THOUGHT LEADERS FOR MANUFACTURING & SUPPLY CHAIN
ARC WHITE PAPER
AUGUST 2008
IT-Security in der Prozessautomatisierung mit Siemens SIMATIC PCS 7
Abstrakt ..................................................................................... 3
Was ist Security? ......................................................................... 4
Der wirtschaftliche Nutzen von Security.......................................... 7
Die Vielfalt der Security-Infrastruktur in der Prozesstechnik .............. 9
Das Siemens PCS 7 Security-Konzept............................................ 13
Empfehlungen ............................................................................ 24
ARC White Paper • August 2008
2 • Copyright © ARC Advisory Group • ARCweb.com
Security-Bestimmungen berücksichtigen z.T. gegensätzliche Aspekte des Anlagenbetriebs. Die Schwierigkeit besteht darin, Security mit den
wirtschaftlichen Geschäftszielen in Einklang zu bringen.
Bei der Realisierung eines Security-Konzeptes steht am Anfang die räumliche und funktionale Aufteilung der Anlage in Security-Zellen
sowie das Layout des Netzwerks.
AusgefeiltereAngriffs -programme
Mobileund räumlich verteilte Mitarbeiter
Raffinierte Viren -übertragung(nicht nur E-Mail)
Transparenz und Automatisierung vonGeschäftsprozessen
Politische Beweggründe
Größere Angriffs -fläche
GlobaleZusammenarbeit
Wachsende Hacker -Gemeinde
Kontinuierliche
globale Vernetzung
Neue Technologienverfolgen
Weiternutzungvon Altsystemen
Zunehmende Reglementierung
Security- Bestimmungen Geschäfts -
zieleSecurity
ARC White Paper • August 2008
Copyright © ARC Advisory Group • ARCweb.com • 3
Anlageningenieure sollten nicht voraussetzen, dass Security-Konzepte aus dem IT-Bereich
dafür geeignet sind, eine sichere Anlagenumgebung zu
gewährleisten und gleichzeitig die Produktionsziele zu erreichen.
Abstrakt
Mit Security-Maßnahmen für industrielle Steuerungssysteme beschäftigt
sich die Industrie schon seit längerem. Die ersten Nutzer von modernen
Steuerungssystemen in Kraftwerken und Chemieanlagen sahen bereits
die Notwendigkeit, den unbefugten Zugriff auf wichtige Steuerungs-
funktionen zu verhindern. Ebenso haben Hersteller, etwa von Fein-
chemikalien oder pharmazeutischen Produkten, für die „der Prozess das
Produkt ist", immer versucht, die Geheimnisse ihrer Prozesse vor den
neugierigen Augen von Industriespionen zu schützen.
In den letzten Jahren sind die Konzepte und Einstellungen zur Security
von Steuerungssystemen überdacht worden. Notwendig wurde dies in
erster Linie durch den Übergang zu offenen
Standardtechnologien (COTS = Commercial Off-
the-Shelf) wie Ethernet und Microsoft Windows.
Immer wieder tauchen neue Bedrohungen auf. Die
meisten von ihnen richten sich nicht gegen die
Prozessbediener. Nichtsdestotrotz können diese
Opfer solcher Angriffe mit schwerwiegenden Kon-
sequenzen werden. Ein weiteres Problem bei der Planung und Wartung
der Anlagen-IT ist die Abstimmung zwischen dem Anlagenpersonal und
den IT-Abteilungen des Unternehmens, da manchmal verschiedenartige
Auffassungen über die unterschiedlichen Ziele und die besonderen
Anforderungen einer prozesstechnischen Anlage herrschen.
Den Betreibern von Produktionsanlagen fällt es nicht selten schwer, mit
den neuesten Security-Bedrohungen und Technologien Schritt zu halten.
Hier ist Hilfe seitens der Automatisierungslieferanten in Sicht. Während
Security von allen Anbietern als zentrales Thema behandelt wird,
variieren die angebotenen Methoden von der Bereitstellung „sicherer“
Komponenten bis hin zu einem durchgängigen Systemansatz. Die
Siemens AG verfolgt mit ihrem PCS 7 Security-Konzept eine ganz-
heitliche, umfassende Security-Lösung. Diese berücksichtigt die spe-
zifischen Anforderungen einer prozesstechnischen Anlage, die sich im
Allgemeinen deutlich von den Anforderungen der Büro- und Unter-
nehmens-IT unterscheiden. PCS 7 bündelt die wichtigsten Security-
Vorkehrungen aus unterschiedlichen Bereichen zu einem tiefen-
gestaffelten Security-Konzept (Defense in Depth).
ARC White Paper • August 2008
4 • Copyright © ARC Advisory Group • ARCweb.com
Keine Security Policy ist 100-%ig hieb- und stichfest. Anwender müssen die Kosten für Security
gegen den Nutzen einer durchgängigen Vernetzung sowie die Wahrscheinlichkeit und die
Folgen einer Security-Verletzung abwägen.
Was ist Security?
Sowohl in der Bürowelt als auch in der Anlagenwelt wird unter „Se-
curity“ häufig Unterschiedliches verstanden. „Security“ wird manchmal
als Synonym von „Anlagensicherheit“ (Safety) verwendet, besonders in
Bezug auf Zugriffskontrolle für geschützte Bereiche. In der Prozess-
industrie bezieht sich „Safety“ normalerweise auf das kontrollierte Ab-
schalten eines Prozesses nach einem unsicheren oder anormalen Zustand.
In diesem White Paper bezieht sich der Begriff „Security“ auf die elektro-
nische Zugriffskontrolle auf industrielle Steuerungssysteme bzw. den
Schutz dieser Systeme vor unbefugtem Zugriff, ob absichtlich oder un-
absichtlich, sowie vor geplanten und ungeplanten
Angriffen über Schadsoftware (Malware).
Die Verwendung offener Kommunikationstechniken
in den Anlagen, z.B. Ethernet und OPC, machen vor-
mals geschlossene Systeme gegenüber Bedrohungen
von Außen angreifbar. Keine Technologie hat dabei
das Risiko so stark erhöht wie Microsoft Windows,
das in vielen Branchen als de-facto-Betriebssystem eingesetzt wird.
Während dies viele Vorteile für den Anlagenbetrieb gebracht hat, etwa
bei Entwicklungsaufwand, Einsatz- und Schulungskosten, setzt es
gleichzeitig die Steuerungssysteme allen Bedrohungen und Gefahren der
IT-Welt aus.
Assets für die Prozessautomatisierung besitzen lange Lebenszyklen.
Tatsächlich sind viele Steuerungssysteme schon seit mehr als 20 Jahren in
Betrieb. Statt zu investieren und auf moderne Systeme umzustellen – ein
kostspieliger und potenziell störender Vorgang – haben viele Automati-
sierungsnutzer Altsysteme aufrecht erhalten und lediglich deren
Konnektivität verbessert, um mehr Informationen von ihnen abrufen zu
können. Die Folge: Vormals geschlossene Systeme sind plötzlich und
unvorbereitet mit offenen Unternehmensnetzen und dem Internet ver-
bunden, aber damit allen Bedrohungen der modernen Kommunikation
ausgesetzt.
Konflikte mit der Unternehmens-IT
Die herstellende Industrie setzt IT in vielen Unternehmensbereichen ein –
Betriebswirtschaft, Produktion, Engineering, F&E, Labor und Anderen.
Die Methoden für die Entwicklung und Verwaltung dieser ver-
schiedenartigen Systeme sind unterschiedlich, weil sie sich individuell
entwickelt haben und spezifischen Erfordernissen, Prioritäten und
ARC White Paper • August 2008
Copyright © ARC Advisory Group • ARCweb.com • 5
Budgetbedingungen unterliegen. Der wachsende Bedarf nach zusätz-
lichen Fähigkeiten, etwa bereichsübergreifender Informationsaustausch,
funktionsunabhängige Geschäftsprozessoptimierung und unternehmens-
weite Compliance, erfordert jedoch einen integrierten Ansatz. Viele
Unternehmen gehen diese Anforderungen aktiv aus technologischer
Perspektive an.
