Suchen

Maschinensicherheit Safety braucht Security

| Autor/ Redakteur: Dipl-Ing. Holger Laible / Ute Drescher

Wer sich in seiner Anlage bereits der Security widmet, kann diese Maßnahmen in der Regel zum Schutz der betrieblichen Sicherheitsfunktionen nutzen.

Firmen zum Thema

Wirkungsprinzip der Bedrohungen auf die Betriebsumgebung
Wirkungsprinzip der Bedrohungen auf die Betriebsumgebung
(Bild: Siemens AG)

Angriffe von Hackern auf die Privatsphäre und unsere persönlichen Daten sind bekannte Ziele. Auch Angriffe auf Maschinen und Fertigungen mit dem Ziel, die Verfügbarkeit von Anlagen oder deren Produktivität zu beinflussen, sind nicht neu.

Eine Security-Threat-&-Risk-Analyse berücksichtigt viele Facetten, die sich mit Verfügbarkeit, Integrität und Vertraulichkeit beschäftigen, aber auch mit Aspekten des Schutzes von geistigem Eigentum und Unternehmensreputation. Aber auch Safety-Funktionen als essentielle Funktionen (essential function, nach IEC 62443-3-3) sind auf ausreichende Absicherung durch Security Maßnahmen zu betrachten.

Bildergalerie

Wird die Security holistisch betrachtet, sollten die resultierenden Security-Maßnahmen, einschließlich der Security-Architektur (z. B. Zonenkonzept und Defense in Depth) dazu führen, dass das betrachtete System derart abgesichert ist, dass auch vorhandene Safety-Funktionen angemessenen Schutz genießen.

Bei Anlagen mit sehr hohem Schadensausmaß und gesellschaftlichen Auswirkungen, wie z. B. kritische Infrastruktur entsprechend dem IT-Sicherheitsgesetz oder weitverbreitete Systeme (z. B. im Bereich der Kraftfahrzeugtechnik), ist es in der heutigen Zeit leider auch anzunehmen, dass kriminelle Energie für gezieltere Eingriffe aufgewendet wird. Diese Industrien sind sich dieser Bedrohung bereits heute bewusst und werden mit weitreichenderen Überlegungen, u. U. auch mit konservativen und defensiven Konstruktionen, diesen Herausforderungen begegnen.

Schutz vor Bedrohungen

Eine Tatsache, die immer gilt ist, dass Security einen ausreichend effizienten Schutzraum (security zone) bereitstellt, der den Betrieb und die Bewertung eines Systems ermöglicht, so dass nicht von konkreten Rückwirkungen über Sicherheitslücken (Schwachstellen, vulnerabilities) auszugehen ist. Das Bild zeigt das Wirkungsprinzip auf, wie über eine solche Sicherheitslücke eine konkrete Bedrohung (threat) auf das System erfolgen kann.

Erfolgt nun trotzdem ein Durchgriff über den Schutzraum auf die Betriebsumgebung, der essentiellen Funktionen, hat dies noch nicht zwangsläufig negative Auswirkungen zur Folge. Jedoch stehen diesem Angriff nur noch Techniken gegenüber, die nicht dafür ausgelegt sind, eine intelligente Manipulation zu verhindern.

Dies liegt nicht etwa an einer Nachlässigkeit, sondern schlicht an der Unvereinbarkeit der Zielsetzung. Die Anforderungen, z. B. im Rahmen der IEC 61508-Reihe, wurden zur Bewertung von systematischen Fehlern aufgestellt, welche den beteiligten Personen keine grundsätzlich manipulativen Eingriffe unterstellen. Der Aspekt der Fehlverwendung (misuse) eines Benutzers ist dabei in seiner Intension und Wirkung nicht mit Security-Bedrohungen gleichzusetzen. Die notwendige Ermittlung der statistischen Fehler geschieht über spezifische, physikalische und mathematische Modelle, die nur unter bestimmten Randbedingungen zu Ergebnissen führen. Hier finden ganz gezielt Annahmen über die Betriebsumgebung statt (z. B. der elektromagnetischen Verträglichkeit), die in der Implementierung zu berücksichtigen sind. Eine erkannte auftretende Störung dieser Betriebsumgebung ist durch gezielte Abhilfemaßnahmen zu beheben, d. h. im Falle der Security z. B. durch Patches.

Safety erkennt Angriff nicht

Ein Angriff über eine Schwachstelle ist durch Safety-Funktionen nicht grundsätzlich als solcher zu erkennen und stellt auch im Rahmen der Safety-Bewertung keine Nachlässigkeit dar. Es ist auch kein systematischer Fehler, sondern bleibt primär eine Security-Bedrohung, der durch Anwendung von Security Normen, wie der IEC 62443-Reihe, zu begegnen ist. Hierbei geht es wohlgemerkt nicht darum, den möglichen Einfluss auf die Betriebs- und auch Sicherheitsfunktionen außer Acht zu lassen, sondern die Bedeutung und Verantwortung der Security klar in den Vordergrund zu stellen.

Daher ist es wichtig, dass Anlagenbetreiber oder Produktverantwortliche Security-Experten konsultieren und mit Unterstützung von Fachexperten, einschließlich der Safety-Experten, den Schutzbedarf für sein System bestimmen und geeignete Security-Maßnahmen definieren. Dies bleibt aber, über die Lebenszeit eines Systems oder Anlage, eine Aufgabe, die sich der veränderten Bedrohungslage kontinuierlich anpassen muss und unterscheidet sich daher wesentlich von einer stabilen Safety-Implementierung.

Aufgrund dieser Unterschiede, sowohl in der Sichtweise auf die jeweiligen Themenfelder, als auch auf deren Bedürfnisse hinsichtlich der Prozesse, ist eine starre Synchronisierung und Verflechtung von Aufgaben nicht zielführend, ja sogar kontraproduktiv. Es ist lediglich notwendig, Maßnahmen im Rahmen der Security sinnvoll festzulegen und zu hinterfragen, ob diese mit den Safety-Konzepten und Maßnahmen verträglich sind. Bei sich widersprechenden Anforderungen kann das Resultat eines Lösungsprozesses auch eine alternative Implementierung sein.

Die Erfahrungen bei solchen Projekten zeigt, dass häufig eine gesonderte Verschärfung der Security-Maßnahmen für die vorhandenen Safety-Funktionen nicht erforderlich ist. Die Ursache dafür liegt in dem bereits hohen Schutzbedürfnis der gesamten Anlage, deren holistische Security-Maßnahmen geeignet sind, auch die Verfügbarkeit zu garantieren.

Siemens unterstützt mit seinen Plant Security Services bei der Analyse und Auslegung von Security-Konzepten und bietet Produkte mit Security Features an, die dem Kunden eine Absicherungen an den Zonen-Grenzen ermöglichen. (ud)

* Dipl.-Ing. Holger Laible ist Senior Safety Expert bei der Siemens AG, Nürnberg.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 44626014)