Sind Ihre Systeme fit für die vernetzte Zukunft? Sicher? – Sichere Produktion und sichere Produkte nach IEC 62443

Schöne neue Industrie-4.0-Welt: die Stahlstange verhandelt mit Produktionsmaschinen rund um den Globus, wo sie sich zur  Getriebewelle bearbeiten lässt. Der Tachogeber in der Produktionsmaschine funkt munter die Drehzahlprofile in die Cloud. Aus der Big-Data-Analyse der Produktionsdaten Tausender Produktionsvorgänge könnten exakt die Fertigungsalgorithmen herausgerechnet werden, die das Erfolgsgeheimnis des Maschinenherstellers sind. Die vernetzte Welt bringt viele Chancen, aber auch Risiken, wenn der Informationsfluss nicht zu den gewünschten Geschäftsprozessen passt. Wenn Sie auch erkennen, dass die sichere Lenkung der Datenströme nicht nur Schlüssel, sondern Fundament für Industrie 4.0 ist, und wenn Sie sich dann noch fragen, was das für Ihre Produkte oder ihre Produktion bedeutet, dann lesen Sie weiter.

Sichere Lenkung von Datenströmen, was heißt das? Die Daten sollen nur die berechtigten Empfänger zu sehen bekommen (Vertraulichkeit), Empfänger und Sender sollen die sein, für die sie sich ausgeben (Authentizität) und die Daten sollen nicht verfälscht sein (Integrität). Die besonderen Anforderungen an die Datensicherheit für die Automatisierungstechnik beschreibt die internationale Norm IEC 62443. Während einige Teile noch als Entwurf vorliegen, ist insbesondere der Teil IEC 62443-3-3 „System security requirements and security levels“ verabschiedet und damit maßgeblich für den Stand der Technik. Die Norm erlaubt die Durchführung eines Sicherheitschecks. In Anlehnung an die Einstufung nach SIL für Safety werden vier Security Levels (SL) unterschieden. Welcher Security-Level anzustreben ist, ergibt sich aus einer Bedrohungs- und Risikoanalyse. Unbedingt betrachtet werden sollten dabei die Bedrohungen, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem 2016 aktualisierten Bericht als Top 10 der Bedrohungen ausgemacht hat. Der gewünschte Security Level wird dann getrennt für verschiedene Anforderungsgruppen („Foundational Requirements“) abgeleitet. Für die Anforderungsgruppe FR1 („Identifcation and authentication“), in der die Anforderungen an User-Anmeldungen zusammengefasst sind, ergeben sich beispielsweise folgende Kategorien: SL1: Schutz vor zufälliger oder versehentlicher Fehlanmeldung, SL2: Schutz vor absichtlicher unautorisierter Anmeldung mit geringer Angriffskompetenz und niedriger Motivation, für SL3 und SL4 werden jeweils eine höhere Kompetenz, höhere Motivation und ausgedehntere Angriffsressourcen unterstellt. Abhängig vom Security Level ergeben sich dann konkret abprüfbare Anforderungen an die technische und organisatorische Umsetzung. Die Security-Maßnahmen betreffen die Auswahl der eingesetzten Komponenten, die Systemarchitektur und die organisatorischen Abläufe beim Einsatz der Technologie. Dabei müssen auch heikle Themen wie Patch-Management, Anlagenwartung (lokal und remote) und Regeln für Fremdpersonal umfassend adressiert werden.

Handlungsdruck für Betreiber und Hersteller ergibt sich aus der Tatsache, dass jetzt ein auf breiter Front akzeptierter und praxistauglicher Standard für IT-Sicherheit in der Industrieautomation vorliegt. Die seit dem Auftreten von Stuxnet als ratlose Stasis zu bezeichnende Orientierungslosigkeit ist damit überwunden. Dass die Automatisierungsbranche großen Nachholbedarf beim Thema Security hat, dürfte breiter Konsens sein. Für Hersteller von Automatisierungsprodukten wird es in naher Zukunft unerlässlich sein, die Konformität mit der IEC 62443 bei ihren Produkten zu gewährleisten und IT-Security als umfassende Herstellerverantwortung auch organisatorisch ganzheitlich umzusetzen. Erste konforme Produkte sind bereits am Markt verfügbar. Für die Betreiber gilt es, frühzeitig Weichen zu stellen und bei Investitionsvorhaben und Änderungsprojekten konsequent auf die Security-Anforderungen zu achten. Auch für die Automatisierungstechnik muss IT-Security Teil des regulären Risiko-Managementsystems des Unternehmens werden. Aus der IEC 62443 lassen sich konkrete Anforderungen für Produktausschreibungen und Lastenhefte ableiten.

