Industrie 4.0

So schützen Functional Safety und Cyber Security vor Hacker

Nigel Stanley und Jörg Krämer, TÜV Rheinland Nigel Stanley und Jörg Krämer, TÜV Rheinland

20. November 2017 - 07:00

Vor dem Hintergrund aktueller Sicherheitsvorfälle wird klar: Kein Produktionsunternehmen kann sich mehr leisten, Cyber Security zugunsten von Functional Safety zu vernachlässigen.

(Bild: photodune - cookelma)

In der Industrie 4.0 sind Funktionale Sicherheit und IT-Sicherheit so eng gekoppelt, dass Prozesse und Anlagen nicht mehr geschützt sind. Diese ist aber die Basis für Innovationen. Experten vom TÜV Rheinland geben Tipps, wie Sicherheit gelingen kann.

Industrielle Verarbeitungs-, Herstellungs- und Produktionssysteme bestehen heute aus zahlreichen Hardware- und Software-Komponenten, die für die Erzeugung und Bereitstellung von Produkten oder Dienstleistungen unerlässlich sind. Dies sorgt für eine Fehleranfälligkeit, die die Prozesse in der Produktion mehr oder weniger stark beeinträchtigen kann. Und einigeFehler können für die gesamte Anlage gefährlich sein.

Selbst Anlagen mit funktionalen Sicherheitskonzepten sind nicht automatisch gegen Cyber-Attacken geschützt. Ein industrieller HMI-PC mit ausgereiften und ordnungsgemäß implementierten Steuersystemen ist ohne Cyber-Security-Schutz anfällig für Angriffe. Dazu ist nicht einmal die Kompromittierung sicherer Verarbeitungssysteme notwendig. Sinnlose Befehle an die übergeordnete Steuerung von RTUs (Real Time Units) sind ausreichend, um den gesamten Prozess in der Produktion lahmzulegen.

Steuerungssysteme müssen geschützt sein

Das bedeutet: Prozesse oder Hardware-Komponenten, die mit dem Internet verbunden sind, können nicht mehr länger als „sicher“ im herkömmlichen Sinn betrachtet werden, sofern nicht auch die Steuerungssysteme in punkto Cyber Security abgesichert sind.

Die Sache mit der IT-Security

Hard- & Software

"Es herrscht immer noch eine gewisse Insel-Denkweise"

Die Hackerangriffe steigen. Trotzdem haben viele Firmen bei der IT-Sicherheit noch eine Insel-Denkweise: Ist bis jetzt nichts passiert, passiert auch nichts mehr. Dass das nicht so ist, erklärt Thorsten Höhnke, Head of Security Strategy bei Fujitsu.

Problematisch für die integrierte Absicherung der Industrie 4.0 ist, dass sich die Schutzziele von Funktionaler Sicherheit und Cyber Security stark voneinander unterscheiden – und vielfach Funktionale Sicherheit noch vor Cyber Security Priorität hat.

Die Lebensdauer von Steuerungssystemen übersteigt die eines unternehmensinternen IT-Systems nicht selten um das Zehnfache. Software-Aktualisierungen werden nur sehr unregelmäßig oder gar nicht durchgeführt. Diese Praxis wiederum steht im Gegensatz zur stetig steigenden Anzahl an Patches für unternehmensinterne IT-Systeme. Die Anwendung unternehmensinterner IT-Tools, -Techniken und -Verfahren kann desaströse Auswirkungen auf betriebstechnische Systeme haben. Gleiches gilt aber auch umgekehrt.

Definition: Functional Safety und Cyber Security

Bei Functional Safety geht es darum, die Menschen vor den Auswirkungen der Technik zu schützen, zum Beispiel durch Fehlfunktionen von Maschinen und Anlagen, hervorgerufen durch ungewollte oder unberechtigte Eingriffe in die IT-Komponenten. Functional Safety sichert gewünschte Abläufe wie vorgesehen ab und gewährleistet, dass beim Auftreten von Fehlern entsprechende Maßnahmen greifen.

Cyber Security zielt darauf ab, Fabrikautomation und Prozesssteuerungen abzusichern. Hier geht es um Schutz und Verfügbarkeit von Kontroll- und Steuerungssystemen gegen absichtliche herbeigeführte oder ungewollte Fehler – zum Beispiel durch Hacker. Ziel muss es sein, eine Störung oder gar einen Ausfall der Produktion zu verhindern.

Vor dem Hintergrund aktueller Sicherheitsvorfälle wird klar: Kein Produktionsunternehmen kann sich mehr leisten, Cyber Security zugunsten von Functional Safety zu vernachlässigen. Da Hacker jeglicher Art ein gesteigertes Interesse an industriellen Prozessen und Steuersystemen haben, müssen diese Bedrohungen analysiert und potenzielle Schwachstellen sowie Risiken identifiziert werden.