Beitrag drucken

SIL versus SAL

Risiko-Analyse für IT-Systeme

Bedrohungen für IT-Security werden im Produktionsumfeld längst nicht mehr als rein hypothetisches Risiko wahrgenommen. Jetzt gilt es die komplexe Risikolandschaft im Unternehmen zu überblicken, um gezielte Maßnahmen zur Verbesserung der Sicherheit treffen zu können. Dazu bietet sich auch der Blick auf etablierte Verfahren an, die in der funktionalen Sicherheit zum Einsatz kommen.

Bild: Anapur

Funktionale Sicherheit ist seit vielen Jahren ein Thema in der Automatisierungsbranche. In der vergleichsweise jungen Disziplin ‚IT-Sicherheit‘ befinden sich viele Unternehmen noch in der ‚Findungsphase‘. Für beide Themenbereiche wurden und werden Standards entwickelt. Nach Lord Kelvins Motto „was man nicht messen kann, kann man nicht verbessern“, versuchen Betriebe Risiko und Sicherheit zu quantifizieren: Security Integrity Level (SIL) gemäß IEC 61508 und Security Assurance Level (SAL) nach IEC 62443 liefern die dazu nötigen Maßstäbe. Die gewollte Namensgleichheit zwischen SIL und SAL legt die Gegenüberstellung der beiden Konzepte nahe. Dabei wird deutlich, dass die Konzepte sich ergänzen und IT-Security und Funktionale Sicherheit voneinander lernen können.

Risiko und Sicherheit – Safety und Security

Safety und Security haben ein gemeinsames Ziel: Maschinen, Anlagen, Prozesse und technische Infrastruktur sollen mit Hilfe von Automatisierungstechnik zuverlässig und sicher betrieben werden. Mit funktionaler Sicherheit wird versucht, Risiken für Mensch und Umwelt, welche zum Beispiel durch Maschinen oder verfahrenstechnische Anlagen entstehen, mit Mitteln der Automatisierungstechnik wie Sensorik, Aktorik oder Logik zu vermindern. IT-Security im Automationsumfeld, die sogenannte ‚Industrial IT-Security‘ adressiert Maßnahmen, die sich gegen Bedrohungen aus der Umwelt auf ein Automatisierungssystem richten sowie die Auswirkungen von dysfunktionalen Systemen.

Dazu zählen sowohl gezielte Angriffe etwa durch Schadsoftware als auch unbeabsichtigte Eingriffe. Nach IEC 61508 wird Sicherheit als die Abwesenheit von nicht tolerierbarem Risiko definiert. Die Höhe des Risikos wird durch zwei Parameter bestimmt: Risiko = E (D) x P (D). E (D) steht bei dieser Gleichung für das Schadenspotenzial (Extend of Damage) und P (D) für die Eintrittswahrscheinlichkeit oder ‚Probability of Damage‘. Der Umgang mit Risiko umfasst im Rahmen des Risiko-Management grob drei Schritte, die zyklisch durchlaufen werden:

  1. Die Risikoanalyse, bei der das Risikopotenzial ermittelt wird: Wo lauert die Gefahr, Wie groß ist die Gefahr?
  2. Planung und Durchführung von Sicherheitsmaßnahmen zur Risikoreduzierung
  3. Nachweis der Risikoreduzierung nach SIL, Performance Level-Berechnung sowie SAL-Nachweis

Die Bewertung von Risiken wird in der aktuell etablierten Praxis durch interdisziplinäre Teams in Form von moderierten Sitzungen vorgenommen. In der Funktionalen Sicherheit wird die erforderliche Risikoverminderung oder ‚SIL-Level‘ häufig mit dem Risikograph ermittelt. Der Nachweis über das tatsächliche Erreichen des angestrebten SIL-Levels wird rechnerisch geführt. Der Probability of Failure-on-Demand-Wert (PFD) ermöglicht dabei eine Aussage über die Qualität der Sicherheitseinrichtung beziehungsweise das Maß der Risiko-Reduzierung.

Security Assurance Level als Maßeinheit für Sicherheit

Während sich der SIL in der Automatisierung etabliert und weltweit Bekanntheit erlangt hat, befindet sich das SAL-Konzept noch in der Entwicklungsphase. Aktuell erarbeiten mit ISA und IEC internationale Normengremien an einer Norm für IT-Security: Durch die IEC 62443 soll SAL als ‚Maßeinheit‘ für Security eingeführt werden. Dazu wird der SAL analog zum SIL als vierstufiger Gradmesser für die Security angegeben, SAL 1 entspricht der niedrigsten Sicherheitsstufe.

Als organisatorischen Rahmen fordert der Normen-Entwurf die Einrichtung eines Cyber-Security-Management Systems. Es orientiert sich am ‚Plan-Do-Check-Act-Prinzip‘ (PDCA) und erstreckt sich von der Risikoanalyse über die Implementation bis hin zur Überwachung der Sicherheitsmaßnahmen, ‚Policies‘ und ‚Procedures‘ definieren Zuständigkeiten und Prozesse. Der Ansatz sollte in andere Management Systeme aus dem Health-Safety-Environment-Umfeld integriert werden, etwa ISO 180000 oder FSMS.

Der Entwurf geht bei der Zuweisung der SAL-Stufen vom Zonen-Konzept aus, ein Automatisierungssystem wird anhand der Netzwerk-Topologie in Zonen mit verschiedenen SAL-Anforderungen unterteilt. Dabei wird zwischen dem gewünschten oder ‚SAL-target‘ und erreichten oder ‚SAL-achieved‘ Security für eine Zone differenziert. Daneben gibt der ‚SAL-capability‘ den maximalen Sicherheitslevel eines Geräts an. Als Grundlage für die Bestimmung des SAL dient ein Katalog von über 50 Systemanforderungen. Je höher der gewünschte SAL, desto umfangreicher müssen diese erfüllt werden.

Außerdem werden Metriken als quantitative Kriterien zur SAL-Bestimmung herangezogen, um etwa im Bereich der Zugriffskontrolle Kennzahlen für die Login-Aktivität oder die Zahl von nicht vertrauenswürdigen Netzwerkverbindungen beurteilen zu können. Beiden Konzepten gemeinsam ist die Vorstellung, dass das Sicherheitsniveau als Zahlenwert dargestellt werden kann und soll. Weiter sollen die Aktivitäten über den gesamten Lebenszyklus eines Systems von der Planung über die Risikoanalyse, Errichtung, Wartung bis zum Abriss durch ein Managementsystem abgedeckt werden.

Beispiel für die Risikoanalyse nach SIL: Sowohl das mögliche Ausmaß als auch die Eintrittswahrscheinlichkeit eines Schadensfalls werden beurteilt. Diese Methodik lässt sich bis zu einem gewissen Grad auf auch SAL-Analysen übertragen. Abbildung gemäß IEC 61508

Bausteine für eine umfassende Risikoanalyse

Abseits der Gemeinsamkeiten bieten die Normen auch beachtenswerte Unterschiede. Die Risikoanalyse ist ein zentrales Element im Management von Risiko und in der funktionalen Sicherheit weitgehend etabliert. Mit Hilfe von Methoden wie HAZOP/PAAG oder Risikograph werden die Risiken aus dem Prozess visualisiert, evaluiert und gegebenenfalls notwendige Sicherheitsmaßnahmen inklusive deren SIL-Anforderung definiert. In der Security mangelt es derzeit an praktikablen Ansätzen zur Visualisierung von Risiken. Hier könnte die Security aus PAAG und Risikograph etwas lernen.

Ein möglicher Ansatz ist die durch Anapur entwickelte ‚Risiko-Landkarte für IT-Security‘. Dabei werden die geschätzte Eintrittswahrscheinlichkeit von Bedrohungen und deren potenzielles Schadensausmaß gegenübergestellt und priorisiert. Die Risiken mit der höchsten Eintrittswahrscheinlichkeit und die Auswirkungen mit dem größten Schadensausmaß werden dabei an erste Stelle gesetzt. Des Weiteren werden Maßnahmen zur Verhinderung von Systemschäden, sowie Maßnahmen zur Minderung von Auswirkungen zugeordnet und in Beziehung zu Schutzzielen wie Verfügbarkeit oder Vertraulichkeit gesetzt. Das Schaubild versucht das Thema in seiner Gesamtheit abzubilden und soll Verantwortliche unterstützen, die komplexe Security-Landschaft zu überblicken, Risiken zu bewerten und geeignete Maßnahmen auszuwählen.

