche Nachbesserung von Designfehlern basieren, wie z.B. ein Patch Management, sind für industrielle Anwendungen in der Prozessindustrie aber nur selten zielführend. Ein Grund dafür ist, dass unsere Anwendung in der Regel mehrere Monate unterbrechungsfrei laufen müssen und nicht auf Grund täglicher Updates und Patches ständig neu gestartet werden können. Die in der Office IT gängigen Methoden der IT Sicherheit in der Automation nur bedingt anwendbar. Zum Beispiel sind Virenscanner, die auf ein quasi kontinuierliches Update-Management von Security Patterns setzen, nicht nachhaltig einsetzbar.
Wir investieren derzeit sehr viel, um uns in unseren Produktionsanlagen abzusichern. Dennoch glauben wir, dass die verfügbaren Ansätze nicht ausreichen und viel zu aufwändig sind. Das war der Grund, weshalb wir in der NAMUR die Initiative ergriffen haben, um mit unseren Lieferanten intensiv diese Herausforderungen zu diskutieren.“
Schulterschluss mit dem BSI
Die Prozessindustrie gehört zu einer der wenigen Branchen, die bereits frühzeitig die Herausforderungen der IT-Sicherheit erkannt haben. So wurde beispielsweise die NE 115 „IT-Sicherheit für Systeme der Automatisierungstechnik“ lange vor dem Stuxnet-Vorfall erarbeitet, der in anderen Branchen erst den Handlungsbedarf verdeutlicht hat. „Für das BSI ist es wichtig, gerade solche fortgeschrittenen Partner zu haben“ würdigt Holger Junker,
Referatsleiter Cyber-Sicherheit in kritischen IT-Systemen, Anwendungen und Architekturen beim Bundesamt für Sicherheit in der Informationstechnik (BSI), die Arbeit der NAMUR: „Für das BSI genügt es nicht, die sicherheitsspezifischen Herausforderungen der Industrie 4.0 im politischen Rahmen oder der Plattform Industrie 4.0 aufzuzeigen. Gemäß dem Lebenszyklusmodell der VDI 2182 müssen insbesondere auch Betreiber ihre Anforderungen dokumentieren und aktiv einfordern. Die NAMUR ist hierfür der optimale Rahmen. Auch Empfehlungen und Hilfsmittel des BSI wie das ICS Security Kompendium oder das Tool LARS für das leichtgewichtige Sicherheitsmanagement im Produktionsumfeld entstehen unter Beteiligung der Prozessindustrie. Und gerade im Bereich Forschung und Entwicklung sowie der Erprobung neuer Konzepte im Kontext von Industrie 4.0 sind fortgeschrittene Partner wichtig, um etwa innovative Ansätze zur Einbruchserkennung oder der Forensik zu erproben. In letzter Konsequenz profitieren von solchen Partnerschaften kleine und mittelständische sowie große Unternehmen in allen Branchen.“
ZVEI in vorderster Front dabei
Auch wenn in der NE 153 nur sehr grundsätzliche Forderungen formuliert sind – oder vielleicht auch gerade deshalb – sind jetzt die Hersteller von Automatisierungstechnik in der Pflicht, sachgerechte Lösungen anzubieten. Einige Hersteller von Komponenten und Lösungen für die Automation sowie der ZVEI selbst waren bei der Erstellung der NE 153 direkt beteiligt. Carolin Theobald dazu: „Unseren Firmen ist klar, dass die standardisierte IT, die erfolgreich zur Effizienzsteigerung im Office-Bereich und in der Kommunikation beigetragen hat, nun auch ihren Einzug in die Automation hält. Und dies mit allen Konsequenzen; also auch mit den bekannten Schwachstellen der IT Security. Hier gilt es jetzt, wirtschaftlich vertretbare Sicherheitskonzepte zu entwickeln. Die Firmen der direkt betroffenen Fachverbände im ZVEI wurden zur Stellungnahme zur NE 153 aufgefordert und sie teilen die Ziele und Vorgaben der NE 153 wohlwissend, dass alle Partner in diesem Bereich, die Hersteller, die Integratoren und auch die Betreiber von Automatisierungslösungen, hier erhebliche Anstrengungen unternehmen müssen. Der ZVEI wird hierbei den Firmen, die vielleicht heute noch nicht an vorderster Front im Innovationsgeschehen stehen, bei der Verknüpfung von Standard IT mit den Komponenten und Lösungen in der Automation Hilfestellung anbieten, um die Sicherheitskonzepte und -methoden aus der klassischen Standard IT auf die Forderungen der Automation Security anzupassen.“
