Industrial IT Security in Embedded Systems - was leistet die Norm IEC 62443? von Dipl.-Ing. (FH) Sebastian Schmidt

Transkript

1 Industrial IT Security in Embedded Systems - was leistet die Norm IEC 62443? von Dipl.-Ing. (FH) Sebastian Schmidt Die Vernetzung von Computer Systemen macht auch vor industriellen Systemen nicht halt. Klassische eingebettete Systeme werden zunehmend zu Cyper-physischen Systemen. Cyber-Physische Systeme sind Systeme mit Software und Elektronik, die über Sensoren und Aktoren mit der Außenwelt über das Internet verbunden sind. Mithilfe der Sensoren verarbeiten diese Systeme Daten aus der physikalischen Welt und machen sie für die virtuelle Außenwelt verfügbar, die wiederum durch Aktoren direkt auf Vorgänge in der physikalischen Welt einwirken können. Das Internet der Dinge entsteht. Dies bildet die technologische Grundlage für die Industrie ein Zukunftsprojekt das die deutsche Bundesregierung im Jahre 2011 ins Leben rief. International steht der Begriff Industrie 4.0 heute als Synonym für die Vernetzung der Industrieanlagen. Mit der zunehmenden Vernetzung und dem Informationsaustausch zwischen den Systemen steigen jedoch auch die Anforderungen an die Sicherheit und Verfügbarkeit. Gerade offene, standardisierte Hardware- und Softwarekomponenten, die für möglichst einfache Integration und durchgängige Kommunikation entwickelt wurden, sind häufig anfällig für Attacken und Manipulationen. Ein berühmtes Beispiel ist der Virus Stuxnet. Das Schadprogramm wurde im Jahre 2010 entdeckt und speziell für die Siemens SPS Simatic S7 entwickelt. Dabei wurde in die Steuerung von Frequenzumrichtern angegriffen, wodurch es zu Störungen in iranischen Atomanlagen kam. Embedded Systems kommen heute für unterschiedlichste Aufgaben zum Einsatz und werden vor allem für das Messen, Regeln und Steuern aller Arten von Geräten und Anlagen benötigt. Ursprünglich entwickelt als autarke Systeme, sind viele Anlagen nicht mehr ausreichend vor Angriffen geschützt. Wie können nun Industrieanlagen mit Ihren vernetzten Steuergeräten vor feindlichen Attacken, Sabotage und Spionage geschützt werden? Genau um diese Fragestellung geht es beim Thema Industrial IT Security. Die Standardfamilie IEC bietet einen ganzheitlichen Ansatz für die Absicherung von Embedded Systems in industriellen Anlagen. Der Standard IEC kann als eine branchenspezifische Reaktion internationaler Gremien auf diese neuartige Bedrohungslage gesehen werden und ist speziell an die Sicherheit von industriellen Umgebungen der Steuerungs- und Leittechnik adressiert.

2 Die Standardfamilie besteht aus insgesamt vier Gruppen: 1. Die Dokumente mit den Anfangsnummern IEC führen in die Philosophie des Standards ein und erläutern Begriffe und Konzepte, die dem Standard zugrunde liegen. 2. Die Dokumente mit den Anfangsnummern IEC beschreiben und definieren ein Managementsystem für die IT-Sicherheit von Steuerungs- und Leitsystemen in industriellen Umgebungen beschrieben und definiert. Dieses Managementsystem wird als Cyber Security Management System (CSMS) bezeichnet. 3. Die dritte Gruppe (Dokumente mit den Anfangsnummern ) befasst sich mit den Sicherheitsanforderungen an ein so genanntes Industrial Automation and Control System (IACS). Dieses IT-System ist aus mehreren Komponenten wie SCADA Applikation, PLC, Feldbussen sowie Aktoren und Sensoren aufgebaut und dient der Steuerung von Prozess- oder Produktionsstraßen. 4. In der letzten Gruppe sind Dokumente zusammengefasst, die sich auf die IT- Sicherheit der einzelnen Komponenten eines IACS beziehen. Hier werden sowohl Anforderungen für die Komponenten selbst als auch an den Entwicklungsprozess definiert. Abbildung 1: Die Standardfamilie IEC im Überblick IEC verfolgt einen ganzheitlichen Ansatz, da sowohl das Managementsystem CSMS als auch das Steuerungssystem für industrielle Umgebungen und seine Komponenten adressiert werden. Unter anderem führt IEC folgende sieben Arbeitsfelder - die Foundational Requirements - ein: Zugriffskontrolle (access control AC): Sicherstellung, dass alle Benutzer (Personen, Software-Prozesse und Geräte) sich erfolgreich identifizieren und authentifizieren müssen, damit sie auf das System zugreifen dürfen. Nutzungskontrolle (use control UC): Die Nutzung ausgewählter Geräte, Informationen oder beides wird überwacht um vor nicht autorisiertem Betrieb des Gerätes oder unerlaubter Informationsverwendung zu schützen. Datenintegrität (data integrity DI): Die Integrität von Daten in bestimmten Kommunikationskanälen wird sichergestellt, um vor nicht autorisiertem Datenaustausch schützen. 2

