Cyber-FMEA: Security-Analyse für Maschinen- und Anlagenbauer

IT-Security

Wer einschlägige Sicherheitsforen wie z.B. wir [1] verfolgt, findet reichlich Stoff für schlaflose Nächte:  manipulierte USB-Sticks, die sich wie eine Tastatur verhalten dabei aber komplexe Hacking-Skripte abarbeiten. Es gibt batteriebetriebene Accesspoints zur Übernahme fremder WLAN-Netze. Und es finden sich auch kleine Zwischenstecker, die alle Tastatureingaben samt Passwörtern ins Nachbarbüro funken oder auf einem internen Flash-Speicher zur späteren „Ernte“ speichern. Diese und viele andere Werkzeuge sind in der Regel legal und für wenig Geld offiziell zu bestellen. Der Bedrohung durch frei verfügbare Hacking-Werkzeuge, aber auch durch Viren und Trojaner sind leider auch vernetzte Produktionsmaschinen ausgesetzt.

Produzierende Unternehmen erwarten von Ihren Lieferanten rundum sichere Maschinen, die nicht nur „safe“ sind (Maschinenrichtlinie 2006/42/EG), sondern auch „secure“ (IT-Sicherheit nach IEC 62443, siehe [2]) sind. Die Teile der Norm IEC 62443 beschreiben Sicherheit im Sinne einer Ende-zu-Ende-Verantwortung. Teil 4 bezieht sich auf die Komponenten, also das Fundament. Teil 3 beschreibt Systeme und Anlagen, Teil 2 den sicheren Betrieb, insbesondere Prozesse und Abläufe. Nur wenn alle Teile zusammenwirken, lässt sich ein wirksamer Sicherheitsschirm aufspannen. Maschinen- und Anlagenbauer stecken derzeit in der „Security-Klemme“. Sie benötigen IT-sichere Komponenten und müssen sich auf die Verantwortung des Anlagenbetreibers und dessen Umsetzung geeigneter Prozesse verlassen. In der Klemme stecken Sie deshalb, weil auf Komponentenebene hinsichtlich Security noch vieles im Argen liegt und in der Umsetzung wenig standardisiert ist. Gleichzeitig beschäftigen sich allerdings auch viele Betreiber nur zögerlich selbst mit der IT-Sicherheit. Leider wird oft auch nur mit Schlagworten argumentiert: „Unsere Fernwartung nutzt ein VPN (ein verschlüsseltes virtuelles Netz), also ist alles sicher.“ Leider hilft ein VPN nicht, um Anlagen vor Trojanern oder Manipulationen zu schützen, im Gegenteil. Der verschlüsselte Fernwartungszugang wird zum nicht überwachbaren Einfallstor für Schädlinge aller Art, genau wie das Notebook des Servicetechnikers, das mal eben mitten im Herz einer Produktionsanlage eingestöpselt wird.

Maschinen- und Anlagenbauer können aus der Not eine Tugend machen. Wer sich heute intensiv mit IT-Security für die eigene Anlage auseinandersetzt, erwirbt sehr schnell einen Know-How-Vorsprung, der als Wettbewerbsvorteil genutzt werden kann. Bei der Auswahl der Basiskomponenten können den Automatisierungsherstellern klare Vorgaben (nach IEC 62443) gemacht werden. Eine Sicherheitsfibel erläutert dem Betreiber, wie die Anlage sicher einzubinden und zu betreiben ist, auch hier hilft die IEC 62443.

Wo soll der Maschinen- und Anlagenbauer ansetzen? Der Autor schlägt eine für Safety und allgemeine Produktentwicklung lange bewährte Methode vor: Die Failure Mode and Effect Analysis (FMEA). Bei diesem systematischen Verfahren werden drei Kriterien bewertet:

  1.     Die Eintrittswahrscheinlichkeit eines Fehlers, bzw. hier einer Cyber-Bedrohung,
  2.     die Erkennungswahrscheinlichkeit,
  3.     die Schadensauswirkung.

Die Eintrittswahrscheinlichkeit einer Cyber-Bedrohung hängt insbesondere an den verwendeten Technologien, also beispielsweise ob die Kommunikation verschlüsselt ist, ob Zertifikate verwendet werden, oder ob eine sicher Authentifizierung der Geräte erfolgt. Aber auch organisatorische Themen spielen eine Rolle wie etwa die Organisation von Zugangspasswörtern. Bei der Erkennungswahrscheinlichkeit kommt es darauf an, ob das Wirken eines Angriffsvektors sofort bemerkt wird. Bleibt der Angriff unbemerkt, könnte die Wirkung über lange Zeit anhalten, beispielsweise die Produktion von Teilen mit Qualitätsmängeln über einen längeren Zeitraum. Wird der Angriff sofort bemerkt, können wenigstens sofort Gegenmaßnahmen eingeleitet werden. Wichtig ist insbesondere die dritte Kategorie, die Schadensauswirkung. Sie hängt stark von der Applikation ab: Das Auskühlen einer Glasschmelze ist mit einer größeren „Renovierung“ verbunden, allerdings ist nicht jeder Stillstand ist so dramatisch. Wirkt dagegen ein Angriff auf die Safety-Systeme, so besteht auch Gefahr für Leib und Leben. Diese Abschätzung kann ein Komponentenhersteller nicht treffen, denn er weiß in der Regel nicht, wie genau die Komponente eingesetzt wird. Dem Maschinen- und Anlagenhersteller kommt also eine besondere Verantwortung zu: Er kann den Zusammenhang zwischen Technologie, konkreter Umsetzung und der Applikation herstellen und vor diesem Hintergrund auch eine weitgehend vollständige Risikoanalyse in Form einer solchen Cyber-FMEA erstellen. Den Ablauf zeigt Bild 1.