Safety und Security
Hat man vor einigen Jahren noch „Safety“ – also die funktionale Sicherheit – und „Security“, hier die Cyber Security, als getrennte Themenkomplexe betrachtet, ist man sich heute der Einflüsse von unzureichender Security auch auf die funktionale Sicherheit bewusst. Martin Schwibach dazu: „Wir Anwender müssen genügend Beurteilungskompetenz haben, um zu wissen, wo die Grenzen der verschiedenen Technologien liegen und welche Rahmenbedingungen einzuhalten sind. Die Bedeutung der Security-Anforderungen in der Automatisierungstechnik wird weiter rasant zunehmen. Der Treiber hierfür ist die zunehmende Integration aller Automatisierungsebenen in übergeordnete Geschäftsprozesse und Abläufe. Im Bereich der funktionalen Sicherheit hat bislang das Risiko einer Sabotage keine bedeutsame Rolle gespielt. Im Kontext von Cyber-Risiken wächst die Erkenntnis, dass dadurch die Kernfunktion von Systemen und Lösungen aus dem Bereich der funktionalen Sicherheit. Beeinträchtigt werden können. Dies ist der wohl der wesentliche Grund dafür, dass nunmehr in der entsprechenden Normung (IEC 61508 ed 2.0 und IEC 61511 ed 2.0) auch auf die Problematik der IT-Sicherheit eingegangen wird. Die Normenreihe IEC62443 schafft hier einen Rahmen mit Bewertungsmaßstäben für Industrial Security. Eine Schlüsselrolle spielen dabei nicht zuletzt organisatorische Maßnahmen, um das Bewusstsein für Industrial Security zu etablieren.“
Ähnlich sieht das der ZVEI. Carolin Theobald dazu: „Die Verletzlichkeit von Safety-Funktionen nimmt zu. Die Digitalisierung fast aller Funktionssteuerungen von Maschinen und Anlagen erfasst künftig auch Safety-Funktionen, z.B. Sensor- und Lichtschrankensteuerungen für die Notfall-Abschaltung. Ein erleichterter Zugriff bedeutet jedoch auch, dass durch einen Security-Vorfall ein Safety-Vorfall verursacht werden kann, also z.B. die Manipulation der Lichtschrankensteuerung. Die bisher absichtliche Trennung oder Kapselung von Safety- und sonstigen Systemen hebt sich auf. Das bisherige Gebot der Störungsfreiheit wird zugunsten der Flexibilität immer schwerer zu gewährleisten sein. Folglich müssen beide Bereiche verstärkt als interdependent verstanden und darauf die Schutzkonzepte angepasst werden.“
Besondere Security-Anforderungen durch Industrie 4.0
Mit der Entwicklung hin zur Industrie 4.0 zeichnen sich industrieübergreifende Security-Tendenzen ab, auf die sich Hersteller und Anwender einstellen sollten.
So muss man mit einer Vielzahl an Partner-Schnittstellen auf unterschiedlichen Instanzen umgehen. Die bisherigen Security-Ansätze für wenige, meist abgegrenzte Schnitte nach außen – im Sinne eines Schalen- oder Ringkonzeptes – stoßen an ihre Grenzen. Die mit Industrie 4.0 angestrebten Flexibilitäts- und Effizienzgewinne lassen sich so nicht erzielen. Die NE153 zeigt den ersten Entwicklungsschritt auf. Die Kommunikation mit den Partnern auf den unterschiedlichen Instanzen muss klar definiert werden. Dies bereitet die Basis, um künftig Security-Profile von Anlagen, Maschinen und Teilsystemen identifizieren, sich darüber austauschen und letztendlich ein gemeinsames Level für das Wertschöpfungsnetzwerk nach bekannten Regeln aushandeln zu können. Mit Industrie 4.0 steigt die Notwendigkeit für die Entwicklung einer Security-Semantik und von standardisierten Aushandlungsregeln.
