DKE_jahresbericht_2016_basic functions
05.05.2017 Publikation 170 0

Funktionale Sicherheit vs. Informationssicherheit

Nicht erst seit der anstehenden vierten industriellen Revolution zeigt sich in der Praxis, dass die Verwundbarkeit von IT-Systemen in industriellen Steuerungssystemen gegenüber böswilligen Angriffen in vielen Fällen unterschätzt wird. Industrielle Steuerungssysteme sollen heutzutage lange und möglichst ohne signifikante Änderungen betrieben werden. Allerdings steht das Prinzip „Never touch a running system“ in Konflikt mit der Notwendigkeit, Sicherheitspatches einspielen zu müssen. Derzeit verstärken mehrere Trends die Notwendigkeit, dem Thema „Informationssicherheit“ mehr Aufmerksamkeit zu widmen:

  • die Anwendungen werden stärker vernetzt,
  • die Anzahl der erkannten Angriffe auf IT-Systeme nimmt stark zu,
  • das Netzwerk der beteiligten Partner am gesamten Geschäftsprozess wird komplexer (Beispiel Lieferketten),
  • dadurch werden auch Sicherheitsfunktionen angreifbarer, die für die Funktionale Sicherheit eines Systems sorgen. Dies kann dazu führen, dass diese Funktionen verändert oder nicht mehr erbracht werden können, sodass Schaden an Mensch und Umwelt die Folge sein können.

Bisher gibt es nur wenige übergreifende Beschreibungen der Anforderungen von industriellen Systemen der Funktionalen Sicherheit bezüglich der Informationssicherheit. Darüber hinaus besteht die Gefahr, dass im Falle einer unzureichenden Erfassung des Zusammenspiels der beiden Themenfelder unzureichende oder unangemessen hohe Anforderungen gestellt werden könnten: Unzureichende Anforderungen beeinträchtigen die Funktionale Sicherheit, unangemessen hohe Anforderungen beeinträchtigen die Wirtschaftlichkeit.

Für das genannte Themenfeld sind zwei Normenreihen entscheidend:

  • IEC 61508 „Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme“
  • IEC 62443 „Industrielle Kommunikationsnetze - ITSicherheit für Netze und Systeme“

Die IEC 61508 fordert zwar die Berücksichtigung boshafter und nicht autorisierter Handlungen und verweist dabei auf die IEC 62443, diese jedoch behandelt die Funktionale Sicherheit nicht ausreichend. Aus diesem Grund befasst sich der TBINK-Arbeitskreis „IT-Security“ mit dem Themenkomplex „IT-Sicherheit und Funktionale Sicherheit“. Insbesondere gilt es dabei, auch die Zielkonflikte der Informationssicherheit und der Funktionalen Sicherheit zu berücksichtigen: Während zum Beispiel Systeme der Funktionalen Sicherheit möglichst selten geändert werden (da in der Regel bei jeder Änderung eine neue Zertifizierung erfolgen muss), sollen für die Informationssicherheit die Systeme regelmäßig aktualisiert werden (damit bekannte Verwundbarkeiten reduziert werden).

Die entstehende VDE-Anwendungsregel des Arbeitskreises stellt die Zusammenhänge der Informationssicherheit nach IEC 62443 für industrielle Steuerungssysteme und die der Funktionalen Sicherheit nach IEC 61508 dar und beschreibt den Zusammenhang von Anforderungen der Funktionalen Sicherheit und der Informationssicherheit so, dass eine effiziente Kombination der Maßnahmen möglich wird.

VDE-Fachtagung zur Funktionalen Sicherheit – Treffpunkt der Hersteller, Entwickler und Betreiber mit den „Machern“ der Normen zur Funktionalen- und IT-Sicherheit

Welche Herausforderungen sich in Zeiten von Industrie 4.0 an die Sicherheit von Produkten, deren Komponenten und Systeme richten, stellten Normungsexperten am 22. und 23. März 2017 bei der Tagung „Funktionale Sicherheit und IT-Sicherheit 2017“ in Erfurt dar. „Wie ist der Stand der Normung?“, „Wo besteht Handlungsbedarf?“ und „Was muss nachgebessert werden?“, diskutierten die Experten anhand der Sicherheitsgrundnorm für Funktionale Sicherheit (IEC 61508), der Norm zur Funktionalen Sicherheit für die Prozessindustrie (IEC 61511) und der Norm zur IT-Sicherheit (IEC 62443). Zudem informierten Experten, die sich auf internationaler Ebene mit der Normung sicherer Software beschäftigen, über die Weiterentwicklung des für die Softwaretechnik zuständigen Teils 3 der Sicherheitsgrundnorm (IEC 61508-3). Die Fachtagung bot die Möglichkeit, mit den Autoren dieser Normen und den am Normungsverfahren unmittelbar Beteiligten zu sprechen, um so die Informationen quasi aus 1. Hand zu erhalten. In den Diskussionsrunden bestand auch die Möglichkeit, aktuelle Entwicklungen der Normung auf diesen Gebieten kritisch zu hinterfragen.

Futuristische Illustration von 5G
Sikov / Fotolia

Kontakt

Rudolf Brandner

Normungserfolge