Tutorial

Sicherheit von industriellen Informationssystemen Teil 1

IT-Sicherheit in Industrieanlagen – eine Einführung Martin Naedele, Dacfey Dzung

In modernen automatisierten Industrieanlagen gewinnt das Thema ITSicherheit zunehmend am Bedeutung. Moderne Automatisierungssysteme zeichnen sich durch ein hohes Maß an Vernetzung aus, und nicht selten sind sie auf kommerziellen IT-Plattformen implementiert, von denen viele für ihre Verwundbarkeit gegenüber elektronischen Angriffen bekannt sind. Dieser Artikel – der erste Teil eines dreiteiligen Tutorials zum Thema IT-Si-

66

cherheit für industrielle Systeme – beschreibt Sicherheitsziele und Angriffsarten und gibt einen kurzen Überblick über verfügbare und empfohlene Gegenmaßnahmen sowie allgemeine Vorgehensweisen. Der zweite Teil befasst sich mit bewährten Verfahren zum Schutz gegen bestimmte Angriffsarten, und im dritten Teil werden neue Standards für die Sicherheit von Automatisierungssystemen untersucht.

ABB Technik 2/2005

Sicherheit von industriellen Informationssystemen

Tutorial In der Vergangenheit waren industrielle Automatisierungssysteme weder untereinander noch mit öffentlichen Netzwerken wie dem Internet verbunden. Heute ist die Situation anders: Der Druck des Marktes zwingt Unternehmen dazu, rasche und kostengünstige Entscheidungen zu treffen. Dazu müssen präzise und aktuelle Informationen über die Anlage und den Prozessstatus nicht nur im in der Produktion selbst, sondern auch auf Managementebene und evtl. sogar für Partner innerhalb der Lieferkette zur Verfügung stehen [1]. Dies führt zu einer stärkeren Vernetzung sowohl zwischen verschiedenen Automatisierungssystemen als auch zwischen Automatisierungs- und Bürosystemen. Moderne industrielle Automatisierungssysteme basieren größtenteils auf kommerziellen Betriebssystemen, Protokollimplementierungen und Kommunikationsanwendungen, die ursprünglich für die Büroumgebung entwickelt wurden. Viele dieser Systeme sind bekanntermaßen anfällig für Angriffe, und aufgrund offener und standardisierter Internettechnologien ist das Wissen um ihre Schwachstellen auch für mögliche Angreifer leicht zugänglich. Durch den Anschluss von Industrieanlagen an öffentliche Netzwerke wie das Internet werden diese Schwachstellen für Angreifer nutzbar. Daher ist IT-Sicherheit auch für industrielle Automatisierungssysteme ein wichtiges Thema. Was ist IT-Sicherheit?

Für viele ist IT-Sicherheit gleichbedeutend mit Verschlüsselung. Für andere ist der wichtigste Aspekt der IT-Sicherheit der Schutz gegen Computerviren. In Wirklichkeit aber umfasst IT-Sicherheit viel mehr. Der Begriff Sicherheit hat zwei Bedeutungen, die im Zusammenhang mit Automatisierungssystemen von Bedeutung sind: Zum einen geht es um das Verhindern von vorsätzlichen böswilligen Angriffen (engl. security) und zum anderen um das Verhindern von Schäden, die in erster Linie durch unbeabsichtigten oder zufälligen Verlust der Integrität und Verfügbarkeit von Anlagenteilen oder einen Benutzerfehler verursacht wurden (engl. safety). Die folgenden acht Sicherheitsziele bieten einen geeigneten Rahmen für eine Strukturierung der Sicherheitsanforderungen und Eigenschaften eines Systems: ABB Technik 2/2005

