POWTECH/TechnoPharm Messeausgabe ab Seite 26

Empfehlungen

Info

Prozessautomatisierung Bereits im Jahr 2005 schlug der Lagebericht des BSI (Bundesamt für Sicherheit in der Informationstechnik) in einem Absatz Alarm: „Bei der Entwicklung vieler SCADA-Komponenten ist der Aspekt der IT-Sicherheit nicht ausreichend berücksichtigt worden. Zudem wurden Sicherheitsmechanismen wie Authentifizierung und Verschlüsselung nicht implementiert. Erschwerend kommt hinzu, dass die Unternehmen für die eingesetzten Prozessleitsysteme zu wenig Risikoanalysen durchführen.“ Diese Warnung bestätigte eine Studie der PA Consulting Group, einer internationalen Management-, System- und Technologieberatung, aus dem Jahr 2004. Demnach kamen 49 Prozent der Viren und Würmer, die Automatisierungsanlagen befielen, über das interne Unternehmensnetzwerk. Seit 2001 nehmen jedoch auch Attacken von außen deutlich zu. Nach Ansicht der Berater rückt die Prozessautomatisierung verstärkt in den Blick von Hackern. Der durchschnittliche Schaden der Sicherheitsvorfälle, die die PA Consulting Group untersucht hat, lag bereits bei 1,5 72 PROCESS 3-2007 Viren und Würmer machen auch vor Prozessleitsystemen nicht halt – mit entsprechenden Sicherheitskonzepten können Anwender aus der Prozessindustrie jedoch dagegen steuern. Auf AufNummersicher Nummer sicher Security wird für Prozessleitsysteme unentbehrlich Viren, Trojaner, Würmer, Hackerangriffe, DatenmanipulationundSpionage–nur einFallfürdieOffice-Welt?Beiweitem nicht – auch die Prozessleittechnik muss mehr über dieses Thema nachdenken und neue Schutzkonzepte entwickeln. Millionen Euro pro Vorfall. Kopflose Panikaktionen sind dennoch nicht angebracht: Ein böswilliger Angreifer ist zwar in der Lage, Prozessleitsysteme anzugreifen, zum Absturz zu bringen oder ihnen vertrauliche Informationen, wie Rezepturen, zu entlocken. Allerdings haben die meisten Vorfälle in Bezug auf IT-Sicherheit ihren Ursprung im eigenen Unternehmen, etwa durch das Zurücklassen eines Modems oder durch einen verseuchten USB-Stick, auf dem Engineering-Datenwei- tergegeben werden. Dennoch sind die Zeiten der scheinbaren Sicherheit vorbei, die in der Vergangenheit dank prioritärer Technik der Systeme der Leittechnik und einer verhältnismäßig schwach ausgeprägten Integration in die klassische IT-Welt gegeben waren. Viele Leitsysteme arbeiteten autark, und die Grenzen zwischen Produktion und dem Büro verliefen scharf. Heute greift der Einsatz von IT-Komponenten immer tiefer in die Systeme der Leittechnik ein. So sind Prozessleitsysteme längst fester Bestandteil übergeordneter Systeme, etwa ERP (Enterprise Ressources Planning)-Systeme, und damit einem potenziellem Angriff ausgesetzt. Dabei wird die Verbindung von Internet und Leitsystem in vielen Bereichen, etwa bei der Fernwartung, ausdrücklich gewünscht. „Die effektivste Methode zur Steuerung von Prozessabläufen ist ein offenes System, in dem alle Geräte innerhalb „Auch in der Prozessindustrie gelten die klassischen Schutzziele der IT.