Betriebssysteme für Office und Produktion: Die Basisanforderungen unterscheiden sich stark
Security ist sowohl für IT-Abteilungen als auch den Anlagenbetrieb eine
kritische Angelegenheit. Obwohl IT-basierte Security-Tools traditionell
von IT-Abteilungen implementiert und gepflegt werden, herrschen heute
doch häufig grundsätzlich voneinander abweichende Betrachtungs-
weisen vor, die sich durch unterschiedliche Security-Ziele ergeben. IT-
Abteilungen sind bestrebt, allen berechtigten Nutzern globale Zugriffs-
möglichkeiten auf Informationen zu geben und die Vertraulichkeit dieser
Informationen zu wahren. Anwender in der Prozessautomatisierung
haben hingegen das Ziel, Anlagenbetriebszeit und Systemverfügbarkeit
zu maximieren. Deshalb sollten Anlageningenieure nicht voraussetzen,
dass Security-Konzepte aus dem IT-Bereich geeignet sind, eine sichere
Office-Systeme Produktionssysteme
Oberste Security-Ziele, geordnet nach Wichtigkeit: 1) Vertraulichkeit, 2) Datenintegrität und 3) Verfügbarkeit (Quelle: ISA SP99 Part 1)
Oberste Security-Ziele, geordnet nach Wichtigkeit: 1) Verfügbarkeit, 2) Datenintegrität und 3) Vertraulichkeit (Quelle: ISA SP99 Part 1)
Verwendung normalerweise für eine Schicht, Ausfälle können oft aufgeholt werden
Oft kontinuierlich im Einsatz, Ausfälle führen zu Produktionsverlust
Lebenszyklus normalerweise 3 Jahre Lebenszyklus normalerweise 10 bis 20 Jahre oder länger
Viele fast identische Systeme (Serien-PCs/Server und Standard-Netzwerkkomponenten)
Normalerweise individuelle Systeme, aber auch robuste Industrie-PCs, die Microsoft Betriebssysteme verwenden und den entsprechenden Gefahren ausgesetzt sind
Keine Anpassung des Betriebssystems Betriebssystemerweiterungen und spezielle Treiber erschweren Aktualisierungen
Umfassende Aktualisierung Nicht auf dem neuesten Stand – laufen teilweise unter MS-DOS oder Windows 3.1, 95, NT, und Security-Updates sind u.U. nicht möglich
Verwenden gemeinsame Office-Anwendungen Führen eine große Vielfalt von Anwendungen aus, die eng an das Betriebssystem gekoppelt sind und deren Aktualisierung teuer ist
Anwendungen werden fast immer als Standardversion ausgeführt
Anwendungen erfordern in der Regel eigene Sprachen, proprietäre APIs und ein spezielles Systemverhalten, um Leistung, Deterministik und Betriebsfunktionalität bieten zu können
Verwenden fast ausschließlich Standard-Securitymechanismen des Betriebssystems
Anwendungen bieten Security-Erweiterungen für die Produktionsanforderungen
ARC White Paper • August 2008
6 • Copyright © ARC Advisory Group • ARCweb.com
Anlagenumgebung zu gewährleisten und gleichzeitig die Produktions-
ziele zu erreichen.
Die ständige Veränderung und unterschiedliche Verwendung der Tech-
nik macht die IT-Strukturierung und laufende Systemunterstützung für
Produktionsunternehmen zu einem dauerhaften Problem. Konflikte
zwischen dem Anlagen- und Office-Bereich sind an der Tagesordnung,
seit die ersten Universalcomputer in Herstellungsbetriebe eingeführt
worden sind. Für viele Unternehmen verschlimmert sich die Situation
dadurch, dass die Systeme komplexer werden, Technologien überlappen
und Integration an Bedeutung gewinnt.
Bedrohungen aus
der ganzen Welt
Gefährliche
Viren aus allenRichtungen
Hacker haben
die Fertigungs-ebene im Visier
Häufige
Security-Updates
Oft sind diese Die Einführung von PCs und Ethernet in der Anlage setzt Produktionsumgebungen plötzlich allen Bedrohungen der IT-Welt aus
Konflikte durch die verschiedenen Sichtweisen der einzelnen Beteiligten
begründet. IT-Abteilungen, die für die Computer im Unternehmen
verantwortlich sind, glauben, dass sie durch den Umgang mit komplexen
IT-Problemen im Office-Bereich über das erforderliche Wissen und die
Prozesse verfügen, um die gesamte IT für die Organisation zu
bewältigen. Bereiche wie Anlagenbetrieb, F&E oder Engineering
argumentieren, dass IT-Entscheidungen anlagenspezifische
Anforderungen berücksichtigen müssen und nicht nur aufgrund von
allgemeinen IT-Erwägungen getroffen werden können. Sie fügen hinzu,
dass IT-Abteilungen die Anforderungen dieser Funktionsbereiche nur
unzureichend kennen und argumentieren, dass es zu riskant ist, ihnen
die gesamte Verwaltung der IT zu übertragen. Beide Seiten haben in
vielen Punkten Recht, und so geht die Debatte in vielen Organisationen
weiter.
ARC White Paper • August 2008
Copyright © ARC Advisory Group • ARCweb.com • 7
Ein Ausweg aus diesem Dilemma besteht darin, dass im Anlagenbereich
eine klare Vision von industrieller Security entwickelt wird, die auf be-
währten Methoden der Office-Welt basiert, aber auf die Erfordernisse der
Prozesssteuerung zugeschnitten ist. Solch eine Vision sollte die spe-
zifischen Anforderungen und Bedürfnisse einer Produktionsanlage im
Vergleich zur Office-IT deutlich artikulieren und gemeinsame Verant-
wortungsbereiche definieren, um hierdurch eine aktive Zusammenarbeit
der beiden Bereiche in der Zukunft zu gewährleisten.
Der wirtschaftliche Nutzen von Security
Industrielle Security-Lösungen werden manchmal als hohe Kostenbe-
lastungen oder notwendige Investition ohne messbare Rendite betrachtet.
Moderne Security-Lösungen gehen jedoch weit über diese Vorstellung
hinaus. Viele Prozessanwender erkennen jetzt, dass die Durchführung
von umfassenden Security-Maßnahmen ihre Geschäftsergebnisse direkt
beeinflussen kann.
Collaborative Manufacturing optimiert die Kommunikation innerhalb der Lieferkette, aber es setzt das Unternehmen auch globalen
Bedrohungen und Risiken aus
Prozessanlagen sind mit Unternehmensanwendungen verbunden, die
ihrerseits über das Internet wichtige Prozessinformationen mit einem
ständig wachsenden Spektrum von Anwendungen – von Produktions-
Management bis hin zu Asset-Management – austauschen. Die Tage der
abgekoppelten Anlage, in der diese Informationen über gedruckte Be-
richte übertragen wurden, sind vergangen. Sogar in Industriebereichen
mit geringer Produktionsgeschwindigkeit hat die Wichtigkeit von Echt-
zeitinformation in den letzten Jahren aufgrund des wachsenden Kosten-
drucks, der mit der Globalisierung der Märkte einhergeht, zugenommen.
Wir verdanken es teilweise den neuen, intelligenten Software-Tools, die
maßgeschneiderte, relevante Information in Echtzeit liefern, dass
Manager immer öfter bessere Entscheidungen treffen können.
Die Verfügbarkeit all dieser Informationen hat zur Folge, dass die Pro-
zessindustrie heute vermehrt von Leistungskennzahlen, so genannten
ARC White Paper • August 2008
8 • Copyright © ARC Advisory Group • ARCweb.com
Prozessbetreiber nehmen möglicherweise an, dass sie nicht
das Ziel von Hackern sind, aber eine kurze Recherche im Internet zeigt Seiten mit erschreckend genauen
Anleitungen, wie man in Prozessleitsysteme und SPSen
eindringen kann.
Key Performance Indicators, bestimmt wird – also von Geschäftszielen,
die auf gemessenen und vorhergesagten Prozessinformationen basieren.
