Die neue Security-Zeitrechnung

Transkript

1 Die neue Security-Zeitrechnung Seit Stuxnet hat bei Siemens das Thema Industrial Security eine neue Dimension erlangt. Vor allem ist es nicht länger vorwiegend ein Netzwerkthema, sondern betrifft verstärkt auch die Industrieautomation. Neue interne Strukturen wurden geschaffen, Produkte sicherer gemacht und der integrierte Ansatz weiterentwickelt. Inge Hübner David Heinze, Marketing Manager Industrial Security, und Franz Köbinger, System Manager Industrial Security bei Siemens, geben Einblick in die neue Siemens-Welt mit Security Integrated (v. r.) Security war lange Zeit ein Netzwerkthema, das in der Automatisierung nur relativ wenig Beachtung fand. So gab es zwar auch früher schon bei unserer Simatic S7-300 und Step7 entsprechende Security-Funktionen, allerdings waren diese Ansätze bei Weitem nicht derart ausgereift wie unsere heutigen Konzepte, sagt David Heinze, Marketing Manager Industrial Security bei Siemens. Der massive Wendepunkt in diesem Denkansatz kam 2010 mit Stuxnet. Danach hat für uns eine neue Security-Zeitrechnung in der Automatisierung begonnen. Zuvor gab es noch keine Schadsoftware, die gezielt PC-basierte Systeme infiziert hat, um auf die Datenbausteine unserer S7-Steuerungen zuzugreifen und damit Einfluss auf die Automatisierungstechnik zu nehmen, sagt D. Heinze und nennt als Resultat: Das war für alle ein Weckruf für uns besonders, weil es unser System betraf. Hier galt es, zu handeln. Neue Konzepte Der Maßnahmenkatalog, den Siemens nach der Flut an Negativschlagzeilen einleitete, kann sicherlich als einzigartig bezeichnet werden. So wurden unter anderem interne und externe Abläufe rund um den gesamten Produktlebenszyklus auf Schwachstellen überprüft, neue Strukturen geschaffen, Operational Guide lines für Industrial Security erstellt und schlussendlich ein dreistufiges Defense-in-Depth-Konzept geschaffen. Das 2 5/13

