close

Anmelden

Neues Passwort anfordern?

Anmeldung mit OpenID

Leittechnische Sicherheit – Was eigentlich ist Cyber - Honeywell

EinbettenHerunterladen
Industrie und Unternehmen Journal
Leittechnische Sicherheit – Was eigentlich ist Cyber Security?
Darstellung einer Sicherheitsarchitektur zur Vernetzung von leittechnischen Netzwerken mit dem Firmennetzwerk
Process Control
System
Cyber
Electronic
Physical
gen von innen heraus, so
haben im Laufe der letzten fünf
Jahre die Bedrohungen von
außerhalb des Firmen- oder
leittechnischen Netzwerkes
massiv zugenommen und sich
in den Vordergrund gedrängt.
Durch die sich ständig ändernden Bedrohungen muss eine
leittechnische Sicherheitsarchitektur anpassbar, dynamisch
und erweiterbar sein, kurz – sie
muss leben und gelebt werden.
Methodik
Einführung
In einem idealen Sicherheitsszenario ist ein leittechnisches
Netzwerk (oder auch PCN, für
Process Control Network) ein
abgeschlossenes, proprietäres
Netzwerk, das keine Verbindungen zu anderen (externen) Systemen unterhält. Diese Isolation bietet nicht nur gute
Sicherheit, sie kommt auch mit
geringen Kosten für Sicherheitslösungen aus. In der realen
Welt der Unternehmen ist der
Zugriff externer Anwendungen
und Systeme auf leittechnische
Netzwerke sowie der Einsatz
offener Systeme jedoch notwendig.
Im Firmennetzwerk ist die
Umsetzung einer Sicherheitsrichtlinie (Security Policy) zur
Absicherung schon fast selbstverständlich. Immer mehr
Betreiber von leittechnischen
Netzwerken erkennen inzwischen, dass auch für ein PCN
eine Sicherheitsarchitektur
nötig ist. Allerdings ist klar, dass
die auf ein Firmennetzwerk
anwendbaren Sicherheitsmethoden und -architekturen
gegenwärtig nicht unverändert
auf ein leittechnisches Netzwerk angewendet werden können. Es steigt jedoch das
Bewußtsein dafür, dass eine
umfassende Absicherung
unumgänglich ist.
Das Bedürfnis nach Sicherheit im PCN ist somit mehr als
nur eine Modeerscheinung, es
wird über die nächsten Jahre
hinweg immer mehr an Bedeu-
atp 48 (2006) Heft 12
tung gewinnen. Sicherheitskonzepte werden die Denkweise bei der Errichtung und
Absicherung von leittechnischen Netzwerken nachhaltig
beeinflussen und verändern.
Bei der leittechnischen Sicherheit konzentriert man sich auf
den Schutz folgender Ressourcen:
ț Leittechnische Integrität –
durch Verhindern von unbefugten Änderungen und die
Sicherstellung der für die
Prozessführung erforderlichen QoS (Quality of Service
oder Dienstequalität).
ț Verfügbarkeit – durch Verhindern unbefugter, schädigender Eingriffe (Denial of
Services) oder Verlust von
Komponenten.
ț Vertraulichkeit — Verhindern, dass Informationen
unbefugten Dritten zugänglich werden.
In der IT-Welt eines Firmennetzwerkes gibt es Prioritäten
und Rahmenbedingungen, die
sich stark von denen in einem
leittechnischen Netzwerk
unterscheiden können. Aber
trotzdem können die im Firmennetzwerk bereits etablierten IT-Sicherheitskonzepte
wichtige Anhaltspunkte und
auch ein Grundgerüst für eine
Sicherheitsarchitektur liefern,
so dass die im PCN für die ITSicherheit verantwortlichen
Personen das Rad nicht vollkommen neu erfinden müssen.
Waren es vor ein paar Jahren
noch hauptsächlich Bedrohun-
Um nicht mit Einzelmaßnahmen wichtige Zeit zu verlieren,
ist eine Vorgehensweise in definierten Abschnitten sinnvoll.
Ganz allgemein kann man vier
verschiedene Phasen definieren, die aufeinander aufbauen
und sich gegenseitig bedingen.
Überprüfung und
Aufnahme
Sicherheit ist ein Weg, kein Ziel,
und der erste Schritt auf diesem Weg ist das Verständnis
der aktuellen Sicherheitslücken
und wie sich diese Lücken
schließen lassen.
Bevor man über Maßnahmen zur Erhöhung der Sicherheit nachdenken kann, muss
man sich der Bedrohungen
bewusst werden. Eine umfassende Überprüfung und
Bestandsaufnahme des Prozess-Netzwerkes ist notwendig,
um wirklich alle wichtigen
Aspekte zu erfassen. Hierzu
gibt es ein etabliertes Verfahren: das Cyber Security Assessment. Bei einem solchen
Assessment wird geprüft, welche Prozesse, Geräte, Dienstleistungen usw. sicherheitsrelevant sind, und wie sich eine
mögliche Beeinträchtigung
auswirkt.
Assess
Design
Weiterhin wird beurteilt, wie
schwerwiegend eine solche
Beeinträchtigung wäre, und
welche Maßnahmen man
ergreifen kann und muss, um
diese Auswirkungen zu minimieren oder im Idealfall sogar
zu eliminieren. Dazu gehört
auch die Evaluierung und Beurteilung von präventiven Maßnahmen im Vorfeld einer solchen Bedrohung, um das
Eintreten eines sicherheitsrelevanten Vorfalls von vornherein
zu verhindern.
Ein solches Assessment
befasst sich - unter anderem –
mit folgenden Aspekten:
ț Netzwerktopologien und
Architekturen
ț Physische Sicherheit
ț Leittechnische Sicherheit
mit allen Aspekten der
IT-Sicherheit
ț Sicherheitsarchitektur
ț Sorgen des Betreibers in
Bezug auf die Sicherheit
ț Behandlung eines sicherheitsrelevanten Vorfalls und
Eskalationsprozeduren
ț Netzwerkscan
ț Security Policies und
Procedures
ț Darstellung der relevanten
Best Practices
ț Executive Summary
ț Empfehlungen
Das Assessment liefert also
eine komplette Sicherheitsanalyse des Prozess-Netzwerkes,
die als Ausgangspunkt für die
folgenden Arbeitsschritte dient.
Weiterhin ist es sinnvoll und
notwendig, bestimmte Teile
des Assessments oder auch das
gesamte Assessment in regelmäßigen Abständen zu wiederholen und damit eine Anpassung der Sicherheitsarchitektur
an die sich stetig ändernden
Rahmenbedingungen und
Bedrohungen zu ermöglichen.
Implement
Manage
4 Phasen-Modell.
41
Journal Industrie und Unternehmen
Konzeption
Implementierung
Im Anschluss an das Assessment erfolgt die Konzeptionsoder Designphase. Hier werden
die Ergebnisse des Assessments
verarbeitet und mit den Anforderungen und den realen
Gegebenheiten zusammengefügt. Auf Basis der identifizierten Schwachstellen und ihrer
Relevanz für die Sicherheit der
Prozesse werden gezielte Maßnahmen, Prozesse und Technologien eingesetzt, um sie zu eliminieren.
Das entstehende Sicherheitsdesign wird zusammen
mit dem Betreiber und seiner
IT-Abteilung diskutiert und
fein-justiert, so dass keine
Beeinträchtigung der zu schützenden Prozesse stattfindet
und gleichzeitig eine maximale
Absicherung erreicht wird.
Es entsteht ein detaillierter
Katalog aller benötigten Hardware, Software, Prozesse und
Richtlinien mit einer ausführlichen Aufgabenbeschreibung.
Die Prozesse und Richtlinien
werden ausgearbeitet und
dokumentiert. Nach Abnahme
durch den Betreiber und dessen IT-Abteilung wird dieses
Design an einen Change
Management-Prozess gekoppelt, welcher – sofern nicht
schon vorhanden – neu zu entwickeln ist.
In der Implementierungsphase
wird das Design mit allen definierten Maßnahmen umgesetzt. Parallel werden die neuen
oder geänderten Prozesse eingeführt. Neue Systeme werden
in Betrieb genommen, Mitarbeiterschulungen finden statt,
und alle betroffenen Personen
und Firmen bekommen die
notwendigen Informationen
und Instruktionen.
Alle Änderungen am Design
müssen sofort dokumentiert
werden. Dies ist ein unverzichtbarer Bestandteil des Change
Management Prozesses für das
Sicherheitsdesign.
Diese Vorgehensweise
ähnelt der in einer ProzessSteuerung, auch hier werden
entweder automatisch oder
manuell Regelprozesse gestartet, die dazu bestimmt sind,
Parameter wieder zurück in
festgelegte Normalzustände zu
bringen oder sie in klar definierten Grenzen halten.
Diese Steuerung und Überwachung ist im Gegensatz zu
den vorhergehenden drei Phasen – Überprüfung, Konzeption
und Implementierung – ein
fortwährender Prozess, der
nonstop an sieben Tagen der
Woche/vierundzwanzig Stunden (7/24) stattfindet.
Sicherheitsarchitektur für
leittechnische Netzwerke
Steuerung und
Überwachung
Es gibt viele Ansätze zur Implementierung von Sicherheitsarchitekturen in leittechnischen
Netzwerken; fast jeder Anbieter
hat hier einen eigenen Entwurf
zu bieten. Aus Anwendersicht
scheint jedoch eine Standardisierung dringend gefordert.
Nach erfolgter Implementierung des Sicherheits-Konzeptes
für das leittechnische Netzwerk
muss das Netzwerk kontinuierlich überwacht und gesteuert
werden. Die in der Designphase
definierten wichtigen Parameter sind regelmäßig zu überprüfen. Bei einer Überschreitung
von Schwellenwerten müssen
Prozeduren gestartet oder
Maßnahmen ergriffen werden,
um diese Parameter wieder
zurück in den Normalbereich
zu überführen.
Standardisierung
Besonders hervorzuheben ist in
diesem Zusammenhang der
Entwurf der ISA (The Instrumentation, Systems and Automation Society), die in der
Publikation DRAFT dISA-
Business Netzwerk
Verbindung (DMZ)
Domain
Controller
Advanced
Control
Station
PHD
Server
Experion
Server
Station
Netzwerk
Ebene 3
Router
Zugang nur für spezifische Nodes
Redundante
Servers
Stationen
ACE
Redundante
Servers
Netzwerk
Ebene 2
Priorität für PNK-bezogene Kommunikation
Switches
Schutz gegen Kommunikationsflut
Control
Firewalls
Netzwerk
Ebene 1
Switches
Limitiert für PNK-bezogene Kommunikation
C300
PNK
Netzwerk-Architektur mit hohem Sicherheitsstandard.
42
C200
PNK
Stationen
99.00.01 [1] eine umfassende
Sicherheitsarchitektur für leittechnische Netzwerke dargestellt hat und auch ein Referenzmodell zur
Implementierung mit verschiedenen Ebenen vorstellt. Diese
Ebenen werden wie folgt unterteilt:
Ebene 5: Enterprise
Ebene 4: Site Business Planning
Ebene 3: Site Manufacturing
Operations
Ebene 2: Area Supervisory
Control
Ebene 1: Basic Process Control
Ebene 0: Field Instrumentation
Unterhalb der Ebene 0 gibt
es noch einen Bereich für sicherheitskritische Prozesse und
Geräte (Safety-Critical), welche
aber im Allgemeinen nicht
direkt an das leittechnische
Netzwerk angeschlossen sind.
Umsetzung
Um nun zu einer sinnvollen
Abbildung dieser Ebenen in
einem leittechnischen Netzwerk zu kommen, bietet es sich
an, funktional zusammengehörige Ebenen mit ähnlichen
Sicherheitsanforderungen zu
gruppieren, um das Modell zu
vereinfachen und zu einem
Level-Modell wie folgt zu kommen:
Level 4: Business Control &
Logistics
Level 3: Manufacturing
Operations & Control
Level 2: Engineering,
Operations, Data
Collection
Level 1: Control, Safety
Level 0: Measurement,
Actuation
ACE
Im Level 4 ist das Firmennetzwerk angesiedelt, mit allen
Verbindungen zum EnterpriseNetzwerk und auch zum Internet. Im Level 3 befinden sich
die prozessübergreifenden
Systeme, wie z. B. Authentisierungs- oder DatensicherungsServer. Level 2 ist die eigentliche Ebene der Prozesssteuerung mit den Prozess-Servern
und den Bedienstationen, während im Level 1 die ProzessController angesiedelt sind. Auf
dem Level 0 befinden sich die
48 (2006) Heft 12 atp
Industrie und Unternehmen Journal
Allg. Firmen-Netzwerk
Firewall
History
Server
(PHD)
Security
Update
Server
Remote
Engineering
Station
Server
Web
Server
(eServer)
Leittechn. Netzwerk
Demilitarisierte Zone (DMZ)
Demilitarisierte Zone (DMZ). (Bilder: Honeywell)
Aktoren und Sensoren, die im
Allgemeinen nicht direkt an das
leittechnische Netzwerk angeschlossen sind, sondern über
spezielle Verbindungen wie
4 … 20 mA Stromschleifen oder
Fieldbus mit den Prozess-Controllern kommunizieren.