Bild 1: Ablauf einer Cyber-FMEA

Um eine Cyber-FMEA durchzuführen, bietet sich ein interner Workshop am. Der Teilnehmerkreis sollte Systemarchitekten und Anwendungsspezialisten umfassen. Zur Vorbereitung kann die Kommunikationsarchitektur mit dem Threat Modeling Tool von Microsoft erfasst werden [3], siehe Bild 2. Die Kommunikationsverbindungen werden als Assets gewählt. Aus diesem Modell gewinnt man direkt eine Bedrohungsanalyse. Wer den Aufwand scheut, kann aber auch nur wenige generische Bedrohungen heranziehen z.B. „Verbindung wird unterbrochen“, „Verbindung wird mitgelesen“ etc. (Bild 3) Im Workshop sollte dieses Modell bereits vorliegen und wird dann im Team durchgesprochen und verfeinert. Dann geht es um die Einschätzung der Schadensauswirkungen in qualitativen Kategorien, (Bild 4).

Bild 2: Beispiel einer Architektur, erstellt mit dem Microsoft Threat Modeling Tool (Ausschnitt)

Mittels einer kleinen Anwendung in der Tabellenkalkulation werden Assets, Bedrohungen und Schadensauswirkungen verknüpft. Das Workshopteam entscheidet dabei wie hoch das Bedrohungsrisiko ist, wie gut man das Eintreten der Bedrohung erkennen könnte und welche Schadensauswirkungen dies haben könnte. Da allen Parametern entsprechend der Kategorisierung eine Punktzahl zugeordnet ist, kann für jede Bedrohung auch eine Risikokennzahl als Produkt der Einzelkennzahlen berechnet werden, also alle FMEA-Parameter einbezieht. Der so gewonnene Risikoreport gibt klare Prioriäten vor ist dann die Ausgangsbasis für die Ableitung konkreter Maßnahmen.

Bild 3: Generische Bedrohungen

Mit einem Aufwand von nur zwei Workshoptagen (zuzüglich Vor- und Nachbereitung) entsteht so ein belastbares Cyber-Risikomodell für ein konkretes Maschinendesign. Vor allem aber wächst im Team das Bewusstsein für mögliche Bedrohungen und systematische Gegenmaßnahmen. In der Regel werden bereits im Workshop einfach zu behebende Schwachstellen identifiziert und Maßnahmen direkt beschlossen („Low Hanging Fruits“). Im Laufe der weiteren Bearbeitung entstehen Vorgaben an die Lieferanten zur Cyber-Sicherheit der Komponenten und idealerweise auch eine Cyber-Sicherheitsfibel für die Kunden, deren Beachtung eine durchgängig konsistente IT-Sicherheitsarchitektur für die Anlage gewährleistet. Maschinen- und Anlagenbauer können so einen wertvollen Beitrag zur Verbesserung der IT-Sicherheit in der Industrie leisten.

Bild 4: Modell der Schadensauswirkungen

Autor

Prof. Dr.-Ing. Peter Fröhlich ist Geschäftsführer der ProtectEM GmbH und Leiter des Instituts ProtectIT der Technischen Hochschule Deggendorf. Er ist außerdem Dekan der Fakultät Maschinenbau und Mechatronik der THD. Die ProtectEM GmbH begleitet Anwender und Hersteller auf dem Weg zu sicheren Systemarchitekturen und führt Zertifizierungen nach IEC 62443 durch. Das Institut ProtectIT betreibt anwendungsnahe Forschung und Technologieentwicklung zur Sicherung von Kommunikationsnetzen in industriellen Umgebungen.

Diese Veranstaltungen könnten Sie auch interessieren

Seminar
© iStock.com - LeoWolfert
Industrial Ethernet Security
  • 05.12. - 06.12.2019 in Leinfelden-Echterdingen
  • 31.03. - 01.04.2020 in Düsseldorf
  • 22.07. - 23.07.2020 in München

Das Seminar vermittelt Grundlagenwissen zu Ethernet im industriellen Umfeld und zeigt, wie Sie Ihr Netzwerk absichern und gegen Bedrohungen schützen.

Informieren & Buchen

Seminar
© Fraunhofer IIS/EAS, Fotograf: Oliver Killig
Predictive Maintenance und datenbasierte Qualitätsüberwachung in der Praxis
  • 25.03. - 26.03.2020 in München
  • 02.07. - 03.07.2020 in Karlsruhe
  • 03.11. - 04.11.2020 in Frankfurt am Main

Entdecken Sie die Instandhaltungsstrategie der Zukunft: Predictive Maintenance sowie Qualitätssicherungskonzepte erfolgreich einführen.

Informieren & Buchen

Seminar
© iStock.com – LeoWolfert
ICE-Security-Programme mit IEC 62443 aufbauen
  • 17.03. - 18.03.2020 in Stuttgart
  • 30.06. - 01.07.2020 in Aschheim bei München
  • 27.10. - 28.10.2020 in Frankfurt am Main

Lernen Sie aktuelle Risiken, juristische Anforderungen und zu Grunde liegende Standards wie z.B. IEC 62443 kennen. Mehr Informationen gibt es hier.

Informieren & Buchen

Der für Sie ausgewählte Bereich

  • IT Security
    IT-Security