Um diesen Zielen zu entsprechen und um die Unternehmensleistung zu
verbessern, konzentrieren sich die Betreiber darauf, die Effizienz der
Anlagen stetig zu steigern. Typische Messkriterien sind Return on Assets
(ROA) und Overall Equipment Efficiency (OEE). Beides sind wichtige
Kriterien zur Erlangung von Operational Excellence (OpX). Der Albtraum
jedes Prozessbetreibers sind ungeplante Stillstandszeiten - die Unter-
brechung eines kontinuierlichen Prozesses wegen eines Anlagenfehlers,
Bedienungsfehlers oder Securityvorfalls. Um die Geschäftsziele zu er-
reichen, muss ein kontinuierlicher, unterbrechungsfreier Anlagenbetrieb
sichergestellt sein. Sollte dennoch eine Störung auftreten, benötigt das
Unternehmen einen Notfallplan zur raschen Wiederaufnahme der Pro-
duktion. Eine verlässliche Security-Richtlinie, auch wenn sie nicht völlig
hieb- und stichfest ist, trägt wesentlich dazu bei, indem sie das Risiko von
unvorhergesehenen Unterbrechungen mindert.
Risiken und Kosten ohne Security-Konzept
Anlagenmanager betrachten oft den 11. September 2001 als den Tag, an
dem der Begriff „Security“ durch die Terroranschläge in den USA neu
definiert wurde. Nach diesem Tag verwandelte sich Security von einer
internen Angelegenheit zu einer Problemstellung, die auch Cyber-
Angriffe von Außerhalb berücksichtigen muss. Neue Maßnahmen
wurden notwendig, um potenzielle Angriffe auf die zentrale Infra-
struktur zu verhindern, wie etwa auf die Energie- und Wasserwirtschaft,
auf das Transportwesen und auf die Chemische Industrie. In den Ver-
einigten Staaten hat die Regierung aktiv Maßnahmen ergriffen, um
Security-Richtlinien gegen Cyber-Angriffe auf die
produzierende Industrie zu erforschen, zu entwickeln
und zu verbreiten.
Ähnlich wie in der Sicherheits-Technik, wo durch die
intelligente Analyse von Sicherheits-Abschaltungen
zur Reduzierung von Gerätestillständen beigetragen
wird, bieten Security-Konzepte der Prozessindustrie einen
wirtschaftlichen Nutzen, indem sie Security-Risiken reduzieren und
damit die Systemverfügbarkeit steigern. Anstatt Security nur als
zusätzlichen Kostenfaktor zu sehen, sollten die Prozessbetreiber eine
ganzheitliche Betrachtung vornehmen und die Folgen von Security-
Verletzungen abwägen, die sich aus ungeplanten Stillstandszeiten,
Geräteausfällen, Prozessunterbrechungen oder sogar aus der Zerstörung
von Anlagen mit möglichen Umweltschäden oder gar Katastrophen
ergeben können. Neben der offensichtlichen Gefahr für die Gesundheit
ARC White Paper • August 2008
Copyright © ARC Advisory Group • ARCweb.com • 9
und für Leib und Leben steht für Unternehmen möglicherweise auch ihr
öffentliches Ansehen auf dem Spiel, und ein solcher Makel lässt sich nicht
so einfach abschütteln – wie das Beispiel einiger Chemieunternehmen
zeigt.
Security-Gefährdungen sind real
Es gibt viele Gründe für Prozessbediener anzunehmen, dass sie vor
Security-Bedrohungen gefeit sind. Vielleicht glauben sie, dass ihr pro-
prietäres Steuerungssystem keine Verbindung zum Internet hat und dieses
daher keine Bedrohung darstellt. Oder sie meinen, dass sie nicht das Ziel
von Hackern sind; welcher Hacker würde sich schließlich die Mühe
machen und SPS-Kommunikationsprotokolle erlernen? Studien belegen
aber, dass die Steuerungen von vielen Prozessbetreibern, die glauben, dass
ihre Systeme nicht an das Internet angeschlossen sind, in Wahrheit doch
damit verbunden sind. Außerdem zeigt eine kurze Recherche im Internet
Seiten mit erschreckend genauen Anleitungen, wie man in Prozess-
leitsysteme und speicherprogrammierbare Steuerungen eindringen kann,
sorgfältig sortiert nach Typ und Modell.
Mit Beginn der breiten Anwendung des Ethernet in Anlagen, etwa seit
2001, hat die Anzahl von erfolgreichen Angriffen stark zugenommen,
wobei der größte Teil auf externe Zugriffe entfällt. Diese Zahlen belegt
die Industrial Security Incident Database (ISID), die in den letzten Jahren
etwa 140 Vorfälle verzeichnet und dokumentiert hat. Wie viele Vorfälle
nicht angezeigt werden ist unklar, aber die Dunkelziffer wird wahr-
scheinlich ziemlich groß sein, da es Unternehmen widerstrebt, Security-
Verletzungen publik zu machen. Während die meisten Vorfälle auf die
zunehmende Vernetzung von Steuerungssystemen zurückgeführt wer-
den können, lassen sich zumindest teilweise auch Gründe in Angriffen
auf Einrichtungen der öffentlichen Infrastruktur durch Hacker in einer
zunehmend gefährlichen Welt finden.
Die Vielfalt der Security-Infrastruktur
in der Prozesstechnik
Die Security-Infrastruktur umfasst die gesamte Hardware und Software
sowie die zugehörigen Firmenrichtlinien, die die Informationssysteme
schützen und dadurch die Geschäftsrisiken mindern. Zum Beispiel
zählen Firewalls, Intrusion Detection Systeme, Zugriffskontrollmaß-
nahmen und Virenscanner zur Security-Infrastruktur. Damit eine
Security-Infrastruktur wirkungsvoll sein kann, muss sie überall im Unter-
nehmen zum Einsatz kommen. Dementsprechend muss jede Security-
ARC White Paper • August 2008
10 • Copyright © ARC Advisory Group • ARCweb.com
Strategie eine unternehmensweite Security-Architektur einschließen, die
bestimmt, wo und wie ausgewählte Infrastrukturelemente verwendet
werden, um ein gewünschtes Security-Niveau zu erreichen und das
Risiko auf ein akzeptables Maß zu reduzieren.
Die Komponenten der Security-Infrastruktur sind die technischen Bau-
steine zur Absicherung der Systeme. Ihr Einsatz und ihre Verwaltung
zählen zu den wichtigsten taktischen Maßnahmen in jeder unter-
nehmensweiten Security-Strategie. Das ISA SP99-Team (ISA-TR99.00.01)
und andere (CIDX) haben Security-Techniken in allgemeiner Form kate-
gorisiert und erörtert. Dies hilft, die wachsende Liste von Security-
Produkten zu strukturieren und erleichtert den Entwurf von Security-
Architekturen und -Konzepten.
Die Auswahl der richtigen Security-Vorkehrungen und -Produkte ist eine
komplexe Aufgabe, die eine detaillierte Analyse der Leistungen und des
Verhaltens erfordert und eine starke Motivation für ein gemeinsames,
unternehmensweites Security-Programm gibt. Security-Produkte gibt es
in vielen Kombinationen, und die meisten Netzwerk- und Anwendungs-
produkte verfügen über gewisse Security-Merkmale. Zum Beispiel
können Firewalls gesondert gekauft werden, sie sind aber auch in
Netzwerkroutern und Betriebssystemen integriert verfügbar.
Firewalls
Firewalls zählen zu den bekanntesten Security-Vorkehrungen und
werden üblicherweise an der Grenze von Security-Zonen verwendet, um
Eigenschaft Bemerkungen
Authentifizierung und Autorisierung
Anwenderverzeichnisse, Passwortverwaltung, Authentifizierung mit zwei Merkmalen (z.B. Name und Passwort), Token, Biometrie, Kerberos
Filter, Blockierung, Zugriffskontrolle
Firewalls, VLAN, Router, Paketfilter, Intrusion Prevention Systeme
Verschlüsselung und Datenvalidierung
Öffentliche und private Schlüssel, VPN, IPSec, SSL, digitale Zertifikate
Auditierung, Messung, Überwachung und Nachweis
Angriffserkennung und -prävention, Protokollier- und Auditierungs-Tools, Virus- und Schadcodeerkennung, Vulnerabilityscanner, Netzwerkforensik und Analyse-Tools, Tools für automatisierte Softwareverwaltung
Betriebssysteme Workstation, embedded Server, embedded Realtime, kundenspezifische Anpassung, IP-Hardening, Domänenverwaltung, Patchmanagement
Physische Security-Kontrollen
(nicht in diesem Bericht behandelt)
Security-Technologien nach ISA99
ARC White Paper • August 2008
Copyright © ARC Advisory Group • ARCweb.com • 11
den externen Zugriff auf die Netze innerhalb der Zonen zu regeln. Man
beachte dabei, dass ein Standort aus mehreren Security-Zonen wie Ver-
waltung, Betriebsführung und Netzwerken der Prozesssteuerung be-
stehen kann sowie aus Firewalls, die für deren Isolierung sorgen.
Firewalls gibt es in den unterschiedlichsten Konfigurationen und Kon-
fektionierungen, einschließlich Standalone-Software, dedizierter Hard-
ware oder manchmal sogar als Teil des Betriebssystems. Sie sind nicht
alle gleich und müssen konfiguriert werden, um dem Einsatzzweck
gerecht zu werden. Entsprechend müssen ihre Auswahl, ihr Einsatz und
ihre Verwaltung sorgfältig geplant werden.
Verbindungen über VPN und IPSec
Virtuelle private Netzwerke (VPN) sind weit verbreitet und stellen
sichere Verbindungen zwischen Fertigungsstandorten bereit. Bei der
Verwendung von VPN wird jedoch angenommen, dass beide Seiten ver-
trauenswürdig sind, und die übermittelten Informationen werden in
keiner Weise beschränkt. Daher müssen noch weitere Schutzmethoden
für die notwendige Filterung und Isolierung angewandt werden. Bei
IPSec verhält es sich ähnlich, und einige Lieferanten legen sogar nahe,
zwei Stationen in einem großen Netzwerk mit IPSec zu verbinden, um
sensitive Daten vor dem Zugriff durch andere Netzteilnehmer zu
schützen.
Security-Zellen
Die Implementierung eines Security-Konzepts beginnt mit der Aufteilung
der Anlage in logische Security-Zellen entsprechend ihrem physi-
kalischen und funktionellen Layout, der Netzwerkarchitektur und dem
gewählten Security-Konzept. Eine Security-Zelle kann aus mehreren
kleineren Segmenten bestehen, muss aber letztlich in der Lage sein, für
einen gewissen Zeitraum ohne Verbindung zu anderen Anlagen oder
Funktionseinheiten autonom zu arbeiten, wenn sie vom Rest der Anlage
abgeschnitten ist. Alle Teilnehmer innerhalb der Security-Zelle werden
als vertrauenswürdig betrachtet, so dass innerhalb keine weiteren
Security-Vorkehrungen erforderlich sind. Deshalb sind weder Daten-
verschlüsselung noch Firewalls zwischen Geräten innerhalb der Zelle
notwendig. Dies bedeutet, dass der Zugriff auf Security-Zellen nur über
wohl definierte Zugangspunkte mit Authentifizierung stattfinden darf.
Zellen nach Funktion aufzuteilen führt dazu, dass die meiste Netz-
kommunikation innerhalb der Zelle stattfindet. Dies reduziert die
anlagenübergreifende Kommunikationslast und vereinfacht eine Analyse
des Datenverkehrs im Falle einer Störung. Die Absicherung gegen fehler-
hafte Benutzung wird in erster Linie durch die gegenseitige Berechtigung
ARC White Paper • August 2008
12 • Copyright © ARC Advisory Group • ARCweb.com
und Authentifizierung von Benutzern und Geräten erreicht. Typische
Standards für die Überprüfung von Security-Berechtigungen sind
Kerberos (über Active Directory) oder IPsec.
Patch-Management in Produktionsunternehmen
Produktionsbetriebe haben im Vergleich zu Office-Systemen wesentlich
spezifischere Anforderungen. Daher ist das Patch-Management in Pro-
duktivbetrieben ungleich komplizierter. Beide Bereiche benutzen dieselbe
Plattform, normalerweise PCs mit Microsoft Windows-Betriebssystemen,
aber die Anwendungen sowie die Risiken und Folgen, die mit einer
Störung verbunden sind, unterscheiden sich dramatisch und zwingen das
Unternehmen, das Patch-Management differenziert zu behandeln.
Die wichtigsten Unterschiede liegen bei den Anforderungen hinsichtlich
Zuverlässigkeit, Verfügbarkeit und Verträglichkeit. Systeme, die im
Produktionsbetrieb verwendet werden, etwa für Mensch-Maschine-
Schnittstellen (HMI), erlauben dem Anlagenpersonal, den Prozess zu
visualisieren und zu kontrollieren. Der Ausfall eines solchen Systems
kann in vielen Fällen ein Risiko für Mensch, Umwelt und sogar für die
öffentliche Sicherheit bedeuten. Diese Systeme müssen normalerweise
rund um die Uhr laufen, und die Kosten eines Stillstands können hoch
und nicht wieder hereinzuholen sein. Schlussendlich sind einige End-
produkte nur dann brauchbar, wenn ihre Herstellungsbedingungen und
ihre Qualität dokumentiert sind, und dies ist nur mit elektronischen
Systemen machbar.
ARC White Paper • August 2008
Copyright © ARC Advisory Group • ARCweb.com • 13
Das Siemens PCS 7 Security-Konzept
Das Personal von Prozessanlagen verfügt nicht immer über eingehende
Kenntnisse der IT-Security. In der heutigen Zeit arbeiten Prozess-
ingenieure eng mit den internen IT-Abteilungen zusammen, um eine
Security-Strategie für ihre Anlagen zu entwickeln, zu
implementieren und in Betrieb zu halten. Diese Aufgabe
kann natürlich erleichtert werden, wenn die
Automatisierungslieferanten dabei eine aktive Rolle
übernehmen und in Security-Fragen beratend und
unterstützend zur Seite stehen. Obwohl alle Anbieter
mittlerweile erkannt haben, dass sich die
Prozessanwender bezüglich Security große Sorgen
machen, reichen die angebotenen Lösungen von der
Bereitstellung „sicherer“ Komponenten bis hin zu
ganzheitlichen Systemansätzen.
Die Siemens AG, ein führender Anbieter von sowohl
diskreten als auch von verfahrenstechnischen
Automatisierungslösungen, hat seit Einführung des
Prozessleitsystems PCS 7 einen durchgängigen Systemansatz verfolgt.
Das PCS 7 Security-Konzept bündelt wesentliche Security-Maßnahmen
aus unterschiedlichen Bereichen zu einer mehrschichtigen, im
Allgemeinen als „Defense in Depth“ bezeichneten Security-Lösung.
Der Systemansatz des PCS 7 Security-Konzeptes
Das PCS 7 Security-Konzept von Siemens deckt alle kritischen Bereiche
der Prozess-IT ab. Es berücksichtigt Security-Zellen und Zugriffspunkte,
Netzwerkverwaltung, Management von Computern und Nutzern, Zu-
griffsverwaltung, Zeitsynchronisierung, Patch-Management, Virenschutz
und Datenwiedergewinnung nach einem Zwischenfall („Disaster Re-
covery“). Obwohl dies durchaus komplex erscheinen mag, so hilft doch
ein modularer Ansatz, die Komplexität auf ein akzeptables Maß zu be-
schränken. Darüber hinaus werden standardmäßige, webbasierte Tech-
nologien eingesetzt, mit denen das IT-Personal bereits vertraut ist. Dieser
umfassende Ansatz ist nicht auf die Verwendung von einzelnen Security-
Methoden wie Datenverschlüsselung oder Einrichtungen wie Firewalls
beschränkt, sondern er basiert wesentlich auf dem Zusammenwirken ver-
schiedener Security-Maßnahmen, die an unterschiedlichsten Stellen im
Steuerungssystem eingesetzt werden. Das PCS 7 Security-Konzept ist in
einem Richtliniendokument veröffentlicht. Es wird regelmäßig
aktualisiert und steht zum Download zur Verfügung.
Security-Zellen und Zugriffspunkte
Netzwerk-Management
Management von Computern und Anwendern
Zugriffsverwaltung
Zeitsynchronisierung
Patch-Management
Virenschutz
Disaster Recovery
Das PCS 7 Security-Konzept spricht die größten Security-Schwächen der Prozess-IT an
ARC White Paper • August 2008
14 • Copyright © ARC Advisory Group • ARCweb.com
Siemens ist gegenwärtig der einzige Automatisierungsanbieter, der das
komplette Angebotsspektrum an Steuerungshardware und -software
sowie sichere Netzwerkkomponenten für industrielle Anwendungen
entwickelt und herstellt. Dies ermöglicht dem Unternehmen, seinen
Kunden die Prozesslösung aus einer Hand anzubieten, kombiniert mit
Netzwerk-Security Komponenten, die für die industriellen Prozesse opti-
miert sind.
Der Aufbau von sicheren Architekturen
Die Ausdehnung von Security-Zellen kann von einer kleinen Auto-
matisierungseinheit bis hin zu einem ganzen Gebäude variieren. Zellen
werden definiert, indem man die Anlage entsprechend der räumlichen
und funktionellen Struktur in logische Segmente einteilt. Um den
Security-Anforderungen von FDA 21 CFR part 11 bezüglich den phy-
sischen und logischen Zugriffsbeschränkungen zu entsprechen, müssen
Security-Zellen gegebenenfalls ein „geschlossenes System“ bilden. Fire-
walls werden verwendet, um Zellen an Netzwerkzugangspunkten vom
Rest der Anlage zu isolieren.
In vielen Fällen ist es notwendig, den Zugriff auf eine Security-Zelle für
ein vertrauenswürdiges Gerät, das sich außerhalb der Zelle befindet, zu
gewähren, z.B. für eine Workstation, die eine MES-Anwendung ausführt.
Dies kann mit Hilfe des Standard IPsec-Protokolls erfolgen, das die
Workstation zu einem Teil der Security-Zelle macht, aber mit be-
schränkten Zugriffsrechten. Geräten, denen man nicht vertraut, die aber
von vertrauenswürdigen Partnern verwendet werden, sollten auf eine
Weise angeschlossen sein, die eine Überprüfung aller Aktionen auf
potenzielle Gefährdungen ermöglicht. Dafür kann die Standard-
Webserver Technologie auf einem Server außerhalb der Zelle in einer
sogenannten „demilitarisierten Zone“ (DMZ) verwendet werden. Geräte
innerhalb der Security-Zelle schreiben Information auf den Webserver,
der diese Informationen für Geräte außerhalb verfügbar macht. Er erlaubt
aber nicht, dass Informationen zurück in die Zelle geschrieben werden.
ARC White Paper • August 2008
Copyright © ARC Advisory Group • ARCweb.com • 15
DCS Zone
Local Support
Remote Support
DMZ – DataAccess & Exchange
MES Zone
ERP Zone
Verwendung von Firewalls
Von den vielen Firewall-Produkten, die im Markt verfügbar sind,
empfiehlt das PCS 7 Security-Konzept für PC-basierte Lösungen die
Verwendung des Microsoft Internet Security & Acceleration Server 2006
(ISA Server 2006). Er ist in der Lage, HTTP-Verkehr auf dem
Anwendungs-Layer zu filtern, Daten mit einem eingebauten
Virenscanner auf Viren zu untersuchen sowie IPsec-Daten als Proxy zu
empfangen und zu entschlüsseln. Diese können dann auf Anomalien
analysiert werden. Er ermöglicht außerdem – abhängig vom Security-
vorkommnis – zwischen unterschiedlichen Security-Policies (etwa beim
Nachweis eines Virus) zu wechseln. Dies kann bis zur völligen Blockie-
rung der Kommunikation im Falle eines Security-Problems gehen. Als
Anwendungs-Proxy kann der ISA Server 2006 Daten anstelle des tat-
sächlichen Empfängers akzeptieren und den Paketinhalt auf schädlichen
Code kontrollieren, bevor er ihn an den beabsichtigten Empfänger über-
mittelt. Der Proxy kann vor dem Weiterleiten der Pakete auch eine
Benutzer- und Computer-authentifizierung ausführen. Das Security-
Konzept empfiehlt die ISA Server 2006 Firewall aufgrund der vielfältigen
Anpassungsmöglichkeiten auch für Einwahl-Verbindungen über Virtual
Private Networks (VPN). Schließlich kann auch die lokale Firewall von
Windows XP benutzt werden. Diese Firewall kann automatisch von der
PCS 7 Setup-Routine richtig konfiguriert werden.
Security-Zellen werden gebildet, indem man die Anlage gemäß den physischen und funktionellen Ebenen in logische Segmente einteilt
ARC White Paper • August 2008
16 • Copyright © ARC Advisory Group • ARCweb.com
Für Firewalls auf Hardware-Basis empfiehlt Siemens seine eigene Reihe
von Scalance S Security-Modulen. Diese Module unterscheiden sich von
Office-Geräten durch ihre Industrietauglichkeit (IP30) und die optimierte
Kommunikation von Prozesssteuerungsinformationen. Die Scalance S
Security-Module ermöglichen unterschiedliche Filterfunktionen für Da-
tenpakete, von einfacher Paketkontrolle bis hin zu Stateful Inspection.
Stateful Inspection merkt sich zum Beispiel, welche der ausgehenden
Pakete Antworten erwarten. Nur eingehenden Paketen, die erwartete
Antworten enthalten, dürfen passieren. Stateful Inspection Firewalls be-
rücksichtigen auch feststehende TCP-Verbindungen und bieten deshalb
mehr Security als reine Paketfilter-Firewalls.
Patch Management
Das Patch-Management in der Prozessautomatisierung ist eine weitere
komplexe und herausfordernde Aufgabe für die Prozessbetreiber, be-
sonders für jene, die immer noch ältere oder sogar abgekündigte Versio-
nen von Betriebssystemen verwenden. Aber auch für ein aktuelles Be-
triebssystem wie Windows XP trifft die goldene Regel „Never patch a
running system“ nicht uneingeschränkt zu. XP und das 2007 freigegebene
Windows Vista bleiben die
vorrangigen Ziele für Malware
aus der ganzen Welt, sodass
Aktualisierungen in der Anlage
ebenso wichtig sind wie im
Office-Bereich. Obwohl
Prozessleitsysteme nicht die
bevorzugten Ziele von Viren sein
mögen, können die Folgen und
Schäden eines eingedrungenen
Virus viel verheerender sein als
bei einem infizierten Office-PC.
Das PCS 7 Security-Konzept hilft
Anwendern bei der Verwendung
von Standard-Microsoft-Tools in
den vier Phasen des Patch-
Managements: 1) Bedrohungen
und Anfälligkeit beurteilen,
2) relevante Updates finden,
3) Auswertungen durchführen und Einsatzentscheidungen treffen und
4) Updates durchführen. Zu diesem Zweck beschreibt das Security-
Konzept, wie die verschiedenen Microsoft-Tools einschließlich des
Windows Software Update Service (WSUS) und des System Management
Unterteilung in Segmente und Security-Zellen
TiefengestaffelteSecurity-Architektur
Windows Security Patch-Management
Support-Zugriffund Fernwartung(VPN, IPsec)
Virenscan und Firewalls
Zeit-synchronisierung
Benutzer- und Zugrifssrechte
Active Directory und Windows Workgroups
Netzwerk-Subnetze, IP-Adressenund Namens-auflösung
Unterteilung in Segmente und Security-Zellen
TiefengestaffelteSecurity-Architektur
Windows Security Patch-Management
Support-Zugriffund Fernwartung(VPN, IPsec)
Virenscan und Firewalls
Zeit-synchronisierung
Benutzer- und Zugrifssrechte
Active Directory und Windows Workgroups
Netzwerk-Subnetze, IP-Adressenund Namens-auflösung
Das PCS 7 Security-Konzept bietet umfassende Richtlinien und Empfehlungen für alle Aspekte der industriellen Sicherheit
ARC White Paper • August 2008
Copyright © ARC Advisory Group • ARCweb.com • 17
Server (SMS) zu verwenden sind, um das Patch-Rollout deutlich zu ver-
einfachen. Einige Einstellungen sind notwendig, etwa die Blockierung
automatischer Neustarts.
Um die Anfälligkeit der Computer gegenüber Security-Bedrohungen zu
beurteilen, werden ausgewählte Computer mit dem Microsoft Baseline
Security Analyzer (MBSA) gescannt und analysiert. Die festgestellten
Schwachstellen werden zusammen mit einer Liste der fehlenden Security-
Patches in einem Bericht zusammengefasst. Auf Grundlage dieses Be-
richtes muss der Anwender dann das Risiko der Weiterführung des Be-
triebs ohne diese Security-Patches gegen den Aufwand der Installation, die
gegebenenfalls einen Neustart des Computers erfordert, abwägen. Diese
Entscheidung wird durch technische Informationen von Microsoft unter-
stützt – Informationen, die klären können, wie groß und von welcher Art
das Risiko ist (zum Beispiel beim Öffnen einer E-Mail), oder welcher Teil
des Betriebssystems oder welche Anwendung betroffen ist.
