Checkliste: Ist Ihre Anlage cybersicher?

Cyberattacken auf die Industrie sind inzwischen von langer Hand geplant, bestens finanziert und hochgradig maßgeschneidert. Woran erkennen Anlagenbetreiber, ob ihre eigene Systemumgebung cybersicher ist?

Die Nachricht sorgte Ende 2017 für Aufsehen: Erstmals hatten Kriminelle eine Sicherheitssteuerung erfolgreich gehackt. Die davon betroffene Prozessanlage musste abgeschaltet werden. Ein Schock – gehen viele Anlagenbetreiber doch davon aus, dass ihre Sicherheitssteuerung genau solche Szenarien verhindert. Doch bei Cybersecurity geht es um weit mehr als Technik.

Ob eine Anlage nach den aktuell geltenden Standards als cybersicher gilt, bedarf einer genauen Analyse. Erste Hinweise können aber die folgenden Fragen liefern. Anlagenbetreiber, die eine oder mehrere dieser Fragen mit „Nein“ oder „Ich weiß nicht“ beantworten, sollten sich umgehend beraten lassen.

Checkliste: Fünf Kriterien für Cybersicherheit

  • Sind Prozessleitsysteme und Sicherheitssystem voneinander getrennt?
    Tritt ein Fehler im Prozessleitsystem auf, darf es sich nicht auf das Sicherheitssystem auswirken. Beide Systeme sollten daher physisch getrennt sein und auch von unterschiedlichem Personal betrieben werden. Zwischen den Systemen braucht es nach der IEC-Norm 62443 getrennte Netzwerkebenen mit definierten Übergängen – sogenannte conduits.
  • Nutzt das Sicherheitssystem ein proprietäres Betriebssystem?
    Offene oder weit verbreitete Betriebssysteme wie UNIX sind aus einem einfachen Grund anfälliger als Eigenentwicklungen: Sie sind bekannter. Angreifer konnten daher etwaige Schwachstellen über Jahre hinweg ermitteln und gezielt ausnutzen.
  • Ist die Kommunikation durchgängig abgesichert?
    Neben dem Controller selbst muss auch die Datenübertragung geschützt sein. Das gilt für die Kommunikation zwischen Prozessleitsystem und Sicherheitssteuerung, aber ebenfalls für den Datenaustausch mit Feldgeräten. Dafür sind spezialisierte Protokolle erforderlich. Wichtig ist zudem, den Prozessor – und damit die Verarbeitung der Safety-Anwendung – von der Kommunikation logisch zu trennen. So ist der cybersichere Anlagenbetrieb auch dann noch gewährleistet, wenn die externe Kommunikation attackiert wird.
  • Trägt die Programmierumgebung zur Risikominderung bei?
    Eine falsche Konfiguration, eine nicht geschlossene Schnittstelle: Durch Nachlässigkeit oder gezielte Manipulation können leicht sicherheitskritische Vorfälle entstehen. Das Risiko senken kann eine Engineering-Umgebung, die viele Fehlerquellen von vorne herein ausschließt. Beispielsweise, weil sie in sich geschlossene, zertifizierte Funktionsbausteine nutzt oder Änderungen anhand von Prüfsummen verifiziert.
  • Sind die Mitarbeiter für Cybersecurity sensibilisiert?
    „Eine Kette ist nur so stark wie ihr schwächstes Glied“ – in puncto Cybersecurity ist dieser Spruch weit mehr als nur eine Phrase. Daher muss jeder Mitarbeiter – nicht nur diejenigen, die direkt an sicherheitskritischen Anlagen arbeiten –für IT-Sicherheit sensibilisiert werden. Das fängt bei vermeintlich simplen Vorgaben wie der Erstellung sicherer Passwörter und ihrer strikten Geheimhaltung an. Die Mitarbeiter müssen aber auch typische Methoden von Cyberangriffen kennen und verstehen – um beispielsweise nicht zum Opfer von Social Engineering zu werden.

Natürlich erheben die genannten Kriterien keinen Anspruch auf Vollständigkeit. Sie sind vielmehr als Basis für einen sicheren Anlagenbetrieb in Zeiten industrieller Vernetzung zu sehen. Eine Detailanalyse und konkrete Handlungsempfehlungen liefern die HIMA Consulting Services.

Norm IEC 62443
Die Norm IEC 62443 fordert getrennte Schutzebenen.