Unabhängige, offene Integration
Funktionale Sicherheit in Zeiten wachsender Cyber-Kriminalität
Für ein höchstes Maß an Safety und Security ist es in der Prozessindustrie von größter Bedeutung, Prozessleit- und Sicherheitssystem zu trennen.
Um sich dem Zusammenspiel von Safety und Security anzunähern, ist es sinnvoll, zunächst einige Begrifflichkeiten zu klären. Es gibt zahlreiche Definitionen von Sicherheit. Ganz allgemein gilt: Sicherheit ist die Abwesenheit von Gefahr. Das bedeutet, ein Zustand ist sicher, wenn keine Gefahren herrschen. Da es gerade bei komplexen Systemen häufig nicht möglich ist, alle Risiken völlig auszuschließen, spricht man in der Industrie davon, dass Sicherheit die Freiheit von unvertretbaren Risiken ist.
Die Minimierung von Risiken auf ein vertretbares Maß ist Aufgabe der funktionalen Sicherheit. Hiermit meint man, dass die Sicherheit einer Anwendung von der Funktion eines entsprechenden technischen Systems, z. B. einer Sicherheitssteuerung, abhängt. Erfüllt dieses System seine Schutzfunktion, gilt die Anwendung als funktional sicher. Folgendes Beispiel verdeutlicht den Unterschied: Wenn aus einer Pipeline Öl strömt und Menschen vor Ort gefährdet, ist das ein Problem der Sicherheit. Kann ein System die Vereisung einer Pipeline nicht verhindern, obwohl genau das seine Aufgabe ist, und es kommt in der Folge zu einer kritischen Situation, ist das ein Problem der funktionalen Sicherheit.
Systeme der funktionalen Sicherheit schützen Menschen, Anlagen und Umwelt. Beispielsweise schalten sie Anlagen ein bzw. aus, wenn plötzlich gefährliche Situationen auftreten und Menschen nicht reagieren (können) bzw. andere Sicherheitsvorkehrungen nicht funktionieren. Sie sollen verhindern, dass es zu Unfällen oder unerwünschten, kostspieligen Anlagenstillständen kommt.
Getrennte Schutzebenen reduzieren Risiko
Unternehmen in der Prozessindustrie erkennen zunehmend die Wichtigkeit von Safety-Standards für die Sicherheit und Wirtschaftlichkeit ihrer Anlagen. Die Norm IEC 61511 für funktionale Sicherheit definiert klar, wie sich das Risiko von Stillständen und Zwischenfällen bestmöglich reduzieren lässt: Sie verlangt getrennte Schutzebenen für die Bereiche Steuerung und Überwachung, Prävention und Eindämmung sowie Notfallmaßnahmen. Jede dieser drei Ebenen übernimmt bestimmte Teilfunktionen in der Risikominimierung und zusammen reduzieren sie die Gefahren, die vom gesamten Produktionsprozess ausgehen.
Darüber hinaus schreibt die IEC 61511 für jede Schutzebene Unabhängigkeit, Diversität und physikalische Trennung vor. Um diese Anforderung zu erfüllen, müssen die Funktionen der verschiedenen Ebenen ausreichend unabhängig voneinander sein. Dabei reicht es nicht aus, unterschiedliche I/O-Module für die verschiedenen Ebenen zu verwenden, da Automatisierungssysteme auch von Funktionen in E/A-Bussystemen, CPUs und Software abhängen.
Sicherheits- und Prozessleitsystem gelten nur dann im Sinne der IEC 61511 als autarke Schutzebenen, wenn sie auf unterschiedlichen Plattformen, Entwicklungsgrundlagen und Philosophien basieren. Konkret bedeutet das, dass die Systemarchitektur grundsätzlich so ausgelegt sein muss, dass keine Komponente von der Prozessleitsystem-Ebene und der Safety-Ebene gleichzeitig genutzt werden darf.
Risiko von Cyber-Attacken steigt
Spätestens seit dem Angriff des Stuxnet-Virus auf eine Industriesteuerung 2010 wissen wir, dass auch Industrieanlagen verwundbar sind und ein attraktives Ziel für Cyber-Angriffe darstellen. In den letzten fünf bis zehn Jahren ist durch die zunehmende Digitalisierung das Risiko von Cyber-Attacken auf industrielle Anlagen deutlich gestiegen. Diese gefährden nicht nur die Informationssicherheit, sondern in steigendem Maße unmittelbar auch die Anlagensicherheit.
Anlagenbetreiber müssen dieses Risiko im Blick haben und aktiv adressieren. Dies geschieht über verschiedene Systeme und Maßnahmen zur Steigerung der Cyber-Security. Im Gegensatz zu Systemen der funktionalen Sicherheit, die vor allem den Schutz des Menschen zum Ziel haben, schützen diese technische Informationssysteme vor absichtlicher, aber auch ungewollter Manipulation oder vor Attacken, sei es um Produktionsabläufe zu stören oder Industriegeheimnisse zu stehlen.
Die beschriebenen Umstände führen dazu, dass die Themen Safety und Security heute eng miteinander verwoben sind. Insbesondere für sicherheitsgerichtete Systeme spielt Cyber-Security, z. B. in der Prozessindustrie, eine ganz zentrale Rolle, da diese die letzte Front vor einer möglichen Katastrophe darstellen.
Normen legen den Rahmen fest
Bei Design, Betrieb und Spezifikation von Sicherheitssteuerungen sind wichtige internationale Normen einzuhalten. Hier ist zunächst die Basisnorm für sicherheitstechnische Systeme IEC 61508 zu nennen, die branchenübergreifend für alle sicherheitsgerichteten Systeme (elektrische, elektronische und programmierbare elektronische Geräte) gilt. Die von der Basisnorm abgeleitete, bereits beschriebene IEC 61511 setzt die Grundnorm für die Prozessindustrie um und legt fest, welche Auswahlkriterien bei den Komponenten der Sicherheitsfunktionen gelten.
Darüber hinaus ist die Normenreihe IEC 62443 für IT-Sicherheit in Netzen und Systemen – die de facto Norm für „Cyber-Security“– zu beachten. Sie verlangt unter anderem ein Managementsystem für die IT-Sicherheit, getrennte Schutzebenen mit voneinander unabhängigen Betriebs- und Schutzeinrichtungen sowie Maßnahmen, um die IT-Sicherheit über den kompletten Lebenszyklus einer Anlage sicherzustellen. Außerdem fordert sie abgeschottete Zonen für Unternehmensnetzwerk, Leitstelle, Sicherheitssystem (Safety-Instrumented System, SIS) und Prozessleitsystem (Basic Process Control System, BPCS), die jeweils durch eine Firewall vor unerwünschten Zugriffen geschützt werden sollen.
Cyber-Security by Design
Die beiden englischen Begriffe „Safety“ und „Security“ werden beide von dem deutschen Begriff „Sicherheit“ umfasst. Dies ist nicht nur sprachlich von Interesse, sondern auch inhaltlich ein sehr geeignetes Bild: Es macht deutlich, wie sehr beide Themen heute miteinander verwoben sind, und, dass sie gemeinsam betrachtet werden müssen.
Standardisierte Hardware und Software in der Prozessleittechnik erfordern regelmäßige Patches, um Schwachstellen in Software und Betriebssystem zu beheben. Aufgrund der Komplexität der Softwarearchitektur ist jedoch eine analytische Bewertung der Risiken, die durch ein System-Update entstehen könnten, schwierig bis unmöglich. So können durchgeführte Patches im Prozessleitsystem z. B. auch Funktionalitäten des darin integrierten Sicherheitssystems beeinflussen.
Damit in sicherheitsrelevanten Prozessen bei Leitsystem-Patches keine kritischen Fehler mit unabsehbaren Folgen auftreten können, müssen Prozessleit- und Sicherheitssystem technologisch voneinander getrennt werden. Nur so ist garantiert, dass Updates im Leitsystem die funktionale Sicherheit nicht beeinträchtigen.
Für wirkungsvolle Cyber-Security reicht es nicht aus, ein vorhandenes Produkt im Nachhinein durch zusätzliche Software-Funktionalität zu verbessern. Jede Lösung zur funktionalen Sicherheit muss von Beginn an im Sinne der Cyber-Security durchdacht und entworfen werden. Das gilt für die Firmware ebenso wie für die Anwendungssoftware.
