Security-Konzepte für die Produktion sind keine einfache Aufgabe.

Security-Konzepte für die Produktion sind keine einfache Aufgabe.Nataliya Hora – Fotolia.com

Ein sicheres System läßt sich nur realisieren, wenn die relevanten Security-Ziele, Bedrohungen und Schwachstellen berücksichtigt werden. Zu den typischen Security-Bedrohungen in der Produktion gehören die Infektion mit Schad-Software, die unberechtigte Nutzung – beabsichtigt oder unbeabsichtigt –, die Manipulation von Daten, die Spionage oder ein Denial-of-Service. Die Folgen können Produktionsausfall, Maschinenschäden oder Know-how-Verlust sein.

Um Bedrohungen einschätzen zu können, muss man die Eigenschaften und möglichen Schwachstellen von Geräten und Systemen kennen. Denn was aus Automatisierungssicht eine sinnvolle Eigenschaft ist – zum Beispiel die Möglichkeit, mit einem Programmiergerät ohne Authentifizierung auf eine Steuerung zugreifen zu können – erscheint aus Security-Sicht als mögliche Schwachstelle. Es ist notwendig, diese Schwachstellen zu unterscheiden, um Risiken abzuschätzen, Security-Lösungen zu entwickeln und angemessene Maßnahmen ergreifen zu können:

  • Schwachstellen aufgrund von Fehlimplementierungen (zum Beispiel fehlerhaftes Verhalten eines Gerätes)
  • Konzeptionell geplante und akzeptierte Eigenschaften. Hierzu zählen alle Features, die sich auch für Angriffszwecke nutzen lassen. Also zum Beispiel auch ein integrierter Webserver
  • Schwachstellen, die durch (fehlende) organisatorische Maßnahmen verursacht werden

Feldgeräte enthalten nicht nur Kommunikationstechnologien für die Übertragung von Prozesssignalen (Echtzeitkommunikation) sondern auch IT-Standard Technologien, zum Beispiel FTP-Dienste. Darüber hinaus arbeiten Feldgeräte auch als aktive Netzwerk-Infrastruktur-Komponenten (Switche) und beinhalten daher Dienste und Protokolle, die für das Netzwerkmanagement und Diagnosezwecke erforderlich sind. Fakt ist, dass die meisten Kommunikationsprotokolle auf Feldebene keine integrierten Security-Mechanismen besitzen. Teilnehmer und Daten werden nicht authentifiziert, sodass sich im Rahmen eines möglichen Angriffs Systeme auf Feldebene erweitern und sich Nachrichten einspielen lassen. Auch das Übertragen von SPS-Programmen findet oft ohne Verwendung von Sicherheitsmaßnahmen wie Nutzerauthentifizierung oder Integritätsschutz statt.

Es gibt kein Patentrezept

Anwendern wäre es am liebsten, es gäbe ein Tool, eine Zertifizierung oder ein System, das ihnen auf lange Zeit Sicherheit verspricht. Die Schwierigkeit ist jedoch, dass solche Lösungen keine dauerhafte Sicherheit bieten. Um sichere Systeme zu entwickeln, müssen Anwender nicht nur technische, sondern auch konzeptionelle und organisatorische Maßnahmen ergreifen. Leider lassen sich Prozesse in Technologien wesentlich schneller umsetzen als in den Köpfen von Menschen.

Die für die IT Welt entwickelten Security-­Lösungen genügen selten für vernetzte Produk­tionsanlagen – zu groß sind die Unterschiede.

Die für die IT Welt entwickelten Security-­Lösungen genügen selten für vernetzte Produk­tionsanlagen – zu groß sind die Unterschiede.PNO

Allerdings lassen sich konzeptionelle und organisatorische Schwachstellen einfacher beherrschen, wenn sie in Regelwerken beschrieben sind. PI hat hierfür 2006 eine Security-Guideline für Profinet entwickelt, die Ende 2013 in einer vollständig überarbeiteten Fassung veröffentlicht wurde. Diese Richtlinie gibt Hinweise und Konzepte vor, wie und welche Security-Lösungen umgesetzt werden können. Beispielsweise wird auf das Thema Risikoanalyse eingegangen. Diese bewertet auf Basis von Schutz­zielen, Schwachstellen und möglichen Bedrohungen die Wahrscheinlichkeit eines Schadensfalls und die möglichen Auswirkungen. Erst auf Basis einer solchen Analyse lassen sich angemessene Security-Maßnahmen ableiten, die auch wirtschaftlich vertretbar sind. Außerdem werden eine Reihe von bewährten Best Practices genannt, wie das Zellenschutzkonzept.

Geräte sicherer machen

Eine weitere Maßnahme betrifft die Gerätesicherheit. Denn robuste Geräte sind die Basis für stabile Prozesse und Systeme. Sie sind eine Grundvoraussetzung für Security in der Automatisierung. Schwachstellen aufgrund von Fehlimplementierungen lassen sich nur durch entsprechende Qualitätssicherungs-Maßnahmen und Zertifizierungen beheben. In großen Netzwerken zählt vor allem die Anlagenverfügbarkeit. Um diese zu erreichen, müssen sich Geräte bei verschiedenen Netzlastszenarien zuverlässig verhalten. In Anlagen mit vielen Teilnehmern kann es beispielsweise bei der Inbetriebnahme zu einer unbeabsichtigten erhöhten Broadcast-Last des Netzes kommen, wenn der Master versucht, immer wieder alle Teilnehmer zu erreichen, obwohl nur wenige Teilnehmer angeschaltet sind. Diese ungewöhnliche Last muss von den vorhandenen Teilnehmern verarbeitet werden können. Für den Betreiber sind solche Szenarien schwer vorherzusagen, da die Wahrscheinlichkeit eines hohen Datenaufkommens anlagenabhängig ist. Hintergrund ist, dass der Datenverkehr von zyklischem und azyklischem Datenaustausch sowie vom ereignisgesteuerten Datenaufkommen bestimmt wird.

Mithilfe des von PI für die Zertifizierung von Profinet-Geräten entwickelten Security Level 1 Testers, der für Mitgliedsunternehmen kostenlos ist, lassen sich derartige Netzlastszenarien bis hin zum Denial of Service im Vorfeld simulieren. Die Feldgeräte werden unter Stressbedingungen getestet, um eine unvorhersehbare Last zu simulieren und somit Geräteausfälle zu verringern. Hierfür wurden einheitliche Testvorschriften definiert. Dazu wurden verschiedene Szenarien in Bezug auf die Netzlast entwickelt, die unter anderem verschiedene Telegrammtypen und -größen sowie die Wiederholdauer und die Anzahl der Telegramme pro Zeit berücksichtigen. Der Netzlast-Test wird auch bereits von verschiedenen Endanwendern wie der Automobilindustrie gefordert. In die Zertifizierung von Geräten nach der aktuellen Spezifikation Profinet 2.3 ist dieser Test bereits integriert und damit für jeden Hersteller Pflicht, um die entsprechende Zertifizierung zu erlangen. Anwender, die ein solches zertifiziertes Gerät erwerben, können sich also darauf verlassen, ein entsprechend robustes Gerät zu erhalten.

Nur wer seine Geräte kennt, kann sie schützen. Doch noch nicht alle Hersteller liefern umfassende Informationen über die Kommunikationseigenschaften ihrer Geräte. Ein wichtige Anforderung: Trotz Security müssen Anlagen für die Anwender handhabbar und bedienbar bleiben. Kaum ein Wartungstechniker möchte nachts um 2 Uhr bei einem Geräteausfall einen Zertifizierungsschlüssel suchen, um eine Anlage wieder in Gang zu bringen. Zukunftsträchtige Konzepte meistern daher auch die Gratwanderung zwischen Usability und Security.

Bei PI beschäftigt sich eine Working Group kontinuierlich mit Security-Konzepten. Auf diese Weise ist die Profinet Security Guideline entstanden, die auch Nicht-Mitglieder kostenlosen herunter­laden können. Des Weiteren wird hier die Weiterentwicklung des Security Level 1 Testers vorangetrieben. Wichtig ist dabei, dass die dort beschriebenen und empfohlenen Vorgehensweisen nachhaltig, praktikabel und letztlich auch von den Anwendern akzeptiert werden. Nur so können Schutzkonzepte wirklich erfolgreich sein.