cav
cav PROZESSAUTOMATISIERUNG, CYBERSECURITY Cybersicherheit für Bestandsanlagen Fünf Bodyguards im digitalen Raum Mit Blick auf die Wettbewerbsfähigkeit in der Prozessindustrie setzen immer mehr Betreiber auf digitale Ansätze. Um aber einen guten Überblick über die eigenen Anlagen zu erhalten, die Produktion ohne großen Aufwand überwachen zu können oder Methoden wie die vorausschauende Wartung zu nutzen, sind ganzheitliche Security-Konzepte notwendig. Eine nachhaltige Sicherheitsstrategie besteht aus fünf Komponenten, die individuell auf die Anlagen und die Betreiber abgestimmt sind. Die Anlagenbetreiber in der Chemie- und Pharmaindustrie tragen eine sehr hohe Verantwortung – deutlich mehr als in vielen anderen Industriezweigen. Angesichts des Ausmaßes eines potenziellen Schadens in einer Chemiefabrik, einer Raffinerie oder einer Pharmaproduktion gilt es, Fehler auf ein Minimum zu reduzieren. Außerdem muss bei allen Entscheidungen der Schutz von Mitarbeitern, Bevölkerung und Umwelt an erster Stelle stehen. Nicht nur Schnellschüsse und undurchdachte Entscheidungen sind also tabu, sondern auch der ungewollte Zugriff von Fremden auf die Anlagensteuerungen. Das stellt ein Hindernis für die Modernisierung der Betriebe dar und bremst viele Verantwortliche, auf den Zug der Digitalisierung aufzuspringen. Aus diesem Grund muss Security denselben Stellenwert erhalten, wie ihn Safety schon lange innehat. Ein Blick in die Namur-Empfehlungen zeigt, dass die Verantwortlichen für die Automatisierung in der Prozessindustrie das genauso sehen und an entsprechenden Konzepten für die Cybersicherheit arbeiten. So hat sich das Namur-Open-Architecture-(NOA)-Konzept zum Ziel gemacht, den Einzug der Digitalisierung in der Prozessindustrie zu beschleunigen, ohne Kompromisse bei der Sicherheit der Anlagen einzugehen. Die Namur-Empfehlungen definieren zunächst einmal die grundlegende Syntax und Semantik des Informationsaustausches zwischen der Prozessautomatisierung und den Einheiten, die sie überwachen und optimieren sollen. Nutzen der Digitalisierung Zentrales Element ist das NOA Security Gateway. Es stellt sicher, dass der Datenfluss in der Anlage nur in eine Richtung abläuft: hinaus. Geräte in der zuvor definierten Kernprozesszone dürfen ausgewählte Daten an zentrale Einheiten wie eine Cloud zur Analyse schicken. Das Gateway stellt als Hardware gemeinsam mit dem NOA Verification of Request den Mechanismus, um etwa automatisierte Prüfroutinen ablaufen zu lassen, ohne dass z. B. Abstriche bei den Anforderungen an Vertraulichkeit, Authentizität und Verantwortlichkeit erforderlich sind. Doch was in der Automatisierungspyramide mit ihren verschiedenen funktionalen Schichten logisch ist, ist in der Umsetzung in produzierenden Anlagen umso komple- Bild: Esfandjar – stock.adobe.com Ungewollte Zugriffe von Fremden auf die Steuerung von Anlagen kommen in der Wirtschaft immer häufiger vor. Daher kommt Cybersicherheit in der Prozessindustrie eine hohe Bedeutung zu. 44 cav 08-2023
