Anzeige
Anzeige
Anzeige
Beitrag drucken

SIL versus SAL

Risiko-Analyse für IT-Systeme

Bedrohungen für IT-Security werden im Produktionsumfeld längst nicht mehr als rein hypothetisches Risiko wahrgenommen. Jetzt gilt es die komplexe Risikolandschaft im Unternehmen zu überblicken, um gezielte Maßnahmen zur Verbesserung der Sicherheit treffen zu können. Dazu bietet sich auch der Blick auf etablierte Verfahren an, die in der funktionalen Sicherheit zum Einsatz kommen.

Bild: Anapur

Funktionale Sicherheit ist seit vielen Jahren ein Thema in der Automatisierungsbranche. In der vergleichsweise jungen Disziplin ‚IT-Sicherheit‘ befinden sich viele Unternehmen noch in der ‚Findungsphase‘. Für beide Themenbereiche wurden und werden Standards entwickelt. Nach Lord Kelvins Motto „was man nicht messen kann, kann man nicht verbessern“, versuchen Betriebe Risiko und Sicherheit zu quantifizieren: Security Integrity Level (SIL) gemäß IEC 61508 und Security Assurance Level (SAL) nach IEC 62443 liefern die dazu nötigen Maßstäbe. Die gewollte Namensgleichheit zwischen SIL und SAL legt die Gegenüberstellung der beiden Konzepte nahe. Dabei wird deutlich, dass die Konzepte sich ergänzen und IT-Security und Funktionale Sicherheit voneinander lernen können.

Risiko und Sicherheit – Safety und Security

Safety und Security haben ein gemeinsames Ziel: Maschinen, Anlagen, Prozesse und technische Infrastruktur sollen mit Hilfe von Automatisierungstechnik zuverlässig und sicher betrieben werden. Mit funktionaler Sicherheit wird versucht, Risiken für Mensch und Umwelt, welche zum Beispiel durch Maschinen oder verfahrenstechnische Anlagen entstehen, mit Mitteln der Automatisierungstechnik wie Sensorik, Aktorik oder Logik zu vermindern. IT-Security im Automationsumfeld, die sogenannte ‚Industrial IT-Security‘ adressiert Maßnahmen, die sich gegen Bedrohungen aus der Umwelt auf ein Automatisierungssystem richten sowie die Auswirkungen von dysfunktionalen Systemen.

Dazu zählen sowohl gezielte Angriffe etwa durch Schadsoftware als auch unbeabsichtigte Eingriffe. Nach IEC 61508 wird Sicherheit als die Abwesenheit von nicht tolerierbarem Risiko definiert. Die Höhe des Risikos wird durch zwei Parameter bestimmt: Risiko = E (D) x P (D). E (D) steht bei dieser Gleichung für das Schadenspotenzial (Extend of Damage) und P (D) für die Eintrittswahrscheinlichkeit oder ‚Probability of Damage‘. Der Umgang mit Risiko umfasst im Rahmen des Risiko-Management grob drei Schritte, die zyklisch durchlaufen werden:

  1. Die Risikoanalyse, bei der das Risikopotenzial ermittelt wird: Wo lauert die Gefahr, Wie groß ist die Gefahr?
  2. Planung und Durchführung von Sicherheitsmaßnahmen zur Risikoreduzierung
  3. Nachweis der Risikoreduzierung nach SIL, Performance Level-Berechnung sowie SAL-Nachweis

Die Bewertung von Risiken wird in der aktuell etablierten Praxis durch interdisziplinäre Teams in Form von moderierten Sitzungen vorgenommen. In der Funktionalen Sicherheit wird die erforderliche Risikoverminderung oder ‚SIL-Level‘ häufig mit dem Risikograph ermittelt. Der Nachweis über das tatsächliche Erreichen des angestrebten SIL-Levels wird rechnerisch geführt. Der Probability of Failure-on-Demand-Wert (PFD) ermöglicht dabei eine Aussage über die Qualität der Sicherheitseinrichtung beziehungsweise das Maß der Risiko-Reduzierung.

