Erst die Vernetzung auf Basis von Standards wie Profi net ermöglicht es, wesentliche Kundenanforderungen zu erfüllen, beispielsweise eine komfortable, durchgängige und direkte Kommunikation von Automatisierungskomponenten untereinander und auch in überlagerte Netzwerke. Allerdings können bei einer direkten Kommunikation Angriffe auf das Unternehmens- Netzwerk auch einzelne Automatisie - rungskomponenten beeinfl ussen - mit möglichen Folgen für die Produktionsanlagen.

Das wirft Fragen hinsichtlich der Sicherheit von Automatisierungstechnik auf. Dies gilt umso mehr, wenn Anlagen zusätzlich über Fernwartungszugänge verfügen. Die Security-Mechanismen von Automatisierungskomponenten lassen sich grob in zwei Kategorien einteilen: in Mechanismen zum Schutz von Betriebsgeheimnissen, also des in einer Automatisierungslösung enthaltenen Know-hows, und in Vorkehrungen, die den sicheren Betrieb einer Anlage garantieren.

Know-how- und Kopierschutz

Die Sicherung von Betriebsgeheimnissen ist nicht nur für OEMs wichtig. Anlagenbauer und Ingenieurbüros, die ihr spezifi sches Know-how zum Beispiel als Programmbausteine in die Automatisierungslösung einbringen, brauchen ebenso einen Know-how-Schutz, um ihre Wettbewerbsfähigkeit zu sichern. Bei SPS-Baugruppen ist es etwa erforderlich, dass der Inhalt von Programmbausteinen nicht gelesen oder rückübersetzt werden kann. Dabei müssen die Bausteine so geschützt sein, dass auch ein Zugriff außerhalb der vorgesehenen Entwicklungsumgebung, beispielsweise über einen Hex-Editor, nicht möglich ist.

Solche Schutzmaßnahmen stellt für S7-Steuerungen das Add-on „S7-Block- Privacy" als Teil der Programmiersoftware Step 7 zur Verfügung. Die Verschlüsselung verhindert zwar, dass die geschützten Programmbausteine ausgespäht werden können, ein Kopieren ist aber nach wie vor möglich. Produktpiraten könnten also die Hardware einer betroffenen Maschine soweit wie möglich nachbauen und das geschützte SPS-Programm problemlos in die SPS der nachgebauten Maschine einspielen. Um solche unberechtigten Kopien des SPS-Programms zu verhindern, muss die Ablauffähigkeit des Programms mit unveränderlichen, individuellen Hardware- Eigenschaften verknüpft sein, beispielsweise mit der Seriennummer einer Speicherkarte. Darüber lassen sich mit dem Stecken der Speicherkarte sogar bei einem Gerätetausch sowohl die Projektierung als auch das Identifizierungsmerkmal auf die neue Steuerung übertragen.

Wird ein SPS-Programm, das mit einem solchen Copy-Protection-Mechanismus versehen ist, von einer anderen MemoryCard geladen oder in einer anderen Steuerung gestartet, verweigert diese Steuerung die Ausführung des kopierten Programms. Neben dem Kopieren des SPS-Programms stellt der Nachbau von Maschinenteilen ein Problem für Hersteller dar. Durch gefälschte Teile entstehen nicht nur Umsatzverluste, sondern teilweise daüber hinaus Kundenreklamationen aufgrund der unterschiedlichen Qualität der Plagiate. Denn Kunden sind sich oftmals nicht einmal bewusst, dass sie keine Originalteile einsetzen. Um hier Sicherheit für alle Beteiligten zu schaffen, wird es immer wichtiger, Maschinenteile mithilfe der SPS sicher zu identifi zieren, zum Beispiel über RFID-Tags.

Sicherer Betrieb: Zellenschutz ist Pflicht

Mit S7-Block Privacy, einem Add-on der Programmiersoftware Step 7, kann das Know-how in Programmbausteinen einer S7-Steuerung sicher geschützt werden.

© Siemens

Für Betreiber einer Automatisierungsanlage stehen hinsichtlich Security weitere Themen im Fokus: Zwar ist auch für sie der genannte Know-how-Schutz ebenfalls wichtig, etwa beim Schutz von Rezepturen. In erster Linie geht es ihnen jedoch um den sicheren Betrieb ihrer Anlagen. Dazu zählt neben der grundsätzlichen Verfügbarkeit der Anlage die Sicherstellung der Produktqualität.

