POWTECH/TechnoPharm Messeausgabe ab Seite 26
POWTECH/TechnoPharm Messeausgabe ab Seite 26
POWTECH/TechnoPharm Messeausgabe ab Seite 26
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
traulichkeit, Nichtbestreitbarkeit, Aufzeichenbarkeit,<br />
Verfügbarkeit.“ Im nächsten<br />
Schritt folgen für Adamczyk die Strukturierung<br />
von Netzwerken und die Definition<br />
von Sicherheitsstufen. „Die Definition von<br />
diesen allgemeinen Sicherheitsstufen berücksichtigt<br />
zwar nicht das spezifische System,<br />
bietet <strong>ab</strong>er einen Grundschutz“, erklärt<br />
Adamczyk. Darauf aufbauend ergeben sich<br />
unterschiedliche Security-Lösungen, etwa<br />
spezifische Firewall-Techniken oder Verschlüsselungsverfahren.<br />
An technischen<br />
Lösungen steht inzwischen eine ganze Reihe<br />
an Möglichkeiten zur Verfügung. Dafür<br />
sind einschlägige Kataloge bekannt, bei-<br />
spielsweise die BSI-<br />
Grundschutz-Kataloge.<br />
Um dem Anwenderorganisatorische<br />
Hilfestellung<br />
zu geben, erarbeitet<br />
derzeit die GMA im<br />
Fachausschuss 5.22<br />
„Security“ mit Unterstützung der Namur<br />
gemeinsam eine VDI/VDE-Richtlinie<br />
(2182) mit folgenden Inhalten:<br />
■Beschreibung<br />
aller notwendigen Prozesse<br />
zum Erreichen einer angepassten und damit<br />
wirtschaftlichen Security-Lösung;<br />
■Berücksichtigung<br />
nicht nur technischer,<br />
sondern auch organisatorischer Aspekte.<br />
Zielgruppe sind Hersteller, Integratoren/<br />
Maschinenbauer und Anwender. Mit der<br />
Fertigstellung rechnen die Beteiligten bis<br />
Mitte 2007.<br />
Wichtigste Maßnahme sei, dass man die<br />
Schutzziele definiere und diese mit den entsprechenden<br />
Maßnahmen auch umsetze, ist<br />
auch Dr. Wolfgang Morr von Bayer Technology<br />
Services überzeugt. „Hauptursache<br />
mit 65 Prozent für ein unberechtigtes Zugreifen<br />
oder Virenangriffe ist ein mangelndes<br />
Risiko- und Sicherheitsbewusstsein<br />
bei Mitarbeitern und Führungskräften.“ Er<br />
nennt als wesentliches Schutzziel für Systeme<br />
der Leittechnik die Verfügbarkeit von<br />
Daten und Funktionen des Leitsystems zu<br />
einem definierten Zeitpunkt. Zudem sollten<br />
nur Berechtigte auf das System zugreifen<br />
können, und es darf nicht durch Unberechtigte<br />
manipuliert werden. Dieser Aspekt<br />
der Authentizität ist insbesondere in der<br />
Pharmaindustrie wichtig.<br />
Für Systeme der nächsten Generationen<br />
empfiehlt Morr, dass die IT-Sicherheit ein<br />
Designziel sein sollte und dass man die<br />
Funktionalität der Systeme auf die Anforderungen<br />
aus der Prozessindustrie zuschneiden<br />
sollte. Ein besonderer Dorn im Auge<br />
ist ihm d<strong>ab</strong>ei die unnötige Software auf dem<br />
System, z.B. Komponenten von Office-Anwendungen<br />
oder Kommunikationsprotokolle,<br />
die für die Steuerung einer Anlage<br />
nicht nötig sind. „Über allem steht im Üb-<br />
„Hauptursache für Virenangriffe ist ein<br />
mangelndes Risiko- oder Sicherheitsbewusstsein.“<br />
Dr. Wolfgang Morr,<br />
Bayer Technology Services<br />
rigen die Einsicht, dass der Anwender seine<br />
Systeme beherrschen sollte“, hält Morr fest.<br />
„Dies ist Grundvoraussetzung für sichere<br />
Systeme.“<br />
Gemeinsam gegen Viren<br />
Derzeit treiben die ZVEI, der VDMA,<br />
die PNO und die Namur gemeinsam und<br />
mit Nachdruck die internationale Norm<br />
IEC 62443 voran, die dem Anwender eine<br />
konkrete Anleitung beim Schutz seiner<br />
Leitsysteme an die Hand geben soll. Einen<br />
wichtigen Ansatz enthält bereits die Security<br />
Guideline der PNO. Bei diesem Konzept<br />
werden Automatisierungszellen, hier<br />
handelt es sich um<br />
ein sicherheitstechnisch<br />
<strong>ab</strong>gekoppeltes<br />
Netzsegment, geschützt.<br />
Am Eingang<br />
dieser Zellen findet<br />
eine Zugriffskontrolle<br />
statt. Der Vorteil:<br />
Damit lassen sich auch Geräte ohne eigene<br />
Security-Funktionalität innerhalb der Zelle<br />
schützen. Die Chancen, dass die Inhalte der<br />
Security Guideline in die Norm einfließen<br />
werden, stehen gut. Ein Teil der IEC 62443<br />
