Prozessleitsysteme (PLS) können, auch wenn diese nicht direkt über das Internet angesprochen werden, Ziel einer Cyberattacke werden. Sie sind angreifbar, weil Verbindungen bestehen mit verschiedenen Automatisierungseinrichtungen (beispielsweise Engineering-Stationen oder Remote-PCs) oder zeitweise mit speziellen Wartungsinterfaces der Anlagekomponenten (wie Motorsteuerinterfaces oder Bussysteme). Angreifer können über diese Systeme und IT-Module eindringen, sie manipulieren und damit erheblichen Schaden anrichten, indem sie etwa weite Bereiche der Produktion lahmlegen.
Anlagenbetreiber müssen deshalb neben den Prüfverpflichtungen aus der Betriebssicherheitsverordnung (BetrSichV) und der zwölften Bundes-Immissionsschutzverordnung (BImSchV) für überwachungspflichtige Anlagen auch die IT-Risiken ihrer Prozessleitsysteme und sicherheitsgerichteten Steuerungen bewerten. Einfach ist das nicht, denn bei einer IT-Risikobeurteilung fehlt meist die effiziente Herangehensweise. Zudem ist es eine Herausforderung, zusammentreffende Safety- und Security-Anforderungen in Einklang zu bringen und aufeinander abgestimmte Maßnahmen umzusetzen.
Safety und Security aufeinander abstimmen
Eine IT-Risikobeurteilung gelingt nur, wenn Experten aus den Fachdisziplinen der Verfahrenstechnik, Automatisierung, IT und Cybersecurity ihr Know-how zusammenführen und miteinander verbinden. Die dabei zu überwindenden Hürden sind groß, denn bei der Planung und Umsetzung von Sicherheitsmaßnahmen können widerstreitende Interessenslagen entstehen.
Safety-Ingenieure planen Schutzeinrichtungen im Team. Maßnahmen werden mit den Verantwortlichen abgestimmt und dem Personal verständlich gemacht. Aus Sicht der Experten für IT und Cybersecurity ist der Zugang zu den Systemen jedoch möglichst zu beschränken. Maßnahmen werden vertraulich behandelt und im Hintergrund implementiert.
Safety- und Security-Maßnahmen können sich also durchaus widersprechen. Sie sollten daher aufeinander abgestimmt und in einen gemeinsamen technologie- und prozessübergreifenden Change-Management-Prozess integriert werden.
Leitfäden für die Umsetzung
Betreiber benötigen neben Expertenwissen praxistaugliche Verfahren, mit denen sie eine IT-Risikobeurteilung leicht umsetzen können. Hilfreich sind bestimmte Normen und Arbeitsblätter, die Leitfäden für die Umsetzung an die Hand geben.
Das allgemeine Vorgehen bei IT-Risikobeurteilungen beschreiben die Normenreihe IEC 62443, die Richtlinie VDI/VDE 2182 sowie die Norm ISO/IEC 27005. Wesentliche Anforderungen thematisiert die Anwendungsregel VDE-AR-E 2802-10-1. Die Empfehlung zur Betriebssicherheit EmpfBS 1115 deckt sich in ihrem Ansatz mit der Gefährdungsbeurteilung aus § 3 BetrSichV und stimmt mit dem praxisbezogenen Namur-Arbeitsblatt NA 163 überein. Letzteres deckt vorhandene Schwachstellen auf und schlägt konkrete Verbesserungsmaßnahmen anhand einer Checkliste vor.
Die Ergebnisse einer IT-Risikobeurteilung dokumentiert ein Bericht. Die Wirksamkeit belegen kontinuierliche Penetrationstests.
Funktionale Sicherheit und IT-Security
Jede Lösung zur funktionalen Sicherheit sollte von Anfang mit Blick auf die Cybersecurity durchdacht und designt werden. Das gilt insbesondere bei der Pflege des Managements der funktionalen Sicherheit (FSM) gemäß DIN EN 61511-1. Zudem wird auf diese Weise gewährleistet, dass die funktionale Sicherheit und eine klare Sicherheitsstruktur ordnungsgemäß umgesetzt werden.
Unternehmen sind damit für Gefahren aus dem Cyberraum jederzeit gut gerüstet. Das FSM ist auch ein zentraler Bestandteil im Konzept zur Verhinderung von Störfällen gemäß § 8 und dem Sicherheitsbericht gemäß § 9 des zwölften BImSchV.