“ Heiko Adamczyk, ifak Bild: Siemens der Anlage miteinander kommunizieren, aber ein offenes System ist anfällig für Bedrohungen durch Angriffe auf das Netzwerk“, verdeutlicht Jack Bolick, Präsident von Honeywell Process Solutions, die derzeitige Lage. Die gute Nachricht ist, dass es durchaus Lösungen aus der IT gibt. Die schlechte, sie lassen sich nicht immer auf die Leittechnik umsetzen. Ein Leitsystem lässt sich nicht einfach neu starten, so bald ein neues Sicherheitspatch aufgespielt werden soll. In regle- mentierten oder validierten Anlagen bzw. auch bei älteren Systemen ist an ein zeitnahes Aufspielen von Patches überhaupt nicht zu denken, da in der Regel eine Freigabe durch den Hersteller der Systeme erforderlich ist. Und wie wirkt sich die Implementierung von Sicherheitssoftware auf sicherheitsrelevante Komponenten, etwa Stellglieder, aus? Die Basis muss stimmen „Grundsätzlich bezieht sich Security immer auf das spezifische System, bestehend aus Mensch, Organisation und Technik“, stellt Heiko Adamczyk, Leiter des Forschungsschwerpunktes „Sichere Industrielle Kommunikation“ am Institut für Automation und Kommunikation (ifak) e.V. Magdeburg, unmissverständlich dar. „Und es gelten auch in der Prozessindustrie die klassischen Schutzziele der IT, wie Integrität, Zugriffskontrolle, Authentizität, Ver-
traulichkeit, Nichtbestreitbarkeit, Aufzeichenbarkeit, Verfügbarkeit.“ Im nächsten Schritt folgen für Adamczyk die Strukturierung von Netzwerken und die Definition von Sicherheitsstufen. „Die Definition von diesen allgemeinen Sicherheitsstufen berücksichtigt zwar nicht das spezifische System, bietet aber einen Grundschutz“, erklärt Adamczyk. Darauf aufbauend ergeben sich unterschiedliche Security-Lösungen, etwa spezifische Firewall-Techniken oder Verschlüsselungsverfahren. An technischen Lösungen steht inzwischen eine ganze Reihe an Möglichkeiten zur Verfügung. Dafür sind einschlägige Kataloge bekannt, bei- spielsweise die BSI- Grundschutz-Kataloge. Um dem Anwenderorganisatorische Hilfestellung zu geben, erarbeitet derzeit die GMA im Fachausschuss 5.22 „Security“ mit Unterstützung der Namur gemeinsam eine VDI/VDE-Richtlinie (2182) mit folgenden Inhalten: ■Beschreibung aller notwendigen Prozesse zum Erreichen einer angepassten und damit wirtschaftlichen Security-Lösung; ■Berücksichtigung nicht nur technischer, sondern auch organisatorischer Aspekte. Zielgruppe sind Hersteller, Integratoren/ Maschinenbauer und Anwender. Mit der Fertigstellung rechnen die Beteiligten bis Mitte 2007. Wichtigste Maßnahme sei, dass man die Schutzziele definiere und diese mit den entsprechenden Maßnahmen auch umsetze, ist auch Dr. Wolfgang Morr von Bayer Technology Services überzeugt. „Hauptursache mit 65 Prozent für ein unberechtigtes Zugreifen oder Virenangriffe ist ein mangelndes Risiko- und Sicherheitsbewusstsein bei Mitarbeitern und Führungskräften.“ Er nennt als wesentliches Schutzziel für Systeme der Leittechnik die Verfügbarkeit von Daten und Funktionen des Leitsystems zu einem definierten Zeitpunkt. Zudem sollten nur Berechtigte auf das System zugreifen können, und es darf nicht durch Unberechtigte manipuliert werden. Dieser Aspekt der Authentizität ist insbesondere in der Pharmaindustrie wichtig. Für Systeme der nächsten Generationen empfiehlt Morr, dass die IT-Sicherheit ein Designziel sein sollte und dass man die Funktionalität der Systeme auf die Anforderungen aus der Prozessindustrie zuschneiden sollte. Ein besonderer Dorn im Auge ist ihm dabei die unnötige Software auf dem System, z.B. Komponenten von Office-Anwendungen oder Kommunikationsprotokolle, die für die Steuerung einer Anlage nicht nötig sind. „Über allem steht im Üb- „Hauptursache für Virenangriffe ist ein mangelndes Risiko- oder Sicherheitsbewusstsein.