IM FOKUS Safety first
IM FOKUS Safety first – Ex-Schutz und Anlagensicherheit Getrennte Schutzebenen bewahren Anlagen vor Cyber-Attacken Security erhöhen durch gestaffelten Schutz Cyber-Attacken auf Prozessanlagen nehmen zu. Sicherheitsgerichtete Automatisierungslösungen müssen heute daher neben der funktionalen Sicherheit (Safety) auch Cybersecurity unterstützen. Ein jeweils autarkes Prozessleitsystem und Sicherheitssystem erhöhen die Security. Die Security-Norm IEC 62443 für die Anlagensicherheit und die jüngste Version der Safety-Norm IEC 61511 zur Anlagensicherung unterstützen diesen Ansatz, indem sie getrennte Schutzebenen und unabhängige Betriebs- und Schutzeinrichtungen fordern. Der Computerwurm Stuxnet in iranischen Atomanlagen, Cyber-Angriffe auf Industrieanlagen infolge zu laxer Authentifizierung, Änderung der Sicherheitssteuerung durch fehlerhafte Programmierung – Beispiele wie diese verdeutlichen den Bedarf an einer besseren IT- Sicherheit. Selbst wenn man böswillige Bedrohungen ausschließt, gibt es Sicherheitslücken bei allen Arten von Automatisierungssystemen. Hierzu gehören das sicherheitsgerichtete System selbst und das verteilte Leitsystem (DCS), wobei Ersteres ein Bestandteil des DCS sein kann. Aus diesem Grund fordern viele Sicherheitsexperten, die Komponenten des Sicherheitssystems (Safety Instrumented System, SIS) von denen des DCS physisch zu trennen. Der Entwurf der IEC 62443 als der IEC-Standard für Cybersecurity behandelt die notwendigen Sicherungsverfahren, um Cybersicherheitsattacken auf Netzwerke und Systeme von Anlagen zu unterbinden. Die Norm fordert, Gesamtanlagen durch Aufteilung zu trennen, und führt das Konzept von Sicherheitszonen, festgelegten Kanälen und zusätzlichen Firewalls in jedem Kanal ein. Diese Gliederung hat ein gestaffeltes System unterschiedlicher Schutzmechanismen (Defence in Depth) zur Folge. Nach der jüngsten Version der Safety-Norm IEC 61511 muss sichergestellt sein, dass vorgegebene physische Strukturen gewährleistet werden. Eine weitere Anmerkung der IEC 61511 betrifft insbesondere das Problem der Cybersecurity und Anlagensicherheit. Demnach sollten die Sicherheitsfunktionen von nicht sicherheitsgerichteten Funktionen physikalisch getrennt sein. Voneinander unabhängige Schutzschichten sind hier von entscheidender Bedeutung. Die IEC 61511 und IEC 62443 fordern des Weiteren voneinander unabhängige Schutzschichten. Die beiden Standards schreiben gemeinsam vor: • Voneinander unabhängige Steuerung und Anlagensicherheit • Verringerung systematischer Entwurfsfehler • Trennung der Verantwortung für Technik und Management • Verringerung der Auswirkung von Fehlern mit gemeinsamen Ursachen IEC 62443: Aufteilung in Schutzzonen 40 cav 3-2016
Schutzebenen gemäß IEC 61511 Herkömmliches und integriertes Sicherheitskonzept Schutzebenen In komplexen Prozessanwendungen beinhaltet die Ebene 1 (Level 1) Feldgeräte wie Sensoren und Aktoren, die jeweils ihre eigene IT-Relevanz haben. Die Komponenten auf Ebene 2 verarbeiten die Daten, die durch die Sensoren erfasst wurden bzw. von den Aktoren benötigt werden. Auf beiden Ebenen ist die Übertragung und Verarbeitung von Daten in Echtzeit von entscheidender Bedeutung. Daher eignet sich ein auf Software beruhender Schutz vor Malware (z. B. Virenscanner) dafür nicht. Das erfordert alternative Maßnahmen, wie die begrenzte Zugänglichkeit des Datenaustauschs und die logische Trennung von Einheiten. Die IEC 61511 fordert unterschiedliche und voneinander unabhängige Schutzebenen. Werden zwei Schutzebenen zusammengelegt, muss die Risikominderung neu eingeschätzt werden. Dabei muss nachgewiesen werden, dass dieselbe Gesamtrisikominderung wie bei zwei bestehenden unterschiedlichen Schutzschichten erreicht wird. Die IEC 61508 legt Anforderungen hinsichtlich der Fehlerausfallrate bei Zufallsfehlern (Hardware) und der systematischen Fehler wie Konstruktions- und Softwarefehler fest. Normalerweise wird die erforderliche Risikominderung einer Anwendung allgemein ermittelt. Dabei wird nicht berücksichtigt, wie das SIS realisiert wird, da in dieser Projektphase die technische Plattform in der Regel noch nicht ausgewählt wurde. Während dieses Prozesses finden sich in der IEC 61511 definierte Strukturen als Ausgangspunkt, wobei die erforderliche Risikominderung definiert wird, die das SIS erreichen soll. Nach der IEC 61511 muss hierbei eine ausreichende Unabhängigkeit zwischen den verschiedenen Schutzebenen bestehen. Dies setzt voraus, dass es zwei voneinander unabhängige Ebenen zur Risikominderung gibt: • das übergeordnete Prozessleitsystem (Overall Basic Control System, BPCS) mit einem Risikominderungsfaktor von 1000 und
