Dieser Artikel beleuchtet das Thema Integrität in einem zunehmend digitalisiertem Industrieumfeld, in der Kommunikation und Kollaboration über Unternehmens- und Ländergrenzen hinweg stattfindet.

Es sollen dabei die Daten- und Systemintegrität sowie die Bestimmung der Gesamtintegrität thematisiert und exemplarische Maßnahmen zur Prüfung und Gewährleistung der Integrität bei bestimmten Bedrohungen dargestellt werden.

Wie kann man die Integrität (Korrektheit, Unveränderbarkeit, Vollständigkeit) von Daten, Systemen und Prozessen ermitteln und prüfen? Und wie können wir Störungen der Integrität begegnen?

Außerhalb unserer Betrachtung stehen dabei personenbezogene Daten unter Datenschutzpunkten.

Worum geht es bei Integrität?

Mit dem Thema der Integrität wird sowohl die Korrektheit von internen und externen Daten als auch die einwandfreie (unverfälschte) Funktionsfähigkeit von Systemen und Prozessen betrachtet. Dabei ist die Integrität von der einzelnen Komponente bis zum Gesamtsystem gemeint.

Das Ziel hierbei ist es, eine vertrauenswürdige Kollaboration und Kommunikation zu gewährleisten, die auch über Landes- und Unternehmensgrenzen hinweg erfolgen kann. Dies ist nicht nur in Anbetracht der voranschreitenden Vernetzung wichtig, sondern auch in Hinblick auf das zunehmende Risiko eines externen Angriffs.

Ein Beispiel:

Schadcode, der durch Schwachstellen oder unsichere Software-Updates eingeschleust wird, kann die Programme solcher Komponenten manipulieren und die Funktionalität der Geräte verändern, einschränken oder erweitern.

Bezogen auf das Internet der Dinge (IoT) bedeutet dies für die Security, dass Angriffe stärker skalieren und auch die Angriffsfläche größer wird. Zudem können Angreifer Zonen und Sektoren leichter überspringen und auch scheinbar isolierte Bereiche angreifen.

Für die IT im OT-Umfeld gelten auch die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität. Ohne Integrität kann weder Vertraulichkeit noch Verfügbarkeit gewährleistet werden.

Qualitativ betrachtet können dabei folgende Gründe für ein Fehlen der Integrität eines Gesamtsystems verantwortlich sein:

  • Veränderungen des Systems über die Zeit
  • Alterung von Krypto-Algorithmen durch neue wissenschaftliche Erkenntnisse und höhere Rechenkapazität
  • Technischer Fortschritt in der offensiven Sicherheit
  • Menschliches Versagen und Fehlbedienung
  • Technisches Versagen und Umwelteinflüsse

Was ist der Nutzen einer Daten- und Systemintegrität im OT-Umfeld?

Sind die Daten, Systeme und Prozesse einer Anlage nicht integer, kann dies sowohl Einfluss auf die Produktqualität nehmen als auch die Verfügbarkeit der Anlage selbst gefährden. Man denke beispielsweise an abgeänderte Technologieparameter beim Bearbeiten von Rohteilen, verfremdete Rezepte in der Lebensmittel- oder Chemieindustrie oder die Sabotage einer Steuereinheit durch manipulierte Datenpakete.

Digitalisierung und Vernetzung verändern somit etablierte Ansätze in den Industrieunternehmen: Das bedeutet, dass sich Security-Konzepte von der unternehmensinternen hin zur unternehmensübergreifenden Absicherung ausdehnen müssen und die Grenze zwischen Produktions-OT und Office-IT mit der Zeit verschwindet.

Die Gesamtintegrität einer Anlage

In der Regel besteht eine industrielle Anlage nicht nur aus einem einzigen System, sondern aus einer Vielzahl miteinander kommunizierender Teilsysteme.

Das Gesamtsystem hingegen gilt als integer, wenn alle Teilsysteme und der Datenaustausch zwischen diesen Systemen integer sind. Der Einfluss von fehlender Integrität einer Komponente hängt dabei von dessen Rolle im Gesamtsystem ab.

Genauso lassen sich bei der Betrachtung eines Einzelsystems auch Teilbestandteile identifizieren, die einen Einfluss auf das Teilsystem haben. Bei der Untersuchung der Gesamtintegrität einer Anlage ist der Einfluss all dieser Einzelkomponenten zu berücksichtigen.