xer. Dennoch wünschen sich gerade Betreiber von Brownfield-Anlagen, dass die Digitalisierung rasch einzieht, um Prozess- und Produktionseffizienz langfristig zu erhöhen. Damit dies nachhaltig und sicher geschieht, muss die gewachsene Anlagenstruktur analysiert und ein mehrstufiges Konzept für die Cybersicherheit erarbeitet werden. Ressourcen für die Umsetzung Unterstützung bietet die Normenreihe IEC 62443. Sie hilft bei der Strukturierung von Maßnahmen für die Cybersicherheit in Automatisierungslandschaften. Mit ihrer Hilfe lassen sich Sicherheitszonen festlegen und logische Bereiche mit denselben oder ähnlichen Anforderungen in Bezug auf die Sicherheit definieren. Hier finden Anwender weitere Sicherheitsanforderungen an Abläufe und Bausteine, abgestuft in vier Ebenen. Doch mit der reinen Struktur ist es nicht getan. Um die Produktionsanlagen zuverlässig vor Angriffen zu schützen, ohne dass Leistungsfähigkeit oder funktionale Sicherheit gefährdet sind, braucht es eine Sicherheitsstrategie aus unterschiedlichen Lösungen. Um diese zu erarbeiten, bietet sich die Zusammenarbeit mit einem IT-Spezialisten wie Genua an. Die Konzepte dieses zur Bundesdruckerei-Gruppe gehörenden Unternehmens schützen auch komplexe digitale Infrastrukturen in produzierenden Betrieben. Anlagen der Prozessindustrie sind stetigen Änderungen und Erweiterungen unterworfen. Das erschwert es zusätzlich, einen schnellen Überblick zu erhalten. Die Experten von Genua können mit solchen Bedingungen gut umgehen. „Im Rahmen eines Projektes entwerfen wir mit dem Anwender eine ganzheitliche, mehrstufige Sicherheitsstrategie. Dabei kennen und nutzen wir auch die Empfehlungen der Namur“, sagt Steve Schoner, der bei Genua als Produktmanager für Industrieprodukte zuständig ist. Anlagen fit für Industrie 4.0 machen Genua setzt für die Digitalisierung von Brownfield-Anlagen auf eine IT/OT-Referenzarchitektur, wie sie auch von den Namur-Arbeitskreisen erarbeitet wurde. Die Sicherheitsstrategie des Unternehmens umfasst folgende fünf wesentliche Aspekte: • Defense in Depth • Zones & Conduits • Anomalieerkennung • Zero-Trust-Fernwartung • Einsatz von Datendioden Die IEC 62443 ordnet beim Defense-in- Security-Konzept für die sichere Vernetzung eines Produktionsbereichs, um Maschinen und Anlagen zuverlässig vor Angriffen von außen und innen zu schützen. Die Leistungsfähigkeit und die funktionale Sicherheit dürfen nicht gefährdet werden. Depth-Konzept die Schutzebenen den Grundschichten Anlagensicherheit, Netzwerksicherheit und Systemintegrität zu und definiert drei grundlegende Rollen für das Gesamtsystem, um die Verfügbarkeit und IT- Sicherheit der Anlagen und Systeme sicherzustellen: den Betreiber, den Integrator und den Hersteller der Automatisierungskomponenten. Über den Zero-Trust-Ansatz bekommt nur die Person Zugriff auf Systeme, die ihn explizit benötigt. Falls dennoch ein Angreifer eindringt, muss der Schaden im Gesamtsystem so gering wie möglich gehalten werden. Daher findet auch hier Defense-in-Depth statt: Durch Netzsegmentierungen erlauben nur wenige Übergänge zwischen definierten Zonen den Datenfluss, die zudem durch Filter und Firewalls gesichert sind. Ein solches Sicherheitskonzept heißt in der IEC 62443 und in der Cybersicherheit Zones & Conduits. Das Genua-Konzept überwacht zudem den Datenfluss. Alle kommunizierenden Assets einer Anlage