Cybersecurity in der industriellen Automatisierung

Cyber-Attacken auf dem Vormarsch

Laut einer Studie von Kaspersky Lab ICS CERT konnten alleine im Monat Dezember 2017 21,9 Prozent prozentuale Angriffe auf Industriecomputer verzeichnet werden. Dabei spielt es keine Rolle, ob es sich um die Automobil-, Lebensmittel- oder Energieindustrie handelt. Eine geeignete Cybersecurity-Strategie ist daher notwendig, um die Sicherheitslücken im Unternehmen zu schließen und sich vor weiteren Angriffen zu schützen.
Übersichtsgrafik
ÜbersichtsgrafikBild: BE.services GmbH

Informationen, Nachrichten sowie Berichte über rasant steigende Cyber-Attacken sind auch für Unternehmen aus der Automationsbranche nichts Neues. Bisherige Attacken oder Angriffe, wie Datenmissbräuche und -manipulationen waren erst der Anfang. Ein erfolgreich ausgeführter Angriff kann Unternehmensschäden in Millionenhöhe auslösen, Menschenleben gefährden oder den Ruin bedeuten. Denn industrielle Steuerungssysteme sind durch ihre Vernetzung sehr verwundbar: Industrie 4.0 und IoT-Infrastrukturen bestehen aus Cyber-physikalischen Systemen und sind mit Firmen-IT-Netzwerken und dem Internet verbunden. Sowohl die Anzahl der angeschlossenen Geräte als auch die Verwaltungskomplexität der IT-/OT-Konvergenz steigen an. Zudem müssen Functional-Safety und Cybersecurity von Anlagen über einen kompletten Komponentenlebenszyklus hinweg gemanagt werden. Aus diesem Grund erlangt die IEC62443-Norm eine zunehmende Bedeutung in der Branche. Dieser Standard definiert Verfahren sowie Richtlinien zur Umsetzung der Sicherheitsrichtlinien in ICS und betrifft Endverbraucher, Systemintegratoren und Hersteller. Eine umfassende Cybersecurity-Lösung setzt bereits bei der Auswahl der Hardware-Komponenten, der Firmware-Architektur und den definierten Entwicklungsprozessen an, um frühzeitig Sicherheitsrisiken zu erkennen und zu eliminieren.

Security Runtime: ermöglicht die Interaktion zwischen dem bestehenden System und KSS, schickt jede Anfrage an den Security-Server und meldet dessen Entscheidung zurück. Security Server: Berechnet das Sicherheits-Urteil, genehmigt oder blockiert nach vordefinierten Sicherheitsrichtlinien und Sicherheitskontexten.
Security Runtime: ermöglicht die Interaktion zwischen dem bestehenden System und KSS, schickt jede Anfrage an den Security-Server und meldet dessen Entscheidung zurück. Security Server: Berechnet das Sicherheits-Urteil, genehmigt oder blockiert nach vordefinierten Sicherheitsrichtlinien und Sicherheitskontexten.Bild: BE.services GmbH

Cybersecurity in der industriellen Automatisierung

Die Industriebranche steht vor völlig neuen Sicherheitsherausforderungen. Kaspersky Lab und BE.Services arbeiten eng zusammen, um dieser Thematik gerecht zu werden. Die Unternehmen bieten spezielle Sicherheitslösungen sowie Dienstleistungen an und haben gemeinsam das Embedded Security Shield (ESS) entwickelt. Die Kernkompetenz von BE.Services ist die Embedded-Software-Entwicklung für industrielle Steuerungssysteme. Dabei hat sich das Team vor allem auf Embedded-Software-Lösungen und deren Kompatibilität zu Industrie-4.0-Ecosystemen spezialisiert. Das Unternehmen ist unter der Geschäftsleitung von Dimitri Philippe Distributor und Integrator für Kaspersky OS (KOS) sowie Kaspersky Security System (KSS). Das Secure-Betriebssystem KOS wird hauptsächlich in der Automobilindustrie (Connected Cars), in der Telekommunikation (Server) oder bei Industrial Control Systems (SPS) und Edge-Geräten eingesetzt, wo IoT-Geräte gesichert werden müssen. Zudem hat Kaspersky die Plattform Kaspersky Industrial Cyber Security (KICS) für Anlagen im Produktportfolio, die einen hohen Sicherheitsschutz für Maschinen und Anlagen bietet. Das KSS ist der Security-Kernel von KOS, lauffähig unter anderen Betriebssysteme wie Linux, um die Kernfunktionalität der Security-Lösung auch auf bereits vorhandenen Geräte zu nutzen. „Im Embedded-Bereich ist Security by Design der richtige Ansatz“, sagt Dimitri Philippe. „Aber auch existierende Geräte können aufgrund des Security-Kernel KSS über ein Update der Firmware-Architektur ein hohes Maß an Security erlangen.“ Neben der SPS sind KOS und KSS für Systeme auf Überwachungs- und Steuerungsebenen (Scada) sowie IoT-Edge-Geräten auch für harte Echtzeitanforderungen geeignet.