Security Assurance Level als Maßeinheit für Sicherheit

Während sich der SIL in der Automatisierung etabliert und weltweit Bekanntheit erlangt hat, befindet sich das SAL-Konzept noch in der Entwicklungsphase. Aktuell erarbeiten mit ISA und IEC internationale Normengremien an einer Norm für IT-Security: Durch die IEC 62443 soll SAL als ‚Maßeinheit‘ für Security eingeführt werden. Dazu wird der SAL analog zum SIL als vierstufiger Gradmesser für die Security angegeben, SAL 1 entspricht der niedrigsten Sicherheitsstufe.

Als organisatorischen Rahmen fordert der Normen-Entwurf die Einrichtung eines Cyber-Security-Management Systems. Es orientiert sich am ‚Plan-Do-Check-Act-Prinzip‘ (PDCA) und erstreckt sich von der Risikoanalyse über die Implementation bis hin zur Überwachung der Sicherheitsmaßnahmen, ‚Policies‘ und ‚Procedures‘ definieren Zuständigkeiten und Prozesse. Der Ansatz sollte in andere Management Systeme aus dem Health-Safety-Environment-Umfeld integriert werden, etwa ISO 180000 oder FSMS.

Der Entwurf geht bei der Zuweisung der SAL-Stufen vom Zonen-Konzept aus, ein Automatisierungssystem wird anhand der Netzwerk-Topologie in Zonen mit verschiedenen SAL-Anforderungen unterteilt. Dabei wird zwischen dem gewünschten oder ‚SAL-target‘ und erreichten oder ‚SAL-achieved‘ Security für eine Zone differenziert. Daneben gibt der ‚SAL-capability‘ den maximalen Sicherheitslevel eines Geräts an. Als Grundlage für die Bestimmung des SAL dient ein Katalog von über 50 Systemanforderungen. Je höher der gewünschte SAL, desto umfangreicher müssen diese erfüllt werden.

Außerdem werden Metriken als quantitative Kriterien zur SAL-Bestimmung herangezogen, um etwa im Bereich der Zugriffskontrolle Kennzahlen für die Login-Aktivität oder die Zahl von nicht vertrauenswürdigen Netzwerkverbindungen beurteilen zu können. Beiden Konzepten gemeinsam ist die Vorstellung, dass das Sicherheitsniveau als Zahlenwert dargestellt werden kann und soll. Weiter sollen die Aktivitäten über den gesamten Lebenszyklus eines Systems von der Planung über die Risikoanalyse, Errichtung, Wartung bis zum Abriss durch ein Managementsystem abgedeckt werden.

Beispiel für die Risikoanalyse nach SIL: Sowohl das mögliche Ausmaß als auch die Eintrittswahrscheinlichkeit eines Schadensfalls werden beurteilt. Diese Methodik lässt sich bis zu einem gewissen Grad auf auch SAL-Analysen übertragen. Abbildung gemäß IEC 61508

Bausteine für eine umfassende Risikoanalyse

Abseits der Gemeinsamkeiten bieten die Normen auch beachtenswerte Unterschiede. Die Risikoanalyse ist ein zentrales Element im Management von Risiko und in der funktionalen Sicherheit weitgehend etabliert. Mit Hilfe von Methoden wie HAZOP/PAAG oder Risikograph werden die Risiken aus dem Prozess visualisiert, evaluiert und gegebenenfalls notwendige Sicherheitsmaßnahmen inklusive deren SIL-Anforderung definiert. In der Security mangelt es derzeit an praktikablen Ansätzen zur Visualisierung von Risiken. Hier könnte die Security aus PAAG und Risikograph etwas lernen.

Ein möglicher Ansatz ist die durch Anapur entwickelte ‚Risiko-Landkarte für IT-Security‘. Dabei werden die geschätzte Eintrittswahrscheinlichkeit von Bedrohungen und deren potenzielles Schadensausmaß gegenübergestellt und priorisiert. Die Risiken mit der höchsten Eintrittswahrscheinlichkeit und die Auswirkungen mit dem größten Schadensausmaß werden dabei an erste Stelle gesetzt. Des Weiteren werden Maßnahmen zur Verhinderung von Systemschäden, sowie Maßnahmen zur Minderung von Auswirkungen zugeordnet und in Beziehung zu Schutzzielen wie Verfügbarkeit oder Vertraulichkeit gesetzt. Das Schaubild versucht das Thema in seiner Gesamtheit abzubilden und soll Verantwortliche unterstützen, die komplexe Security-Landschaft zu überblicken, Risiken zu bewerten und geeignete Maßnahmen auszuwählen.