Vertraulichkeit (Confidentiality): Vertraulichkeit bedeutet, die Offenlegung von Informationen gegenüber unbefugten Personen oder Systemen zu verhindern. Für Automatisierungssysteme ist dies von Bedeutung sowohl im Hinblick auf prozessspezifische Informationen wie Produktrezepturen oder Leistungsund Planungsdaten einer Anlage als auch im Hinblick auf die eigenen «Geheimnisse» der jeweiligen Sicherheitssysteme wie Passwörter und kryptografische Schlüssel. Integrität (Integrity): Bei der Integrität geht es darum, Änderungen, die von unbefugten Personen oder Systemen an bestimmten Informationen vorgenommen wurden, zu erkennen. Bei Automatisierungssystemen gilt dies für Informationen wie Produktrezepturen, Sensordaten oder Steuerbefehle. Eine Verletzung der Integrität kann zu einer Gefährdung der Betriebssicherheit (safety) führen, bei der Betriebsmittel, die Umwelt oder sogar Menschen zu Schaden kommen können. Verfügbarkeit (Availablility): Ziel der Verfügbarkeit ist es, sicherzustellen, dass unbefugte Personen oder Systeme nicht in der Lage sind, berechtigten Personen den Zugang bzw. die Benutzung des Systems zu verwehren. Im Falle von Automatisierungssystemen bezieht sich dies auf sämtliche Elemente der Anlage wie Steuerungssysteme, Sicherheitssysteme, Bedienerarbeitsplätze, Engineering-Arbeitsplätze, Produktionsleitsysteme sowie die Kommunikationssysteme zwischen diesen Elementen und zur Außenwelt. Eine Verletzung der Verfügbarkeit, die auch als Denial-of-Service (DoS) bezeichnet wird, kann nicht nur zu wirtschaftlichen Schäden sondern auch zu einer Gefährdung der Sicherheit (safety) führen, wenn dadurch die Bediener nicht mehr in der Lage sind, den Prozess zu überwachen und zu steuern.

Autorisierung (Authorization): Die Autorisierung oder Zugangskontrolle dient dazu, Personen (oder Systemen) ohne Berechtigung den Zugang zum System zu verwehren. Im weiteren Sinne bezieht sich Autorisierung auf den Mechanismus, der für alle anderen Sicherheitsziele wie Vertraulichkeit, Integrität usw. zwischen rechtmäßigen und unrechtmäßigen Benutzern unterscheidet. Im engeren Sinne der Zugangskontrolle bezieht sich Autorisierung auf das Absetzen von Steuerbefehlen an die Anlage. Eine Verletzung der Autorisierung kann zu einer Gefährdung der Sicherheit (safety) führen. Nachvollziehbarkeit (Auditability): Auditability bezieht sich auf die Fähigkeit, die Historie des gesamten Systemverhaltens mit Hilfe von Aufzeichnungen aller (relevanten) Aktionen rekonstruieren zu können, die auf dem System ausgeführt wurden. Dabei geht es in erster Linie darum, Gründe für Störungen im System aufzudecken und den Umfang der Störung bzw. die Folgen eines Sicherheitsvorfalls festzustellen. Nachvollziehbarkeit ohne Authentifizierung kann zwar Diagnosezwecken dienen, genügt aber meist nicht, um jemanden für Schäden haftbar zu machen. Verbindlichkeit (Non-repudiability): Bei diesem Ziel geht es darum, gegenüber 1

Verwendete Sicherheitsmechanismen zwischen Leitsystem und externen Netzwerken gemäß [3]. Bemerkenswert ist, dass 5 % der Systeme gänzlich ungeschützt sind.

5%

5%

14 %

34 %

18 %

Authentifizierung (Authentication): Bei der Authentifizierung geht es darum, die wahre Identität eines Systembenutzers festzustellen und das dazugehörige systeminterne Benutzerkonto zu ermitteln. Bei den meisten Sicherheitszielen – besonders bei der Autorisierung – bildet die Authentifizierung die Grundlage für die Unterscheidung zwischen rechtmäßigen und unrechtmäßigen Benutzern.