Umgang mit Störung der Integrität und Schutzmaßnahmen

Eine Störung der Integrität kann in einer Anlage zu den unterschiedlichsten Auswirkungen führen. Bei unkritischen Folgen kann es sinnvoll sein, den Produktionsbetrieb kontrolliert weiterlaufen zu lassen, wo hingegeben bei schwerwiegenderen Folgen sogar eine sofortige Abschaltung und/ oder eine Notfallbehandlung notwendig ist. Eine Einzelbetrachtung ist hier zwingend erforderlich.

Maßnahmen zum präventivem Integritätsschutz sind u.a.:

  • Einsatz von Protokollen mit Prüfsummen und Signaturen
  • Einsatz von signierter Firmware, Software und Updates, um zu verhindern, dass manipulierte Varianten installiert werden
  • Möglichkeiten zur Überwachung der Systemintegrität (z. B. Secure-Boot)
  • Möglichkeiten zur Authentisierung und Autorisierung vor dem Einspielen von Steuerungsprogrammen und Konfigurationsparametern
  • Protokollierung
  • Verwaltung der Identitäten auf den Komponenten (regelmäßiger Austausch der Authentisierungsdaten & Pflege der jeweils gültigen Nutzer)
  • Signierung und Prüfung der Herkunft von Firmware-Updates und Steuerungsprogrammen

Anforderungen an Hersteller, Integratoren und Betreiber

Für den Gesamtschutz der Integrität trägt jeder Beteiligte eine individuelle Verantwortung, die Integrität der Komponenten, Systeme und Anlagen für den gesamten Lebenszyklus zu gewährleisten.

Hersteller müssen integre Produkte und Systeme liefern sowie Transparenz für Prozesse und Produkteigenschaften bezüglich der Integrität herstellen. Diese Transparenz in der Umsetzung der Maßnahmen, kann über die etablierten Mechanismen der Herstellerselbsterklärung oder einer Deklaration nach entsprechenden Standards (z. B. IEC 62443 4-1 & 4-2 oder ISO 27034) bereitgestellt werden.

Die Aufgabe von Integratoren und Betreibern ist es, Auswirkungen auf Integrität des Systems zu erfassen und deren Auswirkungen einzuschätzen. Darauf basierend muss eine Behebung bzw. Kompensierung der Störung erfolgen.

Dienstleister müssen für eine vertrauenswürdige Zusammenarbeit auf die Dokumentation und Deklaration hinsichtlich der Integrität und Vertrauenswürdigkeit gehandelter bzw. ausgetauschter Daten achten.

Internationale Normungsreihen wie IEC 62443 und ISO 2700x stellen eine erste Grundlage für Integrität und Vertrauenswürdigkeit dar. Zusätzlich ist die international einheitliche Dokumentation und Deklaration der Integritäts- und Vertrauenswürdigkeitsangaben eine Herausforderung. Ziel muss die nahtlose Abfrage und Darstellung der Maßnahmen entlang der Lieferkette und über Ländergrenzen hinweg sein.

Zusammenfassung

Die Notwendigkeit eines Integritätsschutzes wächst mit der zunehmenden Komplexität, welche die Vernetzung und Digitalisierung mit sich bringt. Anwender sind zunehmend auf vollständige, korrekte und unverfälschte Daten, Prozesse und Systeme angewiesen. Ist dies nicht gegeben, wird die Qualität und Fehlerfreiheit des Produktes und somit auch die Wirtschaftlichkeit (Zeit, Kosten) der Produktion gefährdet.

Zudem ist dies nicht der einzige Grund, um sich dem Thema der Integrität zu widmen – es geht auch um die Einhaltung gesetzlicher Regularien im Hinblick auf Funktionale Sicherheit (Safety).

Die Herausforderung für die Industrie besteht darin, die Integrität über den gesamten Lebenszyklus eines Produktes hinweg beherrschen zu können, und zwar über verschiedene Rollen hinweg und unter Berücksichtigung des dynamischen technischen Fortschritts und der schnelllebigen Bedrohungslage. Nur so können vertrauenswürdige Systeme realisiert werden, die wiederum eine vertrauenswürdige Zusammenarbeit über Unternehmens- und Ländergrenzen hinweg ermöglichen.

Notiz

Dieser Artikel basiert auf dem Whitepaper „Integrität von Daten, Systemen und Prozessen als Kernelement der Digitalisierung“, welches vom Lenkungskreis Industrial Security des ZVEI erarbeitet wurde. Dieser Lenkungskreis bündelt und bearbeitet die Security-Aktivitäten im Fachverband Automation des Zentralverband Elektrotechnik- und Elektronikindustrie e. V. (ZVEI). Ansprechpartner ist Marcel Hug.

Das Whitepaper „Integrität von Daten, Systemen und Prozessen als Kernelement der Digitalisierung“ finden Sie hier.