Cybersicherheit: Wenn Kriminelle Industrieanlagen hacken
Von Ulf Theike, TÜV Nord Systems
Industrie 4.0 macht’s möglich: Ein Sensor erkennt einen falschen Farbton in einer Lackcharge. Ohne menschliches Einwirken oder langwierige Labortests beheben Maschinen den Fehler und passen Qualität und Farbton an. Die passende Rezeptur holen sie sich aus der Cloud. So lassen sich nicht nur Fehler schnell ausbessern, sondern Lacke weltweit in der identischen Qualität herstellen.
Wesentliche Merkmale dieser Leistung sind die betriebsinterne Vernetzung und Schnittstellen zum Internet, anhand derer die Maschinen in Echtzeit miteinander kommunizieren. Zusätzlich können Mitarbeiter über das Internet weltweit auf die Industrieanlage zugreifen, um zum Beispiel Daten zu analysieren. So lassen sich Produktionsprozesse rentabler und effizienter gestalten. Doch es gibt auch den bekannten Haken: Durch die Vernetzung der IT-Systemen mit produktionsnahen Automatisierungssystemen sind diese angreifbar.
Wenn IT-Systeme nicht sicher sind, können sich Unbefugte über eine ungeschützte Verbindung auch Zugriff auf eine Maschine verschaffen. Ein solcher Eingriff in automatisierte Industrieprozesse kann zum Beispiel über die Prozessleittechnik erfolgen. Diese Systeme sind meist softwarebasiert und verarbeiten digitale, sicherheitsrelevante Daten. Über Schnittstellen zum Internet können diese verändert werden. Hacker können so Daten oder Software manipulieren, sodass sich die Anlage entweder abschaltet oder sogar selber zerstört. Im schlimmsten Fall kommen dabei Menschenleben zu Schaden.
Schutz durch Prävention
Um sich vor äußeren Eingriffen zu schützen, brauchen Unternehmen ein sicheres System, das IT und Maschinen vor Manipulationen bewahrt. Bereits jetzt haben viele Unternehmen für ihre IT-Systeme ein Informationssicherheitsmanagement auf Basis der ISO 2700x eingeführt. Diese Normenreihe beschäftigt sich mit klassischen IT-Systemen, also insbesondere mit dem Schutz von Informationen und Daten.
Zum Schutz von Industrieanlagen empfiehlt sich deshalb, ein Sicherheitssystem anhand der Normenfamilie IEC 62443 zu entwickeln. Diese deckt zusätzlich alle Bestandteile wie Systeme, Komponenten und Prozesse ab und stellt Anforderungen, Verfahren und Assessments, um sichere Prozesse für die Implementierung von industriellen Automatisierungs- und Kontrollsystemen zu definieren.
——————————————————————————————————
Das Thema IT-Sicherheit und die IEC 62443 wird auch auf der Konferenz FARBE UND LACK // Industrie 4.0 eine Rolle spielen. Axel Lange, ebenfalls vom TüvIT, wird dort einen Vortrag zum Thema IT-Sicherheit in der Industrie halten.
——————————————————————————————————
Zusätzlich bestimmt die Normenreihe drei Akteure, die auf industrielle Betriebsprozesse Einfluss nehmen können, und weist ihnen klare Verantwortungsbereiche zu. Die Akteure sind dabei Geräte- und Maschinenhersteller, Systemintegratoren, welche die Maschinen und Prozesse in den Industrieanlagen einbinden, und nicht zuletzt die Betreiber der Anlagen. Alle drei Gruppen haben innerhalb der Norm verschiedene Rollen inne und werden in eigenen Abschnitten behandelt. Das ist besonders wichtig, denn diese drei Interessengruppen müssen sich beim Schutz vor Cyberangriffen mit den internen Prozessen und deren strikten Anwendung durch Mitarbeiter und Betriebsfremde ebenso befassen wie mit den technischen Security-Maßnahmen. Deshalb ist die Norm auch für all jene relevant, die sich mit Design, Implementierung, Management, Herstellung, Verkauf und Betrieb von Automatisierungs- und Kontrollsystemen beschäftigen.