Architektur ESS
Architektur ESSBild: BE.services GmbH

Security-Lösung für Codesys-Steuerungen

Als Systempartner von 3S integriert BE.Services KSS auf Codesys-programmierbaren Steuerungen und schützt dadurch vor möglichen Angriffen über die Gateway-Kommunikation sowie über die Feldbus-I/O-Ebene. Das Embedded Security Shield (ESS) filtert sofort alle Informationen und lässt ausschließlich vertrauenswürdige Befehle zu. Dafür wurde das Laufzeitsystem separiert und in zwei Secure Domains implementiert. Das COM-Laufzeitsystem erhält alle Kommunikationsmodule, während die Applikation in einem Core-Laufzeitsystem ausgeführt wird. Die Interprozesskommunikation der beiden Domains läuft über das Kaspersky Security System, das auf dem ESS basiert und über das Gateway eintreffende Anfragen kontrolliert, erlaubt oder blockiert. Die definierten Sicherheitsregeln hierfür lassen sich im Vorfeld mit den Sicherheits-Tools von Kaspersky konfigurieren oder erfolgen innerhalb der Entwicklungsumgebung über das neue Security Editor Plug-In. Auch Angriffe über die I/Os oder Feldbusse können erkannt, blockiert und gemeldet werden. Das Gateway ist für den Online-Zugriff auf die SPS-OPC-Kommunikation, den Data-Server oder den PLC-Handler verantwortlich. So würde z.B. ein OPC-Client-Angriff unmittelbar das Herzstück einer jeden Anlage – die SPS – treffen und unbegrenzt Zugriff trotz einer VPN-Kommunikation ermöglichen. Damit eine SPS auf einem sicheren OS basiert, erfolgt eine Anpassung des Laufzeitsystems durch das BE.Services-Team auf KOS. D.h. alle SPS-Hersteller können Geräte entwickeln, die mit Codesys unter KOS ebenso lauffähig sind, wie z.B. unter Linux, Windows, VxWorks oder QNX. Damit profitiert sowohl der Steuerungshersteller als auch dessen Anwender von einer Secure-By-Design-Lösung mit einem dedizierten Secure-Betriebssystem. Kritische Infrastrukturen stellen ein tagtägliches Ziel von Angriffen dar. In der Prozessautomatisierung sowie Energieversorgung ist Security schon längst ein Thema. Das Unternehmen Altus Sistemas de Automação ist ein Automatisierungslieferant für die Ölindustrie sowie Stromverteilung in Südamerika und setzt auf ESS. „In unserer Branche wird Cybersecurity inzwischen von unseren Kunden geordert. Die Integration von ESS, um unsere Codesys-basierten Steuerungssysteme auf hohem Niveau zu schützen, ist sowohl zeitlich als auch technisch gesehen eine geeignete Lösung für unseren Kunden“, betont Fernando Trein, Business Development Manager bei Altus.

Security Policies Editor: Plug-In Editor in der CODESYS V3 Entwicklungsumgebung für die Konfiguration von Security Policies.
Security Policies Editor: Plug-In Editor in der CODESYS V3 Entwicklungsumgebung für die Konfiguration von Security Policies.Bild: BE.services GmbH

Sicherheit und Wettbewerbsvorteil

Die internationale Norm IEC62443 sorgt für Sicherheit im Automatisierungsbereich. Für die Branche ist vor allem die IEC62443-4-1 (Product development requirements), die IEC62443-4-2 (Technical security requirements for IACS components) und die IEC62443-3-3 (System security requirements and security levels) von Bedeutung. Hierfür wird die IEC62443- und ISASecure-Normenreihe zu Grunde gelegt. Von Security Assessment, Thread Model, Security Measures (inklusive KOS, KSS, ESS) bis hin zur Beratung steht BE.Services seinen Kunden weltweit zur Seite und das herstellerunabhängig.

Seiten: 1 2Auf einer Seite lesen

BE.services GmbH
http://www.be-services.net

Das könnte Sie auch Interessieren

Weitere Beiträge

Sicher auf der x-Achse

Mit steigendem Automatisierungsgrad in Produktion und Logistik wächst die Zahl der Anwendungen, in denen eine sichere Absolutposition benötigt wird. Die dafür vorgeschriebene Redundanz mündet oft in hochkomplexer Technik, deren Integration und Betrieb großen Aufwand erfordern. Die Sensoren SafePXV und WCS von Pepperl+Fuchs bieten hier in der Kombination mit der neuen Auswerteeinheit PUS einfachere Lösungen. Mit diesen Geräten lassen sich SIL3 und PLe mit geringem Integrationsaufwand erreichen.

mehr lesen
Bild: Pilz GmbH & Co. KG
Bild: Pilz GmbH & Co. KG
Effiziente Feldkommunikation mit IO-Link Safety

Effiziente Feldkommunikation mit IO-Link Safety

Auf dem Weg zu einer intelligenten und flexiblen Produktion spielt die industrielle Kommunikation eine zentrale Rolle. So muss etwa eine sichere Datenübertragung bis zu jedem Sensor gegeben sein. Mit IO-Link Safety lassen sich nicht nur die Installation und die Inbetriebnahme beschleunigen, sondern auch die Anlagenverfügbarkeit erhöhen. Erste Lösungen sind jetzt auf dem Markt verfügbar.

mehr lesen
Bild: WIBU-Systems AG
Bild: WIBU-Systems AG
Wibu-Systems und Flecs Technologies bringen Schwung in die Zukunft industrieller Apps

Wibu-Systems und Flecs Technologies bringen Schwung in die Zukunft industrieller Apps

Eine Frage, die sich Entscheider in den Unternehmen täglich stellen, ist: Make Or Buy? Das trifft sowohl auf Softwareschutz und Lizenzierung als auch auf die Umsetzung eines App-Stores oder Marktplatzes zu. DieFirmen Wibu-Systems und Flecs sind eine Partnerschaft eingegangen, um die Entscheidung für KMUs einfacher zu machen. Das Ergebnis: Eine Kombination aus Marktplatz-Technologie sowie Softwareschutz- und Lizenzierungssystem.

mehr lesen