Startseite » Sicherheit » Sicherheitstechnik »

Außer Kontrolle

Wie ein Prozessleitsystem falschen Informationen aufsitzen kann
Außer Kontrolle

Anzeige
Der Schutz der Prozesss­teuerung gegen Ein­griffe Unbefugter ist eine wichtige Auf­gabe. Hierzu gibt es schon viele Hin­weise und Hand­lungsan­leitun­gen. Dabei darf aber nicht außer Acht gelassen wer­den, dass auch „haus­gemachte“ Fehler Unfälle begün­sti­gen und verur­sachen können.

Rund sechs Mil­lio­nen Cyberan­griffe erfol­gen auf IT-Struk­turen – Tag für Tag. Die Sorge vor Viren treibt nicht nur das Robert Koch-Insti­tut um, auch das Bun­de­samt für Sicher­heit in der Infor­ma­tion­stech­nik (BSI) warnt vor Viren, Tro­jan­ern und Würmern, die Com­put­er befall­en und ganze Betriebe lahm­le­gen können.

Das The­ma Cyber­sicher­heit ist längst in der Indus­trie angekom­men, die Kom­mis­sion für Anla­gen­sicher­heit (KAS) beschreibt beispiel­sweise Ende 2019 in ihrem Leit­faden KAS-51 „Maß­nah­men gegen Ein­griffe Unbefugter“, wie ein Unternehmen eine höhere Resilienz gegen Cyberan­griffe erzeu­gen kann. Während so nach allen Regeln der Kun­st abgewen­det wer­den soll, dass „die Bösen“ in die Prozesss­teuerung ein­greifen, sind es manch­mal „die Guten“, die unbe­wusst Fehler in der Mess‑, Steuer- und Regelung­stech­nik verur­sachen.

Durch blindes Ver­trauen in die Tech­nik von Prozes­san­la­gen kön­nen verkan­nte Randbe­din­gun­gen oder falsche Inter­pre­ta­tion von Dat­en Ereignisse auslösen.

Meistens geht´s ja gut. Meistens

Die Steuerung ver­fahren­stech­nis­ch­er Anla­gen ist heutzu­tage ohne Prozessleit­tech­nik (PLT) bzw. Mess‑, Steuer- und Regelung­stech­nik (MSR) undenkbar. Die Mes­sung von Prozess­größen wie Tem­per­atur, Druck und Füll­stand mit­tels Sen­soren, die Ver­ar­beitung der Dat­en in
spe­icher­pro­gram­mier­baren Steuerun­gen (SPS) und die davon abgeleit­ete Anzeige in der Mess­warte bzw. am Steuer­stand sowie die automa­tis­che bzw. manuelle Betä­ti­gung von Aktoren wie Ven­tile oder Pumpen sind die Grund­lage jeglich­er Produktionsprozesse.

In nahezu allen Fällen funk­tion­iert das her­vor­ra­gend, aber in eini­gen Sit­u­a­tio­nen kann das auch mal schief gehen, wie die nach­fol­gen­den Unfall­berichte zeigen.

Dabei ist anzumerken: Die Fall­beispiele pointieren aus Platz­grün­den die Ursachen und lassen manche Aspek­te außer Acht, die bei der Erstel­lung des Sicher­heit­skonzepts sehr wohl bedacht waren bzw. zu ein­er falschen Ein­schätzung der Sit­u­a­tion beige­tra­gen haben. Es gilt zu bedenken: Hin­ter­her ist man immer schlauer, und die Fehler ander­er hätte man in der gle­ichen Sit­u­a­tion möglicher­weise selb­st auch gemacht. Der „back­sight bias“, die Verz­er­rung der Ein­schätzung aus der Blick­rich­tung des Ereigniss­es zurück, wird ein­fachen Schuldzuweisun­gen nicht gerecht.

Fallbeispiel 1: Falsche Produktvorlage infolge Schwächen in der Prozesssteuerung

In ein­er Viel­stoff-Anlage für die Syn­these mod­i­fiziert­er Harze waren die Rezep­turen in ein­er ein­fachen Prozesss­teuerung hin­ter­legt und wur­den automa­tisch überwacht. Das Anla­gen­per­son­al musste in der Mess­warte nur die gewün­scht­en Men­gen vorgeben und die entsprechen­den Ven­tile zu den Vor­lage­tanks stellen.

Durch einen Bedi­en­fehler wurde am Ereignistag zwar die kor­rek­te Menge – rund 6000 Kilo­gramm – als Soll­w­ert eingegeben, dann aber nicht die Ven­tile für das gewün­schte reak­tion­sträge Naturharz bedi­ent, son­dern verse­hentlich reak­tions­freudi­ges Malein­säure­an­hy­drid vorgelegt, das bes­tim­mungs­gemäß erst zu einem späteren Zeit­punkt in viel gerin­gen Men­gen zur Ein­stel­lung der gewün­scht­en Eigen­schaften zugegeben wer­den sollte.

Die Fehlstel­lung von Ven­tilen bei gle­ichzeit­ig kor­rek­ter Men­gen­vor­gabe blieb dem Bedi­en­per­son­al am Bedi­entableau zunächst ver­bor­gen, weil bei der Pro­gram­mierung der Rezep­turen dieser Abwe­ichung keine Bedeu­tung beigemessen wor­den war. Als der Reak­tion­sansatz später bes­tim­mungs­gemäß aufge­heizt wurde, kam es zu ein­er stark exother­men Poly­meri­sa­tion­sreak­tion des Anhy­drids. Durch die rasche Gasen­twick­lung, für die die Entlüf­tung nicht aus­gelegt war, kam es zu einem enor­men Druck­auf­bau, der den Mannlochdeck­el wegsprengte. Daraufhin strömten Dampf, Aerosole und brennbare Zer­set­zungs­gase aus und bilde­ten mit der Luft ein explo­sions­fähiges Gemisch. Die Entzün­dung erfol­gte zeitverzögert, so dass es zu ein­er „Vapour Cloud Explo­sion“ (VCE) mit enormer Wucht kam: Die Druck­welle zer­störte das Gebäude und beschädigte mehrere umliegende Betriebe. Der Fol­ge­brand dro­hte auf benach­barte Anla­gen überzu­greifen, was durch den Ein­satz von rund 200 Feuer­wehrleuten ver­hin­dert wurde. Es war Glück im Unglück, dass keine Per­so­n­en ern­sthaft ver­let­zt wurden.

Fallbeispiel 2: Fehlerhafte pH-Messung durch Schwächen in der Prozesskontrolle

In einem zwölf Kubik­me­ter fassenden Rührbe­häl­ter wurde eine saure Sus­pen­sion bes­tim­mungs­gemäß mit Natron­lauge neu­tral­isiert, um met­allis­che Verun­reini­gun­gen im basis­chen Milieu als Hydrox­ide auszufällen. Die Zugabe der Natron­lauge erfol­gte über ein betrieblich­es Leitungsnetz und wurde bei Erre­ichen des vor­eingestell­ten pH-Werts automa­tisch been­det. Zum Schutz der empfind­lichen pH-Son­den und zur Gewährleis­tung ein­er kor­rek­ten pH-Wert-Erfas­sung wur­den die Son­den bei einem Behäl­ter­füll­stand unter 25 % automa­tisch in Ser­vice-Stel­lung gefahren, wo sie mit Spülflüs­sigkeit feucht gehal­ten wurden.

Am Ereignistag wurde das Aktivieren der pH-Son­den vergessen und sie verblieben in der Ser­vice-Stel­lung. Das Prozessleit­sys­tem (PLS) kon­nte nicht unter­schei­den, ob der Mess­wert der pH-Son­den dem realen Prozess­wert oder dem der Spülflüs­sigkeit entsprach. Der inak­tive Zus­tand der pH-Son­den war nicht als Störung definiert, so dass diese Stel­lung nicht im Alarm­bere­ich des PLS angezeigt wurde. Die Strich­fahrweise der Mess­son­den wurde so nicht bemerkt. Dies führte zu ein­er deut­lichen Über­dosierung an Natron­lauge, was zu ein­er chemis­chen Reak­tion mit Bil­dung von Wasser­stoff führte.

Durch den resul­tieren­den Druck­anstieg platzte der Behäl­ter auf (Berst­druck etwa 25 bar) und der Inhalt strömte wie durch eine Düse aus. Der dadurch her­vorgerufene Impuls riss den ganzen Behäl­ter aus sein­er Ver­ankerung, er durch­schlug eine mas­sive Beton­wand und Teile flo­gen weit ver­streut über das Werks­gelände. Zugle­ich entzün­dete sich der aus­tre­tende Wasser­stoff und es kam zu ein­er hefti­gen Explo­sion. Da die Mitar­beit­er, die sich im Gefahren­bere­ich aufge­hal­ten hat­ten, die Gefahr rechtzeit­ig bemerk­ten, kon­nten sie sich in Sicher­heit brin­gen, so dass kein ern­sthafter Per­so­n­en­schaden entstand.

Fallbeispiel 3: Fehlerhafte Mengenmessung durch falsch kalibriertes Messgerät

Zur Syn­these eines organ­is­chen Zwis­chen­pro­duk­ts wur­den in einem 50 Kubik­me­ter großen Reak­tor bei Raumtem­per­atur mehrere Kom­po­nen­ten vorgelegt und bei laufen­d­em Rührer zunächst über einen begren­zten Zeitraum gas­för­miges Kohlen­diox­id mit einem Durch­fluss von rund 100 Liter pro Minute durch das Gemisch geperlt. Danach wurde por­tion­sweise eine Wasser­stoff­per­ox­idlö­sung zugegeben. Dabei kommt es bes­tim­mungs­gemäß zu ein­er Reak­tion zwis­chen dem Wasser­stoff­per­ox­id und den anderen Stof­fen, wobei das Gemisch durch die Behäl­terküh­lung auf Soll­tem­per­atur gehal­ten wird. Die gewün­schte Reak­tion erfordert eine aus­re­ichende Konzen­tra­tion an gelöstem Kohlen­diox­id, das als Phasen­trans­fer­katalysator wirkt.

Am Ereignistag musste der Kohlen­diox­id-Durch­flussmess­er aus­ge­tauscht wer­den. Dabei unter­lief dem Wartungsper­son­al ein Fehler: Der neue Durch­flussmess­er wies andere Mes­sein­heit­en auf als der vorherige. Daher betrug der reale Durch­fluss nur acht Liter pro Minute und es kam nicht zu der gewün­scht­en Reak­tion, da die Kohlen­diox­id­konzen­tra­tion zu ger­ing war. Dies führte wiederum dazu, dass sich das Wasser­stoff­per­ox­id im Reak­tion­s­gemisch anreicherte.

Als das Bedi­en­per­son­al am Ende der Dosierung des Wasser­stoff­per­ox­ids bemerk­te, dass die Tem­per­atur nicht wie erwartet anstieg, erhitzte es den Reak­tor über die Heizschlangen. Dadurch wurde die Zer­set­zung des Wasser­stoff­per­ox­ids ini­ti­iert und es kam zu ein­er durchge­hen­den Reak­tion. Tem­per­atur und Druck stiegen stark an und drei Ton­nen des Reak­tion­s­gemis­ches trat­en über die Belüf­tungsleitung aus. Das Gemisch kon­nte im Abwasser­sam­mel­beck­en aufge­fan­gen und ord­nungs­gemäß entsorgt wer­den. Es wurde nie­mand diesem Gemisch aus­ge­set­zt und es erfol­gte auch keine werk­sex­terne Verschmutzung.

Fallbeispiel 4: Fehlerhafte Temperaturmessung durch Fehler bei Wartungsarbeiten

Bei der Dichtheit­sprü­fung ein­er Anlage wurde eine Leck­age fest­gestellt. Die Undichtigkeit wurde in ein­er län­geren Rohrleitung ver­mutet, die mit­tels zweier getren­nter Beglei­theizun­gen beheizt wurde. Um die genaue Stelle zu lokalisieren, wurde eine der bei­den Beglei­theizun­gen aus­geschal­tet und die Isolierung des Rohrleitungsstücks entfernt.

Die Beglei­theizung war jedoch nicht kom­plett strom­los geschal­tet wor­den und bei der Leck­suche wur­den verse­hentlich auch die Ther­moele­mente an der noch in Betrieb befind­lichen Beglei­theizung stück­weise abisoliert.