24 %

Isoliertes Netzwerk 34 % Hardware-Firewall 24 % Hardware-Firewall und Anti-Virus 18 % Virtual Private Network ( VPN ) 14 % Andere 5 % Keine 5 %

67

Sicherheit von industriellen Informationssystemen

Tutorial Dritten unabstreitbar nachweisen zu können, wer eine bestimmte Aktion im System initiiert hat, um ggf. jemanden für Schäden verantwortlich und haftbar machen zu können. Im Zusammenhang mit Automatisierungssystemen ist dies besonders wichtig im Hinblick auf gesetzliche Vorschriften wie die Genehmigung durch die US Food and Drug Administration (FDA). Eine Verletzung dieses Sicherheitsziels kann juristische und wirtschaftliche Folgen, aber keine Auswirkungen auf die Sicherheit (safety) haben. Schutz Dritter: Gelingt es einem Angreifer, ein Automatisierungssystem in seine Gewalt zu bringen, so kann er es für verschiedene Angriffe (z.B. DistributedDenial-of-Service (DDoS) oder Wurmangriffe) auf die IT-Systeme, Daten oder Benutzer externer Dritter nutzen. Bei diesem Sicherheitsziel geht es darum, derartige Schäden zu verhindern. Die Wichtigkeit und Gewichtung der einzelnen Sicherheitsziele ist abhängig vom jeweiligen System, genauer gesagt von seinem Zweck und seinen schützenswerten Gütern (Assets). Bei Automatisierungssystemen ist zum Beispiel Vertraulichkeit wichtig im Zusammenhang mit Produktions- und Leistungsdaten, während Integrität und Autorisierung besonders in Bezug auf Bedienerbefehle, Parameter und Steuerungsfunktionen von Bedeutung sind. Für jedes System und jede Installation muss zunächst eine Sicherheitsrichtlinie (Security Policy) definiert werden, in der die Sicherheitsziele und besonderen Systembeschränkungen festgelegt sind, bevor die Sicherheitsarchitektur für ein System ausgelegt werden kann.

Welche Arten von Angriffen gibt es?

Ein Angriff ist eine Verletzung eines oder mehrerer Sicherheitsziele. Solche Angriffe können von innerhalb oder außerhalb der Anlage initiiert werden und sich auf ein bestimmtes System oder einen Systemtyp beschränken oder sich – zum Beispiel in Form von Viren und Würmern – gegen jedes verwundbare System richten. Computer werden aus verschiedenen Gründen angegriffen, zum Beispiel um an bestimmte Daten (z.B. Produktionsdaten) zu gelangen, die auf dem System gespeichert sind, um die Verarbeitungsoder Speicherressourcen des Rechners missbräuchlich zu nutzen (z.B. zum unerlaubten Speichern und Verteilen von Software), um mit Hilfe der auf dem Computer installierten Anwendungen Daten oder andere Systeme zu manipulieren (z.B. eine Fertigungsanlage, die von dem Computer gesteuert wird) oder um die Nutzung des Computers für seinen vorgesehenen Zweck zu verhindern. Ein weiteres mögliches Ziel für Angriffe sind Datenübertragungsverbindungen. Diese werden angegriffen, um übertragene Informationen abzuhören, um die an den Empfänger gesendeten Informationen zu verfälschen oder um die rechtmäßige Nutzung der Übertragungsverbindung zu verhindern, zum Beispiel durch Überflutung mit Nachrichten. Finden solche Angriffe wirklich statt?

