CSE-Engineering Center of Safety Excellence GmbH
Seite wählen

Plant Security

RISIKOANALYSEN | PENETRATIONSTESTS | INCIDENT RESPONSE

CSE-Engineering – Digital Services

Cybersecurity – ein „Muss“ für die Anlagensicherheit !

Technische Sicherheit allein reicht angesichts der wachsenden Digitalisierung und Automatisierung längst nicht mehr aus. Anlagen müssen heute auch vor Zugriffen durch unbefugte Dritte geschützt werden. Mögliche Cyberangriffe auf technische Anlagen sind zwingend zu betrachten und in das Sicherheitsmanagement zu integrieren. Aktuell sind Plant Safety und Security jedoch weitgehend getrennte Disziplinen mit hochspezialisierten Dienstleistern. Das birgt naturgemäß Risiken.

CSE-Engineering hat beide Disziplinen im integrierten Konzept der Plant Security zusammengeführt. Damit werden IT- und OT-Security zu selbstverständlichen Bestandteilen des Anlagensicherheitskonzepts. Mit uns haben Sie einen spezialisierten Partner für das gesamte Anlagensicherheitsmanagement.

CSE-Engineering: Marius Bächle

Kontakt

Marius Bächle, M.Sc.
Process Safety Engineer

phone_in_talk +49 721 6699 4709
email E-Mail senden

Referenzen:

CSE-Geschäftsführer Prof. Jürgen Schmidt ist Mitglied der Kommission für Anlagensicherheit (KAS) zur Beratung des Bundesministeriums für Umwelt, Naturschutz und nukleare Sicherheit der Bundesregierung, die im Jahr 2019 einen Leitfaden (KAS 51) zu Maßnahmen gegen Eingriffe Unbefugter veröffentlicht hat. Dieser Leitfaden dient zum Schutz vor ernsten Gefahren verursacht durch Cyberangriffe oder Drohnen und dient der Erfüllung der Anforderungen der Sicherheitsüberprüfungs-Feststellungsverordnung (SÜFV).

In Kooperation mit einem etablierten Spezialisten für IT-Security hat CSE-Engineering das Innovationszentrum CESIS gegründet, das sich zum Ziel gesetzt hat, Safety- und Securitybetrachtungen von IT/OT-Systemen zu kombinieren, um eine vollständige Sicherheit für die sicherheitsgerichtete Prozessleittechnik zu gewährleisten. Mit namenhaften Herstellern, Betreiben und Behördenvertretern werden Vorgehen definiert, die die aktuellen Normen und Regelwerke (NA 163, KAS 51, etc.) praxistauglich umsetzbar machen.

Erforderliche Unterlagen:

Im Rahmen der Projektarbeit in der Plant Security sind folgende Informationen und Dokumente erforderlich:

  • Netzwerkarchitektur (einschließlich DMZ)
  • Asset-Liste (inklusive Feldgeräte)
  • R&I-Fließbilder
  • Gefährdungs- und Risikobeurteilung (z.B. HAZOP)

Optional:

  • Verfahrensbeschreibung des Prozesses
  • Betriebsbedingungen | -zustände
  • Bisheriges Absicherungskonzept
  • Liste von Personen mit Zugang zum Prozessleitsystem
Security

Risikoanalysen

IT-Risikobeurteilung
Bedrohungsanalyse
Anpassung des Sicherheitsberichts
nach KAS-51

Penetrationstests

Pentests

Mit Bezug zur
Anlagensicherheit
Schwachstellenanalysen

Incident Response

Incident Response

Erstellen von Alarm- und Notfallplänen mit Bezug zur Anlagensicherheit
Anonamieerkennung

Beratung

Indiv. Beratung

Umsetzung der Regelwerke
Empfehlungen zu Netzwerkaufbau und OT-Komponenten
Security-Managementsysteme

Ergebnis

In Abhängigkeit der definierten Zielvorgaben, erhalten Sie ein individuell auf Ihre Anlage angepasstes Sicherheitskonzept. Darin werden die Ergebnisse der OT-Risikoanalyse aufzeigt und entsprechend dem Stand der Technik Gegenmaßnahmen für Ihr System empfohlen. In einem Penetrationstest wird die korrekte Umsetzung dieser Gegenmaßnahmen überprüft und eventuelle Schwachstellen aufgedeckt. Ein ausführlicher Sicherheitsbericht, in dem die einzelnen Ausführungspunkte detailreich erläutert werden, rundet Ihr Projekt ab und bestätigt den sicheren Betrieb Ihrer Anlage gegenüber Behörden.

Projektdauer

Die Dauer der Sicherheitsanalyse ist abhängig von vielen verschiedenen Faktoren, wie beispielswiese die Systemgrößen, die verwendeten Komponenten und natürlich von dem Umfang Ihres angefragten Projektes (Sicherungsanalyse, Penetrationstest, etc.). Aus diesem Grund findet zu Beginn des Projekts ein gemeinsames Treffen statt, in dem wir Ihren Bedarf und Ihre Anforderungen abstimmen. Auf dieser Grundlage schätzen wir den zeitlichen Aufwand ab und erstellen Ihnen ein detailliertes Angebot.

Regelwerke, Publikationen, Handbücher

CSE-Engineering legt OT-Security nach dem Stand der Technik aus. Dazu nutzen wir nationale und internationale Regelwerke, Publikationen und unsere jahrelange Erfahrung.

Regelwerke
  • KAS 51
  • NA 163
  • IEC 62443
  • VDI 2180
  • BSI Grundschutzkompendium
  • NIS 2 (Network and Information Systems Directive)
Publikationen | Handbücher
  • Prof. Dr.-Ing. Jürgen Schmidt: Plant Security – Public Awareness and Mitigation of Third Party Attacks as a new Layer of Protection in the Safety Concept. Chemical Engineering Transactions, Vol. 77, 2019.

TrainingS & Coaching

Mit dem Applied Safety Seminarprogramm der CSE Academy machen Sie auch Ihre Mitarbeiter fit in der Funktionalen Sicherheit – zum Beispiel mit dem Seminar PLT-Sicherheitseinrichtungen. Auch als Inhouse-Training.

CSE Acadeny

Anfrage per E-Mail

 

Hinweise:

Mit der Nutzung dieses Formulars erklären Sie sich einverstanden, dass Ihre Angaben im Rahmen der Datenschutzbestimmungen des CSE-Engineering Center of Safety Excellence für die Dauer der Bearbeitung gespeichert werden.

Das Formular ist durch reCAPTCHA geschützt. Es gelten die Datenschutzbestimmungen und Nutzungsbedingungen von Google.

Basiswissen Plant Security

Grundlagen

Dürfen Schutzeinrichtungen intelligent werden? Sollen wir die Möglichkeiten der digitalen Transformation auch in der Sicherheitstechnik nutzen? Durch die stetige Digitalisierung und Automatisierung finden diese Fragen immer mehr Anklang in der Industrie. Ein Beispiel für die Kombination von Sicherheitstechnik und Industrie 4.0 stellen die modellbasierten Online-Absicherungen dar, die die Anlagen sicherer und gleichzeitig wirtschaftlicher betreiben lassen. Sie sind jedoch auch angreifbar z.B. über Menschen, Netzwerke, Sensoren oder Wartungstools. Cybercrime betrifft daher immer mehr und mehr Anlagen und das Thema Cybersecurity nimmt einen immer höheren Stellenwert ein.

Um diese Cybersecurity aufzubauen wurden in den letzten Jahren insbesondere zwei Leitfäden veröffentlicht: NA 163 und KAS 51. Beide haben das Ziel die Betreiber von PLT-Sicherheitseinrichtungen dabei zu unterstützen nach dem Stand der Technik das Risiko vor einem Cyberangriff zu minimieren. Beide Ansätze bieten eine gute Grundlage, die aber nicht allgemein angewendet werden kann bzw. keine konkreten Maßnahmen zur Minimierung des Risikos definieren. Dadurch besteht weiterhin ein hoher Bedarf bei der Unterstützung der Umsetzung der Leitfäden in den Unternehmen. Damit diese erfolgen kann folgt nun ein kleiner Überblick über die beiden Leitfäden:

Kurzdarstellung der NA 163:

Das Vorgehen nach der NA 163 unterteilt sich in zwei Phasen:

Phase I: Entwicklung des Verfahrens
Phase II: Individuelle Risikobeurteilung

Die Schritte der ersten Phase werden dabei einmalig exemplarisch für ein System durchgeführt, welches innerhalb der NA 163 definiert ist. Andere Systeme, wie beispielsweise eine gemeinsame sicherheitsgerichtete und betriebliche Steuerung sind nicht eingeschlossen und reduzieren die Anwendbarkeit der NA 163. Liegt jedoch das definierte System vor, werden im ersten Punkte alle Elemente des betrachteten Systems erfasst. Anschließend werden Bedrohungen der Integrität der PLT-Sicherheitsprüfung, die durch Manipulation/Vernichtung bzw. Diebstahl von den Elementen ausgeht, erfasst und bewertet.

Eine Bewertung der Verfügbarkeit oder Vertraulichkeit, die ebenfalls zu den allgemeinen Sicherheitszielen (Confidentiality, Integrity, Availability) werden hier nicht betrachtet. Im nächsten Teilschritt erfolgt dann das Definieren von Maßnahmen, um den Bedrohungen in geeigneter Weise zu begegnen und schlussendlich das Überprüfen, ob die definierten Maßnahmen wirksam umgesetzt sind.

Der letzte Teilschritt, die Überprüfung der Umsetzung der Maßnahme und die Dokumentation muss für jede zu beurteilende PLT-Sicherheitseinrichtung individuell durlaufen werden und bildet damit Phase II.

CSE-Engineering: Grundlagen der Plant Safety

Quelle: NAMUR-Arbeitskreis AK 4.18 Automation Security, IT-Risikobeurteilung von PLT-Sicherheitseinrichtungen NA 163, NAMUR – Interessengemeinschaft Automatisierungstechnik der Prozessindustrie e.V., 2017)

Kurzdarstellung der KAS 51:

Im ersten Schritt werden allgemeine Basismaßnahmen definiert, die von allen Betreibern von Betriebsbereichen umzusetzen sind, unabhängig ob eine besondere Gefährdung hinsichtlich einer ernsten Gefahr vorliegt. Trifft letzteres zu, muss anschließend eine Sicherungsanalyse durchgeführt werden, die aus drei Teilen besteht: Bedrohungsanalyse, Gefahrenanalyse und IT-Risikobeurteilung.

Bei der Bedrohungsanalyse wird geprüft, inwieweit die Anlagen bzw. die Umgebung für den Eingriff Unbefugter besonders attraktiv erscheinen. Die Gefahrenanalyse soll ergeben, ob Eingriffe Unbefugter zu einer besonderen Gefährdung im Sinne des Leitfadens führen können und somit von einer ernsten Gefahr ausgegangen werden muss. Der letzte Teilschritt, die IT-Risikobeurteilung setzt sich mit den IT-Bedrohungen auseinander, die auf Schwachstellen in Ihrem System vorliegen und bewertet dessen Risiko. Entsprechend des Risikos können dann weitergehende Schutzmaßnahmen definiert werden. Ob die getroffenen organisatorischen oder technischen Maßnahmen ausreichend sind, um den Betrieb gegen Eingriffe Unbefugter zu schützen, beurteilt die zuständige Behörde aufgrund der Einschätzung des Betriebes. Diese kann aus dem Sicherheitsbericht ersehen werden. Die Notwendigkeit von Sicherheitsüberprüfungen gemäß SÜG i.V.m. § 10a SÜFV ist vor dem Hintergrund der umgesetzten organisatorischen und technischen Maßnahmen hinsichtlich der erreichten Risikoreduzierung zu bewerten.

CSE-Engineering – Grundlagen der Plant Safety

Quelle: Kommission für Anlagensicherheit,KAS-51 Leitfaden Maßnahmen gegen Eingriffe Unbefugter, GFI Umwelt – Gesellschaft für Infrastruktur und Umwelt mbH, 2019