Da durch die Ent­fer­nung der Wärmeisolierung eine niedrigere Tem­per­atur gemessen wurde, erhöhte die Regelung die Hei­zleis­tung auf 100 Prozent. Hier­durch wur­den die Rohrleitung und die Isolierung auf über 300 °C erhitzt und die Isolierung geri­et durch die Selb­stentzün­dung von Verun­reini­gun­gen in Brand. Das Feuer kon­nte sofort gelöscht wer­den, es ent­stand kein weit­er­er Schaden.

Intelligente Messgeräte und fremde Intelligenz

Während die beschriebe­nen Ereignisse auf fehler­hafte Ein­gangssig­nale bzw. Daten­ver­ar­beitung in Prozes­san­la­gen mit kon­ven­tioneller Regelung­stech­nik zurück­zuführen waren, rück­en aktuell auch Sit­u­a­tio­nen in den Fokus, die mit neuen Entwick­lun­gen ein­herge­hen könnten.

Im Zuge der fortschre­i­t­en­den Dig­i­tal­isierung – Stich­worte „Indus­trie 4.0“ und „Smart fac­to­ry“ – ergibt sich auch in der Ver­fahren­stech­nik die Vision ein­er Pro­duk­tion, in der sich Fer­ti­gungsan­la­gen und Logis­tiksys­teme ohne men­schliche Ein­griffe weit­ge­hend selb­st organ­isieren. Und durch diese Ver­net­zung von Pro­duk­tion­ssys­te­men und dynamis­chen Geschäfts- und Engi­neer­ing-Prozessen eine wirtschaftliche Her­stel­lung von Pro­duk­ten auch bei indi­vidu­ellen Kun­den­wün­schen ermöglichen.

Tech­nis­che Grund­lage sind dabei cyber­physis­che Sys­teme, welche mit Hil­fe des „Inter­nets der Dinge“ (Inter­net of things, IoT) miteinan­der kom­mu­nizieren. Viele Sen­soren und Aktoren für die Prozesstech­nik haben heute entsprechende Schnittstellen, um miteinan­der beispiel­sweise über Cloud­struk­turen kom­mu­nizieren zu kön­nen – schließlich erübrigt eine WLAN-Lösung auch aufwändi­ge Verk­a­belun­gen und neben den eigentlichen Mess­werten kön­nen zusät­zlich andere Infor­ma­tio­nen aus­ge­tauscht wer­den, die für Wartung und Prozes­sop­ti­mierung von Bedeu­tung sein können.

Allerd­ings führt dieser Trend auch dazu, dass Dritte via Inter­net die Kon­trolle über die Prozess-Steuerung übernehmen kön­nten. Ein Szenario, mit dem sich Anla­gen­be­treiber grund­sät­zlich auseinan­der set­zen soll­ten. „Generell ist der Betreiber des Betrieb­s­bere­ichs dafür ver­ant­wortlich, das Risiko durch cyber­physis­che Angriffe zu bew­erten und ggf. notwendi­ge tech­nis­che und organ­isatorische Gegen­maß­nah­men zu ergreifen“, so die Kom­mis­sion für Anla­gen­sicher­heit (KAS) in ihrem aktuellen Leit­faden KAS-51. Unter Cyberan­griff wird dabei jed­er unbefugte Zugriff oder jede unbefugte Verän­derung auf/von IT-Sys­te­men ver­standen. Die beschriebe­nen Anforderun­gen basieren auf dem BSI IT-Grund­schutz-Kom­pendi­um und gel­ten für Betrieb­s­bere­iche im Sinne des § 3 Absatz 5a des BImSchG.

Fes­tle­gung von Verantwortlichkeiten

  • Ver­ant­wortlichkeit für die Maß­nah­men zum Schutz vor Ein­grif­f­en Unbefugter ein­deutig zuweisen.
  • Ver­traulichkeit bezüglich der getrof­fe­nen Schutz­maß­nah­men sicherstellen.