Januar 1998: Externe Angreifer übernehmen die Kontrolle der zentralen Leitwarte für das Gazprom-Pipelinesystem. Für eine unbestimmte Zeit sind sie in der Lage, den Gasfluss im gesamten

Tabelle 1: Sicherheitsziele und gängige Sicherheitsmechanismen Sicherheitsziel Vertraulichkeit Integrität Verfügbarkeit Authentifizierung Autorisierung

Nachvollziehbarkeit Verbindlichkeit Schutz Dritter

Sicherheitsmechanismen Verschlüsselung, Virtual Private Network (VPN), Secure Socket Layer (SSL) Kryptografische Prüfsummen, Malware-Scanner Redundanz, Diversität Malware-Scanner Passphrasen, Zertifikate, Token/Smartcards, biometrische Erkennung, Challenge-Response-Protokolle Sicher konfigurierte Betriebssysteme (keine unsicheren oder nicht genutzten Dienste, Benutzerkonten; genau definierte Zugangskontrolllisten (ACLs) für Ressourcen usw.), Firewalls, persönliche Firewalls, Message-Filter auf Anwendungsebene, Virtual LAN (VLAN) Intrusion Detection System (IDS), Logs Digitale Signatur Firewall (Egress-Filterung), Malware-Scanner (für ausgehende Daten)

Pipeline-Netz zu steuern1). März 2000: Ein ehemaliger Mitarbeiter einer Wartungsfirma verschafft sich Zugang zum Leitsystem einer Kläranlage in Maroochy Shire im australischen Queensland und überflutet die Umgebung mit mehreren Millionen Litern ungeklärtem Abwasser2). Dezember 2000: Angreifer gelangen über ein ungesichertes Kommunikationsprotokoll in das Computernetzwerk eines US-amerikanischen Energieversorgers und nutzen die Rechner für vernetzte Computerspiele. Der Missbrauch der Rechenleistung und Netzwerkbandbreite führt zu einer ernsthaften Beeinträchtigung der Stromhandelsaktivitäten des Unternehmens3). Januar 2003: Das Sicherheitsüberwachungssystem des US-amerikanischen Kernkraftwerks Davis-Besse wird mit dem «Slammer»-Wurm infiziert. Der Wurm gelangt über eine Modemverbindung und das Laptop eines Servicetechnikers, das zur gleichen Zeit mit dem Kraftwerksnetz verbunden ist, vom infizierten Unternehmensnetz des Wartungsunternehmens in das System und kann so die Firewalls umgehen4). August 2003: Bei der US-amerikanischen Eisenbahngesellschaft CSX Transportation infiziert ein Wurm das Kommunikationsnetz für die Signalisierung und legt einen halben Tag lang sämtliche Züge lahm5). Mai 2004: Der «Sasser»-Wurm infiziert das Signalisierungs- und Leitsystem der australischen Eisenbahngesellschaft RailCorp. Daraufhin können 300.000 Pendler in und um Sydney an diesem Tag nicht zur Arbeit kommen6). Diese Beispiele zeigen, dass elektronische Angriffe auf industrielle Leitsysteme wirklich passieren. Zudem kann man davon ausgehen, dass eine große Zahl

Fußnoten: 1)

http://www.gtiservices.org/security/riskassess/

gazprom_attack_04261999.doc 2)

http://www.theregister.co.uk/content/4/22579.html

3)

http://zdnet.com.com/2100-11-526431.

html?legacy=zdnn 4)

http://www.theregister.co.uk/content/56/

32425.html 5)

http://www.csx.com/?fuseaction=company.news_

detail&i=45722&news_year=-1

68

ABB Technik 2/2005

Sicherheit von industriellen Informationssystemen

Tutorial von Angriffen in der Presse gar nicht erwähnt wird. Kanadische Forscher, die eine Datenbank von IT-Sicherheitsvorfällen in industriellen Anlagen pflegen, haben eine Zunahme der Vorfälle und eine Verlagerung von internen zu externen Angriffen beobachtet [2]. Es sollte jedoch erwähnt werden, dass die oben genannten Vorfälle – soweit Einzelheiten bekannt sind – nur möglich waren, weil empfohlene Vorgehensweisen nicht berücksichtigt wurden. Eine 2004 von ARC durchgeführte Studie zeigt zum Beispiel, dass eine erhebliche Zahl der mit öffentlichen Netzwerken verbundenen Leitsysteme über keinerlei Sicherheitsmechanismen verfügt 1 . Welche Sicherheitsmechanismen sollten verwendet werden?