werden zuvor identifiziert und katalogisiert sowie sämtliche Kommunikationspfade erfasst. Nach einer Anlernphase unterscheiden Machine-Learning-Algorithmen, welches beobachtete Ereignis legitim ist und welches als Bedrohung angesehen werden muss. In einem solchen Fall werden abgestuft Warnungen und Alarme ausgegeben. Optional kann der ermittelte auffällige Datenverkehr auch unterbunden werden. Diese Anomalieerkennung und -verteidigung funktioniert nahezu ohne Latenz. Wenn gemäß NOA nur noch nach draußen kommuniziert wird, wie wird dann der Zugriff im Bedarfsfall umgesetzt? Eine sichere Fernwartungsarchitektur gemäß Zero-Trust- Paradigma sorgt dafür, dass Anlagenfremde Zugriff auf benötigte Applikationen erhalten – jedoch nur mit speziell gehärteten Komponenten und nach einer Multi-Faktoren- Authentifizierung. Applikationsfilter und Gateways trennen sensible Bereiche zusätzlich ab. Wichtig ist zudem eine zentrale Verwaltung der erlaubten Fernwartungszugriffe. So kann Personal von Dienstleistern und Zulieferern Zugang zu den Anlagen bekommen, ohne ein zu hohes Risiko darzustellen. Der NOA-Ansatz empfiehlt den Einsatz einer Datendiode, um Zugriff auf sensible Anlagenbereiche zu Analysezwecken zu gewähren. Die Cyber-Diode lässt einen Datenstrom hardwareseitig nur in eine Richtung zu. Die zwei Hälften der Diode bestehen aus zwei virtualisierten, getrennten Geräten mit eigenem, speziell gehärtetem Betriebssystem. So gehen notwendige Daten aus dem Anlagenbereich hinaus, aber keine Daten hinein. „Je mehr diese fünf Bestandteile unserer Sicherheitsstrategie umgesetzt und individuell auf Anlagen und Betreiber abgestimmt werden, desto höher ist die Sicherheit unserer Kunden“, sagt Schoner abschließend. www.prozesstechnik-online.de Suchwort: Genua AUTOR: FRANK JABLONSKI Freier Journalist Bild: Genua cav 08-2023 45
- Seite 1: 08-2023 18 TITEL KORROSIONSBESTÄND
- Seite 4 und 5: cav INHALT 08-2023 18 Titel Aggress
- Seite 6 und 7: cav NACHRICHTEN Nachhaltigkeit im I
- Seite 8 und 9: cav EX-SCHUTZ, SICHERHEITSTECHNIK M
- Seite 10 und 11: cav PRODUKTE Digitalmanometer für
- Seite 12 und 13: cav PRODUKTE GAMP-konforme Feuchtem
- Seite 14 und 15: cav PRODUKTE s 100 1 9 1 9 JAHRE s
- Seite 16 und 17: cav ANLAGENBAU Green Engineering ve
- Seite 18 und 19: cav ANLAGENBAU Bilder: Igus Energie
- Seite 20 und 21: cav ANLAGENBAU Die i.Sense-Sensoren
- Seite 22 und 23: cav MESSEVORSCHAU Kompakter Magnets
- Seite 24 und 25: cav VERFAHRENSTECHNIK Nutzung von R
- Seite 26 und 27: cav FOKUS PUMPEN, KOMPRESSOREN, ARM
- Seite 28 und 29: cav FOKUS PUMPEN, KOMPRESSOREN, ARM
- Seite 30 und 31: cav FOKUS PUMPEN, KOMPRESSOREN, ARM
- Seite 32 und 33: cav FOKUS PUMPEN, KOMPRESSOREN, ARM
- Seite 34 und 35: cav FOKUS PUMPEN, KOMPRESSOREN, ARM
- Seite 36 und 37: cav TREND CYBERSECURITY Bild: Montr
- Seite 38 und 39: cav TREND CYBERSECURITY Bild: Endia
- Seite 40 und 41: cav PROZESSAUTOMATISIERUNG, CYBERSE
- Seite 42 und 43: cav PROZESSAUTOMATISIERUNG, CYBERSE
- Seite 46 und 47: cav präsentiert Ihnen Partner für
- Seite 48 und 49: cav LITERATUR, BROSCHÜREN, E-MEDIE
- Seite 50 und 51: cav VORSCHAU 09-2023 KOMPLETTANLAGE
- Seite 52: Industrie Das Kompetenznetzwerk der
