Publikum Tagung Erfurter Tage

Funktionale Sicherheit und IT-Sicherheit: Das waren die Top-Themen bei den Erfurter Tagen des VDE.

| Melanie Kahl
27.03.2017 Veranstaltungsrückblick 535 0

Funktionale Sicherheit und Informationssicherheit in Zeiten von Industrie 4.0 und Smart Home

Der steigende Anteil von Software in sicheren Systemen und die Informationssicherheit waren die wichtigsten Themen der Erfurter Tage 2017. Am 22. und 23. März 2017 trafen sich 150 Experten unter dem Dach des Verbands der Elektrotechnik Elektronik Informationstechnik (VDE), um sich über den neuesten Stand der funktionalen Sicherheit und der Informationssicherheit für industrielle Anlagen (Cyber Security) zu informieren und auszutauschen. Organisiert werden die Erfurter Tage vom DKE-Komitee GK 914, das für die Sicherheitsgrundnorm der funktionalen Sicherheit – die IEC 61508 beziehungsweise VDE 0803 – zuständig ist. Derzeit wird auf internationaler Ebene die dritte Ausgabe der Norm vorbereitet.

Kontakt

Ingo Rolle

„Die IEC 61508 / VDE 0803 bewirkt eine branchenübergreifende Vereinheitlichung. Nur damit lassen sich interdisziplinäre Gebiete, wie Industrie 4.0 und Smart Home sicherheitstechnisch erschließen. So können Anwender der angebotenen Technologie auch wirklich vertrauen“, betonte Michael Teigeler, Geschäftsführer der DKE, in seiner Keynote anlässlich der VDE-Tagung. Außerdem bot er an, kommende Ergebnisse der Frankfurt Agenda der IEC auch für die Sicherheitstechnik einzusetzen, etwa die Unterstützung des Requirement Engineering durch maschinenlesbare Normentexte.

Zahl der sicherheitsgerichteten Systeme steigt

Erhöhtes Risikobewusstsein und neue Funktionalitäten haben in der Automation dazu geführt, dass ein immer höherer Anteil der steuerndenden und überwachenden Systeme als sicherheitsgerichtet qualifiziert werden müssen. Während in einer typischen Chemieanlage vor 20 Jahren nur rund drei Prozent der Instrumentierung entsprechend eingestuft werden musste, sind es bei heutigen Projekten nahezu 20 Prozent. Viele der geforderten Funktionalitäten lassen sich zudem nicht mehr mit einfachen Und- und Oder-Gattern programmieren, so dass auch der Anteil anspruchsvoller Software im Sicherheitsbereich steigt. Daher widmete sich der erste Teil der Tagung neuen Methoden, um sichere Software zu erstellen und zu validieren sowie Software-Tools zu qualifizieren.

Professionelle Hacker dehnen ihren Wirkungsbereich zunehmend aus, so dass für die Sicherheit industrieller Anlagen auch die Informationssicherheit berücksichtigt werden muss. Mittlerweile hat sich eine kriminelle Branche entwickelt, die einfach zu bedienende Hacking-Tools und zwielichtige Dienstleistungen anbietet. Ein Vertreter des Bundesamts für Sicherheit in der Informationstechnik (BSI) und ein IT-Experte zeigten den Anwesenden, wo Gefahren lauern. Auf der anderen Seite wurde klar, dass die Abwehr derartiger Angriffe den Entwurf und Einsatz industrieller Automatisierungssysteme komplexer machen wird. Um dem entgegenzuwirken, werden die Anforderungen in der geplanten internationalen Normenreihe IEC 62443 gerade neu gegliedert. Sie wird die Informationssicherheit industrieller Anlagen und kritischer Infrastrukturen regeln und als VDE 0802 in das deutsche Normenwerk übernommen werden.

Informationssicherheit und funktionale Sicherheit in Industrie 4.0

Die Grundsätze der IEC 61508 in Branchen- und Produktnormen können nicht als Blaupause übernommen werden: Es müssen zahlreiche Spezifika berücksichtigt werden. Dies wurde in den Vorträgen über Anwendungen im Chemieanlagenbau und bei sicheren Feuerungsanlagen deutlich. Viel Beachtung fand auch die Information über den Aufbau einer Stördatenerfassung durch die NAMUR, die Anwendervereinigung in der chemischen Industrie.