Siemens nimmt IT-Security sehr ernst. Das Unternehmen hat ein spe-
zielles Security-Labor eingerichtet, um Security-Konzepte und Em-
pfehlungen zu entwickeln und zu dokumentieren. Auf diese Weise kann
es schnell auf neue Bedrohungen reagieren, PCS 7 proaktiv gegen An-
greifer absichern, Schwachstellenanalysen durchführen sowie Viren-
scanner und Security-Patches auf Kompatibilität testen. Die Test-
ergebnisse werden kurz nach Patch-Freigabe im Internet veröffentlicht.
Viren (Malware) erkennen und abwehren
Neben Firewalls sind Virenscanner die am meisten bekannten Security-
Vorkehrungen. PCS 7 unterstützt die drei am häufigsten gebrauchten
Virenscanner für Produktions- und Steuerungssysteme:
• TrendmicroTM Office Scan Corporate Edition
• SymantecTM Antivirus Corporate Edition
• McAfeeTM VirusScan Enterprise
Virenscanner sollten an den Zugangspunkten installiert werden, um ein-
gehenden und ausgehenden Datenverkehr zu filtern. Security-Richtlinien
schreiben aber oft vor, dass Anlagen-PCs wie Bedien-Konsolen oder
Engineering-Workstations, die Daten mit der Außenwelt austauschen,
mit Virenscan-Programmen versehen sein müssen. In diesem Fall gibt
Siemens detaillierte Empfehlungen darüber, wie der Virenscanner einge-
richtet werden muss, um eine gute Balance zwischen den Echtzeit-
anforderungen des Prozesses und dem Virenschutz zu erhalten. Die
Weiterleitung von Virenwarnungen an dafür zuständige Mitarbeiter ver-
ARC White Paper • August 2008
18 • Copyright © ARC Advisory Group • ARCweb.com
hindert, dass die Anlagenbediener durch Meldungen des Virenscanners
abgelenkt werden.
Systemzugriff kontrollieren und Benutzerkonten
verwalten
Für Anlagen mit zehn oder mehr Computern empfiehlt das PCS 7
Security-Konzept die Verwendung von Windows Active Directory zur
Verwaltung der Computer und der Benutzerkonten. Active Directory,
das mit Windows 2000 eingeführt wurde, standardisiert das Security-
und Nutzerkontenmanagement auf eine dynamische, flexible Weise und
eignet sich für große Architekturen, bei denen Anwender häufig
wechseln oder Computer regelmäßig hinzugefügt oder entfernt werden.
Außerdem kann die Verwendung von Active Directory aufgrund von ge-
setzlichen Vorgaben erforderlich sein, etwa wenn Kerberos für die
Authentifizierung oder das zentrale Protokollieren von Ereignissen
benötigt wird. Für kleinere, feste Konfigurationen sieht das Security-
Konzept auch den Einsatz von Windows Workgroups vor.
Die Verwaltung von Benutzerkonten ist ein heikles Thema zwischen der
Unternehmens-IT- und dem Anlagenbetreiber. Es muss sowohl mit
hohem technischem Sachverstand als auch mit diplomatischem Fein-
gefühl behandelt und koordiniert werden. Wenn eine eigenständige
Domäne für die Anlage eingerichtet wird, darf diese Domäne nur von
Anlagenpersonal verwaltet werden. Diese Verantwortung kann nicht auf
anlagenfremde Personen übertragen werden, weil diese nicht in der Lage
sind, zu beurteilen, ob eine bestimmte Konfigurationsänderung negative
Auswirkungen auf den Produktionsprozess hat. Active Directory hat den
Vorteil, dass Anlagenpersonal alle Konfigurationen nahezu eigenständig
durchführen kann und schützt deshalb die Anlage vor den Folgen eines
unabsichtlichen Eingriffs durch die IT-Abteilung.
Wenn ein Unternehmen schon eine Active Directory Domäne hat, kann es
eine dedizierte oder „eingebettete“ Organisationseinheit für die Anlagen-
verwaltung einrichten. Dadurch wird die Verantwortung für die
Domänenverwaltung auf den IT-Bereich verlagert, sodass die An-
lagenmitarbeiter ihre eigene Domäne nicht mehr verwalten müssen.
Jedoch erfordert dies eine gute Zusammenarbeit mit der IT-Abteilung,
weil sie Managementverantwortung für die Organisationseinheit der
Anlage übernimmt. In jedem Fall ist es wichtig, dass nicht autorisierte
Mitglieder der IT-Abteilung keine Rechte erhalten, die Konfiguration der
Anlagen-PCs zu verändern, da sonst die große Gefahr besteht, dass
Produktionsprozesse unterbrochen oder negativ beeinflusst werden.
ARC White Paper • August 2008
Copyright © ARC Advisory Group • ARCweb.com • 19
Benutzer- und Zugriffsverwaltung bei PCS 7 und Integration
in Windows-Verwaltung
Windows bietet ein flexibles System für die Zuweisung von Benutzer-
berechtigungen. In kritischen Prozessumgebungen sollten Berechti-
gungen jedoch nach dem Minimalitätsprinzip vergeben werden: Jeder
Anwender sollte nur die Berechtigungen haben, die er unbedingt be-
nötigt, um seine Aufgabe zu erfüllen; beispielsweise sollte gemäß PCS 7
Security-Konzept dem Bedienpersonal keine Administrator-Berechtigung
gewährt werden.
Administratoren können für Projekte in PCS 7, Simatic Batch oder Simatic
Route Control bestimmte Regeln für Berechtigungen definieren, damit
ein gemeinsamer Zugriff auf Projekte und Dateien ermöglicht wird.
Außerdem ermöglicht der Simatic Logon Service die Vergabe von an-
wendungsspezifischen Anwenderrollen und Rechten sowie die Ver-
wendung eines gemeinsamen Logins/Kennworts für den PC und die
Anwendung, die darauf läuft. Simatic Logon nutzt Tools der Windows
Benutzerverwaltung für Funktionen wie automatisches Ausloggen und
automatisches Ablaufen von Kennwörtern.
Netzwerk-Management
Dieser Teil des Security-Konzepts gibt Anleitungen für die Imple-
mentierung von DHCP-Servern und die Zuweisung von IP-Adressen.
Abhängig vom Prozess werden Tipps gegeben, etwa wie die Reser-
vierung von Adressen für alle Anlagen-PCs auf dem Terminal Bus. Damit
wird sichergestellt, dass jeder PC immer dieselbe IP-Adresse erhält, auch
nachdem er lange Zeit ausgeschaltet war.
VPN und Verschlüsselung verwenden
Die Konfiguration von IT-Domänen im Anlagenbereich ist selten statisch.
Zur Systemwartung ist es oft erforderlich, dass ein zusätzlicher PC an das
Netzwerk angeschlossen wird, wenn auch nur temporär. Viele Prozess-
betreiber nutzen heute Fernüberwachungs- und Wartungsdienste von
Systemintegratoren oder Automatisierungsanbietern. Während diese
Dienstleistungen einerseits zur Wertschöpfung beitragen, so bringt es
doch ein hohes Security-Risiko für ein abgesichertes System mit sich,
wenn ein Computer mit unbekanntem Security-Status Zugriff auf die
Anlagendomäne erhält.
Virtual Private Networks (VPN) stellen eine zuverlässige und sichere
Verbindung von einem externen Gerät zu einem abgesicherten Steue-
rungssystem her. Das Siemens Security-Konzept empfiehlt diesen Ansatz
unter Verwendung von Microsoft ISA Server 2006 in Kombination mit
einem Quarantänenetzwerk. Für den Systemzugriff wird der Support-
ARC White Paper • August 2008
20 • Copyright © ARC Advisory Group • ARCweb.com
Computer über einen entsprechenden Einwahl-Hub mit dem ISA-Server
verbunden. Der unbekannte Support-Computer ist dann zwar ver-
bunden, hat aber keine Netzwerkberechtigungen und kann nicht auf die
Anlage zugreifen. Stattdessen verbleibt der Computer im Quarantäne-
netzwerk, wo er einer Security-Prüfung unterzogen wird. Bei dieser
Überprüfung kann festgestellt werden, ob Firewall und Virenscanner
aktiv sind, ob der Computer frei von bekannten Viren ist und ob alle
Updates und Patches installiert sind. Nur wenn diese Punkte bestätigt
sind, wird dem Support-Computer entsprechender Zugriff auf die
Anlage gewährt.