Bei der heute üblichen Vernetzung der Produktionsanlagen untereinander wie auch mit dem Unternehmensnetzwerk besteht ohne entsprechende Schutzmechanismen die Gefahr von Störungen im Produktionsprozess. Das können absichtliche Störungen durch Sabotage sein oder auch unabsichtliche Beeinträchtigungen beispielsweise durch Fehl konfi gurationen der Netzwerk-Einstellungen. Eine erste Schutzmaßnahme für die einzelnen Automatisierungskomponenten besteht darin, die Netzwerk-Kommunikation auf das erforderliche Maß zu beschränken. Dies erhält die Vorteile der durchgängigen Kommunikation und reduziert gleichzeitig das Risiko.

Eine solche Einschränkung der Kommunikation erfolgt typischerweise auf Basis des so genannten Zellenschutzkonzepts: Automatisierungskomponenten, die sich logisch oder kommunikationstechnisch gruppieren lassen, werden vom übrigen Netzwerk getrennt. Die Netzwerk-Kommunikation in diese separierten Netzwerke (Zellen) reglementieren Sicherheitskomponenten wie Firewalls, so dass nur zugelassene Teilnehmer zugreifen können.

Robuste SPS vertragen Attacken

Beim Zellenschutzkonzept wird das Automatisierungsnetzwerk in kleinere Netzwerk-Segmente aufgeteilt. Der Zugriff in diese Netzwerke wird durch Security-Module mit Firewall- und VPN-Funktionalität geschützt.

© Siemens

Darüber hinaus müssen Automatisierungskomponenten robust sein und verschiedene Bedrohungsszenarien aushalten beziehungsweise darauf reagieren können. Die Bandbreite dieser Szenarien reicht von der einfachen Überlastung der Geräte (Denial-of-Service-Attacken) bis zum gezielten Angriff auf einzelne Kommunikationsdienste. Im ersten Fall sieht sich ein Zielsystem mit einer Flut an Netzwerkpaketen konfrontiert, dessen Verarbeitung sehr viele Ressourcen bindet. Sind Automatisierungskomponenten darauf nicht vorbereitet, können sie ihre eigentliche Automatisierungsaufgabe unter Umständen nicht mehr wahrnehmen.

Um das auszuschließen, wird den Kommunikationsmechanismen der Simatic-Steuerungen stets nur ein defi nierter Anteil an Rechenleistung zugewiesen. Eine Ausweitung dieser Ressourcen ist nicht möglich, so dass eine Steuerung selbst in solchen Extremsituationen das Programm abarbeiten kann. Sollte es vorkommen, dass das Netzwerk überlastet ist, kann außerdem die Kommunikation der SPS eingeschränkt sein. Wenn dies geschieht, muss die SPS nach Abklingen der Netzwerklast ihre reguläre Funktion unbedingt automatisch wieder aufnehmen. Eine Automatisierungskomponente darf nach einer solchen Überlast-Situation nicht dauerhaft ausfallen. Eine weitere Bedrohung besteht darin, dass bei einem gezielten Angriff typischerweise wenige fehlerhafte oder ungültige Netzwerkpakete an einen bestimmten Kommunikationsdienst geschickt werden.

Kann dieser Dienst mit solchen Netzwerkpaketen nicht ordnungsgemäß umgehen, besteht die Gefahr, dass dieser Dienst oder sogar das gesamte System abstürzt. Damit solche Störungen keinen Einfl uss auf die Funktionsfähigkeit der Automatisierungskomponenten haben, ist eine robuste Implementierung der Kommunikationsdienste erforderlich. Dies betrifft sowohl die unteren Kommunikationsschichten (Layer 2 bis 4) mit ihren Ethernet- und IP-Protokollen als auch die darüber liegenden Applikationsprotokolle (Layer 5 bis 7). Zudem braucht es regelmäßige Tests (Lastszenarien und Protokollangriffe) der Netzwerk-Robustheit, die kontinuierlich der aktuellen Bedrohungslage angepasst werden müssen.

Bei Siemens sind solche Szenarien seit Jahren Bestandteil der Systemtests von Profi net-Komponenten. Anhand der gewonnenen Erfahrungen konnte die Netzwerk-Robustheit dieser Geräte durchgängig erhöht werden. Auch die seit mehreren Jahren bestehende Kooperation mit CERN openlab (Conseil Européen pour la Recherche Nucléaire) hat wesentlich dazu beigetragen, die Sicherheit der Simatic-Steuerungen zu erhöhen.

Zugriffsschutz

Zum Schutz von Betriebsgeheimnissen und zum sicheren Betrieb von Anlagen gibt es umfassende Mechanismen.

