Die Digitalisierung ist im Maschinen- und Anlagenbau in vollem Gange. Maschinen sind zunehmend miteinander und mit digitalen Services vernetzt und werden Teil des Industrial Internet of Things. Die Maschinen sind nicht länger geschlossene Systeme, sondern verfügen über Schnittstellen, die von außen und damit weltweit erreichbar sind. Dadurch bieten sie die heute von Kunden erwartete Funktionalität, eröffnen aber gleichzeitig die Möglichkeit für Cyber-Angriffe, die vom Ausspähen sensibler Daten zur Erlangung von geheimem Produkt- und Produktionswissen bis zur Manipulation und Störung des Betriebs reichen. Hinzu kommt, dass Sicherheitsschwachstellen auch die funktionale Sicherheit (Safety) beeinträchtigen können, denn: Bei vernetzten Systemen gibt es keine Safety mehr ohne Security! 

Security – oft noch vernachlässigt

Während die Absicherung der funktionalen Sicherheit etabliert ist, wird die Angriffssicherheit (Security), also der Schutz vor Cyber-Angriffen, trotz der IT-Sicherheitsnorm IEC 62443 für ‚Industrial Automation and Control Systems‘ heute noch oft vernachlässigt – wenn überhaupt, wird die Angriffssicherheit erst sehr spät im Entwicklungsprozess untersucht, beispielsweise durch Penetrationstests. Werden dann Sicherheitsschwachstellen erkannt, ist eine Behebung durch eine (nachträgliche) Integration von Schutzmaßnahmen sehr aufwendig und kostenintensiv. 
Für sichere (IT/OT-)Systeme muss Security – wie auch von der IEC 62443 ge-
fordert – ‚by Design‘ über den kompletten Lebenszyklus betrachtet werden, vor allem vom Beginn der Entwicklung an bis hin zum Dauerbetrieb. Herstellern und  Integratoren fehlt dafür aber die notwendige Expertise, denn die zuständigen Produktentwickler und Konstrukteure verfügen oft nicht über hinreichende Sicherheitskenntnisse – und Security-Experten sind Mangelware. Laut der VDMA-Studie ‚Industrial Security 2019‘ sorgen bei den befragten Unternehmen auftretende Security-Vorfälle bereits heute für Kapitalschäden (50 %), Produktionsstillstand (31 %) oder Qualitätseinbußen (19 %). So ist nicht verwunderlich, dass Kunden immer häufiger die Erfüllung von Security-Vorgaben in ihren Einkaufsbedingungen fordern. Die Verbesserung des Kenntnisstandes der Produktentwickler und Konstrukteure hinsichtlich Security by Design kann also zu einem weiteren, entscheidenden Wettbewerbsvorteil des deutschen Maschinen- und Anlagenbaus werden.

Security als Teil des gesamten Produktlebenszyklus

Ein typischer Entwicklungsprozess, der in den einzelnen Phasen um Schutzmaß­nahmen im Sinne von Security by Design ergänzt wurde – angefangen bei der Bedrohungs- und Risiko­analyse über den ­sicheren Entwurf, ­Code-Reviews und Härtung bis zum sicheren Betrieb.

© Fraunhofer IEM

Das Prinzip Security by Design beinhaltet im Kern die Betrachtung von Security über den gesamten Entwicklungsprozess hinweg. Dabei wird in allen Phasen während der Entwicklung auf Security-fördernde Maßnahmen gesetzt, um ein bestmöglich abgesichertes Produkt zu erstellen.
Zu Beginn der Entwicklung werden Anforderungen an das zu entwickelnde Produkt aufgenommen. Bereits in dieser frühen Phase ist die Betrachtung von Security ein integraler Bestandteil des Entwicklungsprozesses, um den Grundstein für ein solides Security-Konzept zu legen. Dazu werden in einem ersten Schritt die schützenswerten Güter (Assets) des Systems identifiziert. Assets umfassen dabei sowohl Hardware- und Softwarekomponenten als auch Daten und Programme, die einen hohen unternehmerischen Wert darstellen.