Einen ganz neuen Stellenwert bekommt das Life-Cycle-Management mit Hinblick auf IT-Security. Während für die Safety-Aspekte eine Risikoanalyse bei unveränderter Konfiguration langfristigen Bestand hat, muss die Security-Bedrohungslage regelmäßig überprüft werden. Schwachstellen können jederzeit neu entdeckt werden und erfordern dann zeitnahe Abwehrmaßnahmen. Dies erfordert eine geschlossene und aktive Verantwortungskette von Komponentenherstellern über Anlagenhersteller bis zum Betreiber. Die Leistungen müssen in Form von langfristigen Wartungsvereinbarungen vertraglich gesichert und organisatorisch umgesetzt werden. Für Hersteller ergeben sich daraus neue Verpflichtungen aber auch Chancen für erweiterte Geschäftsmodelle und Differenzierungsmöglichkeiten.

Die aktuell in Automatisierungsprodukten eingesetzten Technologien zur Umsetzung von IT-Security sind mittelfristig noch unzureichend. Die Forschungsaktivitäten des Instituts ProtectIT drehen sich darum um bessere Absicherung der Kommunikationsverbindungen unter Berücksichtigung der spezifischen Automatisierungsanforderungen (Echtzeit, Redundanz…). Die Sicherstellung der Geräteintegrität (sicheres Booten, signierte Softwarekomponenten) ist eine weitere Schlüsselanforderung neuer Automatisierungsprodukte. Ein sehr wichtiges Feld für Betreiber ist die laufende Anlagenüberwachung. Auf Basis von Open-Source-Technologien hat ProtectIT ein prototypisches Intrusion-Detection-System (IDS) implementiert, das speziell auf Automatisierungssysteme ausgelegt ist. Dabei werden von kostengünstiger Sensorik im Netz vorverarbeitete Daten in Überwachungsknoten aggregiert, die ungewöhnliche Kommunikationsmuster entdecken und dann alarmieren. Zur Erfüllung der weitergehenden Anforderungen der IEC 62443 ist die kontinuierliche Überwachung des Netzwerks unabdingbar.

Die weitreichende Kommunikationsvernetzung bietet große Chancen, die unter dem Schlagwort Industrie 4.0 zusammengefasst werden. Sie bringt aber auch neue Herausforderungen mit sich für die in der gesamten Wertschöpfungskette und über den ganzen Lebenszyklus hinweg Verantwortung durch die Akteure übernommen werden muss. Mit der IEC 62443 ist ein wichtiger Meilenstein geschafft, an der diese Verantwortung festgemacht werden kann. Auch dieser Standard lebt und wird sich weiterentwickeln und anpassen, aber jeder lange Weg beginnt mit dem ersten Schritt.

Autor des Artikels

Prof. Dr.-Ing. Peter Fröhlich

Prof. Dr.-Ing. Peter Fröhlich leitet das Institut ProtectIT der Technischen Hochschule Deggendorf und ist Geschäftsführer der ProtectEM GmbH. Er ist ausserdem Dekan der Fakultät Maschinenbau und Mechatronik der THD. Das Institut ProtectIT betreibt anwendungsnahe Forschung und Technologieentwicklung zur Sicherung von Kommunikationsnetzen in industriellen Umgebungen. Die ProtectEM GmbH begleitet Anwender und Hersteller auf dem Weg zu sicheren Systemarchitekturen und führt Zertifizierungen nach IEC 62443 durch.

ProtectIT: https://www.th-deg.de/de/forschung/institut/protectit
ProtectEM Gmbh: https://protectem.de/
Technische Hochschule Deggendorf: https://www.th-deg.de/de/