NAMUR Arbeitsblatt NA 163
„IT-Risikobeurteilung von PLT-Sicherheitseinrichtungen“

PLT-Sicherheitseinrichtungen (Safety Integrated Systems, SIS) schützen Anlagen, Umwelt und Personal der chemischen Industrie vor nicht tolerierbaren Schäden. Die Integrität der PLT- Sicherheitseinrichtungen ist neuerdings Gefährdungen aus dem Cyberraum ausgesetzt. Risikoanalysen bilden den ersten Schritt in Richtung Gegenmaßnahmen. Standards wie IEC 61508 / 61511 tragen dieser Erkenntnis Rechnung und fordern IT-Risikobeurteilungen mit entsprechenden Maßnahmen. Detaillierungsgrad, Methode, Zeitpunkt, Zuständigkeit und Umfang werden jedoch nicht näher beschrieben. Der Interpretationsspielraum ist dementsprechend hoch. Die NAMUR hat mit dem NAMUR Arbeitsblatt 163 (NA 163) ein Handlungswerkzeug geschaffen, das eine effektive und ressourcenschonende IT-Risikobeurteilung ermöglicht. Darüber hinaus werden konkrete Handlungsmaßnahmen anhand einer Checkliste formuliert.

Welche Fragen sollen durch Risikobeurteilungen wie mit dem NAMUR Arbeitsblatt NA 163 beantwortet werden?

Die Fragen, die bei Risikobeurteilungen beantwortet werden sollten sind im Wesentlichen:

– Wie sicher (secure) ist meine PLT-Schutzeinrichtung?
– Wie sicher muss sie – mindestens – sein?

„Risiko“ wird klassisch als Produkt aus der Schwere der negativen Auswirkung und der Eintrittswahrscheinlichkeit gebildet. Der im Informationssicherheitsmanagement verwendete Risikobegriff geht davon aus, dass ein Risiko erst dann eintritt, wenn eine Bedrohung auf eine passende Schwachstelle trifft. Für die Kombination aus Schwachstelle und Bedrohung wird eine Eintrittswahrscheinlichkeit festgelegt. Die Abschätzung der Eintrittswahrscheinlichkeit erweist sich als problematisch. Erstens liegt einem Cybersecurity-Risiko im Normalfall ein systematischer Fehler bzw. Mutwilligkeit zugrunde und belastbares Zahlenmaterial über Zwischenfälle ist nicht verfügbar. Zum zweiten werden PLT-Sicherheitseinrichtungen der chemischen Industrie fast ausschließlich mit Anforderungsrate „niedrig“ betrieben. Der Anforderungsfall ist relativ selten.

Für die Ermittlung von Risiken sind neben ausgewiesenem Expertenwissen auch die erforderlichen Kapazitäten notwendig. Beide Ressourcen – Kompetenz und Kapazität – sind in der Regel knapp bemessen.

Das „NA 163“-Verfahren der NAMUR wurde entwickelt, um diese knappen Ressourcen optimal einzusetzen. Die ersten dreieinhalb Schritte des Risikobeurteilungsverfahrens nach IEC 62443-3-2 wurden durch den NAMUR AK 4.18 anhand einer in der Prozessindustrie übichen Systemkonfiguration durchgeführt. Gegenstand der Risikoanalyse sind also Komponenten (zumindest Zone A&B), Datenverbindungen, Dienste sowie Prozesse und Personen rund um die PLT-Sicherheitseinrichtung.

Das Team, das die individuelle Risikobeurteilung für die einzelne PLT-Sicherheitseinrichtung durchführt, kann sich demnach auf die letzten zwei Schritte, individuelle Risikobeurteilung, beschränken.

Ziele des „NA 163“-Verfahrens

Ziel des Arbeitsblattes ist die Bereitstellung einer praxistauglichen Risiko-Beurteilungsmethode für PLT-Ingenieure. Die Besonderheit: Die Durchführung des „NA 163“-Verfahrens ist innerhalb eines Tages pro System ohne tiefere Cyber Security Kenntnisse durchführbar. Vorhandene Schwachstellen werden aufgedeckt und konkrete Verbesserungsmaßnahmen anhand einer Checkliste vorgeschlagen. Mit dem NAMUR Arbeitsblatt soll die Eintrittsschwelle in IT-Risikobeurteilungen gesenkt werden. Die Beurteilungen sollen selbstverständlicher Teil des Lebenszyklus einer PLT-Sicherheitseinrichtung werden.

Durchführung der IT-Risikobeurteilung

Grundsätzlich ist der Betreiber einer PLT-Sicherheitseinrichtung für die IT-Sicherheit – und damit auch für die Durchführung einer IT-Risikobeurteilung – verantwortlich.

Für die Durchführung des Verfahrens zur Risikobeurteilung soll die durchführende Person mindestens über Grundkenntnisse der IT-Sicherheit verfügen. Ob die Durchführung durch unternehmensinterne Mitarbeiter oder externe Dienstleister erfolgt, hängt im Wesentlichen von der Verfügbarkeit von Ressourcen ab. Entscheidet sich der Betreiber für das Hinzuziehen eines externen Dienstleisters, müssen Leistungsumfang (Art und Umfang der Dokumentation) und Verantwortlichkeiten festgelegt werden.

Das System muss technisch und organisatorisch den Regeln für PLT-Sicherheitseinrichtungen (z.B. IEC 61511) entsprechen. Sofern eine IT-Risikobeurteilung bereits in der Vergangenheit durchgeführt wurde, muss überprüft werden, ob alle wichtigen festgelegten Maßnahmen der letzten Überprüfung umgesetzt worden sind.

Über den Verlauf und das Ergebnis der IT-Risikobeurteilung wird ein Bericht erstellt. Dieser enthält die eindeutige Identifikation des begutachtenden Systems, den Namen der beurteilenden Personen, das Datum sowie eine ausführliche Dokumentation des Ergebnisses.

Ausblick

Die Einführung des Verfahrens nach NA163 ist ein erster Schritt. Jede durchgeführte Sicherheitsanalyse und jedes Security-Ereignis bringen Erkenntnisse zutage, die das Verfahren verbessern werden. Das Bewusstsein bei Herstellern, Betreibern und Gesetzgebern über die Relevanz der Thematik steigt. IT-Risikobeurteilungen werden sich zum „täglichen Brot“ des Automatisierungsingenieurs entwickeln. Sie helfen dabei, Maßnahmen zielgerichtet -d.h. dort wo die größten Risiken auftreten- umzusetzen. Für die Zukunft reift die Erkenntnis, dass die Sicherheit bereits bei der Entwicklung und Integration einer PLT-Sicherheitseinrichtung viel stärker berücksichtigt werden muss. Aus Sicht der chemischen Industrie sollen zukünftige Generationen von PLT-Sicherheitseinrichtungen bereits „Security by Design“ (d.h. Security ab Werk) mitbringen. Die Anzahl der zur Sicherung notwendigen Zusatzmaßnahmen kann damit minimiert und Risikobeurteilung stark vereinfacht werden.