Cyber Security von Produktionsanlagen

Für Betriebsbereiche, die unter die Störfallverordnung fallen, muss gemäß § 3 (Allgemeine Betreiberpflichten) der  12. BImSchV auch eine Betrachtung in Bezug auf die IT-Sicherheit erfolgen. Der Fokus hierbei liegt auf PLT- und MSR-Einrichtungen. Zuständig für die Umsetzung sind die Umweltverwaltungen der einzelnen Bundesländer.

Das IT-Sicherheitsgesetz, dessen Zuständigkeit beim Bundesinnenministerium liegt, fokussiert vor allem den Schutz der Versorgungssicherheit und der sogenannten kritischen Infrastrukturen. Das Gesetz bezieht sich nur auf „Anlagen“, sie mindestens 500.000 Personen versorgen. Die BSI-KritisV ist ein ganzheitlicher Ansatz für Unternehmen und bezieht somit alle Unternehmensbereiche mit ein.

Die Kommission für Anlagensicherheit (KAS) ist ein unabhängiges Gremium zur Beratung der deutschen Bundesregierung bzw. des zuständigen Bundesministeriums in Fragen der Sicherheit von Anlagen im Sinne des Bundes-Immissionsschutzgesetzes (BImSchG). Der Leitfaden KAS-51 „Maßnahmen gegen Eingriffe Unbefugter“, legt unter anderem Basismaßnahmen fest. Darunter fallen beispielsweise die Festlegung von Verantwortlichkeiten sowie das Zugangsmanagement und die Zutrittsüberwachung. Die Sicherheitsanalyse, die der Leitfaden KAS-51 fordert, besteht aus der Bedrohungsanalyse, der Gefahrenanalyse und der IT-Risikobeurteilung. Letztere kann u. a. nach IEC 62443, DIN ISO/IEC 27001 oder NA 163 durchgeführt werden.

Der Anhang 2 des Leitfadens KAS-51 befasst sich mit dem Schutz vor cyberphysischen Angriffen und behandelt Themen wie die IT-Security als Führungsaufgabe und die Reaktion auf neue Schwachstellen und Bedrohungen. Alle Themen, die im Anhang 2 aufgeführt werden, werden durch Kontrollfragen implementiert. Die Überprüfung durch die Behörde fokussiert sich letztendlich auf die Sicherheitsanalyse und die Qualität der Umsetzung. Bei Feststellung des ausreichenden Schutzes ist dabei keine separate Sicherheitsüberprüfung nach § 10a Sicherheitsüberprüfungsfeststellungsverordnung (SÜFV) erforderlich. Der Sicherheitsbericht dient dem Anlagenbetreiber als Rechtssicherheitsnachweis.

Als Folge der Konkretisierung der Normen IEC 61508 und IEC 61511 wurde die VDI/VDE 2180, die Richtlinie für die funktionale Sicherheit in der Prozessindustrie, im April 2019 erneuert. Einen neuen Schwerpunkt bildet die Cyber Security: „Im Management der funktionalen Sicherheit müssen IT-Sicherheitsaspekte in der Planung, der Beschaffung, der Validierung, im Betrieb, bei Änderungen und bei der Außerbetriebnahme berücksichtigt werden.“ Weiter heißt es in der Neufassung: „Durch den Einsatz IT-basierter Technologien und die zunehmende Vernetzung von Systemen können Automatisierungssysteme inklusive der zugehörigen Programmier- und Konfigurationsgeräte zum Ziel von Cyber-Bedrohungen werden. […] Um das Gefährdungspotenzial einzuschätzen und geeignete Gegenmaßnahmen festzulegen, muss eine IT-Risikobeurteilung durchgeführt werden.“ (Blatt 1, S. 38 ff.)

Die IT-Sicherheitsbeurteilung für PLT-Sicherheitseinrichtungen kann dabei unabhängig oder gemeinsam mit der allgemeinen IT-Risikobeurteilung durchgeführt werden. Bestandteile, die davon betroffen sind, sind Hardware, Software, Daten, Verbindungen, Prozesse und Personen. Die VDI/VDE 2180 gibt auf den folgenden Seiten außerdem an, dass die NA 163 Methoden zur Durchführung einer IT-Risikoanalyse sowie einen Maßnahmenkatalog enthält, die gemeinsam mit der VDI/VDE 2180 zu einem geeigneten IT-Absicherungskonzept führen kann.

Da die oben genannten Ansätze für eine IT-Risikoanalyse oft sehr zeit- und personalintensiv sind, soll das NAMUR Arbeitsblatt 163 dabei helfen, Gesetzte und Regelwerke auch dann sicher einzuhalten, wenn die Sicherheitsanalyse durch nicht IT-Fachleute (z. B. PLT-Ingenieur) durchgeführt wird. Die Zeiterfordernis soll durch das Arbeitsblatt auf maximal einen Tag pro Anlage beschränkt sein.

Im NA 163 wird empfohlen, die IT-Risikobeurteilung nach IEC 62443 zu verfassen. Die Basisparameter sind allgemeingültig: SIL 1 bis 3, eine niedrige Anforderungsrate und ein zonierter Aufbau des Netzwerks. Die IT-Risikobeurteilung von PLT-Sicherheitseinrichtungen nach NA 163 erfolgt letztendlich in fünf Schritten:

1. Identifikation des betrachteten Systems
2. High-Level-IT-Risikobeurteilung
3. Einteilung des betrachteten Systems in Zonen und Verbindungen
4. Detaillierte IT-Risikobeurteilung
5. Dokumentation