Jedem Level wird eine
eigene Sicherheitszone zugeordnet, die genau definiert, wie
innerhalb des Levels kommuniziert werden darf. Weiterhin
werden die Kommunikationsbeziehungen zwischen den
Levels spezifiziert. Als Grundregel hierbei gilt, dass die Kommunikation möglichst nur zwischen direkt benachbarten
Levels stattfinden darf. So ist
beispielsweise keine direkte
Kommunikation zwischen Level
1 und Level 3 erlaubt.
Kommunikationsbeziehungen zu den unteren Levels sind
als besonders sicherheitsrelevant einzustufen, daher ist verstärkt darauf zu achten, dass
hier keine unbefugten Zugriffe
erfolgen können.
Ebenso ist die Kommunikation innerhalb eines Levels als
Einheit zu betrachten, die möglichst wenig durch äußere Einflüsse gestört werden sollte.
Auch hier gilt, dass Kommunikationsbeziehungen in den
unteren Levels kritischer sind
als die in den oberen Levels.
Die Absicherung der Levels
gegeneinander kann mit Hilfe
von Zugriffskontrolllisten in
Netzwerkgeräten, wie z. B. Switches, oder aber mit Hilfe von
Firewalls realisiert werden.
atp 48 (2006) Heft 12
Erweiterungen
Um den Zugriff aus dem aus
leittechnischer Sicht unsicheren
Level 4 auf Systeme im Level 3
zu minimieren oder ganz zu
unterbinden, bietet sich die
Einführung eines Level 3.5 an.
Dieser Level, der in der IT-Welt
auch als “DeMilitarized Zone”
(DMZ) bekannt ist, fungiert als
eine Art Relaisstation zwischen
den Levels 3 und 4. Typischerweise werden hier z. B. Systeme
zur Sammlung und Archivierung von prozessrelevanten
Daten (Process Historical Data –
PHD) platziert, die Daten aus
dem leittechnischen Netzwerk
(Level 3 oder bedingt auch
Level 2) sammeln und diese
dann den am Firmennetzwerk
(Level 4) angeschlossenen normalen Büro-PCs zur Auswertung zur Verfügung stellen.
Durch die doppelte Absicherung der DMZ (sowohl von Level
4 nach Level 3.5 als auch von
Level 3.5 nach Level 3) wird eine
strikte Trennung zwischen Firmennetzwerk und PCN erreicht.
Fazit
Es liegt in der Natur der Sache,
dass sich Bedrohungen der hier
beschriebenen Art nicht vorhersagen lassen. Umso wichtiger ist es, möglichst viele Szenarien durchgespielt zu haben,
immer die aktuelle Bedrohungslage im Auge zu behalten und jederzeit in der Lage zu
sein, auf Angriffe so zu reagieren, dass die Produktionsab-
läufe nicht gestört oder unterbrochen werden.
Honeywell bietet als eines
der führenden Unternehmen im
Bereich Prozesssteuerung und
Automation ein umfassendes
Cyber Security Assessment an,
bei dem alle hier beschriebenen
Aspekte berücksichtigt werden.
Am Schluss steht nicht nur eine
komplette Schwachstellen-Analyse, sondern auch eine klare
Handlungsempfehlung. Die Einschaltung von externen Fachleuten ist schon wegen des
bereichsübergreifenden Knowhow von Bedeutung. Denn die
„klassische“ IT-Welt und die
PCN-Welt sind recht enge Verwandte. Das hat Vorteile, aber
auch den gravierenden Nachteil, dass Gefährdungen aus
kommerziellen Netzen möglicherweise auch im PCN-Bereich
enorme Schäden anrichten
können. Dem gewaltigen Nutzen, der aus einem Zusammenwachsen dieser beiden Welten
entstehen kann, steht eine
nicht minder große Risikosteigerung gegenüber.
Wir wissen nicht, welchen
Bedrohungen unsere Netze
morgen ausgesetzt sein werden. Deshalb muss die Sicherheit immer wieder neu in Frage
gestellt und das Sicherheitskonzept angepasst werden.
Ohne die Bereitstellung von
Ressourcen (Geld & Zeit) kann
man keinen Schutz erhalten,
aber Sicherheit lässt sich nicht
erkaufen, sondern sie muss
immer auch in der Unternehmenskultur gefördert werden.
Bernd Hose
Honeywell GmbH
Literatur
[1]
DRAFT dISA-99.00.01 (Manufacturing and Control Systems
Security, Part 1: Concepts,
Models and Terminology
Honeywell GmbH, Kaiserleistraße
39, D-63067 Offenbach, Tel. +49 69
8064-261, Fax -97261, E-Mail: constanze.wintrich@honeywell.com,
Internet: www.honeywell.de
Autor
Dipl.-Ing. Bernd Hose (41)
arbeitet im Bereich Honeywell
Process Solutions als Consultant
für Netzwerk und Applikationen.
Drahtlose Kommunikation und Projekterfahrungen
im Fokus der Honeywell Automationstage 2006
Bereits zum vierten Mal wurden kürzlich die Honeywell
Automationstage nach etabliertem und bewährtem Konzept durchgeführt.
Die jährlich an verschiedenen Orten im deutschsprachigen Raum organisierte Veranstaltung greift ein aktuelles
Thema aus dem Bereich der
Prozessautomation auf und
stellt es als ein Kernthema des
Tagesprogramms heraus.
Externe Referenten aus Industrie und Hochschule geben
ihre Sichtweise und spezifischen Erfahrungen wieder
und stellen sich der Diskussion von Anwendern. Auf
Basis von fünf Veranstaltungen erhält der Teilnehmer so
einen interessanten und
umfassenden Einblick aus
unterschiedlichen Blickwinkeln zu Status und Möglichkeiten des gewählten Themas.
Die Automationstage 2006
fanden in der zweiten Sep-
tember-Hälfte statt und führten in die Veranstaltungsorte
Essen, Bremen, Leipzig, Salzburg und Bad Dürkheim.
Die Gastreferate in diesem
Jahr befassten sich mit der
„Drahtlosen Kommunikation
in der Prozessautomation“
und reflektierten die Anforderungen, die Möglichkeiten,
den Status der Technologie
und der Standardisierung
sowie erste industrielle
Anwendungen dieses Themenbereichs. Unter dem
Schlagwort „noch Hoffnung –
oder schon Trend“ wurden die
hohen Erwartungen in das
ökonomische Potenzial sowie
die realen Lösungsansätze
beleuchtet und den noch zu
lösenden Problemfeldern
gegenübergestellt.
Bereits die Veranstaltung
2005 hatte das Thema in
einem Einzelvortrag aufgegriffen. Seitdem ist ein weiterhin wachsendes Interesse
43
Journal Industrie und Unternehmen
sowohl in der Prozessindustrie als auch in Anwenderorganisationen und Gremien festzustellen, was sich auch in der
signifikant ansteigenden Zahl
an nationalen wie internationalen Publikationen und Studien hierzu widerspiegelt.
Auch die Anbieter diesbezüglicher Komponenten, Applikationen und Dienstleistungen
sind verstärkt am Markt aktiv.
Grund genug, die Aufarbeitung dieser Thematik in
den technologischen Mittelpunkt des Tages zu stellen. Als
Referenten zum Thema konnten gewonnen werden: Dr.
Hasso Drathen (BTS, NAMURGeschäftsführung), Dr. Lutz
Rauchhaupt (ifak Magdeburg),
Michael Kirmas (Honeywell
Process Solutions), Erwin Kruschitz (anapur AG) und Frank
Hakemeyer (Phoenix Contact
GmbH & Co KG).
Im zweiten Schwerpunkt,
dem aktuellen Überblick zu
Inhalt und Neuerungen rund
um das Experion PKS® , dem
Honeywell-System zur Automation in der Prozessindustrie, wurde das Thema „Drahtlose Kommunikation“ erneut
44
aufgegriffen. Honeywell
demonstrierte mit den drahtlosen Transmittern, der mobilen Datenerfassung im Feld
über Hand-Terminals und der
mobilen Bedienstation verfügbare funk-basierte Geräte
und Anwendungen.
Der Nachmittag der jeweiligen Veranstaltung in den
verschiedenen Orten war
dem Aspekt „vom Anwender zum Anwender“ mit Erfahrungsberichten aus Projekten
und bezüglicher spezifischer
Automationsinhalte gewidmet. Die Referate bezogen
sich auf so unterschiedliche
Bereiche der Automation wie
Projektierung heterogener
Automationsumgebungen,
Optimierung der Projektierungskosten, Optimierung
des Prozesses sowie Konzeption und Bewertung selektiver
Aufgabenstellungen.
Insgesamt konnten über
230 Besucher zu den Veranstaltungen registriert werden.
Neben der Information zu
technischen Themen wurde
zusätzlich die Möglichkeit des
Meinungs- und Erfahrungsaustauschs intensiv genutzt.
48 (2006) Heft 12 atp
Document
Kategorie
Technik
Seitenansichten
5
Dateigröße
210 KB
Tags
1/--Seiten
melden