VPN-Verbindungen und Quarantäneeinrichtungen ermöglichen den temporären Netzwerkzugriff auf Computer und Geräte außerhalb der
Anlagendomäne
Wenn der Zugriff auf Anlagendaten über Web-Browser erfolgt, empfiehlt
das Security-Konzept eine Datenverschlüsselung und Server-Authenti-
fizierung, entweder durch Secure Socket Layers (SSL) mit HTTPS oder
IPsec und User-Authentifizierung mit Hilfe von Anwendernamen und
Kennwort. ActiveX Anwendungskomponenten werden mit Hilfe von
Zertifikaten überprüft. Dies ermöglicht dem Anwender, ihre Vertrauens-
würdigkeit anhand der Informationen über die Zertifizierungsstelle zu
prüfen.
Zeitsynchronisierung
Die Synchronisierung der Uhren aller PCs und Steuereinheiten in einer
Anlage ist eine überaus wichtige, aber oft vernachlässigte Angelegenheit.
Bei einer überraschend hohen Zahl von großen und kleinen Ferti-
gungsprozessen kommt es auf eine zuverlässige Uhrzeit und Zeit-
synchronisierung an. Diese Zeitwerte werden oft von Standarduhren im
12- oder 24-Stundenmodus generiert. Bevor es die heute hierfür üblichen
Hilfsmittel gab, waren die Anlagen jedes Mal, wenn die Uhren auf
ARC White Paper • August 2008
Copyright © ARC Advisory Group • ARCweb.com • 21
Sommer- oder Winterzeit umgestellt wurden, mit ähnlichen Problemen
konfrontiert, wie bei der Jahr 2000 Umstellung. Eine potenzielle Gefahr
besteht darin, dass einem Domain-Client das Anmelderecht auf seinen
Domain-Controller verweigert wird. Dies wird durch ein Security-
Merkmal in Windows verursacht, das den möglicherweise unbe-
rechtigten Zugriff auf eine bestehende Sitzung verhindert, wenn eine
voreingestellte Zeitdifferenz zwischen Client und Server überschritten
wird.
Das PCS 7 Security-Konzept unterstützt die meisten Varianten des
Uhrenabgleichs, von kleinen Konfigurationen, die einen Controller als
Uhrzeitmaster benutzen, bis hin zu größeren Szenarien, in welchen alle
Workstations und Controller-Uhren mit einer zentralen Anlagenuhr
synchronisiert werden.
Security-Richtlinien und Schulung
Siemens bietet im Rahmen des PCS 7 Security-Konzeptes einen um-
fassenden Leitfaden für industrielle Security. Die Verpflichtung, eine
klare Security-Richtlinie zu entwickeln und das Anlagenpersonal an-
gemessen auszubilden, liegt aber nach wie vor bei den Anlagen-
betreibern. ARC empfiehlt, zunächst eine klare Vision zu entwickeln, die
einfache, aber tragfähige Ziele für die zukünftige Anlagen-Security
festlegt. Diese Vision sollte alle Aspekte der Security des ganzen
Unternehmens umfassen - nicht nur den des Anlagenbetriebs – und dabei
die Verantwortungsbereiche für das IT- und das Anlagenpersonal klar
definieren.
Aufsetzend auf dieser Security-Vision, sollten die Prozessbetreiber dann
Security-Richtlinien niederschreiben und ausgeben, die auf den Em-
pfehlungen von Leittechnik-Lieferanten wie Siemens basieren. Diese
Richtlinien können dann in so genannte „Best Practices“ im Unternehmen
überführt werden – detaillierte Anweisungen für jede klar festgelegte
Aufgabe zur Ausführung der jeweiligen Security-Policy. Best Practices
sind ausgesprochen detailliert und somit stärker auf die Technik aus-
gerichtet als Unternehmensrichtlinien. Viele der im Siemens Security-
Konzept empfohlenen Verfahren können Eins-zu-Eins als Best Practices
übernommen werden.
Schließlich sollte die Security-Richtlinie spezielle Anleitungen zur Schu-
lung und Weiterbildung einschließen, damit eine angemessen IT-
Qualifizierung des Anlagenpersonals sichergestellt wird. Schulungen
sollten in Form von IT-Zertifikaten nachvollziehbar dokumentiert
werden. Dies ist im Falle einer Security-Verletzung mit möglicherweise
ARC White Paper • August 2008
22 • Copyright © ARC Advisory Group • ARCweb.com
negativen Folgen entscheidend, um die Einhaltung der Firmenrichtlinien
nachzuweisen und um Haftungsansprüche zu begrenzen.
Disaster Recovery
Disaster Recovery Konzepte dienen dem Zweck, den infolge eines
natürlichen oder durch Menschenhand verursachten Unglücks ver-
lorenen Zugriff auf Daten, Hardware und Software wiederzuerlangen,
um den Betrieb wieder aufnehmen zu können. Da die Prozesstechnik
mehr und mehr datengesteuert ist, gewinnt die Fähigkeit, Daten schnell
wiederherzustellen, höchste Bedeutung. Traditionelle Sicherungskopien
auf Band sind für die Wiederherstellung des Ausgangszustandes oft
unzulänglich, weil sie zu viele manuelle Eingriffe und die Verwaltung zu
vieler Daten erfordern – zwei Umstände, die fast zwangsläufig zu
Fehlern und Verzögerungen führen. Es gibt Lösungen auf Netzwerk-
Basis für Enterprise-Systeme, aber diese erreichen möglicherweise nicht
in allen Fällen kritische Daten, die auf dezentralen oder Labor-PCs
gespeichert sind.
Bei PCS 7 wird jeder Anlagen-PC mit einem vollständigen Image der
Systemsoftware geliefert, mit dem die Systempartition im Falle eines
Datenverlusts jederzeit wiederhergestellt werden kann. Zur Archivierung
von Prozessdaten bietet Siemens mehrere Programme an, wie etwa
StoragePlus, Central Archive Server (CAS) und Simatic IT Historian. Die
Workstation-PCs verfügen über RAID-Technologie, um die MTBF von
Festplatten zu verbessern. PCS 7 Netzwerkkomponenten unterstützen
Syslog, den De-facto-Standard für das Weiterleiten von Protokoll-
meldungen in einem IP-Netzwerk. Schlussendlich unterstützt PCS 7
Redundanz auf allen Ebenen.
Erfolgreiche Disaster Recovery heißt, einem festgelegten Disaster Re-
covery Plan (Best Practices) zu folgen, wenn sich Hektik oder gar Panik
breit macht. Hierbei sollte die Ursache des Absturzes vor der Wieder-
herstellung der Festplatten analysiert werden, um eine Wiederholung des
Vorfalls in einer ähnlichen Situation zu verhindern. Die Schulung des
Anlagenpersonals sollte auch ein Disaster Recovery Training beinhalten,
und die Security-Vision sowie die dazugehörigen Richtlinien sollten
Vorkehrungen für Disaster Recovery einschließen.
Normen und Zertifizierung
Die Regierung der USA stellt die Tragweite der industriellen Security
klar und deutlich heraus. Das Department of Homeland Security, das
nach den Terroranschlägen 2001 gegründet wurde, hat das Idaho
National Laboratory (INL) damit beauftragt, Best Practices für „Control
ARC White Paper • August 2008
Copyright © ARC Advisory Group • ARCweb.com • 23
Systems Cyber Security“ zu formulieren und zu veröffentlichen. Diese
Richtlinien zielen ausdrücklich darauf ab, Angriffe von „Terroristen,
Schurkenstaaten, Hackern und Angreifern von Innen“ auf strategische
Industrieanlagen zu verhindern. Dies schließt Chemie-, Nahrungsmittel-
und Wasserwerke sowie andere Einrichtungen der öffentlichen Infra-
struktur ein. In Fällen, in denen Security-Konzepte nicht belegt werden
können, können Prozessanwender ihre Haftbarkeit reduzieren, indem sie
sich auf diese Richtlinien und Empfehlungen wo immer möglich be-
ziehen und sie anwenden.
Zertifizierung ist schwierig, solange es an Normen fehlt. Zertifikate von
kleinen, unabhängigen Firmen sind nicht vergleichbar. Selbst dann nicht,
wenn ein ausgesprochen hohes Maß an Expertise bei ihnen vorliegt. Sie
versetzen die Automatisierungsanbieter in die Situation, dass sie sich
unterschiedlichsten Zertifizierungsverfahren unterziehen müssen, um die
Anforderungen der Endanwender zu erfüllen – eine unangemessene
Kostenbelastung.
Dies ist ein Grund, warum die ISA das ISA Security Compliance Institute
(ISCI) ins Leben gerufen hat. Im ISCI können führende Industriefirmen,
Behörden und Endanwender gemeinsam Standardtestprogramme und
Testumgebungen entwickeln, um die Einhaltung von Industriestandards
wie ISA99 zu beurteilen. Öffentliche Auftraggeber und Versicherer
können die Endanwenderbranchen, abhängig vom Bedrohungspotenzial,
das ein möglicher Vorfall für Umwelt und Bevölkerung hat, in unter-
schiedliche Security-Kategorien einordnen. Über diese Kategorie kann
festgelegt werden, welche Security-Stufe durch eine Zertifizierung er-
reicht werden muss und wann diese Zertifizierung verfällt bzw. erneuert
werden muss. Auf der Basis von allgemein anerkannten Normen kann
eine zuverlässige Zertifizierung durch hierzu berechtigte Institutionen
wesentlich kostengünstiger erfolgen und die Zertifizierungsergebnisse
werden vergleichbar. Siemens ist ein Gründungsmitglied von ISCI.
ARC White Paper • August 2008
24 • Copyright © ARC Advisory Group • ARCweb.com
Empfehlungen
Die Security von Steuerungssystemen hat in den letzten Jahren rasche
und deutliche Fortschritte erzielt, aber die Angriffe werden immer
raffinierter und häufiger. Umfassende Security-Strategien sind für viele
Unternehmen neu. Aber auch solche Unternehmen, die hier schon weiter
vorangeschritten sind, profitieren davon, ihre Strategien zu überprüfen
und gegebenenfalls neuere Technologien und Vorgehensweisen zu be-
rücksichtigen. Die Verfahren, um eine sicheres Umfeld aufzubauen und
aufrechtzuerhalten, sind verfügbar, aber sie können kostspielig sein.
Folglich muss sich der Stand der Technik weiterentwickeln, bis Security
in unsere Prozesse, in die Systeme und in die Software, die wir kaufen,
Eingang findet.
• Beginnen Sie, indem Sie eine Vision mit einfachen, aber nachhaltigen
Zielen für die zukünftige Anlagen-Security entwickeln. Diese Vision
sollte die Security des ganzen Unternehmens beinhalten – nicht nur
die des Anlagenbetriebs. Sie sollte die Verantwortlichkeiten zwischen
der Unternehmens-IT und Anlagen-IT klar definieren. Anschließend
erstellen Sie Security-Richtlinien, welche die Ziele der Security-Vision
unterstützen.
• Setzen Sie die Einführung der Security-Maßnahmen im Unternehmen
durch, einschließlich einheitlicher Methoden zur Risikobewertung
und zur Festlegung des erforderlichen Security-Niveaus.
• Definieren Sie die Security-Architektur für den Unternehmens- und
den Anlagenbereich. Diese legt die Rahmenbedingungen für die not-
wendige Segmentierung der Anlage fest, für die Erarbeitung von
Richtlinien und für die Einführung von Security-Maßnahmen.
Nutzen Sie den Prozess der Normung, um eine Security-Infrastruktur
zu finden, zu bewerten und auszuwählen, die die einheitliche
Nutzung, gemeinsame Richtlinien und eine höhere Security er-
möglicht.
• Bauen Sie eine kooperative Beziehung zu Softwarelieferanten auf.
Teilen Sie ihnen Ihre Anforderungen mit. Lassen Sie sie Methoden
entwickeln, mit denen die Anfälligkeiten durch Schwachstellen re-
duziert werden. Überlegen Sie sich, ob die Unterstützung mit
Security-Dienstleistungen in Kaufverträge aufgenommen werden
kann. Softwareanbieter wissen oft am besten, wie ihre Produkte zu
schützen sind, investieren in Security und wollen helfen.
ARC White Paper • August 2008
Copyright © ARC Advisory Group • ARCweb.com • 25
• Nutzen Sie die Security-Beratung, die von Leittechnikanbietern an-
geboten wird.
ARC White Paper • August 2008
26 • Copyright © ARC Advisory Group • ARCweb.com
ARC White Paper • August 2008
Copyright © ARC Advisory Group • ARCweb.com • 27
Analyst: David W. Humphrey
Lektor: Larry O’Brien
Abkürzungen: Eine vollständige Liste englischer Abkürzungen finden Sie
im Internet unter www.arcweb.com
API Application Program Interface
APS Advanced Planning & Scheduling
B2B Business-to-Business
BPM Business Process Management
CAGR Compound Annual Growth Rate
CAS Collaborative Automation System
CMM Collaborative Manufacturing
Management
CNC Computer Numeric Control
CPG Consumer Packaged Goods
CPAS Collaborative Process Automation
System
CPM Collaborative Production
Management
CRM Customer Relationship
Management
DCS Distributed Control System
EAI Enterprise Application Integration
EAM Enterprise Asset Management
ERP Enterprise Resource Planning
HMI Human Machine Interface
ISA Instrumentation, Systems and
Automation Society
IT Information Technology
MIS Management Information System
MRP Materials Resource Planning
OpX Operational Excellence
OEE Operational Equipment
Effectiveness
OLE Object Linking & Embedding
OPC OLE for Process Control
PAS Process Automation System
PLC Programmable Logic Controller
PLM Product Lifecycle Management
RFID Radio Frequency Identification
ROA Return on Assets
RPM Real-time Performance
Management
Die 1986 gegründete ARC Advisory Group hat sich als Vordenker bei
Fertigungs- und Supply-Chain-Lösungen etabliert. Wie kompliziert Ihre ge-
schäftlichen Fragen auch sein mögen – unsere Analysten verfügen über
das Know-how und die Industrieerfahrung, um die beste Antwort für Sie zu
finden. Wir fokussieren einfache, aber entscheidende Ziele: Verbesserung
von Rendite, betrieblicher Leistungsfähigkeit, Gesamtbetriebskosten,
Amortisierung von Projekten und Shareholder Value.
Alle in diesem Bericht enthaltenen Informationen sind Eigentum von ARC
und urheberrechtlich geschützt. Die Vervielfältigung dieses Berichts – ganz
oder teilweise – ohne vorherige Zustimmung von ARC ist untersagt. Die
publizierten Untersuchungen wurden zum Teil von Profibus International
gesponsert. Die von ARC in diesem Bericht geäußerten Ansichten beruhen
jedoch vollständig auf der unabhängigen Analyse von ARC.
Die umfassende, kontinuierliche Marktforschung von ARC sowie die Er-
fahrung unserer Mitarbeiter sind in unseren Advisory Services gebündelt.
Die Advisory Services unterstützen Führungskräfte, die für Strategie-
planung und Entwicklung verantwortlich sind. Weitere Informationen er-
halten Sie bei:
ARC Advisory Group, Stadttor 1, D-40291 Düsseldorf
Telefon: 49 (0)211-3003-416, Fax: 49 (0)211-3003-200
Email: [email protected]
Oder besuchen Sie unsere Website unter www.arcweb.com
STADTTOR 1 D-40291 DÜSSELDORF TEL.: (0)211-3003-416
USA: BOSTON | WASHINGTON | PITTSBURGH | PHOENIX | SAN FRANCISCO
GROSSBRITANNIEN: CAMBRIDGE | DEUTSCHLAND: DÜSSELDORF, MÜNCHEN, HAMBURG | JAPAN: TOKIO | INDIEN: BANGALORE | CHINA: SCHANGHAI