2 Bei der S und der neuen S Version sind Manipulations- und Zugriffsschutz bereits integriert Konzept basiert auf den Komponenten Anlagensicherheit, Netzwerksicherheit und Systemintegrität nach ISA 99 bzw. IEC Während der klassische Anlagenschutz physische Zugriffe abwehrt, sollen Netzwerkschutz und Schutz der Systemintegrität vor Cyber-Übergriffen und nicht autorisiertem Zugriff durch Bediener oder betriebsfremde Personen bewahren. Die Entwicklung von Stuxnet hat mit großer Sicherheit mehrere Jahre gedauert und mehrere Millionen gekostet. Niemand war darauf vorbereitet, so D. Heinze. D. Heinze stellt heraus: Eine Verbesserung der Security-Mechanismen innerhalb unserer Automatisierungsprodukte war aber schon vor Stuxnet geplant: 2010 waren die Produkt-Roadmaps für die S bereits definiert und die Security-Module Scalance S schon seit mehreren Jahren verfügbar. Die Begründung für die Erhöhung der Sicherheitsmechanismen innerhalb der eigenen Produktwelt erläutert Franz Köbinger, System Manager Industrial Security: Im Lauf der Zeit wurden immer mehr offene Standards in der Indus trieautomation eingesetzt. So zum Beispiel PC-basierte Systeme, Microsoft-Betriebssysteme und zudem die durchgängige Ethernet-Vernetzung. Damit haben sich für den Anlagenbetreiber völlig neue Möglichkeiten eröffnet ein Beispiel ist das Zugreifen auf eine Anlage aus der Ferne. Und durch diese Offenheit und Durchgängigkeit hat natürlich auch das Thema Security einen ganz neuen Stellenwert bekommen. Über die PNO wurden deshalb bereits vor einigen Jahren beispielsweise Netzsegmentierungs- und Zellschutzkonzepte propagiert. Das Problem: Zum damaligen Zeitpunkt waren weder bei den Herstellern noch bei den Anwendern das Security-Bewusstsein in hohem Maße ausgeprägt, erinnert F. Köbinger. Der Schwenk kam Auch wenn Stuxnet ein gezielter Angriff war, der nur eine spezielle Systemkonfiguration betraf, hat er zu einem übergreifenden Umdenken beigetragen, sagt D. Heinze. Zum Hintergrund erzählt er, dass viele Anlagenbetreiber im Nachgang ihre Automatisierungstechnik auf Viren hätten prüfen lassen. Dabei sei festgestellt worden, dass sich auf ihren Systemen oftmals eine Vielzahl an Viren befunden hätten. Auch diese Tatsache hat zu neuen Handlungen geführt, ergänzt F. Köbinger. Zudem sensibilisieren Vereine, Initiativen und Verbände stärker zum Thema. ZVEI, VDMA, Namur oder AIDA beschäftigen sich mit dem Thema. Beispielsweise waren Vertreter der AIDA bei uns vor Ort, um sich über Security zu informieren, sagt der Experte. Die Kundennachfrage ist von 0 auf 100 gestiegen. Unser Vorteil ist nun, dass wir bereits Antworten auf die geänderte Nachfragesituation haben, betont D. Heinze. Die übergreifende Siemens-Antwort zum Thema Netzwerksicherheit lautet Schutz von Automatisierungsnetzen vor unbefugten Zugriffen. Darunter fallen die Kontrolle der Schnittstellen, wie zwischen Büro und Anlagennetz oder der Fernwartungszugänge, informiert F. Köbinger. Als relevante Maßnahmen nennt er Firewalls oder den Aufbau von demilitarisierten Zonen (DMZ). DMZ dienen der Bereitstellung von Daten für andere Netze, ohne direkten Zugang zum Automatisierungsnetz zuzulassen, stellt er weiter heraus. Mit der Segmentierung des Anlagennetzes in einzelne ge schützte Automatisierungszellen wird das Risiko reduziert und damit die Sicherheit erhöht. Die Datenübertragung erfolgt verschlüsselt via VPN. Nachhaltige Product Security beginnt mit den Prozessen Die Maßnahmen auf dem Weg zu dem neuen Security-Ansatz bei Siemens waren vielfältig. So wurde beispielsweise 2011 das interne Projekt Industrial Security Process Improvement (ISPI) gestartet. Dessen oberstes Ziel war es, die Sicherheit der Automatisierungsprodukte nachhaltig zu verbessern. Dazu mussten zunächst Schwachstellen im Prozess aufgedeckt und diese anschließend behoben werden. Im ersten Step wurde eine Evaluierung nach verschiedenen Fragebögen, beispielsweise von der ISA Secure, durchgeführt. Diese zeigten uns organisatorische Unzulänglichkeiten innerhalb unserer PLM-Prozesse auf, sagt D. Heinze und verdeutlicht: Beispielsweise wurden bei der Softwareentwicklung zwar häufige Angriffsoptionen, aber eben nicht alle möglichen berücksichtigt. Als entsprechende Gegenmaßnahme wurden sogenannte Product Security Experts etabliert. In ihrer Verantwortung liegt es, mitzuverfolgen, dass die Security-Anforderungen über den gesamten Lebenszyklus eines Produkts umgesetzt werden, so D. Heinze. Dabei ist es unter 3

3 Sicherer Fernzugriff ohne direkte Verbindung zum Automatisierungsnetzwerk mit Scalance S623 anderem ihre Aufgabe, auf die Einhaltung der Coding Guidelines zu achten. Diese Guidelines stellen beispielsweise sicher, dass der Source Code sicher programmiert ist. Auch Programmierfehler, wie ungedeckte Variablen, offene Strings usw., werden somit umgangen. Der Product Security Expert achtet darauf, dass solche Schwachstellen im Keim behoben werden, erklärt der Marketing Manager. Eine zweite Maßnahme innerhalb des ISPI-Projekts war es, Produkte, die einem hohen Risiko unterliegen, wie Steuerungen oder Switche, einem Hacking-Test zu unterziehen. Damit verifizieren wir, dass unsere Maßnahmen, die wir im Prozess eingeleitet haben, letztendlich auch erfolgreich sind, so D. Heinze. Eine solche Zertifizierung wird von der Firma Wurldtech durchgeführt. Wir sind der bislang einzige Automatisierungshersteller, der die Achilles-Level-2-Zertifizierung erhalten hat, verkündet D. Heinze stolz und erklärt: Der damit verbundene Achilles- Test umfasst die Prüfung des TCP/IP- Stacks. Das heißt, es werden Denial-of- Service-Attacken gegen die CPU gefahren. Und mit dem Zertifikat wird der Nachweis erbracht, dass die CPU den entsprechenden Attacken erfolgreich Stand gehalten hat. Außerdem wurde nach 2010 ein Security-Netzwerk innerhalb des Unternehmens aufgebaut, das aus Vertretern aus Entwicklung, Produktmanagement, Marketing und Kommunikation besteht. Damit haben wir es geschafft, unsere Reaktionsfähigkeit im Fall gemeldeter Schwachstellen auf heute drei bis vier Tage zu reduzieren, informiert der Experte. Durch die Zusammenarbeit sei es möglich, sehr schnell die Schwachstellen zu qualifizieren und zu analysieren. Die Kunden werden bei entsprechender Sicherheitsrelevanz informiert, Sicherheitsmaßnahmen empfohlen und je nach Machbarkeit Schwachstellen im Produkt behoben. Eskalationsmanagement ist zum Standardprozess geworden, sagt D. Heinze und fügt an: Eine Blaupause hierfür war auch Microsoft. Mit dem Softwareriesen wurde bereits bei Stuxnet, aufgrund der Infektion des Betriebssystems, intensiv zusammengearbeitet. Außerdem haben wir aus der Vergangenheit gelernt, Offenheit beim Thema Schwachstellen zu leben. Aus diesem Grund finden Kunden auf unserer Security-Internetseite sicherheitsrelevante Informationen zu unseren Produkten mit entsprechenden Behebungsoptionen, wie Updates und Patches. Risikoanalyse Nun stellt sich die Frage, welches maximale Sicherheitsniveau ein Anlagenplaner beim Einsatz aller Sicherheitsmaßnahmen, die Siemens ihm innerhalb des Defense-of-Depth-Konzepts zur Verfügung stellt, erreichen kann. Das hängt vom Risiko ab. Es gilt nicht das Prinzip: so viele Sicherheitsmechanismen wie möglich, sondern so viele wie nötig, sagt der Marketing Manager. Als Beispiel nennt er ein Sägewerk, bei dem bei Manipulation der Schaden für die Umwelt gering wäre. Anders stelle sich dies bei einer Chemiefabrik dar, wo das Risiko deutlich größer einzustufen wäre. Jede Anlage ist anders. Deshalb muss in jedem einzelnen Fall eine Risikoanalyse durchgeführt und anhand deren Auswertung das Security-Konzept festgelegt werden, bestätigt F. Köbinger. Abhängig von den Randbedingungen werden dann der Kommunikations- und Schutzbedarf festgelegt und daraus resultierend die Aufteilung der Zellen und Zuordnung der Geräte vorgenommen. Und als Antwort auf die zuvor gestellte Frage ergänzt D. Heinze: Einen hundertprozentigen Schutz werden wir nie erreichen können ein Restrisiko bleibt immer. Dieses gilt es zu beherrschen. Security Integrated Bereits angeklungen sind die Themen Manipulationssicherheit und Zugriffsschutz. Moderne Steuerungssysteme 4 5/13

4 5

5 6 5/13

6 7

7 Schutz und Netztrennung durch Firewalls mit Kommunikationsprozessor (CP): Der CP wird vor den zu schützenden Automatisierungszellen platziert. Dadurch wird die Kommunikation von und zur Automatisierungszelle mithilfe von Firewall-Regeln und VPN-Funktionalität auf die erlaubten Verbindungen eingeschränkt sollten diese mitbringen. Bei unserer S und der neuen S in der Version 4 haben wir sie bereits integriert. Für etablierte Steuerungen, wie unsere S7-300 und -400, bieten wir entsprechende Kommunikationsprozessoren (CP), informiert D. Heinze und erklärt als Anspruch: Für uns war es wichtig, den 1996 mit Totally Integrated Automation (TIA) beschrittenen Weg nun auch bei unserem Security-Ansatz weiterzuführen, also integrated Security anzubieten. In der Umsetzung gestaltet sich das laut F. Köbinger wie folgt: Wir inte grieren Security in unsere Produkte, sodass unsere Kunden keinen immensen Mehraufwand betreiben müssen, um Security-Mechanismen zu nutzen. Gleichzeitig sollen auf diese Weise die unterschiedlichen Anforderungen aus ITund Automatisierungswelt zusammengebracht werden. Bei der IT steht die Datensicherheit im Vordergrund des Handelns, beim Automatisierungstechniker die Verfügbarkeit der Anlage. Mit unserem integrierten Ansatz, bei dem Security von unseren Produkten bis hin zu unserem Engineering-Werkzeug umgesetzt wird, schaffen wir den Spagat, sagt der Marketing Manager. Kopier- und Know-how-Schutz waren allerdings auch schon früher bei der S7-300 und -400 integriert. Welche zusätzlichen Sicherheitsfunktionen bringen die neuen Generationen mit? Zunächst einmal wurden Kopier- und Know-how- Schutz verbessert. Außerdem können nun alle Security-Mechanismen, die wir software- und hardwareseitig anbieten, im TIA Portal umgesetzt werden. Und dazu muss der Automatisierer keine Hundertprozentige Sicherheit gibt es nicht. Mit entsprechend hohem Aufwand kommt man in jedes System, so D. Heinze. zusätzliche IT-Schulung absolvieren, stellt D. Heinze klar heraus. Als konkrete Security-Mechanismen, die neben der Parametrierung des Know-how- und des Kopierschutzes im TIA Portal eingerichtet werden können, nennt er die Parametrierung einer Firewall und das Aufsetzen eines VPN-Tunnels in der gewohnten Engineering Umgebung. Außerdem werden im TIA Portal das User-Konzept für die S7-Produkte eingerichtet sowie die Rechte für den Zugriff auf die CPU vergeben, erklärt er weiter. F. Köbinger ergänzt: Heute ist es möglich, eine Verbindung zwischen Memory Card und CPU herzustellen. Dies geschieht innerhalb des TIA Portals, wo die Seriennummer der CPU an die Memory Card gebunden wird. Das bedeutet: Wird die Memory Card in eine andere CPU eingesteckt, erscheint eine Fehlermeldung und die CPU läuft nicht hoch. Darüber hinaus lassen sich einzelne Bausteine mit der Memory Card verbinden. Ganz neu bei der S ist das Schutzstufenkonzept. Als Beispiel nennt F. Köbinger eine Automatisierungsanlage, bei der mehrere HMI an die Steue rung angekoppelt sind. Über das Engineering Tool kann festgelegt werden, von welchem HMI aus auf die Steuerung zugegriffen werden darf und welches lediglich eine Visualisierungsoption erhält. Das heißt, es werden keine Passwörter mehr für Bediener benötigt, sondern Rechte je HMI innerhalb des TIA Portals vergeben. Aber nicht nur mit den neuen Steuerungsgenerationen wird dem gestiegenen Sicherheitsanspruch Rechnung getragen. Für die etablierten Modelle stellen die Industrial-Ethernet-Kommunikationsprozessoren CP Advanced und CP Advanced mit Security Integrated bereit. Sie bringen eine Firewall und ein VPN-Gateway mit. Damit können auch hier gezielt die Zugriffe gesteuert und mithilfe der VPN-Funktionalität die Datensicherheit gewährleistet werden. Gleichzeitig ist eine sichere Identifikation der Kommunikationsteilnehmer möglich. Das heißt, auf diese Weise kann man bei Be- 8 5/13

8 darf auch die,altwelt sicherer machen, so F. Köbinger. Bei der S verbindet der CP die Steuerung sicher mit dem Ethernet-Netzwerk. Dabei lassen sich verschiedene Sicherheitsmechanismen kombinieren, wie eine intelligente Firewall, die statusabhängig arbeitet (Stateful Inspection-Firewall), Passwortanfrage und Protokolle zur Datenverschlüsselung. Da es sich um einen separaten Prozessor handelt, kann sich die Steuerung auf die Automatisierungsaufgabe konzentrieren und die Security wird in den CP ausgelagert. Das ist deshalb von Vorteil, weil die VPN-Funktionalität rechenintensiv ist und damit die Steuerungs-Performance erhalten bleibt, nennt F. Köbinger als Vorteil. Ausblick Einblick in das gesamte Security-Konzept gewährt Siemens Interessenten im November auf der SPS IPC Drives in Nürnberg. Hier werden noch weitere Security- Produkte und Security Services gezeigt. Das Thema Service wird dort stark herausgestellt. Unsere Security-Services rei chen von einem Assessment über verschiedene Security-Pakete bis hin zur Installation und Konfiguration einer Firewall. Hier wird auch erstmalig die Dienstleistung des Security-Monitorings einer Anlage vorgestellt, informiert D. Heinze. Prinzipiell geht Siemens davon aus, dass das Thema Security innerhalb der Automatisierung in den nächsten Jahren umsatzseitig zweistellige Wachstumszahlen verbuchen wird. Mit Blick in die ferne Zukunft und das Fortschreiten des Themas Industrie 4.0 meint D. Heinze: Wir gehen davon aus, dass es sich bei Industrie 4.0 um einen evolutionären Prozess handelt, bei dem die Security evolutionär mitwächst. Will heißen: Wenn wir in sehr ferner Zukunft autonom agierende produzierende Maschinen haben werden, sprechen wir von ganz anderen Dimen sio nen des Datenaustauschs und der CPU-Performance. Selbstlernende Software muss geschrieben werden. Und, agiert eine Maschine autonom, dann muss sie auch eigenständig erkennen können, in welchem Gefahrenbereich und welcher Umgebung sie sich befindet. Entsprechend wird es dann auch sich selbst adaptierende Security-Mechanismen geben. Friedhelm Loh Group übernimmt Cideon AG Der Engineering-Spezialist Cideon AG, Bautzen, einer der führenden Autodesk-Platinum-Partner in Deutschland, wird Teil der Friedhelm Loh Group. Damit baut die Unternehmensgruppe um die Firmen Rittal, Eplan und Kuttig ihre Kompetenz im mechanischen Engineering weiter aus und treibt das mechatronische Engineering mit der dazu gewonnenen Schnittstellen-Kompetenz voran. Mit den zusätzlichen 420 Mitarbeitern arbeitet künftig jeder zehnte Mitarbeiter in der Friedhelm Loh Group im Bereich Software und Engineering. Die Unternehmensgruppe hat die Aktienanteile an dem erfolgreichen Software- und Systemhaus erworben und wird damit größter Autodesk-Partner (Value Added Reseller) im Bereich Mechanik im deutschsprachigen Raum. Cideon kann auf Kunden und verkaufte eigene Software-Lizenzen verweisen. Ziel ist, mit Eplan und Cideon sowie der internationalen Aufstellung von Rittal als Weltmarktführer für Schaltschrank systeme auch führender Lösungsanbieter im Elektro- und Mechanik-Engineering zu werden. Das gilt sowohl für die Produktebene als auch für die Prozessberatung und Implementierung. Starke Partnerschaften zu SAP und Autodesk sowie die tiefe Integration zu ERPund PLM-Systemen bilden die Basis für den Erfolg. Durch die Akquisition von Cideon haben wir unsere mechanische Kompetenz deutlich ausgebaut und sind gemeinsam mit Eplan als führendem Lösungsanbieter im Elektro-Engineering bestens gerüstet für die Megatrends Mechatronik und Industrie 4.0, erklärt Friedhelm Loh, Vorstandsvorsitzender der Friedhelm Loh Group. Die Grundvoraussetzung für das mechatronische, interdisziplinäre Engineering der Zukunft ist eine Durchgängigkeit bei allen Prozessen im Verlauf der Produktentstehung. Daten in E-CAD, M-CAD und PLM sollen die Wertschöpfungskette im Gesamtprozess eines Kunden konsistent durchlaufen. Erst über eine hohe Schnittstellen-Kompetenz lassen sich diese mechatronischen Projekte effizient Friedhelm Loh, Vorstandsvorsitzender der Friedhelm Loh Group; Lenz Finster, Vorstandsvorsitzender bei der Cideon AG und Maximilian Brandl, Vorsitzender der Geschäftsführung von Eplan umsetzen. Bereits heute bietet Cideon umfangreiche Schnittstellen von allen marktführenden M-CAD-Systemen zu SAP an. Auch Eplan verfügt innerhalb seiner E-CAD- Lösungen über Schnittstellen zu verschiedenen ERP- und PLM-Systemen, unter anderem auch zu SAP und Siemens Teamcenter. Dass wir mit Eplan und Cideon neben marktführenden Software-Technologien für E-CAD, M-CAD und PLM auch Prozessberatung und Implementierung in diesen Bereichen komplett abdecken, ist im Markt einzigartig, erklärt Maximilian Brandl, Vorsitzender der Geschäftsführung von Eplan. Das zuvor bei Eplan und jetzt bei Kuttig vorhandene Mechanik-Know-how wird zum nächstmöglichen Zeitpunkt bei Cideon gebündelt, um die positiven Effekte aus dem Zusammenschluss sowohl für die Kunden als auch für die Autodesk schnellstmöglich zugänglich zu machen. Autodesk begrüßt die Integration von Cideon in die Friedhelm Loh Group. 9