Aufbau eines Security Demonstrators für Schulungszwecke

Status:

abgeschlossen 05/2021

Zielsetzung:

Mit dem Ausbau der Vernetzung von Maschinen und Produktionsanlagen wird die industrielle IT-Sicherheit (IT = Informationstechnologie) immer wichtiger. Aktuelle Berichte über erfolgreiche Angriffe auf industrielle Kontrollsysteme unterstreichen die Dringlichkeit. Aus Sicht des Arbeitsschutzes sind insbesondere Aspekte der IT-Sicherheit mit Auswirkungen auf die Produkt- und Betriebssicherheit zu betrachten.

Das Ziel war der Aufbau eines Security-Demonstrators, um die Gefährdungen einer Maschine, die aufgrund von mangelnder IT-Sicherheit entstehen können, zu demonstrieren. Zum einen sollte an diesem Demonstrator gezeigt werden, wie einfach eine Manipulation bei fehlenden oder falsch implementierten IT-Sicherheitsmaßnahmen durchgeführt werden kann. Zum anderen sollten die durch den Angriff verursachten Gefährdungen dargestellt werden, um das Bewusstsein von Schulungsteilnehmern oder Aufsichtspersonen für mangelnde IT-Sicherheit zu schärfen. Darüber hinaus sollten mögliche Gegenmaßnahmen für den gezeigten Angriff gezeigt werden.

Aktivitäten/Methoden:

Das Angriffsszenario wurde in Kooperation mit der T-systems Int. GmbH erstellt. T-systems hatte bereits einen Security Demonstrator entwickelt und gebaut. Dieses Angriffsszenario sollte nun auf Komponenten der funktionalen Sicherheit erweitert werden. Ziel war es, das verwendete Safety-Protokoll anzugreifen. Denkbar sind dabei zwei Szenarien:

• Flutung des Safety-Protokolls, um die Maschine in den sicheren Zustand zu überführen. Bei industriellen Anlagen ist dies meist das Abschalten der Maschine bzw. der Produktionsstopp.
• Gezielte Manipulation von Datenpaketen, um die Produktionsanlage nicht in den sicheren Zustand zu überführen, sondern die Arbeitsweise so zu verändern, dass Gefährdungen für Beschäftigte entstehen (z. B. Roboterarm führt Bewegungen aus, die nicht zum Produktionsablauf gehören). Je nach Aufwand sollte während der Projektlaufzeit entschieden werden, ob das zweite Szenario zeitlich umsetzbar ist oder nicht. Für den Demonstrator sollte eine Arbeitssituation aus dem industriellen Umfeld angenommen werden. Denkbar war dabei z. B. ein Roboterarm oder ein anderer gesteuerter Aufbau einer Industrieanlage. Der Demonstrator sollte dabei die Dimensionen eines Tisches nicht überschreiten und so entworfen werden, dass er versandt werden kann.

Ergebnisse:

Zur Demonstration und für Schulungszwecke wurde ein mobiler Demonstrator entwickelt.

In einem robusten Koffer wurde dazu ein kleiner Kompressor zum Aufblasen von Luftballons eingebaut, der über eine programmierbare Industriesteuerung angesteuert wird. Das Aufblasen des Luftballons steht stellvertretend für einen gefährlichen Industrieprozess. Ein Näherungssensor überwacht kontinuierlich die Füllmenge des Luftballons und beendet den Füllvorgang, sobald die eingestellte Sollgröße des Luftballons erreicht wurde. Der Vorgang kann auch jederzeit durch Auslösen eines NOT-HALT-Tasters unterbrochen werden. In diesem Fall wird die Anlage schnellstmöglich in den sicheren Zustand versetzt und der Druckbehälter (Luftballon) über ein Notfallventil entlüftet.

Erst nach Rücksetzen des NOT-HALT-Tasters und einer Quittierung kann ein neuer Füllvorgang eingeleitet werden.

Die Industriesteuerung ist zur Fernwartung vernetzt und es kann ein Angriff über das Netzwerk durchgeführt werden. Dabei wird der NOT-HALT-Taster wirkungslos und zusätzlich schaltet der Kompressor bei Erreichen der Sollgröße nicht mehr ab.

In der Folge wird der Druckbehälter über das zulässige Maß gefüllt. Der NOT-HALT-Taster ist über ein langes Kabel für das Publikum erreichbar, jedoch nun wirkungslos. Die Zuschauerinnen und Zuschauer müssen hilflos mit ansehen, wie der Druckbehälter zum Platzen gebracht wird.

Der Demonstrator kann auf unterschiedliche Art in Demonstrationen auf Messen, Konferenzen oder in Seminare eingebaut werden. Er eignet er sich ausgezeichnet dazu, Aufmerksamkeit und Bewusstsein für Angriffe auf vernetzte Steuerungen zu schaffen. Ferner ist es möglich, den Datenverkehr zu beobachten und verschiedene Abwehrmaßnahmen zu erklären.

Der Koffer eignet sich auch zur Fortbildung von Prüferinnen und Prüfern, die vernetzbare Komponenten prüfen. Der Aufbau lässt sich bei Bedarf derart erweitern, dass er in die Prüfung von Komponenten nach IEC 62443 eingebunden werden kann.

Stand: