Wie sicher ist Ihr Security-Schutz in der Feldebene?
Überwachung von Anomalien
Die Berücksichtigung von Gefährdungen der IT-Sicherheit in der Feldebene ist eine vergleichsweise neue Thematik in der Automatisierungstechnik. Die traditionelle Signalübertagung in der Feldebene (analoge Normsignale) konnte durch Angriffe nur schwer manipuliert werden. Aber die Verbreitung von Standard-IT-Systemen in der Feldebene erhöht das Risiko der Manipulation.
Die zunehmende Verwendung vernetzter Systeme (Sensoren, Aktoren, intelligente Komponenten) auf der Feldebene von Automatisierungssystemen erzeugt Schwachstellen in Bezug auf die IT-Sicherheit. Da die Feldebene zur Anbindung eines Automatisierungssystems an einen Prozess dient, sind Prozess und Feldebene dort unmittelbar miteinander gekoppelt, aber auch weiträumig verteilt. Diese räumliche Verteilung kann dazu führen, dass unautorisierte Personen Zugang zu der Feldebene erlangen und IT-Angriffe ausführen können. (Un-)Beabsichtigte Angriffe könne die Kommunikation in der Feldebene stören oder die Steuerungssoftware verändern. Manipulationen können u.a. sogar Notabschaltungen kompromittieren und dadurch gefährliche Situation unbeherrschbar machen. Aufgrund der räumlichen Verteilung der Feldebene können Angriffe dort allerdings nicht immer verhindert werden. Stattdessen muss die Feldebene so abgesichert sein, dass Angriffe auf die IT-Sicherheit abgefangen und eingegrenzt werden können. Darüber hinaus muss das Bedienpersonal motiviert sein, die Methoden der IT-Sicherheit auch wirklich anzuwenden. Wenn es nicht gelingt, Anwender dazu zu bringen sich IT-sicher zu verhalten, sind technische IT-Schutzmaßnahmen allein wirkungslos.
Systeme in der Feldebene
In der Automatisierungstechnik werden unterschiedliche Technologien zur Realisierung von Steuerung und Regelung verwendet. In den letzten Jahren werden zur Betriebs- und Anlagenführung zunehmend Standard-IT-Produkte anstelle proprietärer Prozessleittechnik verwendet. So kommen dort PCs, Windows-Betriebssysteme und Ethernet-basierende Kommunikationssysteme zum Einsatz. Zur Optimierung von organisatorischen Abläufen werden diese Systeme immer häufiger auch miteinander vernetzt. Solche Architekturen bei Steuer- und Regelsysteme unterliegen dann den gleichen Bedrohungen, wie andere Systeme, die wir aus der Bürokommunikation kennen.
Ein Automatisierungssystem führt stets einen technischen Prozess mit Hilfe von Sensoren und Aktoren. Dabei herrschen auf der Feldebene selbst oft spezialisierte Technologien (Feldbus, Normsignale, ?) vor und es gelten besondere Randbedingungen (Explosionsschutz,?). In vielen Bereichen der IT-Sicherheit von Automatisierungssystemen wird die Feldebene daher nicht explizit berücksichtigt. Es wird einfach davon ausgegangen, dass der IT-Schutz der übergeordneten Automatisierungssysteme ausreichend ist, um auch die IT-Sicherheit in der Feldebene zu gewährleisten.
Bedrohung der IT-Sicherheit
Es existieren viele Ursachen für die Bedrohung der IT-Sicherheit, u.a. Fahrlässigkeit, technisches Versagen oder Vorsatz. Die aus diesen Ursachen resultierenden Bedrohungen lassen sich bezüglich ihrer Wirkungsweise unterteilen in Manipulation von Hardware oder Software. Auswirkungen aufgrund von Manipulation treten bei Automatisierungssystemen dann auf, wenn die zur Führung des Prozesses erforderlichen Informationen nicht korrekt sind. Bei dieser Informationsmanipulation lassen sich drei Bedrohungen unterscheiden:
- • Unautorisierte Informationsgewinnung
- • Manipulation der Kommunikation
- • Manipulation der Funktionalität
Der Betreiber einer verfahrenstechnischen Anlage hat leider keinen Einfluss auf die Bedrohung durch Angreifer, deshalb konzentriert sich die Industrie auf die Beseitigung von Schwachstellen der Systeme. Dies gilt auch für die in der Feldebene verwendeten Komponenten und Systeme. Ausgehend von den abzusichernden Schwachstellen werden Schutzfunktionen definiert, welchen den Systemschutz aufrechterhalten. Diese beschreiben dabei die Absicherung einer Schwachstelle, nicht aber die Art und Weise, wie dieses Ziel erreicht wird.