Anteil systematischer Risiken in der Automatisierung steigt

Die funktionale Sicherheit konzentriert sich vor allem auf zufällige Fehler: Sensorik, Aktorik und die SPS-Hardware unterliegen statistisch nachvollziehbaren Ausfallwahrscheinlichkeiten, die vor allem durch Abnutzungserscheinungen verursacht werden. Die Fokussierung auf den quantitativen Nachweis der Zuverlässigkeit oder zufälliger Fehler stellt einen Schwachpunkt der aktuell gelebten ‚SIL Praxis‘ dar. Denn die Automatisierungstechnik setzt zunehmend auch auf IT-Systeme. Rein mechanische und elektrische Komponenten werden seltener.

Die Gefährdungen und Fehler, denen Computersysteme unterliegen sind jedoch weniger zufällige, sondern primär systematische Fehler, die beispielsweise auf Planungs- oder Programmierfehler zurückzuführen sind. Automation Security befasst sich aufgrund der Beschaffenheit der Materie in erster Linie mit systematischen Fehlern. Der Mangel an quantitativ erfassbaren , zufälligen Fehlern wird im IEC 62334-Entwurf durch die Einführung der Metriken und SAL-kategorisierten Anforderungen kompensiert.

Konzeption: Der Blick auf das Gesamtsystem entscheidet

Das SAL-Konzept stellt einen Ansatz dar, IT-Security-Risiken greifbar zu machen. Es besteht allerdings derzeit Entwicklungsbedarf an praktikablen Hilfsmitteln zur Risikoanalyse und Visualisierung. Hier kann die Security von den bewährten Methoden der Safety lernen. Ebenso kann das SAL-Konzept dazu beitragen, dass Schwächen in der SIL-Praxis in das Bewusstsein der Verantwortlichen vordringen und entsprechende Maßnahmen ergriffen werden. Der Blick auf das gesamte System unter Berücksichtigung der Safety- und Security-Perspektive wird zukünftig entscheidend sein. Der Gewinn daraus können robuste, zuverlässige und störungsarme Automatisierungssysteme sein, von denen die Produktion immer stärker abhängt.


Das könnte Sie auch interessieren:

Mailst du noch oder nurturest du schon?

Neugewonnene Leads müssen nicht zwangsläufig von einem Vertriebsmitarbeiter persönlich ’nachgefasst‘ werden. Ein durchdachtes Lead-Management-Konzept bietet einen effizienten Ansatz, um das Neukundengeschäft anzukurbeln. ‣ weiterlesen

Bosch und weitere internationale Unternehmen gründen Blockchain-Bündnis

Gemeinsam mit internationalen Partnern hat Bosch die ‚Trusted IoT Alliance‘ gegründet. Ziel des Bündnisses ist es, einen Standard zu entwickeln, mit dem Blockchain-Technologie in IoT-Geräten zum Einsatz kommen kann.

‣ weiterlesen

Durchgängige Konstruktion

Die Elektrokonstrukteure von Phoenix Contact arbeiten seit vielen Jahren mit der Eplan-Plattform. Neu sind die Verbindung zu Teamcenter und die Nutzung eines durchgängigen Product Lifecycle Management-Systems. Der ‚Pilot‘ im Unternehmen ist der eigene Maschinenbau – und die ersten Erfahrungen sind durchweg positiv. ‣ weiterlesen

Drei Fliegen mit einer Klappe

Produktionsfehler gehen häufig auf Informationsdefizite, ergonomische Schwachstellen sowie mangelnde Kontrollmechanismen zurück. Digitale Werkerführungen der neuesten Generation können alle drei Fehlerursachen wirksam marginalisieren. ‣ weiterlesen

Die 8. Aachener Informationsmanagement-Tagung im November steht unter dem Motto ‚Informationsmanagement trifft Disruption‘. Die Veranstaltung richtet sich insbesondere an Unternehmer mit dem Ziel, ihr Geschäftsmodell im Rahmen der Digitalisierung disruptiv zu erneuern und zukunftssicher aufzustellen.

‣ weiterlesen

Mit neuen, digitalen Geschäftsmodellen müssen auch klassische Industrie-Unternehmen neue Kundenkreise adressieren, neue Umsatzquellen erschließen und Wettbewerbsvorteile generieren. Die wesentliche Voraussetzung sehen immer mehr Verantwortliche in einer hohen Qualität der Unternehmensdaten. ‣ weiterlesen