Anlagenbau & Prozesstechnik

Schutzebenen für Safety und Security

HIMA Secure Safety Core als ganzheitlicher Ansatz für eine sichere letzte Verteidigungslinie

12.06.2019 -

Cyber-Bedrohungen werden als kritisches Gefahrenpotenzial für alle Unternehmen erkannt. Sie rangieren laut einer aktuellen Allianz-Studie mittlerweile auf Rang 2 – gleich hinter den Gefahren, die durch einen kompletten Zusammenbruch der Supply Chain entstehen – und noch vor Naturkatastrophen und ungünstigen Marktentwicklungen. Wie kann die Prozessindustrie einen ganzheitlichen Ansatz in der Funktionalen Sicherheit umsetzen, um das Risiko für Anlagen im digitalen Zeitalter zu minimieren?

Die Grundüberlegung, die hinter einer sicheren letzten Verteidigungslinie steht, ist die Kombination von Safety und Security. Sowohl die Norm IEC 61511 (Funktionale Sicherheit) als auch die Norm IEC 62443 (IT-Sicherheit) empfehlen unabhängige Schutzebenen. Diese von beiden Normen geforderte Trennung der Schutzebenen wird in der Security auch als „Defense in Depth“ bezeichnet. Demzufolge ist die Trennung bzw. Unabhängigkeit von Prozessleitsystem (Distributed Control System, DCS) und Systemen der Funktionalen Sicherheit (Safety Instrumented System, SIS) eine zentrale Anforderung. Sind alle Komponenten gleich gut zugänglich, so kann das gesamte System nur so stark sein wie sein schwächstes Glied. Beim Einsatz integrierter Safety-Systeme, wenn also SIS und Standard-Automatisierungssystem auf der gleichen Plattform arbeiten, sind diese gleich gut zugänglich. Daher muss die gesamte Hard- und Software so gut geschützt werden wie die Sicherheitsfunktion. Dies bedeutet, dass das Standard-Automatisierungssystem dem gleichen Managementprozess unterzogen werden muss wie das SIS. Einfacher zu pflegen und zugleich sicherer im Sinne der Security ist es, von Anfang an auf getrennte DCS und SIS zu setzen.

Unterschiedliche Lebenszyklen Eine der größten Herausforderungen beim Aufbau von Systemen ist die Zusammenführung der unterschiedlichen Lebenszyklen von Komponenten der IT, nicht sicherer Automation und der Safety-Systeme. Diese müssen in einer Weise in Einklang gebracht werden, dass Veränderungen an einer Komponente – seien es Patches, ungewollte Bedienungsfehler oder gezielte Angriffe – die Funktionalität der anderen Systeme nicht beeinflussen. Insbesondere müssen die Safety-Systeme geschützt werden, da diese oftmals regulatorischen Auflagen unterliegen. Um also zu verhindern, dass Modifikationen im Rahmen des Security-Lebenszyklus (Updates nach Tagen/Wochen)einen Einfluss auf den Lebenszyklus des funktionalen Sicherheitssystems (Updates nach Jahren) haben, müssen die beiden Bereiche zunächst entkoppelt werden.    Entkopplung bedeutet:
  • Trennung der Systeme, die Teil der funktionalen Sicherheitslösung sind, von den restlichen Komponenten. Dies ist in den Richtlinien hierzu in IEC 61508- 1, Kapitel 7.6.2.7, dargelegt.
  • Gewährleisten, dass die Bauteile innerhalb der Security-Umgebung für die funktionale Sicherheit keine regelmäßigen Security Patches erfordern, da dies erheblichen Prüfaufwand nach sich ziehen kann. Gemäß IEC 61511 müssen alle Modifikationen, die zu einer Änderung des Verhaltens des SIS führen, geprüft werden. Es ist davon auszugehen, dass Security Patches, die potenziell das Zeitverhalten des SIS verändern können, nach Implementierung entweder direkt am System im Feld oder an einem Testsystem, das alle verwendeten Funktionalitäten vollumfänglich prüfen kann, getestet werden müssen.
  • Sicherstellen, dass alle Geräte mit Schreibzugriff auf die Sicherheitslösung Teil der Security-Umgebung, in der das SIS betrieben wird, sind. Das ist vor allem die Engineeringstation. Bedienstationen können ebenfalls an das SIS angeschlossen werden. Sind diese außerhalb der Security-Umgebung, muss gewährleistet sein, dass ein""e Übertragung von Daten zum SIS nicht zu kritischen Situationen führt.
Security-Umgebung für funktionale Sicherheit Um Safety und Security optimal umzusetzen, hat HIMA eine Security-Umgebung für Funktionale Sicherheit (HIMA Environment for Functional Safety) mit einem „Secure Safety Core“ entwickelt. Dieser umfasst die gesamte Steuerung und die zugehörigen Feldanschlüsse. Die Komponenten innerhalb dieses Kerns beinhalten Schutzmaßnahmen wie die Zwei-Faktor-Authentifizierung, die den unautorisierten Zugriff unterbindet, aber auch den Aufbau einer DMZ-Funktionalität (Demilitarisierte Zone), die z. B. den Schutz vor direktem Zugriff auf Remote IO unterbindet, oder eine Portfilterung, die lediglich konfigurierte Kommunikation zulässt (ähnlich wie bei Firewalls). Die Kommunikation zwischen den CPUs und den Kommunikations­prozessoren (COM) wird über ein dediziertes Gateway geleitet, das vollständig von der CPU gesteuert wird. Die COM können also lediglich Kommunikationsdaten bearbeiten und bereitstellen, jedoch niemals direkten Einfluss auf die CPU nehmen. Um mit der Außenwelt zu kommunizieren, verfügen CPU und COM jeweils über einen Ethernet-Switch. Diese Switches sind vollständig unabhängig voneinander. Ein Leitsystem (Basic Process Control System, BPCS), das an einem COM-Modul angeschlossen ist, kann bspw. lesend und schreibend auf diese COM zugreifen. Der Zugriff auf die CPU oder an die CPU angeschlossene Geräte bleibt dem BPCS jedoch verwehrt. So ist es möglich, den spezifizierten Betrieb der einzelnen CPUs auch dann aufrechtzuerhalten, wenn ein erfolgreicher Angriff auf einen Kommunikationsprozessor durchgeführt und dieser unter die Kontrolle des Angreifers gebracht wurde. Die Sicherheitsfunktion ist somit noch voll erhalten. Dieser Secure Safety Core ist vor den angeschlossenen Feldgeräten aufgebaut. Ein direkter Zugang zu den Feldgeräten bleibt externen Komponenten verwehrt, was dem Defense-in-Depth-Ansatz entspricht.  Mittels dieser Schutzmaßnahmen wird gewährleistet, dass Sicherheitsfunktionen auch bei Angriffen aufrechterhalten werden können.