Eindeutige und sichere Identitäten für Menschen und Maschinen sind die Security-Grundlage für Industrie 4.0. Die automatisierte Kommunikation zwischen Menschen, Maschinen und Komponenten steigt an und gleichzeitig können Funktionen und Implementierungen ortunabhängig ggf. verändert und neu parametriert werden. Carolin Theobald dazu: „Alle Akteure müssen verlässlich wissen, mit wem man unter welchen Bedingungen und mit welchen Rechten interagiert bzw. Änderungen vornimmt. Die zentrale Frage ist: Ist der Kommunikationspartner auch der, der er behauptet zu sein? Viele professionelle Angriffe zielen auf die Kompromittierung dieser Vertrauensbasis ab. Entsprechend skizziert die NE153 im Punkt 4.2.1 eine entscheidende Forderung: Veränderungen von Programmen, Daten und Kommunikationsprozessen müssen erkannt werden, um unzulässige Vorgänge identifizieren und ggf. verhindern zu können. Vor diesem Hintergrund besitzen sichere und eindeutige Identitäten eine große Bedeutung. Erst wenn unternehmensübergreifend Instanzen und Programmzustände agil verifiziert werden können, können ad hoc Kommunikationsverbindungen aufgebaut und die Vorteile der I4.0 realisiert werden.“
Herausforderung an Forschung und Entwicklung
Das in allen Entscheiderebenen der Industrie gestiegene Bewusstsein für die Bedeutung der Cyber Security, das auch durch die NE 153 Ausdruck findet, fördert auch grundlegende Forschungs- und Entwicklungsarbeiten. Was ist zu tun, wenn man die Anforderung der NAMUR an zukünftige Automatisierungssysteme erfüllen möchte? Hierzu äußert sich Dr. Hubert B. Keller, AG Sichere Systeme am Institut für Angewandte Informatik des KIT in Karlsruhe, der auch maßgeblich an der Erstellung der NE 153 beteiligt war: „Zuerst ist festzustellen, dass enorme Investitionen in die Automatisierung umfangreicher Systeme getätigt worden sind. Diese Investitionen können nicht ad hoc erneut getätigt werden. Daher muss eine Migrationsstrategie entwickelt werden, um die existierende Automatisierungssoftware sukzessive auf einen möglichst sicheren Stand zu bringen. Am KIT arbeiten wir hier an entsprechenden Konzepten.
Allerdings gilt es festzuhalten, dass nahezu alle existierenden Softwaresysteme von ihrer inneren Struktur und ihrer programmtechnischen Realisierung den neuen Cyber Security Anforderungen nicht genügen oder genügen können. Zum Zeitpunkt der Realisierung dieser Systeme war Cyber Security kein Thema, vielmehr genügte es, den Rechnerraum abzuschließen.
Cyber Security Anforderungen müssen zu Beginn, gegebenenfalls gemeinsam mit den Safety Anforderungen, im Konzept berücksichtigt und mit verlässlichen Programmiersprachen realisiert werden. Die heutige Situation, dass sogar Security Komponenten, die eigentlich dem Schutz vor Angriffen dienen sollten, selbst massive Defizite aufweisen, zeigt sowohl die Kritikalität der momentanen Situationen, als auch die Defizite in der software-technischen Umsetzung.
Zukünftige Automatisierungssoftware muss Sicherheitskonzepte integrativ beinhalten, ist Software-technisch mit hoher Zuverlässigkeit zu realisieren und ist auf Computer mit zuverlässigen Betriebssystemen auszuführen.
Die Herausforderung besteht also darin, sowohl diese zukünftigen Architekturen zu entwickeln und entsprechende verlässliche programmtechnische Umsetzungen und Implementierungen in der Realität mit zuverlässigen Betriebssystemen zu sichern.
Hinzu kommt eine Migrationsstrategie, um die momentanen Investitionen wirtschaftlich vertretbar in die Zukunft zu führen. Wichtig ist die Sichtweise, dass Zuverlässigkeit und Sicherheit (Safety und Security) Vorrang vor allem anderen haben.“
Kontakt
NAMUR - Interessengemeinschaft Automatisierungstechnik der Prozessindustrie e.V.
c/o Bayer AG
51368 Leverkusen
Deutschland
+49 214 30 71034
+49 214 30 96 71034