Cyber Security News

Technik ist keine Panazee


Die chemische Industrie und Cyber Security

IBM fand 2015 in einer Studie heraus, dass Produktionsanlagen eher als Finanzdienstleister einer Cyber-Attacke ausgesetzt sind. So sind an Grossprojekten im Bereich der Öl- und Gasindustrie zahlreiche Unternehmen mit unterschiedlichen sicherheitstechnischen Zielen beteiligt. Hersteller wollen sicherstellen, dass ihre Betriebssysteme geschützt sind, Integratoren müssen ihr technisches Know-how schützen, und die Anwender sind für die Sicherheit des Systembetriebs verantwortlich. Alle diese Aspekte müssen beachtet werden, und Lieferanten, Integratoren und Endanwender sind gefordert, ihr spezielles Know-how zu bündeln.

 

Der IEC-Standard für die Cyber-Sicherheit IEC 62443 befindet sich gegenwärtig in der Entwurfsphase und befasst sich mit wesentlichen Sicherheitstechniken zur Vermeidung von Cyber-Angriffen auf Anlagennetzwerke und Systeme. IEC 62443 enthält sieben grundlegende Anforderungen. Diese betreffen die verschiedenen sicherheitsrelevanten Ziele, wie z. B. den Schutz des Systems vor unberechtigtem Zugriff. IEC 62443 befasst sich ebenfalls auch mit dem Schutz von Netzwerken innerhalb von Automationssystemen. So fordert die Norm die Trennung des Gesamtsystems. Ausserdem wird das Konzept von Sicherheitszonen, definierten Kanälen und zusätzlichen Firewalls an jedem Kanal eingeführt, der eine Sicherheitszone mit einer anderen verbindet. Durch diese Struktur entsteht ein mehrlagiges System verschiedener Abwehrmechanismen („Defense in Depth“). Für die Firewalls gelten je nach Sicherheitsebene und Zone erfordert unterschiedliche technische Anforderungen.

 

Was ist zu schützen? Die neuste Ausgabe von IEC 61511 fordert, dass betriebliche Anforderungen und physikalische Strukturen gleichermassen zu berücksichtigen sind, dies bedeutet: Durchführung einer Sicherheitsrisikobewertung des sicherheitstechnischen Systems, Gewährleistung einer ausreichenden Widerstandsfähigkeit des SIS gegenüber den erkannten Sicherheitsrisiken, Absicherung der Funktion des SIS, Fehlererkennung und -korrektur, Schutz vor ungewollten Programmänderungen, Schutz der Daten zur Fehlersuche der Sicherheitsfunktionen und Schutz vor einer Manipulation der Beschränkungen zur Verhinderung der Deaktivierung von Alarmen und manuellen Abschaltung sowie Aktivierung/Deaktivierung von Lese-/Schreibzugriff mit einem sicheren Verfahren.
Strukturell verlangt die IEC 61511 von Anlagenbetreibern, dass ihr sicherheitstechnisches System zu bewerten ist. Die Betreiber müssen die Unabhängigkeit zwischen den Schutz-ebenen sicherstellen, unterschiedliche Schutzebenen etablieren, die Schutzebenen physisch trennen sowie Ausfälle gemeinsamer Ursachen zwischen den Schutzebenen identifizieren und vermeiden.

 

Die Norm IEC 61511 hat eine besondere Bedeutung für die Korrelation zwischen Cyber- und Anlagensicherheit. Sie besagt, dass die sicherheitstechnischen Funktionen physisch von den nicht sicherheitsbezogenen Funktionen getrennt werden sollen, wo immer es möglich ist. Beide Standards betonen auch, dass das Gesamtsystem nur so stark ist wie sein schwächstes Glied. Beim Einsatz integrierter Sicherheitssysteme sollte die gesamte Hard- und Software, als Teil der Sicherheitsfunktion betrachtet werden. Das heisst, dass das Sicherheitssystem und das Standardautomatisierungssystem den gleichen Managementprozess zu durchlaufen haben. Anwender haben ebenso organisatorische Massnahmen zu ergreifen, die von ausschlaggebender Bedeutung für die Cyber-Sicherheit sind. Keine vorhandene Technologie kann einen Schutz gegen neu entstehende Angriffsmöglichkeiten bieten. Aus diesem Grund besteht ein hoher Bedarf an regelmässiger Prüfung interner Netzwerke. Es ist ebenso wichtig, dass die Möglichkeiten einer Manipulation ständig im Auge behalten und berücksichtigt werden. Wenn zum Beispiel ein Bediener eine Anlage über ein industrielles Protokoll abschalten kann, ist dies für einen Angreifer auch nur ein kleines Problem.

 

Wie man sieht, gibt es viele Möglichkeiten, die Cyber-Sicherheit industrieller Anlagen zu sichern. Nebst den erwähnten technischen Sicherheitsmassnahmen sind weitere, aus der Erfahrungswelt der Informationstechnik abgeleitete, organisatorische Massnahmen erforderlich. Alle sicherheitsrelevanten Informationen sollten darüber hinaus auf jeder Stufe der Projektplanung über die gesamte Lebensdauer einer Anlage sorgfältig dokumentiert werden. Hersteller, Integratoren und Anwender müssen jederzeit die neuesten sicherheitstechnischen Erkenntnisse berücksichtigen und strengste Qualitätskontrollverfahren implementieren.

 

 

Chemietechnik.de; 11.10.2017
http://www.chemietechnik.de/cyber-security-in-der-chemie/#

 

Hinweis zur Verwendung von Cookies
Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung
OK