3 Datenvertraulichkeit (data confidentiality DC): Kommunikationskanäle werden gegen Mithören geschützt, um so die Vertraulichkeit besonderer Daten sicherzustellen. eingeschränkter Datenfluss (restricted data flow, RDF): Der Datenfluss in Kommunikationskanälen wird eingeschränkt, um so vor der Weitergabe von Informationen an nicht autorisierte Senken zu schützen. schnelle Ereignisbehandlung (timely response TRE): Auf Verletzungen der IT- Sicherheit wird durch eine Benachrichtigung innerhalb einer definierten Zeit reagiert und Korrekturmaßnahmen werden eingeleitet. Verfügbarkeit der Mittel und Ressourcen (resource availability RA): Die Verfügbarkeit aller Netzwerkressourcen wird sichergestellt, um so vor Denial-of- Service-Angriffen zu schützen. Gegliedert nach diesen Feldern werden zum Beispiel im IEC die Security Requirements für ein Industrial Automation and Control System (IACS) aufgestellt. Die Anforderungen an das IACS steigen dabei mit höherem Security Level (SL). Mit dem SL beschreibt IEC die Stärke eines Angreifers auf einer Skala mit vier Stufen. Diese beschreiben abgestuft den Einsatz, mit dem ein erwarteter Angreifer vorgehen wird: SL 1: zufällige Fehlanwendung SL 2: absichtliche Versuche mit einfachen Mitteln SL 3: wie SL2, aber mit Kenntnissen und entsprechenden Mitteln SL 4: wie SL 3 aber mit erheblichen Mitteln. Je nach Phase im Lebenszyklus, wird der Security Level unterschieden zwischen: SL-T (SL target): dieser zu erzielende Security Level ist ein Ergebnis der Bedrohungs-Risikoanalyse. Diese Bewertung wird in der Regel beim Entwurf einer Automatisierungslösung (d. h. in der Design-Phase) festgelegt, um das geeignete Niveau für die Sicherstellung des im Hinblick auf Security einwandfreien Betriebs zu definieren. SL-C (SL capable): Security Level, den ein Gerät oder System theoretisch erreichen kann SL-A (SL achieved): Der tatsächlich im Gesamtsystem erreichte und messbare Security Level. Dieses Schutzniveau wird ermittelt, nachdem ein System als Lösung eines Automatisierungsprojekts ausgelegt und konfiguriert wurde, um den Target SL zu erreichen. Wenn die Capability SLs von Komponenten und Systemen, die Bestandteile der Automatisierungslösung bilden, zur Erreichung des angestrebten Target-SLs nicht ausreichen, können zusätzliche Maßnahmen, wie z. B. der Einsatz von zusätzlichen Security-Mechanismen zur Erhöhung des Schutzniveaus erforderlich sein. Als weitere Konzepte führt IEC Sicherheitszonen (zones) und Kommunikationskanäle (Conduits) ein. Zonen sind eine Gruppe von logischen oder räumlich zusammengehörenden Komponenten des Industrial Automation and Control System (IACS), die sich dasselbe Security Level teilen. Zones werden über Conduits miteinander 3

4 verbunden, die somit einen Kommunikationskanal bilden. Conduits sind die einzige Kommunikationsmöglichkeit zwischen den zones. Abbildung 2: Zones und Conduits Schulterschluss zwischen Safety und Security Auffällig sind die Parallelen zu den Konzepten funktionaler Sicherheit. Hier findet man verwandte Konzepte, wie zum Beispiel zum Beispiel den Zugriffschutz von unsicheren Komponenten auf sichere Daten. Die Gemeinsamkeiten sind jedoch nicht nur technischer Natur. Auch Entwicklungsprozesse fließen in beide Standards gleichermaßen ein. In wirtschaftlicher Hinsichtlich empfiehlt sich in Zukunft eine Zertifizierung nach IEC um mögliche Haftungsansprüche für Schäden aus Angriffen abwehren zu können. Fazit und Ausblick Zusammenfassend lässt sich sagen, dass der IEC hilft einen globalen Ansatz für die IT Security von Steuerungs- und Leitsystemen zu realisieren, der sowohl das Management der IT Security als auch die Sicherheit von Systemen und Komponenten umfasst. Der Schutz der Automatisierungslösung im gesamten Lebenszyklus wird jedoch noch von weiteren Maßnahmen im Rahmen des Security-Managements beeinflusst, wie z. B. dem physikalischen Schutz, der Verwaltung der Anwender mit ihren Rechten oder dem konsequente Betreiben eines Patch Management. Einige Fragen im Zusammenhang mit dem SL-Konzept sind noch ungeklärt. 4

5 Im Allgemeineinen jedoch werden Hersteller als auch Systemintegratoren und Betreiber von den Entwicklungen profitieren. Es ist wohl zu erwarten, dass der Bedarf an Security Konzepten in Embedded Systemen noch weiter zunehmen wird. Dennoch bleibt abzuwarten ob die Konzepte der IEC sich längerfristig durchsetzen werden und die Breite in der Industrie erreicht denn eine hohe Dynamik in der Technik verträgt sich oftmals nicht gut mit der Trägheit des Papiers. Quellen und Links Sebastian Schmidt, Dipl.- Ing. (FH), ist Gründer der tech-informatik UG und Spezialist für Safety und Security-Anwendungen in eingebetteten Systemen. 5