arc white p aper · 2008-07-28 · verwenden gemeinsame office-anwendungen führen eine große...

THOUGHT LEADERS FOR MANUFACTURING & SUPPLY CHAIN

ARC WHITE PAPER

AUGUST 2008

IT-Security in der Prozessautomatisierung mit Siemens SIMATIC PCS 7

Abstrakt ..................................................................................... 3

Was ist Security? ......................................................................... 4

Der wirtschaftliche Nutzen von Security.......................................... 7

Die Vielfalt der Security-Infrastruktur in der Prozesstechnik .............. 9

Das Siemens PCS 7 Security-Konzept............................................ 13

Empfehlungen ............................................................................ 24

ARC White Paper • August 2008

2 • Copyright © ARC Advisory Group • ARCweb.com

Security-Bestimmungen berücksichtigen z.T. gegensätzliche Aspekte des Anlagenbetriebs. Die Schwierigkeit besteht darin, Security mit den

wirtschaftlichen Geschäftszielen in Einklang zu bringen.

Bei der Realisierung eines Security-Konzeptes steht am Anfang die räumliche und funktionale Aufteilung der Anlage in Security-Zellen

sowie das Layout des Netzwerks.

AusgefeiltereAngriffs -programme

Mobileund räumlich verteilte Mitarbeiter

Raffinierte Viren -übertragung(nicht nur E-Mail)

Transparenz und Automatisierung vonGeschäftsprozessen

Politische Beweggründe

Größere Angriffs -fläche

GlobaleZusammenarbeit

Wachsende Hacker -Gemeinde

Kontinuierliche

globale Vernetzung

Neue Technologienverfolgen

Weiternutzungvon Altsystemen

Zunehmende Reglementierung

Security- Bestimmungen Geschäfts -

zieleSecurity


Copyright © ARC Advisory Group • ARCweb.com • 3

Anlageningenieure sollten nicht voraussetzen, dass Security-Konzepte aus dem IT-Bereich

dafür geeignet sind, eine sichere Anlagenumgebung zu

gewährleisten und gleichzeitig die Produktionsziele zu erreichen.

Abstrakt

Mit Security-Maßnahmen für industrielle Steuerungssysteme beschäftigt

sich die Industrie schon seit längerem. Die ersten Nutzer von modernen

Steuerungssystemen in Kraftwerken und Chemieanlagen sahen bereits

die Notwendigkeit, den unbefugten Zugriff auf wichtige Steuerungs-

funktionen zu verhindern. Ebenso haben Hersteller, etwa von Fein-

chemikalien oder pharmazeutischen Produkten, für die „der Prozess das

Produkt ist", immer versucht, die Geheimnisse ihrer Prozesse vor den

neugierigen Augen von Industriespionen zu schützen.

In den letzten Jahren sind die Konzepte und Einstellungen zur Security

von Steuerungssystemen überdacht worden. Notwendig wurde dies in

erster Linie durch den Übergang zu offenen

Standardtechnologien (COTS = Commercial Off-

the-Shelf) wie Ethernet und Microsoft Windows.

Immer wieder tauchen neue Bedrohungen auf. Die

meisten von ihnen richten sich nicht gegen die

Prozessbediener. Nichtsdestotrotz können diese

Opfer solcher Angriffe mit schwerwiegenden Kon-

sequenzen werden. Ein weiteres Problem bei der Planung und Wartung

der Anlagen-IT ist die Abstimmung zwischen dem Anlagenpersonal und

den IT-Abteilungen des Unternehmens, da manchmal verschiedenartige

Auffassungen über die unterschiedlichen Ziele und die besonderen

Anforderungen einer prozesstechnischen Anlage herrschen.

Den Betreibern von Produktionsanlagen fällt es nicht selten schwer, mit

den neuesten Security-Bedrohungen und Technologien Schritt zu halten.

Hier ist Hilfe seitens der Automatisierungslieferanten in Sicht. Während

Security von allen Anbietern als zentrales Thema behandelt wird,

variieren die angebotenen Methoden von der Bereitstellung „sicherer“

Komponenten bis hin zu einem durchgängigen Systemansatz. Die

Siemens AG verfolgt mit ihrem PCS 7 Security-Konzept eine ganz-

heitliche, umfassende Security-Lösung. Diese berücksichtigt die spe-

zifischen Anforderungen einer prozesstechnischen Anlage, die sich im

Allgemeinen deutlich von den Anforderungen der Büro- und Unter-

nehmens-IT unterscheiden. PCS 7 bündelt die wichtigsten Security-

Vorkehrungen aus unterschiedlichen Bereichen zu einem tiefen-

gestaffelten Security-Konzept (Defense in Depth).



Keine Security Policy ist 100-%ig hieb- und stichfest. Anwender müssen die Kosten für Security

gegen den Nutzen einer durchgängigen Vernetzung sowie die Wahrscheinlichkeit und die

Folgen einer Security-Verletzung abwägen.

Was ist Security?

Sowohl in der Bürowelt als auch in der Anlagenwelt wird unter „Se-

curity“ häufig Unterschiedliches verstanden. „Security“ wird manchmal

als Synonym von „Anlagensicherheit“ (Safety) verwendet, besonders in

Bezug auf Zugriffskontrolle für geschützte Bereiche. In der Prozess-

industrie bezieht sich „Safety“ normalerweise auf das kontrollierte Ab-

schalten eines Prozesses nach einem unsicheren oder anormalen Zustand.

In diesem White Paper bezieht sich der Begriff „Security“ auf die elektro-

nische Zugriffskontrolle auf industrielle Steuerungssysteme bzw. den

Schutz dieser Systeme vor unbefugtem Zugriff, ob absichtlich oder un-

absichtlich, sowie vor geplanten und ungeplanten

Angriffen über Schadsoftware (Malware).

Die Verwendung offener Kommunikationstechniken

in den Anlagen, z.B. Ethernet und OPC, machen vor-

mals geschlossene Systeme gegenüber Bedrohungen

von Außen angreifbar. Keine Technologie hat dabei

das Risiko so stark erhöht wie Microsoft Windows,

das in vielen Branchen als de-facto-Betriebssystem eingesetzt wird.

Während dies viele Vorteile für den Anlagenbetrieb gebracht hat, etwa

bei Entwicklungsaufwand, Einsatz- und Schulungskosten, setzt es

gleichzeitig die Steuerungssysteme allen Bedrohungen und Gefahren der

IT-Welt aus.

Assets für die Prozessautomatisierung besitzen lange Lebenszyklen.

Tatsächlich sind viele Steuerungssysteme schon seit mehr als 20 Jahren in

Betrieb. Statt zu investieren und auf moderne Systeme umzustellen – ein

kostspieliger und potenziell störender Vorgang – haben viele Automati-

sierungsnutzer Altsysteme aufrecht erhalten und lediglich deren

Konnektivität verbessert, um mehr Informationen von ihnen abrufen zu

können. Die Folge: Vormals geschlossene Systeme sind plötzlich und

unvorbereitet mit offenen Unternehmensnetzen und dem Internet ver-

bunden, aber damit allen Bedrohungen der modernen Kommunikation

ausgesetzt.

Konflikte mit der Unternehmens-IT

Die herstellende Industrie setzt IT in vielen Unternehmensbereichen ein –

Betriebswirtschaft, Produktion, Engineering, F&E, Labor und Anderen.

Die Methoden für die Entwicklung und Verwaltung dieser ver-

schiedenartigen Systeme sind unterschiedlich, weil sie sich individuell

entwickelt haben und spezifischen Erfordernissen, Prioritäten und



Budgetbedingungen unterliegen. Der wachsende Bedarf nach zusätz-

lichen Fähigkeiten, etwa bereichsübergreifender Informationsaustausch,

funktionsunabhängige Geschäftsprozessoptimierung und unternehmens-

weite Compliance, erfordert jedoch einen integrierten Ansatz. Viele

Unternehmen gehen diese Anforderungen aktiv aus technologischer

Perspektive an.