Die Gefahr eines Angriffs besteht, wenn ein System verwundbar ist und eine Bedrohung vorliegt. Die Ursachen für Sicherheitslücken in einem Informationssystem können in einem logischen Designfehler (z.B. einem falsch konzipierten Protokoll), einem Implementierungsfehler (durch den z.B. ein Pufferüberlauf ermöglicht wird) oder einer grundsätzlichen Schwäche (z.B. Passwörter und kryptografische Schlüssel, die sich durch Ausprobieren aller möglichen Kombinationen herausfinden lassen) liegen. Der Begriff Bedrohung für ein System bezeichnet mögliche Fußnoten: 6)

http://news.com.au/common/story_page/

0,4057,9455677%255E15306,00.html

2

Ziele von Angreifern, zum Beispiel die Unterbrechung der Produktion für eine bestimmte Zeit. Eine solche Bedrohung kann aber auch durch zufällige oder unbeabsichtigte Aktivierung einer Schwachstelle realisiert werden.

effizient und wirksam zu verhindern. Nach den Erfahrungen der letzten Jahrzehnte sollten bei der Implementierung technischer und administrativer Sicherheitsmaßnahmen folgende Grundsätze berücksichtigt werden:

Das Risiko eines Angriffs wird bestimmt durch die Wahrscheinlichkeit seines erfolgreichen Eintretens und das Ausmaß des möglichen Schadens. Für jedes System sollte eine Bedrohungsanalyse durchgeführt werden, bei der mögliche Risiken evaluiert und entsprechend ihrer Wichtigkeit eingestuft werden. Diese Analyse bildet die Grundlage für die Sicherheitsrichtlinie, in der die entsprechenden Sicherheitsziele festgelegt sind. Diese bestimmen wiederum, welche Sicherheitsmechanismen einzusetzen sind. Sicherheitsmechanismen reduzieren das Risiko für ein System, indem sie die Wahrscheinlichkeit einer Ausnutzung von Schwachstellen verringern oder den möglichen Schaden begrenzen. Die Zusammenhänge zwischen den in der Bedrohungs- und Verwundbarkeitsanalyse verwendeten Begriffen sind in 2 dargestellt.

Schwache Glieder vermeiden: Der Aufwand zur Realisierung der verschiedenen voneinander abhängigen Sicherheitsziele für ein System muss gleichmäßig verteilt werden, sodass alle Mechanismen einem Angriff ähnlich starken Widerstand entgegensetzen. Anderenfalls könnte ein Angreifer einen starken Mechanismus umgehen, indem er einen schwächeren überlistet. In Sicherheitssystemen ist der Mensch häufig das schwächste Glied, wodurch die Bedeutung von festgelegten Verfahrensabläufen und Schulung zunimmt.

Tabelle 1 zeigt, welche Sicherheitsmechanismen gewöhnlich für welche Sicherheitsziele eingesetzt werden. Empfohlene «Best Practices»

Die Sicherung eines Systems ist keine leichte Aufgabe, denn es gilt mit einem bestimmten Aufwand und Budget eine Vielzahl von verschiedenen Angriffen

Es gibt keine «Security by Obscurity»: Lange wurde argumentiert, dass Automatisierungssysteme sicher seien, da nur wenige Personen über ein ausreichend detailliertes Wissen um die Betriebsabläufe und Protokolle verfügten, um sie angreifen zu können. Leider ist dies nicht mehr der Fall. Überall auf der Welt gibt es eine Vielzahl von Automatisierungsexperten, und Automatisierungssysteme basieren größtenteils auf umfassend dokumentierten offenen Standards. Minimale Rechte (Least Privilege): Räumt man Benutzern nur so viele Rechte ein, wie sie für ihre Arbeit benötigen, wird das Risiko von Angriffen durch Insider

Begriffe der IT-Bedrohungsanalyse und ihre Beziehungen zueinander Eigenschaften des Zielsystems Ziel

bestimmen

bestimmen

erzeugt

bestimmen

Assets beziehen sich auf

Sicherheitsziele

betrifft

Verletzung verursacht

Schaden mindert das Ausmaß von

verletzt

motiviert

trägt dazu bei

wird realisiert durch Bedrohung

Angriff

aktiviert

trägt dazu bei

ist Ziel von Bedrohungsagent / Angreifer

ABB Technik 2/2005

Risiko

führt aus

ist ausgesetzt

Schwachstellen

rechtfertigt

Sicherheitsmechanismen

mindert die Wahrscheinlichkeit von

schreckt ab

69

Sicherheit von industriellen Informationssystemen

Tutorial bzw. der Missbrauch von Benutzeridentitäten reduziert. Wichtige Prinzipien für ein sicheres Systemdesign

Beim Entwurf eines sicheren Systems sollten zwei grundsätzliche Prinzipien berücksichtigt werden: Defense-in-Depth: Es gibt zwei gängige Ansätze zur Sicherung von physischen Systemen und Informationen: «Hard Perimeter» (harte Schale) und «Defense-inDepth» (tiefengestaffelte Verteidigung). Beim Hard-Perimeter-Konzept wird das System durch eine einzige undurchdringliche Schale geschützt, sodass sämtliche Sicherheitsaspekte innerhalb der Schale außer Acht gelassen werden können. Beim Defense-in-Depth (DiD) Konzept wird das zu schützende Objekt von mehreren Zonen umgeben, wobei in und um jede Zone verschiedene Arten von Mechanismen zur Erkennung und Behinderung eines Angreifers nebeneinander zum Einsatz kommen. In den äußeren Zonen befinden sich weniger wertvolle Ziele. Korrekt implementierte Sicherheitsarchitekturen nach

diesem Konzept sind resistenter gegenüber Angreifern als Architekturen nach dem Hard-Perimeter-Prinzip. Sicherheit ist ein Prozess, kein Produkt: Aufgrund von Veränderungen in der Betriebsumgebung und immer neuen Angriffsarten ist auch bei fehlerloser Implementierung kein Sicherheitssystem in der Lage, seinen Zweck über einen längeren Zeitraum ohne Wartung zu erfüllen. Zur Wartung gehört die Überprüfung der Regeln für die Zugangskontrolle und das Aktualisieren der Software. Bei diesen Prüfungen wird der Ist-Zustand des Systems mit dem Soll-Zustand verglichen. Außerdem wird überprüft, ob der angestrebte Soll-Zustand angesichts einer sich verändernden Geschäfts- und Risikoumgebung noch angemessen ist. Dies bedeutet auch, dass kontinuierlich finanzielle und personelle Ressourcen bereitgestellt werden müssen, um die Sicherheit eines Systems zu gewährleisten. Stand der Dinge

Auch wenn die Meldungen über sich verbreitende Würmer und einen allgemeinen Anstieg der netzwerkbasierten

Glossar Kryptografische Prüfsumme Challenge-Response

Public-Key-Kryptografie

Digitale Signatur

Digitales Zertifikat

Virtual Private Network (VPN) Firewall

Intrusion Detection System (IDS) Secure Socket Layer (SSL)

70

Aus dem Inhalt eines Dokuments bzw. einer Nachricht und einem geheimen Schlüssel werden so genannte Prüfbits berechnet, mit deren Hilfe jede unbefugte Veränderung des Dokuments erkannt werden kann. A sendet B eine Abfrage in Form einer Frage, die nur mit Hilfe eines gemeinsamen geheimen Passworts beantwortet werden kann. Antwortet B korrekt, hat er seine Identität gegenüber A bewiesen, ohne ein Passwort gesendet zu haben (denn gesendete Passwörter können abgehört werden). Verschlüsselungsmethode mit einem Schlüsselpaar: Die mit dem öffentlichen Schlüssel chiffrierten Daten können vom Empfänger nur mit Hilfe des passenden privaten Schlüssels entschlüsselt werden. Dieser muss geheim gehalten werden. An ein Dokument bzw. eine Nachricht angehängte Prüfbits, die aus dem Dokument und einer geheimen, nur dem Sender bekannten Information berechnet werden. Sie dient als Beweis, dass das betreffende Dokument von dem angegebenen Absender stammt. Digitaler «Ausweis», der bestätigt, dass ein öffentlicher Schlüssel dem angegebenen Besitzer gehört; wird von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt (unterzeichnet). Privates Netzwerk, das durch verschlüsselte Tunnel über das öffentliche Internet läuft. Gerät oder Programm, das alle eingehenden (Ingress) bzw. ausgehenden (Egress) Nachrichten untersucht. Dabei können Nachrichten auf der Basis von Herkunfts- bzw. Zieladressen oder Inhalten auf Anwendungsebene gefiltert (d. h. blockiert oder weitergeleitet) werden. Geräte, die den Verkehr in einem Netzwerk beobachten, um elektronische Angriffe aufzuspüren und Alarm zu schlagen. Die Erkennung basiert auf Angriffssignaturen bzw. Anomalien in den Verkehrsmustern. Weit verbreitetes Sicherheitsprotokoll zur Authentifizierung von Webservern und zur verschlüsselten Kommunikation zwischen Webbrowsern und Servern mit Hilfe von digitalen Zertifikaten.

Angriffe die Nachrichten aus dem ITBereich zu bestimmen scheinen, ist dies kein Grund, auf die enormen Vorteile zu verzichten, die eine vollständige vertikale und horizontale Integration einem Unternehmen bietet. Solange bei der Implementierung und dem Betrieb der Konnektivität zwischen dem Leitsystem und anderen Netzwerken bewährte Vorgehensweisen berücksichtigt werden, lässt sich für jede Anwendung ein angemessenes Maß an Sicherheit realisieren. Dieses Maß an Sicherheit bestimmt dann das Restrisiko, das nach Durchführung einer sorgfältigen Bedrohungs- und Risikoanalyse für die betreffende Installation akzeptiert werden kann. Im zweiten Teil dieses Tutorials wird erklärt, wie ein Automatisierungssystem gegen Schäden durch Würmer und Viren geschützt werden kann. Der dritte Teil beschäftigt sich mit aufkommenden Industriestandards in diesem Bereich und zeigt, wie sich mit deren Hilfe der erforderliche Aufwand zur Sicherung einer Anlage gegen gezielte und ungezielte Angriffe reduzieren lässt. Sicherheit ist kein festes Ziel. Um die Sicherheit eines Systems zu gewährleisten, sind kontinuierliche Bemühungen erforderlich. Im Falle von Automatisierungssystemen müssen sowohl der Anlagenbetreiber als auch der Anbieter der Automatisierungstechnik in diese Bemühungen eingebunden werden. Dr. Martin Naedele Dr. Dacfey Dzung ABB Schweiz AG, Corporate Research [email protected] [email protected]

Literaturhinweise: [1] Leffler, N. , Terwiesch, P.: Aspekte der Produktivität, ABB Technik 2/2004. [2] Byres, E. , Lowe, J.: The Myths and Facts behind Cyber Security Risks for Industrial Control Systems, VDE Kongress 2004. [3] Forbes, H.: Plant Floor Network Practices in Today’s Factories and Plants, ARC insight 200453EMHLP, Dezember 2004.

Weiterführende Literatur: M. Naedele: IT Security for Automation Systems, in: R. Zurawski [Editor]: Industrial Information Technology Handbook. CRC Press, Januar 2005, ISBN 0-8493-1985-4. M. Naedele: IT Security for Automation Systems – Motivations and Mechanisms, atp Vol 45 (5), 5/2003. R. Anderson: Security Engineering, Wiley, 2001.

ABB Technik 2/2005