Industrial Security
Per IEC 62443 zur zertifizierten Anlagensicherheit
Anlagenbetreiber müssen sich vor Cyber-Angriffen schützen. Diese bekannte Tatsache bekommt jetzt allerdings eine neue Dynamik – vor dem Hintergrund aktueller Security-Standards für die Industrie und erster gesetzlicher Regelungen wie dem IT-Sicherheitsgesetz.
Die zunehmenden Digitalisierung von Unternehmen und die damit einhergehende Vernetzung praktisch aller Bereiche eröffnet ökonomische Potenziale, auf die ein hochentwickeltes und industrialisiertes Land wie Deutschland nicht verzichten kann. Gleichzeitig aber entstehen durch die Digitalisierung neue Gefährdungslagen, auf die schnell und konsequent zu reagieren ist. Die besonders in den letzten Jahren stark gestiegene Gefahr durch gezielte und professionelle Cyber-Angriffe, sogenannte Advanced Persistent Threats (APTs), hat mittlerweile auch den Gesetzgeber dazu veranlasst, entsprechende Regelungen vorzunehmen.
Mit dem seit Juli 2015 gültigen Gesetz zur „Erhöhung der Sicherheit informationstechnischer Systeme“ – auch als IT-Sicherheitsgesetz bekannt – werden in Deutschland Betreiber kritischer Infrastrukturen (KRITIS) zu bestimmten Maßnahmen verpflichtet. So schreibt das Gesetz für einige der erfassten kritischen Infrastrukturen ab November dieses Jahres unter anderem eine Meldepflicht für sicherheitsrelevante Vorfälle sowie ab Mai 2017 Mindeststandards bei IT-Security vor. Sofern bei einem KRITIS-Betreiber meldepflichtige Störungen der IT auftreten, darf das Bundesamt für Sicherheit in der Informationstechnik (BSI) falls erforderlich auch die Hersteller der entsprechenden IT-Produkte und -systeme zur Mitwirkung verpflichten. Dies beinhaltet zum Beispiel die zeitnahe Beseitigung erkannter Schwachstellen.
Die IT-Sicherheitsstandards sollen sich dabei am ‚Stand der Technik‘ orientieren. Anschließend müssen durch Audits alle zwei Jahre die Sicherheitsstandards wieder überprüft werden. Der juristische Begriff ‚Stand der Technik‘ wird verwendet, weil erfahrungsgemäß die technische Entwicklung meist schneller ist, als die Gesetzgebung. Daher hat es sich in einigen Rechtsbereichen seit vielen Jahren bewährt, sich in Gesetzen auf den Stand der Technik zu beziehen, statt zu versuchen, konkrete technische Anforderungen bereits im Gesetz festzulegen.
Was zu einem bestimmten Zeitpunkt ‚Stand der Technik‘ ist, lässt sich etwa anhand existierender nationaler oder internationaler Standards und Normen, wie beispielsweise DIN oder IEC, beziehungsweise anhand erfolgreich in der Praxis erprobter Vorbilder – sogenannter ‚Best practises‘ – für den jeweiligen Bereich ermitteln. Da sich die notwendigen technischen Maßnahmen je nach konkreter Fallgestaltung auch unterscheiden können, ist es ohnehin kaum möglich, den Stand der Technik allgemeingültig und abschließend zu beschreiben.
Für Security ist im industriellen Umfeld die IEC 62443 der international führende beziehungsweise umfassendste Standard, der mitunter auch in anderen Bereichen wie Bahnanwendungen adaptiert oder referenziert wird. Er adressiert Betreiber, Systemintegratoren sowie Hersteller von Automatisierungssystemen gleichermaßen und nimmt dabei in verschiedenen Teilen des Standards auf Prozesse, Technologien und die Rolle des Menschen Bezug. Im Standard wird unter anderem klargestellt, dass es für einen angemessenen Schutz unumgänglich ist, auf der Basis einer Risikoanalyse geeignete Maßnahmen zu definieren und zu implementieren. Genauso wichtig ist es, diesen erreichten Schutzgrad auch dauerhaft aufrecht zu erhalten, etwa durch regelmäßige Überprüfung der eingesetzten Maßnahmen auf ihre Wirksamkeit hin.
Eine Grundlage für die Zertifizierung
Zudem bietet die IEC 62443 erstmals eine Grundlage für die Zertifizierung von Cybersecurity in industriellen Automatisierungs- und Kontrollsystemen. Als einer der ersten Anbieter hat der TÜV Süd damit begonnen, Prüfungen und Zertifizierungen nach dieser Norm durchzuführen. Die Zertifizierung von Entwicklungs- und Fertigungsprozessen bei Produktherstellern erfolgt auf der Basis des Teiles 4-1 der IEC 62443. Dabei lassen sich die Security-Funktionen von Produkten nach IEC 62443-3-3 bewerten. Das weltweit erste auf IEC 62443-4-1 basierende Zertifikat hat der TÜV Süd im August dieses Jahres an Siemens vergeben und damit die Einhaltung der Security-Anforderungen des Standards an den übergreifenden Entwicklungsprozess von Produkten der Automatisierungs- und Antriebstechnik an sieben Entwicklungsstandorten in Deutschland bestätigt.
Es sollte aber allen bewusst sein und bewusst bleiben: Die 100-prozentige Sicherheit gab es nie und wird es im IT-Zeitalter auch nicht geben! Es geht aber darum, angemessene Security-Maßnahmen zu finden. Dies bedeutet im Endeffekt, das Risiko auf ein akzeptables Maß zu senken. Mit anderen Worten: Der Aufwand für potenzielle Angreifer soll damit so stark erhöht werden, dass das Verhältnis zum möglichen Nutzen in keinem ökonomischen Verhältnis mehr steht. Die IEC 62443 gibt auf der Basis definierter Security Levels (SLs) eine Orientierung für das erforderliche Maß an Security bezogen auf die jeweils vorhandenen Risiken.