In einem zweiten Schritt werden mittels einer Bedrohungsanalyse systematisch Bedrohungen für die Assets identifiziert. Dazu wird zuerst bewertet, welche der drei klassischen Schutzziele – Vertraulichkeit, Integrität und Verfügbarkeit – sowie der sogenannten ‚Triple A‘-Schutzziele – Authentifizierung, Autorisierung und Accountability (Zurechenbarkeit) – für das jeweilige Asset erfüllt werden müssen. Auf Basis der Schutzziele werden Bedrohungen an das Produkt und dessen Assets abgeleitet. 

Die Ergebnisse der Bedrohungsanalyse wiederum liefern wichtige Erkenntnisse für die Durchführung einer Risikoanalyse. Diese bildet einen integralen Bestandteil eines auf der IEC 62443 aufbauenden Cybersicherheits-Managementsystems und ermöglicht in dieser Phase die Bewertung von Risiken auf Design-Ebene. Als Risiko wird dabei die Kombination möglicher Bedrohungen, Schwachstellen und deren Auswirkungen bezeichnet. Das Risiko wird qualitativ ermittelt. Im Sinne der IEC 62443 dient der Prozess der Risikoanalyse auch dazu, entsprechende Sicherheitslevel festzulegen. Diese reichen von keinem besonderen Schutz (SL-0) über den Schutz gegen vorsätzliche Verstöße mit einfachen Mitteln (SL-2) bis zum Schutz gegen gezielte Angriffe mit hohem Ressourcenaufwand (SL-4). Aber nicht nur Informationen zur Sicherheitseinstufung von Systemen und ihren Komponenten sind ein Ergebnis einer Risikoanalyse, sondern auch Informationen zum notwendigen Einsatz von Gegenmaßnahmen, die im sicheren Entwurf in Betracht gezogen werden können.

Der ‚Defense in Depth‘-Ansatz

Ein beispielhafter Schulungsaufbau für praxisnahe Ausbildung. Der Demo-Aufbau enthält typische Automatisierungskomponenten und wird im Rahmen der Schulung als Praxisbeispiel in den einzelnen Phasen des Entwicklungsprozesses verwendet.

© VDMA

In der zweiten Phase der Entwicklung – dem Entwurf – wird auf Basis der funktionalen und sicherheitsrelevanten Anforderungen ein Konzept erstellt, das sowohl die Hard- als auch die Software berücksichtigt. Ein wichtiges Prinzip bei der Erstellung eines sicheren Entwurfs ist ‚Defense in Depth‘. Dabei werden mehrere Schutzmechanismen in das Produkt integriert mit dem Ziel, eine ausreichende Redundanz für den Fall zu schaffen, dass ein Schutzmechanismus ausfällt oder von einem Angreifer umgangen wird. Damit steigt der Aufwand für einen erfolgreichen Angriff auf ein Produkt signifikant.

Ein Beispiel für einen solchen Schutzmechanismus ist die Verwendung von Netzwerk-Segmentierung im Systementwurf. Dabei wird das Netzwerk zunächst in seine wesentlichen Bereiche getrennt (Zonen) und mögliche Kommunikationsbeziehungen und Verbindungen (Conduits) identifiziert. Auf dieser Basis können innerhalb der Risikoanalyse den Zonen und Conduits Sicherheitslevel und -anforderungen zugeordnet werden. Nun lassen sich Zonen mit unterschiedlichen Sicherheitsleveln voneinander trennen, zum Beispiel durch eine entsprechende Netzwerk-Infrastruktur wie Firewalls. Dieses Vorgehen ermöglicht den effizienten Einsatz von Sicherheitsfunktionen an genau den Stellen, an denen diese am sinnvollsten sind. Dem ‚Defense in Depth‘-Ansatz folgend, hilft dieses Vorgehen auch bei der Bewältigung von möglichen Angriffen, indem zum Beispiel das einfache Ausbreiten eines Angriffs verlangsamt oder sogar unterbunden werden kann.