Betriebssysteme für Office und Produktion: Die Basisanforderungen unterscheiden sich stark

Security ist sowohl für IT-Abteilungen als auch den Anlagenbetrieb eine

kritische Angelegenheit. Obwohl IT-basierte Security-Tools traditionell

von IT-Abteilungen implementiert und gepflegt werden, herrschen heute

doch häufig grundsätzlich voneinander abweichende Betrachtungs-

weisen vor, die sich durch unterschiedliche Security-Ziele ergeben. IT-

Abteilungen sind bestrebt, allen berechtigten Nutzern globale Zugriffs-

möglichkeiten auf Informationen zu geben und die Vertraulichkeit dieser

Informationen zu wahren. Anwender in der Prozessautomatisierung

haben hingegen das Ziel, Anlagenbetriebszeit und Systemverfügbarkeit

zu maximieren. Deshalb sollten Anlageningenieure nicht voraussetzen,

dass Security-Konzepte aus dem IT-Bereich geeignet sind, eine sichere

Office-Systeme Produktionssysteme

Oberste Security-Ziele, geordnet nach Wichtigkeit: 1) Vertraulichkeit, 2) Datenintegrität und 3) Verfügbarkeit (Quelle: ISA SP99 Part 1)

Oberste Security-Ziele, geordnet nach Wichtigkeit: 1) Verfügbarkeit, 2) Datenintegrität und 3) Vertraulichkeit (Quelle: ISA SP99 Part 1)

Verwendung normalerweise für eine Schicht, Ausfälle können oft aufgeholt werden

Oft kontinuierlich im Einsatz, Ausfälle führen zu Produktionsverlust

Lebenszyklus normalerweise 3 Jahre Lebenszyklus normalerweise 10 bis 20 Jahre oder länger

Viele fast identische Systeme (Serien-PCs/Server und Standard-Netzwerkkomponenten)

Normalerweise individuelle Systeme, aber auch robuste Industrie-PCs, die Microsoft Betriebssysteme verwenden und den entsprechenden Gefahren ausgesetzt sind

Keine Anpassung des Betriebssystems Betriebssystemerweiterungen und spezielle Treiber erschweren Aktualisierungen

Umfassende Aktualisierung Nicht auf dem neuesten Stand – laufen teilweise unter MS-DOS oder Windows 3.1, 95, NT, und Security-Updates sind u.U. nicht möglich

Verwenden gemeinsame Office-Anwendungen Führen eine große Vielfalt von Anwendungen aus, die eng an das Betriebssystem gekoppelt sind und deren Aktualisierung teuer ist

Anwendungen werden fast immer als Standardversion ausgeführt

Anwendungen erfordern in der Regel eigene Sprachen, proprietäre APIs und ein spezielles Systemverhalten, um Leistung, Deterministik und Betriebsfunktionalität bieten zu können

Verwenden fast ausschließlich Standard-Securitymechanismen des Betriebssystems

Anwendungen bieten Security-Erweiterungen für die Produktionsanforderungen



Anlagenumgebung zu gewährleisten und gleichzeitig die Produktions-

ziele zu erreichen.

Die ständige Veränderung und unterschiedliche Verwendung der Tech-

nik macht die IT-Strukturierung und laufende Systemunterstützung für

Produktionsunternehmen zu einem dauerhaften Problem. Konflikte

zwischen dem Anlagen- und Office-Bereich sind an der Tagesordnung,

seit die ersten Universalcomputer in Herstellungsbetriebe eingeführt

worden sind. Für viele Unternehmen verschlimmert sich die Situation

dadurch, dass die Systeme komplexer werden, Technologien überlappen

und Integration an Bedeutung gewinnt.

Bedrohungen aus

der ganzen Welt

Gefährliche

Viren aus allenRichtungen

Hacker haben

die Fertigungs-ebene im Visier

Häufige

Security-Updates

Oft sind diese Die Einführung von PCs und Ethernet in der Anlage setzt Produktionsumgebungen plötzlich allen Bedrohungen der IT-Welt aus

Konflikte durch die verschiedenen Sichtweisen der einzelnen Beteiligten

begründet. IT-Abteilungen, die für die Computer im Unternehmen

verantwortlich sind, glauben, dass sie durch den Umgang mit komplexen

IT-Problemen im Office-Bereich über das erforderliche Wissen und die

Prozesse verfügen, um die gesamte IT für die Organisation zu

bewältigen. Bereiche wie Anlagenbetrieb, F&E oder Engineering

argumentieren, dass IT-Entscheidungen anlagenspezifische

Anforderungen berücksichtigen müssen und nicht nur aufgrund von

allgemeinen IT-Erwägungen getroffen werden können. Sie fügen hinzu,

dass IT-Abteilungen die Anforderungen dieser Funktionsbereiche nur

unzureichend kennen und argumentieren, dass es zu riskant ist, ihnen

die gesamte Verwaltung der IT zu übertragen. Beide Seiten haben in

vielen Punkten Recht, und so geht die Debatte in vielen Organisationen

weiter.



Ein Ausweg aus diesem Dilemma besteht darin, dass im Anlagenbereich

eine klare Vision von industrieller Security entwickelt wird, die auf be-

währten Methoden der Office-Welt basiert, aber auf die Erfordernisse der

Prozesssteuerung zugeschnitten ist. Solch eine Vision sollte die spe-

zifischen Anforderungen und Bedürfnisse einer Produktionsanlage im

Vergleich zur Office-IT deutlich artikulieren und gemeinsame Verant-

wortungsbereiche definieren, um hierdurch eine aktive Zusammenarbeit

der beiden Bereiche in der Zukunft zu gewährleisten.

Der wirtschaftliche Nutzen von Security

Industrielle Security-Lösungen werden manchmal als hohe Kostenbe-

lastungen oder notwendige Investition ohne messbare Rendite betrachtet.

Moderne Security-Lösungen gehen jedoch weit über diese Vorstellung

hinaus. Viele Prozessanwender erkennen jetzt, dass die Durchführung

von umfassenden Security-Maßnahmen ihre Geschäftsergebnisse direkt

beeinflussen kann.

Collaborative Manufacturing optimiert die Kommunikation innerhalb der Lieferkette, aber es setzt das Unternehmen auch globalen

Bedrohungen und Risiken aus

Prozessanlagen sind mit Unternehmensanwendungen verbunden, die

ihrerseits über das Internet wichtige Prozessinformationen mit einem

ständig wachsenden Spektrum von Anwendungen – von Produktions-

Management bis hin zu Asset-Management – austauschen. Die Tage der

abgekoppelten Anlage, in der diese Informationen über gedruckte Be-

richte übertragen wurden, sind vergangen. Sogar in Industriebereichen

mit geringer Produktionsgeschwindigkeit hat die Wichtigkeit von Echt-

zeitinformation in den letzten Jahren aufgrund des wachsenden Kosten-

drucks, der mit der Globalisierung der Märkte einhergeht, zugenommen.

Wir verdanken es teilweise den neuen, intelligenten Software-Tools, die

maßgeschneiderte, relevante Information in Echtzeit liefern, dass

Manager immer öfter bessere Entscheidungen treffen können.

Die Verfügbarkeit all dieser Informationen hat zur Folge, dass die Pro-

zessindustrie heute vermehrt von Leistungskennzahlen, so genannten



Prozessbetreiber nehmen möglicherweise an, dass sie nicht

das Ziel von Hackern sind, aber eine kurze Recherche im Internet zeigt Seiten mit erschreckend genauen

Anleitungen, wie man in Prozessleitsysteme und SPSen

eindringen kann.

Key Performance Indicators, bestimmt wird – also von Geschäftszielen,

die auf gemessenen und vorhergesagten Prozessinformationen basieren.