Der Schlüssel zu dem Konzept ist die Schutzklasse (Protection Level). Diese ergibt sich aus dem Sicherheits- und Reifegrad. Der Reifegrad gibt an, wie ausgereift beziehungsweise zuverlässig die Sicherheitsprozesse in einem Unternehmen sind und basiert auf den Normen IEC 62443-2-4 und ISO 27001. Je ausgereifter ein Unternehmen hierbei ist, umso höher ist der Reifegrad. Der Sicherheitsgrad wiederum bezieht sich auf die eingesetzten technischen Lösungen entsprechend der Norm IEC 62443-3-3. Die zur Definition der Schutzklasse herangezogene Matrix besagt, dass für eine höhere Schutzklasse sowohl ein höherer Sicherheitsgrad (bessere technische Sicherheitslösung) als auch ein höherer Reifegrad (bessere Prozessreife) notwendig sind.
Zur effektiven Abwehr von Angriffen ist der Einsatz und die Kombination mehrerer Security-Maßnahmen erforderlich.
© SiemensUm all dies in die Praxis umzusetzen, bedarf es einer Anpassung beziehungsweise Verbesserung von Systemen, Produkten, Lösungen und auch Dienstleistungen durch Einführung von Sicherheitsfunktionen und -Eigenschaften, aber auch von Prozessen und Richtlinien. Das bedeutet die Implementierung einer mehrschichtigen Verteidigung oder – um es im Security-Jargon auszudrücken – einer ‚Defense-in-Depth-Strategie‘.
Damit ist nicht nur gemeint, dass mehrere Security-Maßnahmen hintereinander geschaltet werden, sondern auch, dass unterschiedliche Technologien zum Einsatz kommen. Ein Beispiel: Die Zugänge zu einem Netzwerk werden von Firewalls, wie einer industrie-tauglichen Security Appliances der Scalance-S-Produktfamilie kontrolliert. Dabei werden Zugriffe von außerhalb so weit wie möglich unterbunden, was eventuell auch mittels einer DMZ (demilitarisierte Zone) umsetzbar ist, in der Daten des geschützten Netzes zur Verfügung gestellt werden und somit der direkte Zugriff auf das Automatisierungsnetz von außen vermeidbar ist. Die Zugriffsberechtigungen sollten hierbei nach der Prämisse ‚Need2Connect‘ vergeben werden. Das heißt: Nur die Zugriffe sind zu erlauben, die unbedingt erforderlich sind.
Um den Schutz noch zu erhöhen, bietet sich insbesondere bei größeren Netzwerken die weitere sicherheitstechnische Netzsegmentierung an, bei der verschiedene Automatisierungszellen von einer Firewall oder speziellen Komponenten wie etwa den Security-Kommunikationsprozessoren für Simatic-S7-Steuerungen geschützt werden. Sollte es einem Hacker gelingen, sich Zugang zum Netzwerk zu verschaffen, muss er – um in eine Automatisierungszelle zu gelangen – eine weitere Hürde überwinden.
Die nächste Hürde stellen die Automatisierungskomponenten selbst dar. Steuerungen, HMI-Geräte und SCADA-Systeme verfügen heute vielfach über integrierte Security-Funktionen wie etwa Passwortschutz und können so das Risiko unbefugter Zugriffe weiter senken.
Diese Maßnahmen reduzieren die Risiken bezüglich unbefugter Zugriffe und Datenverlusten – aber nur dann, wenn alle Security-Funktionen richtig implementiert, die Geräte richtig konfiguriert und keine unentdeckten Schwachstellen vorhanden sind, so dass auch so genannte Seitenkanal-Attacken erfolglos bleiben.
Security by Design
Um dies zu erreichen, sind bereits bei der Entwicklung und der Fertigung von Produkten entsprechende Maßnahmen zu treffen, um eventuell vorhandene Schwachstellen frühzeitig aufdecken und beseitigen zu können. Wie bereits erwähnt, fordern dies mittlerweile auch einige Security-Standards. Einen solchen ‚Security by Design‘-Ansatz gilt es von Anfang an in der Produktentwicklung zu berücksichtigen.
Eine wesentliche Voraussetzung zur Minderung von Risiken ist der Ansatz ‚Security-by-Design‘ bei der Entwicklung und Fertigung von Produkten.
© SiemensDie Erfahrung zeigt aber auch, dass gerade bei Produkten mit Software nie alle Schwachstellen vermeidbar sind. Deshalb ist es entscheidend, dass auch Schwachstellen, die man während des Betriebes entdeckt, schnell behoben und betroffene Anwender zeitnah und detailliert informiert werden. Damit dies reibungslos funktioniert, müssen ebenfalls entsprechende Prozesse aufgesetzt und Zuständigkeiten sowie Ansprechpartner geklärt sein. Kurzum: Das Vermeiden von Schwachstellen bereits während der Entwicklung und Fertigung sowie das zügige Beheben der Schwachstellen während des Betriebes sind wichtige Beiträge zur Risikominimierung und zur stetigen Verbesserung der Sicherheit industrieller Automatisierungs- und Kommunikationssysteme. Dem Rechnung tragend wurden die genannten Maßnahmen und Prozesse bei Siemens in den letzten Jahren eingeführt und optimiert.
Autor: Franz Köbinger ist Marketing Manager Industrial Security bei Siemens.
