Zugangs- und Zutrittsmanagement

  • Physis­chen Zutritt auf das Gelände sowie Zugang zu Anla­gen, MSR-Räu­men und Com­put­er begrenzen.
  • Zutritt in sen­si­blen Bere­ichen erfassen und dokumentieren.
  • Schlüs­sel­man­age­ment („Hier­ar­chi­estufen“ für Schutzbere­iche und Zugangs­berech­ti­gun­gen) fes­tle­gen und Ver­gabe regelmäßig kontrollieren.
  • Bei Per­son­al- und Funk­tion­swech­sel Berech­ti­gun­gen anpassen.

Zugriff­s­man­age­ment auf Prozesssteuerung/Sicherheitssteuerung

  • IT-/OT-Sys­teme (Oper­a­tional Tech­nol­o­gy Sys­tems) segmentieren.
  • Vor­eingestellte Pass­wörter bei Inbe­trieb­nahme umge­hend ändern, Maß­nah­men gegen Miss­brauch festlegen.
  • Prozess-/Sicher­heitss­teuerung vor dem Ein­satz auf Schad­soft­ware überprüfen.
  • Konzepte und Abläufe fes­tle­gen, wie mit Updates umzuge­hen ist.
  • Externe Spe­icher­me­di­en und Hard­warekom­po­nen­ten (z. B. Lap­top des Ser­vicetech­nikers) vor der Infek­tion mit Schad­soft­ware schützen.
  • Bei Per­son­al- und Funk­tion­swech­sel: Berech­ti­gun­gen anpassen, ggf. Zugangs­dat­en löschen und Pass­wörter ändern.

Manip­u­la­tion­serken­nung und ‑schutz

  • Regelun­gen für Fremd­per­son­al und fremd­vergebene Dien­stleis­tun­gen fes­tle­gen, Überwachung der fremd­vergebe­nen Arbeit­en in geeignetem Umfang durch unab­hängiges oder eigenes Personal.
  • Ver­tragliche Regelung mit Dien­stleis­tern zur Integrität der Dat­en sowie zur Ver­traulichkeit der Arbeit­sergeb­nisse und der übergebe­nen Doku­men­ta­tion treffen.

Sensibilisierung/Schulung eigen­er Beschäftigter

  • Schu­lungskonzept zur IT-Sicher­heit entwick­eln und durchführen.
  • Moti­va­tion zur Mel­dung von Auf­fäl­ligkeit­en bezüglich der IT-Sicher­heit fördern.

Eine Grund­vo­raus­set­zung für die Ein­leitung wirk­samer Gegen­maß­nah­men ist die rechtzeit­ige Detek­tion von IT-Sicher­heitsvor­fällen. Die Analyse von Vor­fällen kann helfen, geeignete Maß­nah­men zur zukün­fti­gen Ver­mei­dung tre­f­fen zu können.

Fazit

Der Schutz der Prozesss­teuerung gegen Ein­griffe Unbefugter ist eine wichtige Auf­gabe, deren Bedeu­tung nicht zu unter­schätzen ist. Gle­ich­wohl muss aber durch geeignete Konzepte, Kon­trollen und Man­age­mentsys­teme gewährleis­tet wer­den, dass die Mess‑, Steuer- und Regelung­stech­nik nicht verse­hentlich durch „haus­gemachte“ Fehler – beispiel­sweise in der Pro­gram­mierung oder bei Bedi­enung, Aus­tausch oder Wartung – Unfall­ereignisse begün­stigt oder verursacht.

Quellen


Foto: privat

Dr. Joachim Sommer

Ref­er­ent für Anla­gen- und Ver­fahrenssicher­heit der Beruf­sgenossen­schaft Rohstoffe und chemis­che Indus­trie (BG RCI) und Mit­glied der Kom­mis­sion für Anla­gen­sicher­heit (KAS)

Anzeige
Gewinnspiel

Newsletter

Jet­zt unseren Newslet­ter abonnieren

Meistgelesen

Jobs
Sicherheitsbeauftragter
Titelbild Sicherheitsbeauftragter 4
Ausgabe
4.2021
ABO
Sicherheitsingenieur
Titelbild Sicherheitsingenieur 4
Ausgabe
4.2021
ABO
Anzeige
Anzeige

Industrie.de Infoservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de