Um diesen Zielen zu entsprechen und um die Unternehmensleistung zu

verbessern, konzentrieren sich die Betreiber darauf, die Effizienz der

Anlagen stetig zu steigern. Typische Messkriterien sind Return on Assets

(ROA) und Overall Equipment Efficiency (OEE). Beides sind wichtige

Kriterien zur Erlangung von Operational Excellence (OpX). Der Albtraum

jedes Prozessbetreibers sind ungeplante Stillstandszeiten - die Unter-

brechung eines kontinuierlichen Prozesses wegen eines Anlagenfehlers,

Bedienungsfehlers oder Securityvorfalls. Um die Geschäftsziele zu er-

reichen, muss ein kontinuierlicher, unterbrechungsfreier Anlagenbetrieb

sichergestellt sein. Sollte dennoch eine Störung auftreten, benötigt das

Unternehmen einen Notfallplan zur raschen Wiederaufnahme der Pro-

duktion. Eine verlässliche Security-Richtlinie, auch wenn sie nicht völlig

hieb- und stichfest ist, trägt wesentlich dazu bei, indem sie das Risiko von

unvorhergesehenen Unterbrechungen mindert.

Risiken und Kosten ohne Security-Konzept

Anlagenmanager betrachten oft den 11. September 2001 als den Tag, an

dem der Begriff „Security“ durch die Terroranschläge in den USA neu

definiert wurde. Nach diesem Tag verwandelte sich Security von einer

internen Angelegenheit zu einer Problemstellung, die auch Cyber-

Angriffe von Außerhalb berücksichtigen muss. Neue Maßnahmen

wurden notwendig, um potenzielle Angriffe auf die zentrale Infra-

struktur zu verhindern, wie etwa auf die Energie- und Wasserwirtschaft,

auf das Transportwesen und auf die Chemische Industrie. In den Ver-

einigten Staaten hat die Regierung aktiv Maßnahmen ergriffen, um

Security-Richtlinien gegen Cyber-Angriffe auf die

produzierende Industrie zu erforschen, zu entwickeln

und zu verbreiten.

Ähnlich wie in der Sicherheits-Technik, wo durch die

intelligente Analyse von Sicherheits-Abschaltungen

zur Reduzierung von Gerätestillständen beigetragen

wird, bieten Security-Konzepte der Prozessindustrie einen

wirtschaftlichen Nutzen, indem sie Security-Risiken reduzieren und

damit die Systemverfügbarkeit steigern. Anstatt Security nur als

zusätzlichen Kostenfaktor zu sehen, sollten die Prozessbetreiber eine

ganzheitliche Betrachtung vornehmen und die Folgen von Security-

Verletzungen abwägen, die sich aus ungeplanten Stillstandszeiten,

Geräteausfällen, Prozessunterbrechungen oder sogar aus der Zerstörung

von Anlagen mit möglichen Umweltschäden oder gar Katastrophen

ergeben können. Neben der offensichtlichen Gefahr für die Gesundheit



und für Leib und Leben steht für Unternehmen möglicherweise auch ihr

öffentliches Ansehen auf dem Spiel, und ein solcher Makel lässt sich nicht

so einfach abschütteln – wie das Beispiel einiger Chemieunternehmen

zeigt.

Security-Gefährdungen sind real

Es gibt viele Gründe für Prozessbediener anzunehmen, dass sie vor

Security-Bedrohungen gefeit sind. Vielleicht glauben sie, dass ihr pro-

prietäres Steuerungssystem keine Verbindung zum Internet hat und dieses

daher keine Bedrohung darstellt. Oder sie meinen, dass sie nicht das Ziel

von Hackern sind; welcher Hacker würde sich schließlich die Mühe

machen und SPS-Kommunikationsprotokolle erlernen? Studien belegen

aber, dass die Steuerungen von vielen Prozessbetreibern, die glauben, dass

ihre Systeme nicht an das Internet angeschlossen sind, in Wahrheit doch

damit verbunden sind. Außerdem zeigt eine kurze Recherche im Internet

Seiten mit erschreckend genauen Anleitungen, wie man in Prozess-

leitsysteme und speicherprogrammierbare Steuerungen eindringen kann,

sorgfältig sortiert nach Typ und Modell.

Mit Beginn der breiten Anwendung des Ethernet in Anlagen, etwa seit

2001, hat die Anzahl von erfolgreichen Angriffen stark zugenommen,

wobei der größte Teil auf externe Zugriffe entfällt. Diese Zahlen belegt

die Industrial Security Incident Database (ISID), die in den letzten Jahren

etwa 140 Vorfälle verzeichnet und dokumentiert hat. Wie viele Vorfälle

nicht angezeigt werden ist unklar, aber die Dunkelziffer wird wahr-

scheinlich ziemlich groß sein, da es Unternehmen widerstrebt, Security-

Verletzungen publik zu machen. Während die meisten Vorfälle auf die

zunehmende Vernetzung von Steuerungssystemen zurückgeführt wer-

den können, lassen sich zumindest teilweise auch Gründe in Angriffen

auf Einrichtungen der öffentlichen Infrastruktur durch Hacker in einer

zunehmend gefährlichen Welt finden.

Die Vielfalt der Security-Infrastruktur

in der Prozesstechnik

Die Security-Infrastruktur umfasst die gesamte Hardware und Software

sowie die zugehörigen Firmenrichtlinien, die die Informationssysteme

schützen und dadurch die Geschäftsrisiken mindern. Zum Beispiel

zählen Firewalls, Intrusion Detection Systeme, Zugriffskontrollmaß-

nahmen und Virenscanner zur Security-Infrastruktur. Damit eine

Security-Infrastruktur wirkungsvoll sein kann, muss sie überall im Unter-

nehmen zum Einsatz kommen. Dementsprechend muss jede Security-



Strategie eine unternehmensweite Security-Architektur einschließen, die

bestimmt, wo und wie ausgewählte Infrastrukturelemente verwendet

werden, um ein gewünschtes Security-Niveau zu erreichen und das

Risiko auf ein akzeptables Maß zu reduzieren.

Die Komponenten der Security-Infrastruktur sind die technischen Bau-

steine zur Absicherung der Systeme. Ihr Einsatz und ihre Verwaltung

zählen zu den wichtigsten taktischen Maßnahmen in jeder unter-

nehmensweiten Security-Strategie. Das ISA SP99-Team (ISA-TR99.00.01)

und andere (CIDX) haben Security-Techniken in allgemeiner Form kate-

gorisiert und erörtert. Dies hilft, die wachsende Liste von Security-

Produkten zu strukturieren und erleichtert den Entwurf von Security-

Architekturen und -Konzepten.

Die Auswahl der richtigen Security-Vorkehrungen und -Produkte ist eine

komplexe Aufgabe, die eine detaillierte Analyse der Leistungen und des

Verhaltens erfordert und eine starke Motivation für ein gemeinsames,

unternehmensweites Security-Programm gibt. Security-Produkte gibt es

in vielen Kombinationen, und die meisten Netzwerk- und Anwendungs-

produkte verfügen über gewisse Security-Merkmale. Zum Beispiel

können Firewalls gesondert gekauft werden, sie sind aber auch in

Netzwerkroutern und Betriebssystemen integriert verfügbar.

Firewalls

Firewalls zählen zu den bekanntesten Security-Vorkehrungen und

werden üblicherweise an der Grenze von Security-Zonen verwendet, um

Eigenschaft Bemerkungen

Authentifizierung und Autorisierung

Anwenderverzeichnisse, Passwortverwaltung, Authentifizierung mit zwei Merkmalen (z.B. Name und Passwort), Token, Biometrie, Kerberos

Filter, Blockierung, Zugriffskontrolle

Firewalls, VLAN, Router, Paketfilter, Intrusion Prevention Systeme

Verschlüsselung und Datenvalidierung

Öffentliche und private Schlüssel, VPN, IPSec, SSL, digitale Zertifikate

Auditierung, Messung, Überwachung und Nachweis

Angriffserkennung und -prävention, Protokollier- und Auditierungs-Tools, Virus- und Schadcodeerkennung, Vulnerabilityscanner, Netzwerkforensik und Analyse-Tools, Tools für automatisierte Softwareverwaltung

Betriebssysteme Workstation, embedded Server, embedded Realtime, kundenspezifische Anpassung, IP-Hardening, Domänenverwaltung, Patchmanagement

Physische Security-Kontrollen

(nicht in diesem Bericht behandelt)

Security-Technologien nach ISA99



den externen Zugriff auf die Netze innerhalb der Zonen zu regeln. Man

beachte dabei, dass ein Standort aus mehreren Security-Zonen wie Ver-

waltung, Betriebsführung und Netzwerken der Prozesssteuerung be-

stehen kann sowie aus Firewalls, die für deren Isolierung sorgen.