IT-Sicherheit in der Feldebene
Die Berücksichtigung von Gefährdungen der IT-Sicherheit in der Feldebene ist eine vergleichsweise neue Thematik in der Automatisierungstechnik. Die traditionelle Signalübertagung in der Feldebene (analoge Normsignale) konnte durch Angriffe nur schwer manipuliert werden. Aber die derzeitige Verbreitung von Standard-IT-Systemen in der Feldebene erhöht das Manipulationsrisiko. Um Angriffe auf die IT-Sicherheit von Automatisierungssystemen der Feldebene durchzuführen, muss zunächst ein erfolgreicher Zugriff auf den Informationsfluss erfolgen. Zugriff auf den Informationsfluss der Feldebene können durch die oberen Ebenen der Automatisierungspyramide erfolgen, oder durch eine physische Kopplung direkt an einem Kommunikationssystem in der Feldebene. Wahrscheinlicher ist allerdings der Zugriff durch Vernetzungs- und Fernwartungs-Möglichkeiten über eine höhere Ebene. In diesem Fall ist es wichtig, die vertikale Kommunikation zwischen den einzelnen Ebenen der Automatisierungspyramide zu härten und so die Integrität der Datenübertragung sicherzustellen. Moderne Automatisierungstechnik verwendet Standard IT-Systeme, welche mit den nötigen Feldbusschnittstellen ergänzt werden, um die Kommunikation mit Sensoren/Aktoren sicherzustellen. Auf diesen IT-Systemen können die üblichen Schutzmethoden wie Virenscanner, Firewalls, u.a. verwendet werden, um einen IT-Mindestschutz zu gewährleisten. Die Informationsverarbeitung in der Feldebene ist zwar den herrschenden Umgebungsbedingungen angepasst (z.B. EMV-Störungen), jedoch gibt es dort nur wenige Schutzmaßnahmen gegenüber einer beabsichtigten Manipulation. Wenn hier ein physischer Zugriff (z.B. Laptop mit Feldbusinterface) erfolgt, können Auswirkungen auf den Prozess nicht verhindert werden.
Schutz der Feldebene
Ein präventiver Schutz, der möglichen Angreifern den Zugriff auf die Feldebene verwehrt, ist praktisch nicht umsetzbar. Deshalb müssen Angriffe frühzeitig erkannt und abgefangen werden, bevor diese die Feldebene erreichen. Dazu muss zunächst einmal ein Angriff als solcher sicher erkannt werden. Daher werden Funktionalitäten benötigt, welche richtigen Informationen von manipulierten Informationen unterscheiden können. Dies kann z.B. mit Authentifizierung oder Verschlüsselung in der Kommunikation erreicht werden. Zur Detektion von manipulierter Feldgerätefunktionalität ist auch der Einsatz der Anomalie-Detektion möglich. Im einfachsten Fall wird eine Sprungantwort nach einer Anforderung in einem bestimmten Zeitfenster erwartet. Bleibt diese aus oder ist nur unvollständig, warnt das System vor einer Anomalie gegenüber dem Normalzustand. Es kann aber auch eine Anomalie-Detektions-Software verwendet werden. Diese überwacht die Kommunikation zwischen den einzelnen Systemkomponenten und warnt vor unbekannter Kommunikation, z.B. über einen bisher unbenutzten Port. Die Schutzfunktionen müssen gegen die nachfolgend aufgeführten Bedrohungen einen wirksamen Schutz bieten oder zumindest den Betreiber darauf hinweisen, dass eine unerlaubte Manipulation stattfindet. Grundbedrohungen sind:
- • Unautorisierte Informationsgewinnung
- • Unautorisierte Manipulation von Kommunikation
- • Veränderung eines Nachrichteninhalts
- • Unautorisierte Manipulation der Funktionalität oder Konfiguration
Modulare Anlagen - Zukunfttrends