“ Dr. Wolfgang Morr, Bayer Technology Services rigen die Einsicht, dass der Anwender seine Systeme beherrschen sollte“, hält Morr fest. „Dies ist Grundvoraussetzung für sichere Systeme.“ Gemeinsam gegen Viren Derzeit treiben die ZVEI, der VDMA, die PNO und die Namur gemeinsam und mit Nachdruck die internationale Norm IEC 62443 voran, die dem Anwender eine konkrete Anleitung beim Schutz seiner Leitsysteme an die Hand geben soll. Einen wichtigen Ansatz enthält bereits die Security Guideline der PNO. Bei diesem Konzept werden Automatisierungszellen, hier handelt es sich um ein sicherheitstechnisch abgekoppeltes Netzsegment, geschützt. Am Eingang dieser Zellen findet eine Zugriffskontrolle statt. Der Vorteil: Damit lassen sich auch Geräte ohne eigene Security-Funktionalität innerhalb der Zelle schützen. Die Chancen, dass die Inhalte der Security Guideline in die Norm einfließen werden, stehen gut. Ein Teil der IEC 62443 wird eventuell bereits in diesem Herbst veröffentlicht, die beiden anderen Teile nicht vor 2008. Auch die Hersteller von Leitsystemen haben mittlerweile das Thema für sich entdeckt. „Die Hersteller können den produzierenden Unternehmen dabei helfen, ihre Aufgaben zu lösen, ohne sich über die Sicherheit ihrer Systeme Sorgen machen zu müssen“, äußerte sich Bolick. Honeywell prüft z.B. alle relevanten Sicherheitspatches der Hersteller von Rechner-Betriebssystemen, damit die Anwender der Honeywell- Installationen ihre Systeme schnell und ohne Risiko aktualisieren können. Außerdem bietet Honeywell eine in seine prozessnahe Leittechnik integrierte Firewall, die nur die für die ProzesssteuerungrelevanteKommunikation auf dem Netzwerk zulässt. In einem ersten Schritt hat auch Siemens sein Prozessleitsystem Simatic PCS 7 für den Einsatz der Sicherheitssoftware aus der Office-Welt ertüchtigt: Ab Version 6.1 können durchgängig alle von Microsoft freigegebenen Sicherheits-Patches aufgespielt werden. Zudem sind auch Virenscanner der Firmen Symantec und Trend Micro für den Betrieb mit Simatic PCS7 ab Version 6.1 für Online- und Offline-Kompo- Weitere Informationen: www.process.de nenten freigegeben. So können alle Rechner sicherheitstechnisch auf dem neuesten Stand gehalten werden, ohne dass der Produktionsprozess selbst in Mitleidenschaft gezogen wird. Die Version 7.0 steht in Kürze zur Verfügung (siehe S. 80). Teil des Sicherheitskonzeptes ist auch ein Aspekt, der oft übersehen wird: Gefahren, die innerhalb des Netzwerks entstehen, z.B. durch Abhören der Kommunikation. Eine sichere Methode besteht im Aufbau eines Virtual Private Network (VPN)-Tunnels. Diese Aufgabe übernehmen die Scalance S Module von Siemens. Ihre Schutzfunktion beruht im Wesentlichen auf der sicheren VPN- Kommunikation und der integrierten Firewall. Mit den Modulen, die ohne Rückwirkung auf die Adressierung auch nachträglich in bestehende Netzwerke integriert werden können, lassen sich auf einfache Weise alle Geräte auf der Prozessebene auf das erforderliche Sicherheitsniveau bringen. Bei der Komplexität kann es sinnvoll sein, externe Hilfe zu holen. InfraServ Gendorf hat exemplarisch ein IT-Sicherheitskonzept für Prozessleitsysteme für die Abwasserreinigungsanlage der InfraServ Gendorf im Industriepark Werk Gendorf erarbeitet. Dieses setzt auf dem deutschen IT-Grundschutzhandbuch (GSHB) des BSI auf. Das Ergebnis dieses Sicherheitskonzeptes ist nicht nur eine Firewall zur Absicherung des Zuganges. Das