Sicherheitstechnik

Funktionale Sicherheit und Cybersecurity gemeinsam betrachten

| Autor / Redakteur: Nigel Stanley, Jörg Krämer* / Sariana Kunze

Um Industrie 4.0 sicher zu gestalten, müssen neue und gemeinsame Schutzziele für Safety und Security definiert werden.
Um Industrie 4.0 sicher zu gestalten, müssen neue und gemeinsame Schutzziele für Safety und Security definiert werden. (Bild: ©Sergey Nivens - stock.adobe.com)

Nur wenn Funktionale Sicherheit und Cybersecurity gemeinsam betrachtet werden, wird die digitalisierte Industrie sicher und performant realisierbar. Unternehmen müssen jetzt umdenken, da die Harmonisierung verschiedene Schutzziele eine Herausforderung darstellt.

Mit zunehmender Vernetzung von Maschinen treffen in Bezug auf das Thema Sicherheit zwei Welten aufeinander: Die Welt der Automatisierung verschmilzt mit der IT-Welt. Die unterschiedlichen Welten der Funktionalen Sicherheit und der Cybersecurity müssen mit Aspekten wie industrieller Verarbeitung, Steuerungssystemen, Internet of Things (IoT) und Industrial Internet of Things (IIoT) ganzheitlich berücksichtigt werden. Selbst Anlagen mit rigorosen Funktionalen Sicherheitskonzepten sind nicht automatisch gegen Cyberattacken geschützt. Ein industrieller HMI (Human Machine Interface)-PC mit ausgereiften und ordnungsgemäß implementierten Steuersystemen ist ohne Cybersecurity-Schutz anfällig für Angriffe. Dazu ist nicht einmal die Kompromittierung sicherer Verarbeitungssysteme notwendig. Sinnlose Befehle an die übergeordnete Steuerung von RTUs (Real Time Units) sind ausreichend, um den gesamten Prozess in der Produktion lahmzulegen. Das bedeutet: Prozesse oder Hardwarekomponenten, die in Computer- oder Internettechnologie integriert oder verbunden sind, können nicht mehr länger als sicher betrachtet werden, sofern die Steuerungssysteme nicht auch in punkto Cybersecurity abgesichert sind.

Schutzziele: Safety wichtiger als Security?

Bei der Funktionalen Sicherheit darum geht, den Menschen vor den Auswirkungen der Technik zu schützen, z.B. durch Fehlfunktionen von Maschinen und Anlagen, hervorgerufen durch ungewollte oder unberechtigte Eingriffe in die IT-Komponenten. Safety sichert dabei die gewünschten Abläufe ab und gewährleistet, dass beim Auftreten von Fehlern entsprechende Maßnahmen greifen. Die Cybersecurity hingegen zielt darauf ab, Fabrikautomation und Prozesssteuerungen abzusichern. Dabei geht es um den Schutz und die Verfügbarkeit von Kontroll- und Steuerungssystemen gegen absichtlich herbeigeführte oder ungewollte Fehler – z.B. durch Sabotage eines Hackers. Mit Cybersecurity soll eine Störung oder gar ein Ausfall der Produktion verhindert werden. Problematisch für die integrierte Absicherung der Industrie 4.0 ist, dass sich die Schutzziele von Funktionaler Sicherheit und Cybersecurity stark voneinander unterscheiden – und vielfach Funktionale Sicherheit noch Priorität vor Cybersecurity hat. Denn die Lebensdauer von Steuerungssystemen übersteigt die eines unternehmensinternen IT-Systems nicht selten um das Zehnfache. Software-Aktualisierungen werden hier nur sehr unregelmäßig oder gar nicht durchgeführt. Diese Praxis wiederum steht im Gegensatz zur stetig steigenden Patches-Anzahl für unternehmensinterne IT-Systeme. Die Anwendung unternehmensinterner IT-Tools, -Techniken und -Verfahren kann verhängnisvolle Auswirkungen auf betriebstechnische Systeme haben. Gleiches gilt aber auch umgekehrt. Zahlreiche Sicherheitsvorfälle haben deutlich gemacht: Kein Produktionsunternehmen kann es sich leisten, Cybersecurity zugunsten von Funktionaler Sicherheit zu vernachlässigen. Da immer mehr Hacker nach Einfallstoren bei industriellen Prozessen und Steuerungssystemen suchen. Nur eine genaue Analyse der Bedrohungen sowie die Identifizierung der potenziellen Schwachstellen und Risiken kann Unternehmen sensibilisieren und schützen.

Risikomanagement beginnt bei sicherem Design

Neu entwickelte Standards wie IEC 62443 – ein Normenkatalog, der sich mit den Verfahren zur Sicherung industrieller Steuersysteme befasst – und IEC 61508 – ein Standard, der vom Ausfall der Sicherheitsfunktionen eines Geräts ausgeht – bieten eine strukturierte Herangehensweise für die gleichberechtigte Integration von Funktionaler Sicherheit und Cybersecurity. Betreiber, Anbieter und Systemintegratoren industrieller Automation können diese Problemstellung bewältigen, wenn sie diese und ähnliche Normen verstehen lernen bzw. annehmen. Dabei gilt es stets zu beachten, dass Standards der Funktionalen Sicherheit bzw. Cybersecurity über den gesamten Produkt- oder Prozess-Lebenszyklus hinweg – von der Spezifizierung über das Design bis hin zu Betrieb und Wartung – berücksichtigt werden sollten. Dazu ist eine effiziente Risiko- und Gefahrenanalyse bzw. eine Spezifizierung der geeigneten Safety Integrity Level (SIL) und Security Level (SL) erforderlich. Dafür sind organisatorische und technische Kontrollen notwendig:

  • So sollten Produktanbieter prüfen, wie – vom Design bis zur Installation ihrer Produkte – Probleme der Funktionalen Sicherheit bzw. Cybersecurity gehandhabt werden und dabei nicht nur die Erfüllung von Normen in Betracht ziehen. Denn ein gutes Risikomanagement beginnt schon bei einem sicheren Design.
  • Systemintegratoren müssen die Funktionale Sicherheit bzw. Cybersecurity über ihr Systemdesign verwalten. Betreiber sollten sicher sein, dass sie über die Sicherheitsdokumentation für Systeme und Produkte verfügen und einen sicheren Betrieb gewährleisten können.

Industrie 4.0 lässt sich also nur realisieren, wenn Funktionale Sicherheit und Cybersecurity für alle Elemente der Automation kombiniert werden können.

* Nigel Stanley, Practice Director für Cybersecurity, TÜV Rheinland, und Jörg Krämer, Head of Sales Functional Safety & Cybersecurity, TÜV Rheinland

Ergänzendes zum Thema
 
Mit Standards strukturiert vereinen

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45128798 / Security)