Anteil systematischer Risiken in der Automatisierung steigt

Die funktionale Sicherheit konzentriert sich vor allem auf zufällige Fehler: Sensorik, Aktorik und die SPS-Hardware unterliegen statistisch nachvollziehbaren Ausfallwahrscheinlichkeiten, die vor allem durch Abnutzungserscheinungen verursacht werden. Die Fokussierung auf den quantitativen Nachweis der Zuverlässigkeit oder zufälliger Fehler stellt einen Schwachpunkt der aktuell gelebten ‚SIL Praxis‘ dar. Denn die Automatisierungstechnik setzt zunehmend auch auf IT-Systeme. Rein mechanische und elektrische Komponenten werden seltener.

Die Gefährdungen und Fehler, denen Computersysteme unterliegen sind jedoch weniger zufällige, sondern primär systematische Fehler, die beispielsweise auf Planungs- oder Programmierfehler zurückzuführen sind. Automation Security befasst sich aufgrund der Beschaffenheit der Materie in erster Linie mit systematischen Fehlern. Der Mangel an quantitativ erfassbaren , zufälligen Fehlern wird im IEC 62334-Entwurf durch die Einführung der Metriken und SAL-kategorisierten Anforderungen kompensiert.

Konzeption: Der Blick auf das Gesamtsystem entscheidet

Das SAL-Konzept stellt einen Ansatz dar, IT-Security-Risiken greifbar zu machen. Es besteht allerdings derzeit Entwicklungsbedarf an praktikablen Hilfsmitteln zur Risikoanalyse und Visualisierung. Hier kann die Security von den bewährten Methoden der Safety lernen. Ebenso kann das SAL-Konzept dazu beitragen, dass Schwächen in der SIL-Praxis in das Bewusstsein der Verantwortlichen vordringen und entsprechende Maßnahmen ergriffen werden. Der Blick auf das gesamte System unter Berücksichtigung der Safety- und Security-Perspektive wird zukünftig entscheidend sein. Der Gewinn daraus können robuste, zuverlässige und störungsarme Automatisierungssysteme sein, von denen die Produktion immer stärker abhängt.


Das könnte Sie auch interessieren:

Die Software PEC-EX von R. Stahl hilft Anlagenbetreibern bei der Planung, Durchführung und Dokumentation vorgeschriebener Prüfungen ihrer explosionsgeschützten Betriebsmittel. ‣ weiterlesen

Mit dem SMIT Testkit Shop will die Sven Mahn IT GmbH & Co. KG Anwendern den Zugang zu ihrer Lösung für die Testoptimierung und Qualitätssicherung der ERP-Software Microsoft Dynamics AX erleichtern. ‣ weiterlesen

Das Softwarehaus Mensch und Maschine hat Version 2018 von Ecscad vorgestellt. Die Software zur Elektrodokumentation ist in den Ausbaustufen Ecscad und Ecscad Professional verfügbar und soll Anwendern mit verschiedenen Neuerungen die tägliche Arbeit erleichtern. ‣ weiterlesen

Nicht 'ob' IoT, sondern 'wie' – warum hohe Skalierbarkeit und Integration beim Enterprise Mobility Management (EMM) wesentlich ist.‣ weiterlesen

Der Data-Analytics-Anbieter Qlik Tech GmbH hat Mike Capone zum neuen CEO ernannt. Der bisherige CEO David Murphy, der diesen Posten interimsmäßig inne hatte, kehrt in seine vorherige Position als Vorstandsmitglied zurück.‣ weiterlesen

Der Softwarehersteller SAS hat einen eigenen Geschäftsbereich für das Thema Internet of Things gegründet. Damit soll der wachsenden Bedeutung von großen Datenmengen Rechnung getragen werden, die von vernetzten Geräten erzeugt werden.‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige