← Zurück zu Pumpen Kategorie

Management des Cybersicherheitsrisikos in der intelligenten Ventil- und Pumpentechnologie

Von Nigel Stanley, CTO bei TÜV Rheinland

Pumpen und Ventile sind seit Jahrzehnten die Hauptstütze vieler industrieller Prozesse, sei es zum Bewegen und Steuern von Flüssigkeiten, Gasen oder Gülle. Die Technologie mag fortgeschritten sein, aber die Kernfunktion dieser grundlegenden, aber kritischen Hardware ist gleich geblieben.

Vor kurzem haben wir „intelligente“ Technologien und das Internet der Dinge (IoT) gesehen, die Pumpensysteme mit Pumpen durchdringen, die an Smartphones und Ventile angeschlossen werden können, die über Mobilfunknetze ferngesteuert werden, um eine kontinuierliche Positionsrückmeldung zu ermöglichen.

Nigel Stanley, CTO bei TÜV Rheinland

Nigel Stanley, CTO bei TÜV Rheinland

Ein Ausfall oder eine schlechte Leistung dieser oft kritischen Komponenten kann Anlagen stören oder beeinträchtigen, was sich auf Produktionspläne und -ergebnisse auswirkt. In einigen Fällen sind sicherheitskritische Systeme darauf angewiesen, dass die Ventile in einem sicheren Fehlermodus innerhalb einer festgelegten Zeit geschlossen oder geöffnet werden. Pumpensysteme können wichtige Kühl- oder Brandbekämpfungsleistungen erbringen, deren Ausfall zu katastrophalen Verlusten führen kann.

Die Leistung solcher sicherheitskritischer Systeme wird normalerweise aus Sicht der funktionalen Sicherheit im Rahmen einer HAZOP-Studie oder einer Funktions- oder Sicherheitsbewertung während der Planungs- und Entwurfsphase von Anlagen oder Systemen behandelt.

Da jedoch immer mehr dieser Systeme auf einer „intelligenten“ computergestützten Steuerung (über industrielle Steuerungssysteme) basieren, sind sie von Cybersicherheitsbedrohungen betroffen, die die Sicherheit und Zuverlässigkeit dieser Steuerungssysteme, Pumpen und Ventile gefährden könnten.

Solche Cyber-Angriffe können zu physischen Schäden führen, die auf ein schnelles Aus- und Wiedereinschalten des Geräts oder eine Verschlechterung der Systemleistung zurückzuführen sind. In extremen Fällen können sicherheitskritische Systeme untergraben werden und Personen- und Umweltschäden verursachen, die zu Geldbußen oder strafrechtlichen Verfolgungen führen können.

Intelligente Pumpen und Ventile scheinen auf den ersten Blick nicht gefährdet zu sein, sind jedoch aufgrund ihrer Verwendung häufig schwer zu sichern. Das Sichern einer Pumpe, die physisch entfernt ist und möglicherweise ein Mobilfunknetz (GSM, 3G oder 4G) oder eine VHF-Verbindung für die Verbindung mit einem industriellen Unternehmensnetzwerk verwendet, kann eine Herausforderung sein.

Das einfache Blockieren dieser Funkverbindung kann einen Prozess stören. Der physische Zugriff auf unsichere USB-Anschlüsse an Steuerungssystemen oder der Zugriff auf Engineering Control Workstations über eine gehackte Remote-Verbindung kann ausreichen, um eine Anlage auszuschalten oder zu gefährden.

Intelligente Ventil- oder Pumpentechnologie kann als Dreh- und Angelpunkt bei einem Angriff größeren Ausmaßes verwendet werden, bei dem eine schlecht gesicherte intelligente Pumpe als Einstiegspunkt in andere Systeme dienen kann, die für einen Angreifer interessanter sind.

Diese Ventile und Pumpen befinden sich am Rande von Netzwerken (oftmals physisch isoliert) und durchlaufen oftmals nicht dieselben strengen Sicherheitstests wie herkömmliche Unternehmenssysteme. Daher können sie als Gateway oder Standbein für das Netzwerk verwendet werden.

Durch die Gefährdung eines potenziell unsicheren, nicht überwachten Edge-Computergeräts wie eines intelligenten Ventils oder einer intelligenten Pumpe können Angreifer auf Systeme und Daten zugreifen, auf die sie sonst keinen Zugriff gehabt hätten.

Wenn diese Geräte mit einem Netzwerk verbunden sind, sei es über einen mobilen Router, ein drahtloses oder ein kabelgebundenes lokales Netzwerk (LAN), das wiederum eine Verbindung zu einem größeren Netzwerk herstellt, werden sie zu wahrscheinlichen Zielen innerhalb des Unternehmens für den ersten Angriff.

Hacker interessieren sich bereits für Pumpentechnologie und wie diese unterlaufen werden könnte. In einem Fall hat ein Forscher gezeigt, dass es möglich ist, den Durchfluss zu einem Pumpsystem aus der Ferne zu verringern, indem ein Ventil teilweise geschlossen wird, wodurch Kavitation und systemische Vibration hervorgerufen werden. Solch eine verminderte Systemleistung würde wahrscheinlich physischen Schaden verursachen, wenn sie nicht behoben wird.

Ein weiteres berüchtigtes Beispiel ist das Stuxnet-Angriff auf iranische Atomanlagen, das in 2010 veröffentlicht wurde und einen Angriff auf Motorsteuerungssysteme in der Uranzentrifuge beinhaltete.

Pneumatisches Regelventil in einer Dampfheizungsanlage

Pneumatisches Regelventil in einer Dampfheizungsanlage

Wie sollten diese intelligenten Ventil- und Pumpensteuerungssysteme gesichert werden?

  • Gerätehersteller sollten das Cybersicherheits-Risikomanagement in ihre Produktdesign- und Herstellungsprozesse einbeziehen. Die Fernüberwachung (z. B. vorbeugende Wartung) muss so erfolgen, dass das Cybersicherheitsrisiko nicht erhöht wird.
  • Die Betreiber sollten eine unternehmensgeführte Bewertung des Cybersicherheitsrisikos ihrer Anlagen und Betriebssysteme durchführen. Es gibt eine Reihe von anerkannten Methoden und Frameworks, aber betrachten Sie das Cybersicherheits-Framework des Nationalen Instituts für Standards und Technologie (NIST) oder die IEC 62443-Reihe von Standards als einen guten Ausgangspunkt.
  • Anlagenbetreiber sollten prüfen, wie intelligente Pumpensysteme und Ventile regelmäßig auf Cybersicherheitsprobleme hin überwacht werden können. Eine nicht-invasive Überwachung industrieller Netzwerke ist nun möglich, und es gibt eine Reihe von Lösungen, die dies unterstützen.
  • Schulung der Mitarbeiter zum Verständnis des Cybersicherheitsrisikos und Einführung eines gut einstudierten Plans zur Reaktion auf Cybersicherheitsvorfälle und zur Wiederherstellung. Auf diese Weise können Sie ein Ereignis oder einen Vorfall schnell und effektiv verwalten.
  • Arbeiten Sie mit erfahrenen Cybersicherheitsexperten zusammen, die sich mit der Welt der industriellen Verarbeitung auskennen und Sie auf eine Reise durch Ihr Cybersicherheitsrisiko begleiten können.


Die gute Nachricht ist, dass durch einige grundlegende Cybersicherheitsmaßnahmen ein hohes Risiko für intelligente Ventil- und Pumpensysteme behoben werden kann, sodass mehr Zeit bleibt, um sich auf andere Aspekte der Führung eines profitablen Geschäfts zu konzentrieren.

Prozessindustrie Informer

Weitere Nachrichten

Hinterlasse einen Kommentar

Diese Seite verwendet Akismet, um Spam zu reduzieren. Erfahren Sie, wie Ihre Kommentardaten verarbeitet werden.

Via
Link kopieren