Firewalls gibt es in den unterschiedlichsten Konfigurationen und Kon-

fektionierungen, einschließlich Standalone-Software, dedizierter Hard-

ware oder manchmal sogar als Teil des Betriebssystems. Sie sind nicht

alle gleich und müssen konfiguriert werden, um dem Einsatzzweck

gerecht zu werden. Entsprechend müssen ihre Auswahl, ihr Einsatz und

ihre Verwaltung sorgfältig geplant werden.

Verbindungen über VPN und IPSec

Virtuelle private Netzwerke (VPN) sind weit verbreitet und stellen

sichere Verbindungen zwischen Fertigungsstandorten bereit. Bei der

Verwendung von VPN wird jedoch angenommen, dass beide Seiten ver-

trauenswürdig sind, und die übermittelten Informationen werden in

keiner Weise beschränkt. Daher müssen noch weitere Schutzmethoden

für die notwendige Filterung und Isolierung angewandt werden. Bei

IPSec verhält es sich ähnlich, und einige Lieferanten legen sogar nahe,

zwei Stationen in einem großen Netzwerk mit IPSec zu verbinden, um

sensitive Daten vor dem Zugriff durch andere Netzteilnehmer zu

schützen.

Security-Zellen

Die Implementierung eines Security-Konzepts beginnt mit der Aufteilung

der Anlage in logische Security-Zellen entsprechend ihrem physi-

kalischen und funktionellen Layout, der Netzwerkarchitektur und dem

gewählten Security-Konzept. Eine Security-Zelle kann aus mehreren

kleineren Segmenten bestehen, muss aber letztlich in der Lage sein, für

einen gewissen Zeitraum ohne Verbindung zu anderen Anlagen oder

Funktionseinheiten autonom zu arbeiten, wenn sie vom Rest der Anlage

abgeschnitten ist. Alle Teilnehmer innerhalb der Security-Zelle werden

als vertrauenswürdig betrachtet, so dass innerhalb keine weiteren

Security-Vorkehrungen erforderlich sind. Deshalb sind weder Daten-

verschlüsselung noch Firewalls zwischen Geräten innerhalb der Zelle

notwendig. Dies bedeutet, dass der Zugriff auf Security-Zellen nur über

wohl definierte Zugangspunkte mit Authentifizierung stattfinden darf.

Zellen nach Funktion aufzuteilen führt dazu, dass die meiste Netz-

kommunikation innerhalb der Zelle stattfindet. Dies reduziert die

anlagenübergreifende Kommunikationslast und vereinfacht eine Analyse

des Datenverkehrs im Falle einer Störung. Die Absicherung gegen fehler-

hafte Benutzung wird in erster Linie durch die gegenseitige Berechtigung



und Authentifizierung von Benutzern und Geräten erreicht. Typische

Standards für die Überprüfung von Security-Berechtigungen sind

Kerberos (über Active Directory) oder IPsec.

Patch-Management in Produktionsunternehmen

Produktionsbetriebe haben im Vergleich zu Office-Systemen wesentlich

spezifischere Anforderungen. Daher ist das Patch-Management in Pro-

duktivbetrieben ungleich komplizierter. Beide Bereiche benutzen dieselbe

Plattform, normalerweise PCs mit Microsoft Windows-Betriebssystemen,

aber die Anwendungen sowie die Risiken und Folgen, die mit einer

Störung verbunden sind, unterscheiden sich dramatisch und zwingen das

Unternehmen, das Patch-Management differenziert zu behandeln.

Die wichtigsten Unterschiede liegen bei den Anforderungen hinsichtlich

Zuverlässigkeit, Verfügbarkeit und Verträglichkeit. Systeme, die im

Produktionsbetrieb verwendet werden, etwa für Mensch-Maschine-

Schnittstellen (HMI), erlauben dem Anlagenpersonal, den Prozess zu

visualisieren und zu kontrollieren. Der Ausfall eines solchen Systems

kann in vielen Fällen ein Risiko für Mensch, Umwelt und sogar für die

öffentliche Sicherheit bedeuten. Diese Systeme müssen normalerweise

rund um die Uhr laufen, und die Kosten eines Stillstands können hoch

und nicht wieder hereinzuholen sein. Schlussendlich sind einige End-

produkte nur dann brauchbar, wenn ihre Herstellungsbedingungen und

ihre Qualität dokumentiert sind, und dies ist nur mit elektronischen

Systemen machbar.



Das Siemens PCS 7 Security-Konzept

Das Personal von Prozessanlagen verfügt nicht immer über eingehende

Kenntnisse der IT-Security. In der heutigen Zeit arbeiten Prozess-

ingenieure eng mit den internen IT-Abteilungen zusammen, um eine

Security-Strategie für ihre Anlagen zu entwickeln, zu

implementieren und in Betrieb zu halten. Diese Aufgabe

kann natürlich erleichtert werden, wenn die

Automatisierungslieferanten dabei eine aktive Rolle

übernehmen und in Security-Fragen beratend und

unterstützend zur Seite stehen. Obwohl alle Anbieter

mittlerweile erkannt haben, dass sich die

Prozessanwender bezüglich Security große Sorgen

machen, reichen die angebotenen Lösungen von der

Bereitstellung „sicherer“ Komponenten bis hin zu

ganzheitlichen Systemansätzen.

Die Siemens AG, ein führender Anbieter von sowohl

diskreten als auch von verfahrenstechnischen

Automatisierungslösungen, hat seit Einführung des

Prozessleitsystems PCS 7 einen durchgängigen Systemansatz verfolgt.

Das PCS 7 Security-Konzept bündelt wesentliche Security-Maßnahmen

aus unterschiedlichen Bereichen zu einer mehrschichtigen, im

Allgemeinen als „Defense in Depth“ bezeichneten Security-Lösung.

Der Systemansatz des PCS 7 Security-Konzeptes

Das PCS 7 Security-Konzept von Siemens deckt alle kritischen Bereiche

der Prozess-IT ab. Es berücksichtigt Security-Zellen und Zugriffspunkte,

Netzwerkverwaltung, Management von Computern und Nutzern, Zu-

griffsverwaltung, Zeitsynchronisierung, Patch-Management, Virenschutz

und Datenwiedergewinnung nach einem Zwischenfall („Disaster Re-

covery“). Obwohl dies durchaus komplex erscheinen mag, so hilft doch

ein modularer Ansatz, die Komplexität auf ein akzeptables Maß zu be-

schränken. Darüber hinaus werden standardmäßige, webbasierte Tech-

nologien eingesetzt, mit denen das IT-Personal bereits vertraut ist. Dieser

umfassende Ansatz ist nicht auf die Verwendung von einzelnen Security-

Methoden wie Datenverschlüsselung oder Einrichtungen wie Firewalls

beschränkt, sondern er basiert wesentlich auf dem Zusammenwirken ver-

schiedener Security-Maßnahmen, die an unterschiedlichsten Stellen im

Steuerungssystem eingesetzt werden. Das PCS 7 Security-Konzept ist in

einem Richtliniendokument veröffentlicht. Es wird regelmäßig

aktualisiert und steht zum Download zur Verfügung.

Security-Zellen und Zugriffspunkte

Netzwerk-Management

Management von Computern und Anwendern

Zugriffsverwaltung

Zeitsynchronisierung

Patch-Management

Virenschutz

Disaster Recovery

Das PCS 7 Security-Konzept spricht die größten Security-Schwächen der Prozess-IT an



Siemens ist gegenwärtig der einzige Automatisierungsanbieter, der das

komplette Angebotsspektrum an Steuerungshardware und -software

sowie sichere Netzwerkkomponenten für industrielle Anwendungen

entwickelt und herstellt. Dies ermöglicht dem Unternehmen, seinen

Kunden die Prozesslösung aus einer Hand anzubieten, kombiniert mit

Netzwerk-Security Komponenten, die für die industriellen Prozesse opti-

miert sind.

Der Aufbau von sicheren Architekturen

Die Ausdehnung von Security-Zellen kann von einer kleinen Auto-

matisierungseinheit bis hin zu einem ganzen Gebäude variieren. Zellen

werden definiert, indem man die Anlage entsprechend der räumlichen

und funktionellen Struktur in logische Segmente einteilt. Um den

Security-Anforderungen von FDA 21 CFR part 11 bezüglich den phy-

sischen und logischen Zugriffsbeschränkungen zu entsprechen, müssen

Security-Zellen gegebenenfalls ein „geschlossenes System“ bilden. Fire-

walls werden verwendet, um Zellen an Netzwerkzugangspunkten vom

Rest der Anlage zu isolieren.

In vielen Fällen ist es notwendig, den Zugriff auf eine Security-Zelle für

ein vertrauenswürdiges Gerät, das sich außerhalb der Zelle befindet, zu

gewähren, z.B. für eine Workstation, die eine MES-Anwendung ausführt.

Dies kann mit Hilfe des Standard IPsec-Protokolls erfolgen, das die

Workstation zu einem Teil der Security-Zelle macht, aber mit be-

schränkten Zugriffsrechten. Geräten, denen man nicht vertraut, die aber

von vertrauenswürdigen Partnern verwendet werden, sollten auf eine

Weise angeschlossen sein, die eine Überprüfung aller Aktionen auf

potenzielle Gefährdungen ermöglicht. Dafür kann die Standard-

Webserver Technologie auf einem Server außerhalb der Zelle in einer

sogenannten „demilitarisierten Zone“ (DMZ) verwendet werden. Geräte

innerhalb der Security-Zelle schreiben Information auf den Webserver,

der diese Informationen für Geräte außerhalb verfügbar macht. Er erlaubt

aber nicht, dass Informationen zurück in die Zelle geschrieben werden.



DCS Zone

Local Support

Remote Support

DMZ – DataAccess & Exchange

MES Zone

ERP Zone

Verwendung von Firewalls

Von den vielen Firewall-Produkten, die im Markt verfügbar sind,

empfiehlt das PCS 7 Security-Konzept für PC-basierte Lösungen die

Verwendung des Microsoft Internet Security & Acceleration Server 2006

(ISA Server 2006). Er ist in der Lage, HTTP-Verkehr auf dem

Anwendungs-Layer zu filtern, Daten mit einem eingebauten

Virenscanner auf Viren zu untersuchen sowie IPsec-Daten als Proxy zu

empfangen und zu entschlüsseln. Diese können dann auf Anomalien

analysiert werden. Er ermöglicht außerdem – abhängig vom Security-

vorkommnis – zwischen unterschiedlichen Security-Policies (etwa beim

Nachweis eines Virus) zu wechseln. Dies kann bis zur völligen Blockie-

rung der Kommunikation im Falle eines Security-Problems gehen. Als

Anwendungs-Proxy kann der ISA Server 2006 Daten anstelle des tat-

sächlichen Empfängers akzeptieren und den Paketinhalt auf schädlichen

Code kontrollieren, bevor er ihn an den beabsichtigten Empfänger über-

mittelt. Der Proxy kann vor dem Weiterleiten der Pakete auch eine

Benutzer- und Computer-authentifizierung ausführen. Das Security-

Konzept empfiehlt die ISA Server 2006 Firewall aufgrund der vielfältigen

Anpassungsmöglichkeiten auch für Einwahl-Verbindungen über Virtual

Private Networks (VPN). Schließlich kann auch die lokale Firewall von

Windows XP benutzt werden. Diese Firewall kann automatisch von der

PCS 7 Setup-Routine richtig konfiguriert werden.

Security-Zellen werden gebildet, indem man die Anlage gemäß den physischen und funktionellen Ebenen in logische Segmente einteilt



Für Firewalls auf Hardware-Basis empfiehlt Siemens seine eigene Reihe

von Scalance S Security-Modulen. Diese Module unterscheiden sich von

Office-Geräten durch ihre Industrietauglichkeit (IP30) und die optimierte

Kommunikation von Prozesssteuerungsinformationen. Die Scalance S

Security-Module ermöglichen unterschiedliche Filterfunktionen für Da-

tenpakete, von einfacher Paketkontrolle bis hin zu Stateful Inspection.

Stateful Inspection merkt sich zum Beispiel, welche der ausgehenden

Pakete Antworten erwarten. Nur eingehenden Paketen, die erwartete

Antworten enthalten, dürfen passieren. Stateful Inspection Firewalls be-

rücksichtigen auch feststehende TCP-Verbindungen und bieten deshalb

mehr Security als reine Paketfilter-Firewalls.

Patch Management

Das Patch-Management in der Prozessautomatisierung ist eine weitere

komplexe und herausfordernde Aufgabe für die Prozessbetreiber, be-

sonders für jene, die immer noch ältere oder sogar abgekündigte Versio-

nen von Betriebssystemen verwenden. Aber auch für ein aktuelles Be-

triebssystem wie Windows XP trifft die goldene Regel „Never patch a

running system“ nicht uneingeschränkt zu. XP und das 2007 freigegebene

Windows Vista bleiben die

vorrangigen Ziele für Malware

aus der ganzen Welt, sodass

Aktualisierungen in der Anlage

ebenso wichtig sind wie im

Office-Bereich. Obwohl

Prozessleitsysteme nicht die

bevorzugten Ziele von Viren sein

mögen, können die Folgen und

Schäden eines eingedrungenen

Virus viel verheerender sein als

bei einem infizierten Office-PC.

Das PCS 7 Security-Konzept hilft

Anwendern bei der Verwendung

von Standard-Microsoft-Tools in

den vier Phasen des Patch-

Managements: 1) Bedrohungen

und Anfälligkeit beurteilen,

2) relevante Updates finden,

3) Auswertungen durchführen und Einsatzentscheidungen treffen und

4) Updates durchführen. Zu diesem Zweck beschreibt das Security-

Konzept, wie die verschiedenen Microsoft-Tools einschließlich des

Windows Software Update Service (WSUS) und des System Management

Unterteilung in Segmente und Security-Zellen

TiefengestaffelteSecurity-Architektur

Windows Security Patch-Management

Support-Zugriffund Fernwartung(VPN, IPsec)

Virenscan und Firewalls

Zeit-synchronisierung

Benutzer- und Zugrifssrechte

Active Directory und Windows Workgroups

Netzwerk-Subnetze, IP-Adressenund Namens-auflösung

Unterteilung in Segmente und Security-Zellen

TiefengestaffelteSecurity-Architektur

Windows Security Patch-Management

Support-Zugriffund Fernwartung(VPN, IPsec)

Virenscan und Firewalls

Zeit-synchronisierung

Benutzer- und Zugrifssrechte

Active Directory und Windows Workgroups

Netzwerk-Subnetze, IP-Adressenund Namens-auflösung

Das PCS 7 Security-Konzept bietet umfassende Richtlinien und Empfehlungen für alle Aspekte der industriellen Sicherheit



Server (SMS) zu verwenden sind, um das Patch-Rollout deutlich zu ver-

einfachen. Einige Einstellungen sind notwendig, etwa die Blockierung

automatischer Neustarts.

Um die Anfälligkeit der Computer gegenüber Security-Bedrohungen zu

beurteilen, werden ausgewählte Computer mit dem Microsoft Baseline

Security Analyzer (MBSA) gescannt und analysiert. Die festgestellten

Schwachstellen werden zusammen mit einer Liste der fehlenden Security-

Patches in einem Bericht zusammengefasst. Auf Grundlage dieses Be-

richtes muss der Anwender dann das Risiko der Weiterführung des Be-

triebs ohne diese Security-Patches gegen den Aufwand der Installation, die

gegebenenfalls einen Neustart des Computers erfordert, abwägen. Diese

Entscheidung wird durch technische Informationen von Microsoft unter-

stützt – Informationen, die klären können, wie groß und von welcher Art

das Risiko ist (zum Beispiel beim Öffnen einer E-Mail), oder welcher Teil

des Betriebssystems oder welche Anwendung betroffen ist.

Siemens nimmt IT-Security sehr ernst. Das Unternehmen hat ein spe-

zielles Security-Labor eingerichtet, um Security-Konzepte und Em-

pfehlungen zu entwickeln und zu dokumentieren. Auf diese Weise kann

es schnell auf neue Bedrohungen reagieren, PCS 7 proaktiv gegen An-

greifer absichern, Schwachstellenanalysen durchführen sowie Viren-

scanner und Security-Patches auf Kompatibilität testen. Die Test-

ergebnisse werden kurz nach Patch-Freigabe im Internet veröffentlicht.

Viren (Malware) erkennen und abwehren

Neben Firewalls sind Virenscanner die am meisten bekannten Security-

Vorkehrungen. PCS 7 unterstützt die drei am häufigsten gebrauchten

Virenscanner für Produktions- und Steuerungssysteme:

• TrendmicroTM Office Scan Corporate Edition

• SymantecTM Antivirus Corporate Edition

• McAfeeTM VirusScan Enterprise

Virenscanner sollten an den Zugangspunkten installiert werden, um ein-

gehenden und ausgehenden Datenverkehr zu filtern. Security-Richtlinien

schreiben aber oft vor, dass Anlagen-PCs wie Bedien-Konsolen oder

Engineering-Workstations, die Daten mit der Außenwelt austauschen,

mit Virenscan-Programmen versehen sein müssen. In diesem Fall gibt

Siemens detaillierte Empfehlungen darüber, wie der Virenscanner einge-

richtet werden muss, um eine gute Balance zwischen den Echtzeit-

anforderungen des Prozesses und dem Virenschutz zu erhalten. Die

Weiterleitung von Virenwarnungen an dafür zuständige Mitarbeiter ver-



hindert, dass die Anlagenbediener durch Meldungen des Virenscanners

abgelenkt werden.

Systemzugriff kontrollieren und Benutzerkonten

verwalten

Für Anlagen mit zehn oder mehr Computern empfiehlt das PCS 7

Security-Konzept die Verwendung von Windows Active Directory zur

Verwaltung der Computer und der Benutzerkonten. Active Directory,

das mit Windows 2000 eingeführt wurde, standardisiert das Security-

und Nutzerkontenmanagement auf eine dynamische, flexible Weise und

eignet sich für große Architekturen, bei denen Anwender häufig

wechseln oder Computer regelmäßig hinzugefügt oder entfernt werden.

Außerdem kann die Verwendung von Active Directory aufgrund von ge-

setzlichen Vorgaben erforderlich sein, etwa wenn Kerberos für die

Authentifizierung oder das zentrale Protokollieren von Ereignissen

benötigt wird. Für kleinere, feste Konfigurationen sieht das Security-

Konzept auch den Einsatz von Windows Workgroups vor.

Die Verwaltung von Benutzerkonten ist ein heikles Thema zwischen der

Unternehmens-IT- und dem Anlagenbetreiber. Es muss sowohl mit

hohem technischem Sachverstand als auch mit diplomatischem Fein-

gefühl behandelt und koordiniert werden. Wenn eine eigenständige

Domäne für die Anlage eingerichtet wird, darf diese Domäne nur von

Anlagenpersonal verwaltet werden. Diese Verantwortung kann nicht auf

anlagenfremde Personen übertragen werden, weil diese nicht in der Lage

sind, zu beurteilen, ob eine bestimmte Konfigurationsänderung negative

Auswirkungen auf den Produktionsprozess hat. Active Directory hat den

Vorteil, dass Anlagenpersonal alle Konfigurationen nahezu eigenständig

durchführen kann und schützt deshalb die Anlage vor den Folgen eines

unabsichtlichen Eingriffs durch die IT-Abteilung.

Wenn ein Unternehmen schon eine Active Directory Domäne hat, kann es

eine dedizierte oder „eingebettete“ Organisationseinheit für die Anlagen-

verwaltung einrichten. Dadurch wird die Verantwortung für die

Domänenverwaltung auf den IT-Bereich verlagert, sodass die An-

lagenmitarbeiter ihre eigene Domäne nicht mehr verwalten müssen.

Jedoch erfordert dies eine gute Zusammenarbeit mit der IT-Abteilung,

weil sie Managementverantwortung für die Organisationseinheit der

Anlage übernimmt. In jedem Fall ist es wichtig, dass nicht autorisierte

Mitglieder der IT-Abteilung keine Rechte erhalten, die Konfiguration der

Anlagen-PCs zu verändern, da sonst die große Gefahr besteht, dass

Produktionsprozesse unterbrochen oder negativ beeinflusst werden.



Benutzer- und Zugriffsverwaltung bei PCS 7 und Integration

in Windows-Verwaltung

Windows bietet ein flexibles System für die Zuweisung von Benutzer-

berechtigungen. In kritischen Prozessumgebungen sollten Berechti-

gungen jedoch nach dem Minimalitätsprinzip vergeben werden: Jeder

Anwender sollte nur die Berechtigungen haben, die er unbedingt be-

nötigt, um seine Aufgabe zu erfüllen; beispielsweise sollte gemäß PCS 7

Security-Konzept dem Bedienpersonal keine Administrator-Berechtigung

gewährt werden.

Administratoren können für Projekte in PCS 7, Simatic Batch oder Simatic

Route Control bestimmte Regeln für Berechtigungen definieren, damit

ein gemeinsamer Zugriff auf Projekte und Dateien ermöglicht wird.

Außerdem ermöglicht der Simatic Logon Service die Vergabe von an-

wendungsspezifischen Anwenderrollen und Rechten sowie die Ver-

wendung eines gemeinsamen Logins/Kennworts für den PC und die

Anwendung, die darauf läuft. Simatic Logon nutzt Tools der Windows

Benutzerverwaltung für Funktionen wie automatisches Ausloggen und

automatisches Ablaufen von Kennwörtern.

Netzwerk-Management

Dieser Teil des Security-Konzepts gibt Anleitungen für die Imple-

mentierung von DHCP-Servern und die Zuweisung von IP-Adressen.

Abhängig vom Prozess werden Tipps gegeben, etwa wie die Reser-

vierung von Adressen für alle Anlagen-PCs auf dem Terminal Bus. Damit

wird sichergestellt, dass jeder PC immer dieselbe IP-Adresse erhält, auch

nachdem er lange Zeit ausgeschaltet war.

VPN und Verschlüsselung verwenden

Die Konfiguration von IT-Domänen im Anlagenbereich ist selten statisch.

Zur Systemwartung ist es oft erforderlich, dass ein zusätzlicher PC an das

Netzwerk angeschlossen wird, wenn auch nur temporär. Viele Prozess-

betreiber nutzen heute Fernüberwachungs- und Wartungsdienste von

Systemintegratoren oder Automatisierungsanbietern. Während diese

Dienstleistungen einerseits zur Wertschöpfung beitragen, so bringt es

doch ein hohes Security-Risiko für ein abgesichertes System mit sich,

wenn ein Computer mit unbekanntem Security-Status Zugriff auf die

Anlagendomäne erhält.

Virtual Private Networks (VPN) stellen eine zuverlässige und sichere

Verbindung von einem externen Gerät zu einem abgesicherten Steue-

rungssystem her. Das Siemens Security-Konzept empfiehlt diesen Ansatz

unter Verwendung von Microsoft ISA Server 2006 in Kombination mit

einem Quarantänenetzwerk. Für den Systemzugriff wird der Support-



Computer über einen entsprechenden Einwahl-Hub mit dem ISA-Server

verbunden. Der unbekannte Support-Computer ist dann zwar ver-

bunden, hat aber keine Netzwerkberechtigungen und kann nicht auf die

Anlage zugreifen. Stattdessen verbleibt der Computer im Quarantäne-

netzwerk, wo er einer Security-Prüfung unterzogen wird. Bei dieser

Überprüfung kann festgestellt werden, ob Firewall und Virenscanner

aktiv sind, ob der Computer frei von bekannten Viren ist und ob alle

Updates und Patches installiert sind. Nur wenn diese Punkte bestätigt

sind, wird dem Support-Computer entsprechender Zugriff auf die

Anlage gewährt.

VPN-Verbindungen und Quarantäneeinrichtungen ermöglichen den temporären Netzwerkzugriff auf Computer und Geräte außerhalb der

Anlagendomäne

Wenn der Zugriff auf Anlagendaten über Web-Browser erfolgt, empfiehlt

das Security-Konzept eine Datenverschlüsselung und Server-Authenti-

fizierung, entweder durch Secure Socket Layers (SSL) mit HTTPS oder

IPsec und User-Authentifizierung mit Hilfe von Anwendernamen und

Kennwort. ActiveX Anwendungskomponenten werden mit Hilfe von

Zertifikaten überprüft. Dies ermöglicht dem Anwender, ihre Vertrauens-

würdigkeit anhand der Informationen über die Zertifizierungsstelle zu

prüfen.

Zeitsynchronisierung

Die Synchronisierung der Uhren aller PCs und Steuereinheiten in einer

Anlage ist eine überaus wichtige, aber oft vernachlässigte Angelegenheit.

Bei einer überraschend hohen Zahl von großen und kleinen Ferti-

gungsprozessen kommt es auf eine zuverlässige Uhrzeit und Zeit-

synchronisierung an. Diese Zeitwerte werden oft von Standarduhren im

12- oder 24-Stundenmodus generiert. Bevor es die heute hierfür üblichen

Hilfsmittel gab, waren die Anlagen jedes Mal, wenn die Uhren auf



Sommer- oder Winterzeit umgestellt wurden, mit ähnlichen Problemen

konfrontiert, wie bei der Jahr 2000 Umstellung. Eine potenzielle Gefahr

besteht darin, dass einem Domain-Client das Anmelderecht auf seinen

Domain-Controller verweigert wird. Dies wird durch ein Security-

Merkmal in Windows verursacht, das den möglicherweise unbe-

rechtigten Zugriff auf eine bestehende Sitzung verhindert, wenn eine

voreingestellte Zeitdifferenz zwischen Client und Server überschritten

wird.

Das PCS 7 Security-Konzept unterstützt die meisten Varianten des

Uhrenabgleichs, von kleinen Konfigurationen, die einen Controller als

Uhrzeitmaster benutzen, bis hin zu größeren Szenarien, in welchen alle

Workstations und Controller-Uhren mit einer zentralen Anlagenuhr

synchronisiert werden.

Security-Richtlinien und Schulung

Siemens bietet im Rahmen des PCS 7 Security-Konzeptes einen um-

fassenden Leitfaden für industrielle Security. Die Verpflichtung, eine

klare Security-Richtlinie zu entwickeln und das Anlagenpersonal an-

gemessen auszubilden, liegt aber nach wie vor bei den Anlagen-

betreibern. ARC empfiehlt, zunächst eine klare Vision zu entwickeln, die

einfache, aber tragfähige Ziele für die zukünftige Anlagen-Security

festlegt. Diese Vision sollte alle Aspekte der Security des ganzen

Unternehmens umfassen - nicht nur den des Anlagenbetriebs – und dabei

die Verantwortungsbereiche für das IT- und das Anlagenpersonal klar

definieren.

Aufsetzend auf dieser Security-Vision, sollten die Prozessbetreiber dann

Security-Richtlinien niederschreiben und ausgeben, die auf den Em-

pfehlungen von Leittechnik-Lieferanten wie Siemens basieren. Diese

Richtlinien können dann in so genannte „Best Practices“ im Unternehmen

überführt werden – detaillierte Anweisungen für jede klar festgelegte

Aufgabe zur Ausführung der jeweiligen Security-Policy. Best Practices

sind ausgesprochen detailliert und somit stärker auf die Technik aus-

gerichtet als Unternehmensrichtlinien. Viele der im Siemens Security-

Konzept empfohlenen Verfahren können Eins-zu-Eins als Best Practices

übernommen werden.

Schließlich sollte die Security-Richtlinie spezielle Anleitungen zur Schu-

lung und Weiterbildung einschließen, damit eine angemessen IT-

Qualifizierung des Anlagenpersonals sichergestellt wird. Schulungen

sollten in Form von IT-Zertifikaten nachvollziehbar dokumentiert

werden. Dies ist im Falle einer Security-Verletzung mit möglicherweise



negativen Folgen entscheidend, um die Einhaltung der Firmenrichtlinien

nachzuweisen und um Haftungsansprüche zu begrenzen.

Disaster Recovery

Disaster Recovery Konzepte dienen dem Zweck, den infolge eines

natürlichen oder durch Menschenhand verursachten Unglücks ver-

lorenen Zugriff auf Daten, Hardware und Software wiederzuerlangen,

um den Betrieb wieder aufnehmen zu können. Da die Prozesstechnik

mehr und mehr datengesteuert ist, gewinnt die Fähigkeit, Daten schnell

wiederherzustellen, höchste Bedeutung. Traditionelle Sicherungskopien

auf Band sind für die Wiederherstellung des Ausgangszustandes oft

unzulänglich, weil sie zu viele manuelle Eingriffe und die Verwaltung zu

vieler Daten erfordern – zwei Umstände, die fast zwangsläufig zu

Fehlern und Verzögerungen führen. Es gibt Lösungen auf Netzwerk-

Basis für Enterprise-Systeme, aber diese erreichen möglicherweise nicht

in allen Fällen kritische Daten, die auf dezentralen oder Labor-PCs

gespeichert sind.

Bei PCS 7 wird jeder Anlagen-PC mit einem vollständigen Image der

Systemsoftware geliefert, mit dem die Systempartition im Falle eines

Datenverlusts jederzeit wiederhergestellt werden kann. Zur Archivierung

von Prozessdaten bietet Siemens mehrere Programme an, wie etwa

StoragePlus, Central Archive Server (CAS) und Simatic IT Historian. Die

Workstation-PCs verfügen über RAID-Technologie, um die MTBF von

Festplatten zu verbessern. PCS 7 Netzwerkkomponenten unterstützen

Syslog, den De-facto-Standard für das Weiterleiten von Protokoll-

meldungen in einem IP-Netzwerk. Schlussendlich unterstützt PCS 7

Redundanz auf allen Ebenen.

Erfolgreiche Disaster Recovery heißt, einem festgelegten Disaster Re-

covery Plan (Best Practices) zu folgen, wenn sich Hektik oder gar Panik

breit macht. Hierbei sollte die Ursache des Absturzes vor der Wieder-

herstellung der Festplatten analysiert werden, um eine Wiederholung des

Vorfalls in einer ähnlichen Situation zu verhindern. Die Schulung des

Anlagenpersonals sollte auch ein Disaster Recovery Training beinhalten,

und die Security-Vision sowie die dazugehörigen Richtlinien sollten

Vorkehrungen für Disaster Recovery einschließen.

Normen und Zertifizierung

Die Regierung der USA stellt die Tragweite der industriellen Security

klar und deutlich heraus. Das Department of Homeland Security, das

nach den Terroranschlägen 2001 gegründet wurde, hat das Idaho

National Laboratory (INL) damit beauftragt, Best Practices für „Control



Systems Cyber Security“ zu formulieren und zu veröffentlichen. Diese

Richtlinien zielen ausdrücklich darauf ab, Angriffe von „Terroristen,

Schurkenstaaten, Hackern und Angreifern von Innen“ auf strategische

Industrieanlagen zu verhindern. Dies schließt Chemie-, Nahrungsmittel-

und Wasserwerke sowie andere Einrichtungen der öffentlichen Infra-

struktur ein. In Fällen, in denen Security-Konzepte nicht belegt werden

können, können Prozessanwender ihre Haftbarkeit reduzieren, indem sie

sich auf diese Richtlinien und Empfehlungen wo immer möglich be-

ziehen und sie anwenden.

Zertifizierung ist schwierig, solange es an Normen fehlt. Zertifikate von

kleinen, unabhängigen Firmen sind nicht vergleichbar. Selbst dann nicht,

wenn ein ausgesprochen hohes Maß an Expertise bei ihnen vorliegt. Sie

versetzen die Automatisierungsanbieter in die Situation, dass sie sich

unterschiedlichsten Zertifizierungsverfahren unterziehen müssen, um die

Anforderungen der Endanwender zu erfüllen – eine unangemessene

Kostenbelastung.

Dies ist ein Grund, warum die ISA das ISA Security Compliance Institute

(ISCI) ins Leben gerufen hat. Im ISCI können führende Industriefirmen,

Behörden und Endanwender gemeinsam Standardtestprogramme und

Testumgebungen entwickeln, um die Einhaltung von Industriestandards

wie ISA99 zu beurteilen. Öffentliche Auftraggeber und Versicherer

können die Endanwenderbranchen, abhängig vom Bedrohungspotenzial,

das ein möglicher Vorfall für Umwelt und Bevölkerung hat, in unter-

schiedliche Security-Kategorien einordnen. Über diese Kategorie kann

festgelegt werden, welche Security-Stufe durch eine Zertifizierung er-

reicht werden muss und wann diese Zertifizierung verfällt bzw. erneuert

werden muss. Auf der Basis von allgemein anerkannten Normen kann

eine zuverlässige Zertifizierung durch hierzu berechtigte Institutionen

wesentlich kostengünstiger erfolgen und die Zertifizierungsergebnisse

werden vergleichbar. Siemens ist ein Gründungsmitglied von ISCI.



Empfehlungen

Die Security von Steuerungssystemen hat in den letzten Jahren rasche

und deutliche Fortschritte erzielt, aber die Angriffe werden immer

raffinierter und häufiger. Umfassende Security-Strategien sind für viele

Unternehmen neu. Aber auch solche Unternehmen, die hier schon weiter

vorangeschritten sind, profitieren davon, ihre Strategien zu überprüfen

und gegebenenfalls neuere Technologien und Vorgehensweisen zu be-

rücksichtigen. Die Verfahren, um eine sicheres Umfeld aufzubauen und

aufrechtzuerhalten, sind verfügbar, aber sie können kostspielig sein.

Folglich muss sich der Stand der Technik weiterentwickeln, bis Security

in unsere Prozesse, in die Systeme und in die Software, die wir kaufen,

Eingang findet.

• Beginnen Sie, indem Sie eine Vision mit einfachen, aber nachhaltigen

Zielen für die zukünftige Anlagen-Security entwickeln. Diese Vision

sollte die Security des ganzen Unternehmens beinhalten – nicht nur

die des Anlagenbetriebs. Sie sollte die Verantwortlichkeiten zwischen

der Unternehmens-IT und Anlagen-IT klar definieren. Anschließend

erstellen Sie Security-Richtlinien, welche die Ziele der Security-Vision

unterstützen.

• Setzen Sie die Einführung der Security-Maßnahmen im Unternehmen

durch, einschließlich einheitlicher Methoden zur Risikobewertung

und zur Festlegung des erforderlichen Security-Niveaus.

• Definieren Sie die Security-Architektur für den Unternehmens- und

den Anlagenbereich. Diese legt die Rahmenbedingungen für die not-

wendige Segmentierung der Anlage fest, für die Erarbeitung von

Richtlinien und für die Einführung von Security-Maßnahmen.

Nutzen Sie den Prozess der Normung, um eine Security-Infrastruktur

zu finden, zu bewerten und auszuwählen, die die einheitliche

Nutzung, gemeinsame Richtlinien und eine höhere Security er-

möglicht.

• Bauen Sie eine kooperative Beziehung zu Softwarelieferanten auf.

Teilen Sie ihnen Ihre Anforderungen mit. Lassen Sie sie Methoden

entwickeln, mit denen die Anfälligkeiten durch Schwachstellen re-

duziert werden. Überlegen Sie sich, ob die Unterstützung mit

Security-Dienstleistungen in Kaufverträge aufgenommen werden

kann. Softwareanbieter wissen oft am besten, wie ihre Produkte zu

schützen sind, investieren in Security und wollen helfen.



• Nutzen Sie die Security-Beratung, die von Leittechnikanbietern an-

geboten wird.



Analyst: David W. Humphrey

Lektor: Larry O’Brien

Abkürzungen: Eine vollständige Liste englischer Abkürzungen finden Sie

im Internet unter www.arcweb.com

API Application Program Interface

APS Advanced Planning & Scheduling

B2B Business-to-Business

BPM Business Process Management

CAGR Compound Annual Growth Rate

CAS Collaborative Automation System

CMM Collaborative Manufacturing

Management

CNC Computer Numeric Control

CPG Consumer Packaged Goods

CPAS Collaborative Process Automation

System

CPM Collaborative Production

Management

CRM Customer Relationship

Management

DCS Distributed Control System

EAI Enterprise Application Integration

EAM Enterprise Asset Management

ERP Enterprise Resource Planning

HMI Human Machine Interface

ISA Instrumentation, Systems and

Automation Society

IT Information Technology

MIS Management Information System

MRP Materials Resource Planning

OpX Operational Excellence

OEE Operational Equipment

Effectiveness

OLE Object Linking & Embedding

OPC OLE for Process Control

PAS Process Automation System

PLC Programmable Logic Controller

PLM Product Lifecycle Management

RFID Radio Frequency Identification

ROA Return on Assets

RPM Real-time Performance

Management

Die 1986 gegründete ARC Advisory Group hat sich als Vordenker bei

Fertigungs- und Supply-Chain-Lösungen etabliert. Wie kompliziert Ihre ge-

schäftlichen Fragen auch sein mögen – unsere Analysten verfügen über

das Know-how und die Industrieerfahrung, um die beste Antwort für Sie zu

finden. Wir fokussieren einfache, aber entscheidende Ziele: Verbesserung

von Rendite, betrieblicher Leistungsfähigkeit, Gesamtbetriebskosten,

Amortisierung von Projekten und Shareholder Value.

Alle in diesem Bericht enthaltenen Informationen sind Eigentum von ARC

und urheberrechtlich geschützt. Die Vervielfältigung dieses Berichts – ganz

oder teilweise – ohne vorherige Zustimmung von ARC ist untersagt. Die

publizierten Untersuchungen wurden zum Teil von Profibus International

gesponsert. Die von ARC in diesem Bericht geäußerten Ansichten beruhen

jedoch vollständig auf der unabhängigen Analyse von ARC.

Die umfassende, kontinuierliche Marktforschung von ARC sowie die Er-

fahrung unserer Mitarbeiter sind in unseren Advisory Services gebündelt.

Die Advisory Services unterstützen Führungskräfte, die für Strategie-

planung und Entwicklung verantwortlich sind. Weitere Informationen er-

halten Sie bei:

ARC Advisory Group, Stadttor 1, D-40291 Düsseldorf

Telefon: 49 (0)211-3003-416, Fax: 49 (0)211-3003-200

Email: [email protected]

Oder besuchen Sie unsere Website unter www.arcweb.com

arc white p aper · 2008-07-28 · verwenden gemeinsame office-anwendungen führen eine große...

Documents