Effektiver Schutz vor Cyber-Attacken
Auf den autarken Sicherheitssteuerungen von Hima läuft ein eigenes Betriebssystem, das speziell für sicherheitsgerichtete Anwendungen entwickelt wurde. Dieses umfasst alle Funktionen einer Sicherheits-SPS, verzichtet aber darüber hinaus auf weitere Funktionen. Typische Attacken auf IT-Systeme sind daher nicht erfolgreich. Die Betriebssysteme der Steuerungen werden bereits während ihrer Entwicklung auf ihre Widerstandsfähigkeit gegenüber Cyber-Attacken getestet.
In den Hima-Steuerungen sind Prozessor und Kommunikationsprozessor getrennt, sodass sie selbst im Falle einer Attacke auf den Kommunikationsprozessor eine hohe Betriebssicherheit gewährleisten. Sie ermöglichen den Betrieb verschiedener, physikalisch getrennter Netzwerke auf nur einem Kommunikationsprozessor oder Prozessormodul. So kann der direkte Zugriff auf ein Automatisierungsnetzwerk von einem angeschlossenen Entwicklungsarbeitsplatz verhindert werden. Außerdem lassen sich einzelne, ungenutzte Schnittstellen deaktivieren.
Darüber hinaus läuft das Konfigurations-, Programmier- und Diagnose-Tool SILworX in einer Windows-Umgebung, die in einer Weise funktioniert, die es so unabhängig von Windows-Funktionen macht wie möglich. Dieses Konzept ermöglicht einen sicheren Betrieb, ohne Störungen durch andere Programme oder Updates. Es bietet maximalen Schutz vor Bedienfehlern und kreiert ein Set an bewährten Daten-Bausteinen zur Programmierung der Sicherheits-SPS.
Dennoch erlaubt SILworX via Schnittstellen eine automatische Übertragung von Konfigurationsdaten von Dritt-Systemen in das bewährte Daten-Set. Zudem verfügt das Programmier-Tool über ein zweistufiges Nutzer-Management, über das sich die Zugriffsrechte individuell einstellen lassen, sodass sowohl die Anwendung als auch das Sicherheitssystem optimal geschützt werden. Beispielsweise ist bei einer Passwortänderung kein neuer Patch notwendig und die Anlage muss nicht neu zertifiziert werden.
Keine funktionale Sicherheit ohne Cyber-Security
Beim Vergleich der Norm für die Prozessindustrie und der Norm für Cyber-Security fällt auf, dass beide die Trennung von Sicherheits- (SIS) und Prozessleitsystem (BPCS) fordern. Diese Unabhängigkeit der Sicherheitssysteme ist nicht nur Grundvoraussetzung für den effektiven Schutz von prozesstechnischen Anlagen, sondern auch aus praktischen und wirtschaftlichen Erwägungen heraus sinnvoll, z. B. weil Lebenszyklen und Veränderungsgeschwindigkeit sich bei SIS und BPCS stark unterscheiden. Anlagenbetreiber haben so die Freiheit, unter verschiedenen Herstellern jeweils die „Best-of-Breed“-Lösung auszuwählen.
Um Sicherheitssysteme wirtschaftlich betreiben zu können, ist die Integration umfassender Betriebs- und Wartungsinformationen notwendig. Trotz der geforderten Unabhängigkeit lassen sich Hima-Systeme problemlos in alle führenden Prozessleitsysteme integrieren („Independent Open Integration“). Dabei übernimmt HIMA die PLS-SIS-Integration und ermöglicht die gewünschten Funktionalitäten. Die Integration erfolgt über leistungsfähige, herstellerübergreifende Kommunikationsstandards.
Zusammenfassend lässt sich festhalten, dass von der Prozessleittechnik unabhängige Systeme, die sich trotz physikalischer Trennung im Sinne der „Independent Open Integration“ einfach in Prozessleitsysteme einbinden lassen, das höchste Maß an Safety und Security in sicherheitskritischen Anwendungen bieten. Die Erfahrung aus der Praxis zeigt, dass sie die beste Lösung darstellen, um die Betriebssicherheit und die Verfügbarkeit von prozesstechnischen Anlagen zu erhöhen und somit die Wirtschaftlichkeit in der Produktion zu verbessern.