„Im Sinne der Cyber-Security ist es sicherer, von Anfang
an auf 
getrennte DCS und SIS zu setzen."

Secure Anbindung an die Außenwelt

Sehr oft werden mehrere Sicherheitslösungen über mehrere SIS und/oder RIO verteilt. Aus diesem Grund werden die zugehörigen Systeme im HIMA Security Environment for Functional Safety zusammengefasst. Diese folgen alle dem oben beschriebenen Ansatz des Secure Safety Core, bieten alle denselben Schutz und ermöglichen somit den securen Betrieb für zentrale wie für dezentrale Lösungen. Typischerweise müssen Komponenten eines Systems der Funktionalen Sicherheit mit der Außenwelt kommunizieren können. Dazu sind dedizierte Kommunikationskanäle (conduits) zwischen der Plant Security Zone und der übergeordneten Zone (z. B. Automation Domain oder Information Domain) zu schaffen. Häufig verwendete Kommunika­tionsschnittstellen sind OPC (Open Platform Communications)-Server oder immer noch das bewährte Mod­bus TCP-Protokoll. Diese sind den Security-Anforderungen gemäß ausreichend zu schützen. Dies geschieht häufig durch Firewalls. Durch die Funktionen des Secure Safety Core und den normgerechten Aufbau in unterschiedliche Schutzebenen (Zones and Conduits) bietet die Sicherheitsplattform eine effektive Trennung. Diese Trennung sollte selbstverständlich gemäß IEC 62443 und dem darin beschriebenen Defense-in-Depth-Ansatz in der gesamten Anlage aufgebaut werden. Hinsichtlich des Prozessor- und Kommunikationsmoduls wird die IT-Sicherheit der HIMA-Hardware durch das Security-Zertifikat Achilles-Level 1 belegt. Bei den Tests, die der Zertifizierung vorausgingen, waren CPU und COM zu keiner Zeit hinsichtlich der IT-Sicherheit beeinträchtigt. HIMA gehört weltweit zu den ersten Unternehmen, die das neue Cyber-Security-Zertifikat vom TÜV Rheinland erhalten haben. Das Prüfunternehmen zertifizierte das Prozessor- und das HIMax-Kommunikationsmodul für SL1 gemäß der internationalen Standards IEC 62443-4-1, IEC 62443-4-2 und ISASecure EDSA 2.0.0. Dabei beschreibt der Teil -4-1 den Entwicklungsprozess und Teil -4-2 die Funktionalitäten des Produktes, das zertifiziert wird.

Die sichere letzte Verteidigungslinie Das Plattformkonzept von HIMA setzt sich aus flexibel miteinander kombinierbaren Lösungen zusammen, die alle auf demselben Engineering Tool, demselben Sicherheitskonzept, derselben Firmware und demselben Kommunikationsprotokoll basieren und den Anforderungen einer sicheren letzten Verteidigungslinie gerecht werden. Die Smart Safety Platform sorgt dafür, dass die Sicherheitsstandards in allen Anlagen nach den strengsten internationalen Normen erfüllt werden – überall auf der Welt. In ihr sind das Security Environment for Functional Safety mit dem Secure Safety Core als integrale Bestandteile enthalten und das Defense-in-Depth-Konzept wirksam umgesetzt. Damit bieten wir eine zukunftssichere Lösung für die Prozessindustrie an, die zugleich „safe & secure“ ist, da sie sowohl die Schutzebenen­trennung umsetzt als auch die unterschiedlichen Lebenszyklen berücksichtigt. Unabhängig von der Komplexität und Größe der Anlage können Anwender die Komplexität der funktionalen Sicherheitssysteme reduzieren und sich gleichzeitig vor den wachsenden Risiken im Bereich der Cybersecurity schützen.