Sicherheitskonzept liefert auch eine detaillierte Maßnahmenliste, die durch Auditoren zertifiziert werden kann. In Gendorf mussten alle beteiligten Personen wie Techniker und Ingenieure, Anlagenbetreiber, Vorarbeiter und auch jeder einzelne Bediener der Anlage eine IT-Sicherheitsschulung durchlaufen, die sie für die Gefahren in Bezug auf die Automatisierungstechnik sensibilisiert. Hier wird über aufgetretene Angriffe auf Automatisierungsanlagen berichtet, und zur tieferen Sensibilisierung werden Angriffe auf Leitsysteme praktisch vorgeführt. Diese Unterweisung wird in festgelegten Abständen wiederholt. Die InfraServ Gendorf bietet dieses erprobte Konzept auch als Dienstleistung für externe Kunden an. Solch ein Weg dürfte erfolgreich sein. Schließlich zählt die Chemieindustrie gerade wegen ihres umfassenden Sicherheitskonzeptes und der intensiven Schulungen mit Gefahrstoffen zu den sichersten Branchen. Warum sollten sich diese Anstrengungen nicht auch auf die Sicherheit von Leitsystemen übertragen lassen? müh PROCESS 3-2007 77
Seite 1:
Ihre Eintrittskarte für vertiefend
Seite 4 und 5:
Die Geschäfte brummen, der deutsch
Seite 6:
Termine Unternehmensverzeichnis Pum
Seite 10 und 11:
Profile Themenkanäle Zu den Inhalt
Seite 14 und 15:
· · · Kurzmeldungen ··· Profi
Seite 16 und 17: · · · Kurzmeldungen ··· Profi
Seite 18 und 19: 18 PROCESS 3-2007 Profile PHARMAMAR
Seite 20: · · · Kurzmeldungen ··· Profi
Seite 24 und 25: Powtech/TechnoPharm SPECIAL In Form
Seite 26 und 27: Powtech/TechnoPharm SPECIAL FEINSIE
Seite 28 und 29: Bilder: Malvern Powtech/TechnoPharm
Seite 30 und 31: Powtech/TechnoPharm SPECIAL Damitke
Seite 32: Powtech/TechnoPharm SPECIAL Feine S
Seite 35 und 36: STATEMENT Hohes Containment gewinnt
Seite 37 und 38: TAUMELSIEBMASCHINEN Ultraschall-Luf
Seite 39 und 40: PROCESS 3-2007 43
Seite 41 und 42: SIEBMASCHINE Verunreinigungen ausge
Seite 43 und 44: 46 PROCESS 3-2007 Powtech SPECIAL G
Seite 45 und 46: WIRBELSCHICHT-AGGLOMERATION/GRANULA
Seite 48: Die m600 Codiersysteme von Wolke In
Seite 51 und 52: MISCHEN UND RÜHREN Neue Rührtechn
Seite 53 und 54: PROCESS 3-2007 59
Seite 55 und 56: sieren. Bei Boge hingegen ist die S
Seite 57 und 58: Allerdings nehme Abwerbungsdruck zu
Seite 59 und 60: Bild: Auto-trol VRML-Visualisierung
Seite 62: Anlagen-/Apparatebau dern geht es
Seite 65: FIRMENJUBILÄUM Prozessanlagen für
Seite 69 und 70: „Auch die Transparenz bezüglich
Seite 71 und 72: Das Sicherheitskonzept umfasst nich
Seite 73 und 74: lemfall zu einer schnelleren Fehler
Seite 75 und 76: Messung ist der Stearn-Geary-Wert
Seite 77 und 78: FELDGERÄTEKOPPLER Sicher am Ex-e-F
Seite 79 und 80: INDUSTRIETASTATUR Bringt Licht ins
Seite 81 und 82: PH-SENSOREN Trotzen selbst hohen Te
Seite 83 und 84: einteilung in explosionsgefährdete
Seite 85 und 86: STELLANTRIEBE Neue Antriebe für de
Seite 87 und 88: CO 2-WARNGERÄT Gasgefahr? Das neue
Seite 90 und 91: Armaturen/Dichtungen/Rohre/Schläuc
Seite 92 und 93: 102 PROCESS 3-2007 Armaturen/Dichtu
Seite 94: Masterflex hat einen Schlauch aus a
Seite 97 und 98: Dichtungen und Stanzteile ■ Dicht
Seite 99 und 100: M a r k t f ü h r e r Mess-, Steue
Seite 102 und 103: · · · Kurzmeldungen ··· Liter
Seite 104 und 105: Impressum Redaktion Chefredakteur/
Seite 106: Marktbarometer Chlor-Alkali-Industr
Alle anzeigen

POWTECH/TechnoPharm Messeausgabe ab Seite 26

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?