© Siemens

Unabhängig von der Netzwerk-Ebene können unautorisierte Zugriffe auf der Applikationsebene für Störungen sorgen. Bei einer SPS besteht die Gefahr, dass Unbefugte über die Engineeringsoftware Änderungen am SPS-Programm oder ihrer Projektierung vornehmen. Um solchen Manipulationen vorzubeugen, müssen für Automatisierungskomponenten mit kritischen Funktionen Zugriffsschutz-Mechanismen zur Verfügung stehen, idealerweise in Form unterschiedlicher Schutzstufen. Zur Integration neuer Funktionen oder schneller Behebung von Fehlern hat sich die Aktualisierung über Firmware- Updates (FW-Updates) etabliert. Darüber könnten ebenso manipulierte oder gefälschte Updates eingespielt werden.

Generell sollte jede Firmware-Datei über Prüfsummen wie CRC (Cyclic Redundancy Check) verfügen. Allerdings dienen diese typischerweise nur dazu, versehentliche Veränderungen zu erkennen. Sie lassen sich bei absichtlichen Fremdeingriffen verändern und scheiden daher als Indikator für eine Sabotage aus. Um Firmware-Manipulationen zu verhindern, sind Prüfmechanismen erforderlich, die kein Dritter manipulieren kann. Solche Mechanismen könnten auf digitalen Signaturen basieren, wie sie unter anderem auch bei E-Mails verwendet werden. Damit kann ein Zielgerät die zu installierende Firmware- Datei prüfen und nur authentische Updates akzeptieren.

Beim Betrieb ist zu beachten, dass sich die Sicherheit einer Anlage aus der Gesamtheit aller Komponenten ergibt. Dazu muss jede Komponente das jeweils erforderliche Maß an „embedded" Security beitragen. Während sichere Eigenschaften wie Netzwerk- Robustheit automatisch verfügbar sind, müssen Schutzmechanismen wie etwa der Zugriffsschutz und die Firewall zusätzlich konfi guriert werden. Darüber hinaus sind für den sicheren Betrieb einer Anlage typischerweise weitere Maßnahmen erforderlich. Diese beinhalten sowohl den Schutz gegen Schadsoftware (Virenschutz) als auch die Installation kritischer Software-Updates, um Sicherheitslücken schließen zu können. Daher ist es notwendig, diese Maßnahmen bereits bei der Anlagenplanung zu berücksichtigen, bei der Inbetriebnahme korrekt umzusetzen und zu testen.

Das bedeutet zunächst einen gewissen Aufwand, vermeidet jedoch später Störungen und aufwendige Fehlersuchen bei Security-relevanten Vorfällen. Die Umsetzung dieser Maßnahmen unterstützt Siemens mit speziellen Security-Services. Security in der Automatisierung ist - ähnlich wie im IT-Bereich - ein kontinuierlicher Prozess, bei dem sowohl die sicheren Eigenschaften der Produkte als auch die expliziten Security-Funktionen weiterentwickelt werden müssen, um auch zukünftig Automatisierungslösungen sicher betreiben zu können. Die aktuellen Vorfälle zeigen, dass sich Anlagenbetreiber mit dem Thema Security auch im Automatisierungsumfeld auseinandersetzen müssen. Es gilt, Strategien zu entwickeln und umzusetzen, um Anlagenausfälle oder andere Folgen durch Sabotage zu verhindern.

Autor: Dirk Gebert ist Systemmanager Security für Simatic-Produkte bei Siemens Industrial Automation Systems in Nürnberg.

Security-Benchmark für Automatisierungssysteme

Security ist beim CERN (Conseil Européen pour la Recherche Nucléaire) in Genf ein wichtiges Thema, insbesondere wenn es um die Anlagensteuerung geht. Während des Aufbaus der Kontrollsysteme für den Large Hadron Collider (LHC), dem weltweit größten Teilchenbeschleuniger, wurden die Forscher mit Sicherheitsproblemen verschiedener Art konfrontiert. Dies führte dazu, dass CERN sein Credo - Jeder kann mit jedem kommunizieren, die Firewall sorgt für die Sicherheit - grundlegend revidierte und durch eine Strategie „Defence-in- Depth" ersetzte.

„Im Rahmen des „CERN openlab" entstand eine Zusammenarbeit mit Siemens, um die Sicherheit der Steuerungen weiter zu erhöhen", erläutert Wolfgang von Rüden, Leiter des CERN openlab. CERN openlab ist ein Rahmenprogramm, das den Gedankenaustausch und die Kooperation mit IT-Firmen fördert. Dazu von Rüden: „Unsere Partner stellen ihre Vorserien-Produkte zur Verfügung, die wir in unserer komplexen Umgebung bis an die Grenzen testen, um sie bei Bedarf dann gemeinsam zu verbessern."