Gemeinsame Ziele definieren
Eine IT-Risikobeurteilung sollte im Idealfall mit einem ein Kick-off-Meeting beginnen. Denn das ist die ideale Plattform für den Betreiber und für die Experten aus den verschiedenen Fachdisziplinen, gemeinsame Ziele zu definieren. Dabei ist es wichtig, Zuständigkeiten zu klären. Zum Beispiel: Wer ist zuständig für das Beschaffen von Programmen, der IT und der steuerungstechnischen Ausrüstung?
Zudem müssen die Beteiligten festlegen, welche Geräte und Komponenten beurteilt werden und welche Prozesse gemeint sind. Klar muss aber auch sein, welchen Schnittstellen besondere Beachtung geschenkt werden muss und auch, welche Assets nicht untersucht werden sollen.
Bei den Geräten und Komponenten ist zu berücksichtigen, dass viele mit einer Firmware, einem Steuerungsprogramm und Bussystem-Verbindungen ausgerüstet sind, die angegriffen werden können. Ein Beispiel: Frequenzumrichter besitzen eine eigene, fest eingebaute Software, die sogenannte Firmware. Wird dort beispielsweise ein Laptop zum Aufspielen eines Hersteller-Updates angeschlossen, so kann der Frequenzumrichter (gewollt oder auch ungewollt) mit einem Schadprogramm infiziert und manipuliert werden. Damit nicht genug: Die Malware kann auch die übergeordnete Steuerung oder die Einheit für das Bedienen und Beobachten erreichen und unter Umständen auch dort manipulieren und erheblichen Schaden anrichten.
Assets, Interfaces und Schnittstellen erfassen
Für die IT-Risikobeurteilung müssen – aus den oben genannten Gründen – alle Geräte, Komponenten und Bussysteme erfasst und dokumentiert sowie bewertet werden. Das geht schneller, wenn der Betreiber bereits im Vorfeld alle relevanten Informationen zusammengetragen hat.
Die angelegte und gegebenenfalls im Kick-off-Meeting ergänzte Inventarliste der Assets bildet die Basis für jede Art der Risikobetrachtung. Die Liste muss abschließend und ausschließlich sein. Das heißt, dass alle Assets registriert und keine nicht-dokumentierten Komponenten in der Organisation vorhanden sind.
Danach werden die Netzzugänge und -grenzen (Interfaces und Schnittstellen) erfasst. Sind auch diese Informationen vorhanden, folgt der nächste Schritt: Die Infrastruktur wird mit simulierten Angriffen von außen penetriert.
Simulation mit lernendem Netzwerk
Ein geeignetes Werkzeug dafür könnte die Continuous-Attack-and-Threat-Simulation (CAT-Simulation) von TÜV Hessen sein. Der Managed Service nutzt verschiedene Angriffsvektoren. Diese setzen an unterschiedlichen Ebenen wie Endpoints, Netzwerk, Applikationen oder E-Mail an und kennzeichnen die Stoßrichtung reeller Angriffe.
Grundlage für die Simulation ist die LION-Plattform (Learning I/O-Network). Das lernende Netzwerk integriert regelmäßig neue Angriffsvektoren in die Simulation. Es testet die Sicherheit der bestehenden Infrastruktur auf diese Weise kontinuierlich in immer neuen Kombinationen. Die aktuelle Gefährdungslage wird in Echtzeit abgebildet und in einem übersichtlichen Dashboard angezeigt.
Die Simulationsergebnisse bilden die Basis für eine erste Gefährdungs- und Risikoübersicht. Nun werden die Anforderungen festgelegt, die an eine sichere Umgebung in der Organisation zu stellen sind. Hier sind die jeweilig bekannten Normen, Regeln und Policies heranzuziehen, beispielsweise die Anforderungen der Kommission für Anlagensicherheit (KAS-44) für Betriebe, die unter die zwölfte BImSchV fallen, die sogenannte Störfall-Verordnung.
Der Unterschied zwischen dem Ist-Zustand und der angestrebten Sicherheit ist das Ergebnis der sogenannten Gap-Analyse. Handlungsempfehlungen und Umsetzungshinweise mit Priorisierungen und Workarounds werden bereitgestellt und mit dem Betreiber besprochen. Maßnahmen zur IT-Risikominimierung lassen sich nach Kundenwunsch umsetzen und sofort in Echtzeit bewerten.
TÜV Süd Chemie Service und TÜV Hessen unterstützen Anlagenbetreiber dabei, sowohl die wiederkehrenden Prüfungen an Prozessleitsystemen und Sicherheitseinrichtungen gemäß BetrSichV durchzuführen als auch die Cybersecurity-Schutzanforderungen durch IT-Spezialisten kontinuierlich zu prüfen. Die Zusammenarbeit der verschiedenen Fachdisziplinen ermöglicht es, konkurrierende Safety- und Security-Anforderungen in Einklang zu bringen und umzusetzen.