Defense-in-Depth: mehr Schichten für mehr Schutz
Neben dem oben erwähnten klaren Aufbau, Zuteilung und Schnittstellen, zeichnet sich die Normenreihe IEC 62443 zudem auch durch ein mehrschichtiges Sicherheitsnetz aus, auch Defense-in-Depth genannt. Das Prinzip kommt ursprünglich vom Militär und beschreibt einen mehrschichtigen Mechanismus, der verhindert, dass sich Hacker oder anderweitig ausgelöste Störanfälle, durch das Aushebeln einer einzigen Maßnahme ungehindert ausbreiten und größeren Schaden anrichten können. Denn unter jeder Sicherheitsschicht befindet sich eine weitere Schicht, mit der Schäden verhindert oder das Schadens-ausmaß minimiert wird.
Die IEC 62443 definiert Maßnahmen zu allen produktionsnahen Unternehmensbereichen (wie Systemen, Richtlinien, Prozessen und dem Betriebspersonal) und ermöglicht so einen umfassenden Schutz auf verschieden wirkenden Schutzschichten.
Sicherheits-Level
Die IEC 62443 definiert für technische und organisatorische Anforderungen abgestufte Qualitätsniveaus. Diese Security- und Maturity-Level ermöglichen es dem Anwender der Norm, in Anhängigkeit von der unternehmenseigenen Risikobetrachtung individuelle Qualitätsniveaus umzusetzen und bei Bedarf diese über die Zeit zu ertüchtigen. Der Schutz der organisatorischen Prozesse und der Mitarbeiter ist sehr wichtig, da sich Hacker oft über Mitarbeiter Zugriff auf sensible Daten verschaffen, zum Beispiel über Phishing-Mails.
Die Security-Levels lassen sich in vier Abstufungen unterteilen: Das Sicherheitslevel 1 bietet dabei „Schutz gegen zufällige Fehlhandlungen“, Sicherheitslevel 2 und 3 beschreiben aufsteigende Anforderungen und das höchste Level, Sicherheitslevel 4, gewährt einen „Schutz gegen absichtliche Versuche mit spezifischen Kenntnissen und erheblichen Mitteln“. Mit den Security-Levels können Systeme, Netze, Komponenten, Prozesse und Mitarbeiter hinsichtlich ihrer IT-Security bewertet werden, zum Beispiel beschränkter Datenzugriff, Authentifizierung, Systemintegrität, Reaktion auf Ereignisse und einiges mehr. Die beiden abgestuften Qualitätsniveaus geben Anwendern der Norm klare Vorgaben beim Entwurf von Automatisierungssystemen und bieten ein umfassendes Sicherheitskonzept, das weitaus mehr Schutzpotenzial bietet als die rein technische Betrachtung.
Bei der verantwortungsvollen Anwendung der IEC 62443 darf heute davon ausgegangen werden, dass die erforderliche Schadensvorsorge auch im Hinblick auf Cyber-Risiken angemessen umgesetzt werden kann.
IEC 62443: der Standard für Industrieanlagensicherheit
Aufgrund ihres ganzheitlichen Ansatzes, Aufbaus, Schnittstellen und Verantwortungsbereichen, die die spezifischen Security-Anforderungen für Hersteller, Integratoren und Anlagenbetreiber definieren, gilt die IEC 62443-Standardfamilie als die wesentliche Normenreihe für den verantwortungsvollen Umgang mit Cyberrisiken und Industrieanlagen. So beziehen sich andere Normen wie die IEC 61508 (Basisnorm der Funktionalen Sicherheit) oder IEC 61511 (Sektornorm für prozesstechnische Anlagen) oder Empfehlungen wie das Arbeitsblatt der NAMUR (NA 162) oder das Cybersecurity Framework des National Institute of Standards and Technology (NIST) bereits auf die IEC 62443. Die Normenreihe ist für die Industrie ein wichtiges Werkzeug. TÜV Nord ist als erstes Prüfunternehmen für alle Teilbereiche der IEC 62443 anerkannt worden.
Eventtipp
Das Thema IT-Sicherheit und die IEC 62443 wird auch auf der Konferenz FARBE UND LACK // Industrie 4.0 eine Rolle spielen. Außerdem erwarten sie zahlreiche Vorträge zum Thema Digitalisierung, KI und High-Througput in der Lackindustrie.