Die verfahrenstechnische Industrie sucht nach immer neuen Wegen ihre Anlagen kostengünstig und zeitnah in Betrieb zu nehmen. Ein Beispiel dafür ist das modulare Anlagenkonzept, das weit fortgeschritten ist und sich teilweise bereits in Pilotphasen befindet. Dazu nachfolgend ein Auszug aus der NE148, welche die IT-Schutzfunktionen für diese Technik definiert. "In Planung und Betrieb verfahrenstechnischer Anlagen beginnt sich ein neues Anlagendesign zu etablieren, um den immer drängenderen Marktforderungen nach Schnelligkeit, Flexibilität und wirtschaftlicher Größenanpassung im dynamischen Umfeld nachzukommen. Eine steigende Volatilität der Absatzmärkte und immer kürzere Entwicklungszeiten für Produkte - mit entsprechend kurzen Verwertungsmöglichkeiten technologischer Vorteile - verändern die Anforderungen an das Design verfahrenstechnischer Anlagen entscheidend und verstärken die Faktoren zu Gunsten der Verwendung vorgeplanter Module in einem Gesamtkonzept." Interessant ist, dass dort bereits ein IT-Mindestschutz empfohlen wird, der sich über die Anlagenlebensdauer weiterentwickelt.
Fazit
Die Feldebene ist ein Bereich, der häufig nicht in die IT-Sicherheits-Überlegungen der Anwender mit einbezogen wird. Durch die zunehmende Vernetzung und Fernwartung kann die Feldebene allerdings ein Angriffsvektor für IT-Angriffe werden. Diese ist insbesondere gefährlich, wenn Komponenten der funktionalen Sicherheit in der Feldebene manipuliert werden, die im Grenzbetrieb Anlagen in den sicheren Zustand schalten. Eine Anomalieüberwachung der Kommunikation und Funktion der im Feld montierten Komponenten kann eine Manipulation erkennen und so rechtzeitig für den entsprechenden IT-Schutz sorgen.
Die Berücksichtigung von Gefährdungen der IT-Sicherheit in der Feldebene ist eine vergleichsweise neue Thematik in der Automatisierungstechnik. Die traditionelle Signalübertagung in der Feldebene (analoge Normsignale) konnte durch Angriffe nur schwer manipuliert werden. Aber die Verbreitung von Standard-IT-Systemen in der Feldebene erhöht das Risiko der Manipulation.
Die zunehmende Verwendung vernetzter Systeme (Sensoren, Aktoren, intelligente Komponenten) auf der Feldebene von Automatisierungssystemen erzeugt Schwachstellen in Bezug auf die IT-Sicherheit. Da die Feldebene zur Anbindung eines Automatisierungssystems an einen Prozess dient, sind Prozess und Feldebene dort unmittelbar miteinander gekoppelt, aber auch weiträumig verteilt. Diese räumliche Verteilung kann dazu führen, dass unautorisierte Personen Zugang zu der Feldebene erlangen und IT-Angriffe ausführen können. (Un-)Beabsichtigte Angriffe könne die Kommunikation in der Feldebene stören oder die Steuerungssoftware verändern. Manipulationen können u.a. sogar Notabschaltungen kompromittieren und dadurch gefährliche Situation unbeherrschbar machen. Aufgrund der räumlichen Verteilung der Feldebene können Angriffe dort allerdings nicht immer verhindert werden. Stattdessen muss die Feldebene so abgesichert sein, dass Angriffe auf die IT-Sicherheit abgefangen und eingegrenzt werden können. Darüber hinaus muss das Bedienpersonal motiviert sein, die Methoden der IT-Sicherheit auch wirklich anzuwenden. Wenn es nicht gelingt, Anwender dazu zu bringen sich IT-sicher zu verhalten, sind technische IT-Schutzmaßnahmen allein wirkungslos.
SPPC GmbH
Dieser Artikel erschien in SPS-MAGAZIN Process Automation 2018 - 29.03.18.Für weitere Artikel besuchen Sie www.sps-magazin.de