wird eventuell bereits in diesem Herbst veröffentlicht,<br />
die beiden anderen Teile nicht<br />
vor 2008.<br />
Auch die Hersteller von Leitsystemen<br />
h<strong>ab</strong>en mittlerweile das Thema für sich entdeckt.<br />
„Die Hersteller können den produzierenden<br />
Unternehmen d<strong>ab</strong>ei helfen, ihre<br />
Aufg<strong>ab</strong>en zu lösen, ohne sich über die Sicherheit<br />
ihrer Systeme Sorgen machen zu<br />
müssen“, äußerte sich Bolick. Honeywell<br />
prüft z.B. alle relevanten Sicherheitspatches<br />
der Hersteller von Rechner-Betriebssystemen,<br />
damit die Anwender der Honeywell-<br />
Installationen ihre Systeme schnell und<br />
ohne Risiko aktualisieren können. Außerdem<br />
bietet Honeywell<br />
eine in seine prozessnahe<br />
Leittechnik integrierte<br />
Firewall, die<br />
nur die für die ProzesssteuerungrelevanteKommunikation<br />
auf dem Netzwerk<br />
zulässt.<br />
In einem ersten<br />
Schritt hat auch Siemens<br />
sein Prozessleitsystem<br />
Simatic PCS 7<br />
für den Einsatz der Sicherheitssoftware aus<br />
der Office-Welt ertüchtigt: Ab Version 6.1<br />
können durchgängig alle von Microsoft<br />
freigegebenen Sicherheits-Patches aufgespielt<br />
werden. Zudem sind auch Virenscanner<br />
der Firmen Symantec und Trend Micro<br />
für den Betrieb mit Simatic PCS7 <strong>ab</strong> Version<br />
6.1 für Online- und Offline-Kompo-<br />
Weitere Informationen:<br />
www.process.de<br />
nenten freigegeben. So können alle Rechner<br />
sicherheitstechnisch auf dem neuesten<br />
Stand gehalten werden, ohne dass der Produktionsprozess<br />
selbst in Mitleidenschaft<br />
gezogen wird. Die Version 7.0 steht in Kürze<br />
zur Verfügung (siehe S. 80). Teil des Sicherheitskonzeptes<br />
ist auch ein Aspekt, der<br />
oft übersehen wird: Gefahren, die innerhalb<br />
des Netzwerks entstehen, z.B. durch Abhören<br />
der Kommunikation. Eine sichere Methode<br />
besteht im Aufbau eines Virtual Private<br />
Network (VPN)-Tunnels. Diese Aufg<strong>ab</strong>e<br />
übernehmen die Scalance S Module<br />
von Siemens. Ihre Schutzfunktion beruht<br />
im Wesentlichen auf der sicheren VPN-<br />
Kommunikation und der integrierten Firewall.<br />
Mit den Modulen, die ohne Rückwirkung<br />
auf die Adressierung auch nachträglich<br />
in bestehende Netzwerke integriert werden<br />
können, lassen sich auf einfache Weise alle<br />
Geräte auf der Prozessebene auf das erforderliche<br />
Sicherheitsniveau bringen.<br />
Bei der Komplexität kann es sinnvoll sein,<br />
externe Hilfe zu holen. InfraServ Gendorf<br />
hat exemplarisch ein IT-Sicherheitskonzept<br />
für Prozessleitsysteme für die Abwasserreinigungsanlage<br />
der InfraServ Gendorf im<br />
Industriepark Werk Gendorf erarbeitet.<br />
Dieses setzt auf dem deutschen IT-Grundschutzhandbuch<br />
(GSHB) des BSI auf. Das<br />
Ergebnis dieses Sicherheitskonzeptes ist<br />
nicht nur eine Firewall zur Absicherung des<br />
Zuganges. Das Sicherheitskonzept liefert<br />
auch eine detaillierte Maßnahmenliste, die<br />
durch Auditoren zertifiziert werden kann.<br />
In Gendorf mussten alle beteiligten Personen<br />
wie Techniker und Ingenieure, Anlagenbetreiber,<br />
Vorarbeiter und auch jeder<br />
einzelne Bediener der Anlage eine IT-Sicherheitsschulung<br />
durchlaufen, die sie für<br />
die Gefahren in Bezug auf die Automatisierungstechnik<br />
sensibilisiert. Hier wird über<br />
aufgetretene Angriffe auf Automatisierungsanlagen<br />
berichtet, und<br />
zur tieferen Sensibilisierung<br />
werden Angriffe<br />
auf Leitsysteme<br />
praktisch vorgeführt.<br />
Diese Unterweisung<br />
wird in festgelegten<br />
Abständen wiederholt.<br />
Die InfraServ Gendorf<br />
bietet dieses erprobte<br />
Konzept auch als<br />
Dienstleistung für externe<br />
Kunden an.<br />
Solch ein Weg dürfte erfolgreich sein.<br />
Schließlich zählt die Chemieindustrie gerade<br />
wegen ihres umfassenden Sicherheitskonzeptes<br />
und der intensiven Schulungen<br />
mit Gefahrstoffen zu den sichersten Branchen.<br />
Warum sollten sich diese Anstrengungen<br />
nicht auch auf die Sicherheit von Leitsystemen<br />
übertragen lassen? müh<br />
PROCESS 3-2007 77