In der Literatur finden sich bis jetzt nur wenige Vorschläge, wie sich Grundsätze der Informationssicherheit und der funktionalen Sicherheit bei der Gestaltung von Industrie 4.0 konkret berücksichtigen lassen. In Industrie 4.0 sollen sich Maschinen künftig autonom in Teams organisieren und auftragsbezogen rekonfigurieren können. Wie es gelingen kann, das dafür notwendige Vertrauen zu gewinnen, war zentrales Thema. Ebenso wie der Vorschlag einer Risikoanalyse, die zur Laufzeit regelbasiert von den Maschinen selbst durchgeführt wird. Die folgende Diskussion war lebhaft und zeigte völlig unterschiedliche Sichtweisen auf.

Normung an technische Entwicklungen anpassen

All diese Konzepte werden durch eine immer leistungsfähigerer Halbleitertechnik mit immer feineren Strukturen möglich. Ihre Zuverlässigkeit muss gemäß der Norm aber weiterhin vorausgeschätzt werden können. Der Preis dafür sind – wie die Teilnehmer im Block „Basistechnologien“ erfuhren – erhöhte Anforderungen an die Überwachung der Umgebungsbedingungen und schwierigere diagnostische Prüfungen. Hierzu benötigen die Hersteller sicherheitsgerichteter Systeme Unterstützung durch Beratungsangebote oder die Halbleiterhersteller selbst. Die Veranstaltung zeigte, dass auch Sicherheitsgrundnormen wie die IEC 61508 lebende Objekte sind, die von der internationalen Normungsgemeinschaft stets an die technische Entwicklung angepasst werden müssen.

Das tut der VDE im Bereich Cyber Security

Ziel des VDE im Bereich Cyber Security ist es, die IT-Sicherheit in branchenübergreifenden Teams als Innovationsthema zu verstehen, um so der zunehmenden Konvergenz einst autarker Technologien zu begegnen. Mit der innovativen Neugestaltung von Prozessen und Ansätzen gewährleistet der VDE Interoperabilität und Sicherheit sowie den Innovationstransfer aus Wissenschaft und Forschung in die Praxis und in die Märkte. Damit stärkt der VDE die deutsche Wirtschaft – vor allem Mittelstand und Start-ups – im internationalen Wettbewerb. Der VDE bündelt hierfür alle Aktivitäten eines Themengebiets, um die fachübergreifende, durchgängige Behandlung der IT-Sicherheit zu garantieren, wie sie von Politik und Gesellschaft gefordert wird. Im Fokus stehen Themen wie:

  • systematisches Security Engineering
  • konsequente Weiterentwicklung und Anwendung moderner Schutzverfahren wie Defense in Depth
  • Resilienz als langfristiges Ziel
  • Intrusion Detection zur Detektion von Angriffen und der Einleitung geeigneter Gegenmaßnahmen.

Dazu hat der VDE zusammen mit dem Fraunhofer SIT die Task Force „Trusted Computing zur sicheren Geräte-Identität und -Integrität" gegründet: Sichere Geräte-Identität und -Integrität sind dabei die Basis für das Internet der Dinge. Die Herausforderung: Insellösungen vermeiden, Standards schaffen. Security by Design, Machine-to-Machine Communication und Trusted Computing im Fokus.

Daneben ist VDE|DKE in der Begleitforschung für das Projekt „Vernetzte IT-Sicherheit Kritischer Infrastrukturen" – kurz VeSiKi – des Bundesministeriums für Bildung und Forschung (BMBF) aktiv. Ziel von VeSiKi: Anhand der Ergebnisse aus den Verbundprojekten soll ein zentrales Regelwerk geschaffen werden, das Betreiber kritischer Infrastrukturen unterstützt, ihre Sicherheitsvorkehrungen einzuschätzen und zu verbessern. Im Rahmen von VeSiKi fand  Ende 2016 in Berlin das hochkarätig besetzte IT-Sicherheitsforum statt. Zentrales Thema des IT-Gipfels: Wie kann es gelingen, einerseits Kritische Infrastrukturen (KRITIS) zu schützen und sie andererseits offen zu halten, um die digitale Gesellschaft nicht zu lähmen?

Auch im Bereich der Elektromobilität spielen Fragen zur Datensicherheit eine zentrale Rolle: Sowohl während der Fahrt, als auch beim Ladevorgang tauschen Elektroautos Daten aus. Hierbei müssen die Datensicherheit und der Datenschutz lückenlos gewährleistet sein. Dies gilt für das Laden ebenso wie für die Abrechnung. Im Projekt „Delta - Datensicherheit und -Integrität in der Elektromobilität beim Laden und eichrechtkonformen Abrechnen“ geht es deshalb darum, den Lade- und Bezahlvorgang IT-sicher zu gestalten. VDE|DKE unterstützt dabei das Bundesministerium für Wirtschaft und Technologie (BMWi).

Impressionen der Erfurter Tage 2017: