Außer Kontrolle. Wie ein Prozessleitsystem falschen Informationen aufsitzen kann -

Der Schutz der Prozesssteuerung gegen Eingriffe Unbefugter ist eine wichtige Aufgabe. Hierzu gibt es schon viele Hinweise und Handlungsanleitungen. Dabei darf aber nicht außer Acht gelassen werden, dass auch „hausgemachte“ Fehler Unfälle begünstigen und verursachen können.

Rund sechs Millionen Cyberangriffe erfolgen auf IT-Strukturen – Tag für Tag. Die Sorge vor Viren treibt nicht nur das Robert Koch-Institut um, auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor Viren, Trojanern und Würmern, die Computer befallen und ganze Betriebe lahmlegen können.

Das Thema Cybersicherheit ist längst in der Industrie angekommen, die Kommission für Anlagensicherheit (KAS) beschreibt beispielsweise Ende 2019 in ihrem Leitfaden KAS-51 „Maßnahmen gegen Eingriffe Unbefugter“, wie ein Unternehmen eine höhere Resilienz gegen Cyberangriffe erzeugen kann. Während so nach allen Regeln der Kunst abgewendet werden soll, dass „die Bösen“ in die Prozesssteuerung eingreifen, sind es manchmal „die Guten“, die unbewusst Fehler in der Mess‑, Steuer- und Regelungstechnik verursachen.

Durch blindes Vertrauen in die Technik von Prozessanlagen können verkannte Randbedingungen oder falsche Interpretation von Daten Ereignisse auslösen.

Meistens geht´s ja gut. Meistens

Die Steuerung verfahrenstechnischer Anlagen ist heutzutage ohne Prozessleittechnik (PLT) bzw. Mess‑, Steuer- und Regelungstechnik (MSR) undenkbar. Die Messung von Prozessgrößen wie Temperatur, Druck und Füllstand mittels Sensoren, die Verarbeitung der Daten in
speicherprogrammierbaren Steuerungen (SPS) und die davon abgeleitete Anzeige in der Messwarte bzw. am Steuerstand sowie die automatische bzw. manuelle Betätigung von Aktoren wie Ventile oder Pumpen sind die Grundlage jeglicher Produktionsprozesse.

In nahezu allen Fällen funktioniert das hervorragend, aber in einigen Situationen kann das auch mal schief gehen, wie die nachfolgenden Unfallberichte zeigen.

Dabei ist anzumerken: Die Fallbeispiele pointieren aus Platzgründen die Ursachen und lassen manche Aspekte außer Acht, die bei der Erstellung des Sicherheitskonzepts sehr wohl bedacht waren bzw. zu einer falschen Einschätzung der Situation beigetragen haben. Es gilt zu bedenken: Hinterher ist man immer schlauer, und die Fehler anderer hätte man in der gleichen Situation möglicherweise selbst auch gemacht. Der „backsight bias“, die Verzerrung der Einschätzung aus der Blickrichtung des Ereignisses zurück, wird einfachen Schuldzuweisungen nicht gerecht.

Fallbeispiel 1: Falsche Produktvorlage infolge Schwächen in der Prozesssteuerung

In einer Vielstoff-Anlage für die Synthese modifizierter Harze waren die Rezepturen in einer einfachen Prozesssteuerung hinterlegt und wurden automatisch überwacht. Das Anlagenpersonal musste in der Messwarte nur die gewünschten Mengen vorgeben und die entsprechenden Ventile zu den Vorlagetanks stellen.

Durch einen Bedienfehler wurde am Ereignistag zwar die korrekte Menge – rund 6000 Kilogramm – als Sollwert eingegeben, dann aber nicht die Ventile für das gewünschte reaktionsträge Naturharz bedient, sondern versehentlich reaktionsfreudiges Maleinsäureanhydrid vorgelegt, das bestimmungsgemäß erst zu einem späteren Zeitpunkt in viel geringen Mengen zur Einstellung der gewünschten Eigenschaften zugegeben werden sollte.

Die Fehlstellung von Ventilen bei gleichzeitig korrekter Mengenvorgabe blieb dem Bedienpersonal am Bedientableau zunächst verborgen, weil bei der Programmierung der Rezepturen dieser Abweichung keine Bedeutung beigemessen worden war. Als der Reaktionsansatz später bestimmungsgemäß aufgeheizt wurde, kam es zu einer stark exothermen Polymerisationsreaktion des Anhydrids. Durch die rasche Gasentwicklung, für die die Entlüftung nicht ausgelegt war, kam es zu einem enormen Druckaufbau, der den Mannlochdeckel wegsprengte. Daraufhin strömten Dampf, Aerosole und brennbare Zersetzungsgase aus und bildeten mit der Luft ein explosionsfähiges Gemisch. Die Entzündung erfolgte zeitverzögert, so dass es zu einer „Vapour Cloud Explosion“ (VCE) mit enormer Wucht kam: Die Druckwelle zerstörte das Gebäude und beschädigte mehrere umliegende Betriebe. Der Folgebrand drohte auf benachbarte Anlagen überzugreifen, was durch den Einsatz von rund 200 Feuerwehrleuten verhindert wurde. Es war Glück im Unglück, dass keine Personen ernsthaft verletzt wurden.

Fallbeispiel 2: Fehlerhafte pH-Messung durch Schwächen in der Prozesskontrolle

In einem zwölf Kubikmeter fassenden Rührbehälter wurde eine saure Suspension bestimmungsgemäß mit Natronlauge neutralisiert, um metallische Verunreinigungen im basischen Milieu als Hydroxide auszufällen. Die Zugabe der Natronlauge erfolgte über ein betriebliches Leitungsnetz und wurde bei Erreichen des voreingestellten pH-Werts automatisch beendet. Zum Schutz der empfindlichen pH-Sonden und zur Gewährleistung einer korrekten pH-Wert-Erfassung wurden die Sonden bei einem Behälterfüllstand unter 25 % automatisch in Service-Stellung gefahren, wo sie mit Spülflüssigkeit feucht gehalten wurden.

Am Ereignistag wurde das Aktivieren der pH-Sonden vergessen und sie verblieben in der Service-Stellung. Das Prozessleitsystem (PLS) konnte nicht unterscheiden, ob der Messwert der pH-Sonden dem realen Prozesswert oder dem der Spülflüssigkeit entsprach. Der inaktive Zustand der pH-Sonden war nicht als Störung definiert, so dass diese Stellung nicht im Alarmbereich des PLS angezeigt wurde. Die Strichfahrweise der Messsonden wurde so nicht bemerkt. Dies führte zu einer deutlichen Überdosierung an Natronlauge, was zu einer chemischen Reaktion mit Bildung von Wasserstoff führte.

Durch den resultierenden Druckanstieg platzte der Behälter auf (Berstdruck etwa 25 bar) und der Inhalt strömte wie durch eine Düse aus. Der dadurch hervorgerufene Impuls riss den ganzen Behälter aus seiner Verankerung, er durchschlug eine massive Betonwand und Teile flogen weit verstreut über das Werksgelände. Zugleich entzündete sich der austretende Wasserstoff und es kam zu einer heftigen Explosion. Da die Mitarbeiter, die sich im Gefahrenbereich aufgehalten hatten, die Gefahr rechtzeitig bemerkten, konnten sie sich in Sicherheit bringen, so dass kein ernsthafter Personenschaden entstand.

Fallbeispiel 3: Fehlerhafte Mengenmessung durch falsch kalibriertes Messgerät

Zur Synthese eines organischen Zwischenprodukts wurden in einem 50 Kubikmeter großen Reaktor bei Raumtemperatur mehrere Komponenten vorgelegt und bei laufendem Rührer zunächst über einen begrenzten Zeitraum gasförmiges Kohlendioxid mit einem Durchfluss von rund 100 Liter pro Minute durch das Gemisch geperlt. Danach wurde portionsweise eine Wasserstoffperoxidlösung zugegeben. Dabei kommt es bestimmungsgemäß zu einer Reaktion zwischen dem Wasserstoffperoxid und den anderen Stoffen, wobei das Gemisch durch die Behälterkühlung auf Solltemperatur gehalten wird. Die gewünschte Reaktion erfordert eine ausreichende Konzentration an gelöstem Kohlendioxid, das als Phasentransferkatalysator wirkt.

Am Ereignistag musste der Kohlendioxid-Durchflussmesser ausgetauscht werden. Dabei unterlief dem Wartungspersonal ein Fehler: Der neue Durchflussmesser wies andere Messeinheiten auf als der vorherige. Daher betrug der reale Durchfluss nur acht Liter pro Minute und es kam nicht zu der gewünschten Reaktion, da die Kohlendioxidkonzentration zu gering war. Dies führte wiederum dazu, dass sich das Wasserstoffperoxid im Reaktionsgemisch anreicherte.

Als das Bedienpersonal am Ende der Dosierung des Wasserstoffperoxids bemerkte, dass die Temperatur nicht wie erwartet anstieg, erhitzte es den Reaktor über die Heizschlangen. Dadurch wurde die Zersetzung des Wasserstoffperoxids initiiert und es kam zu einer durchgehenden Reaktion. Temperatur und Druck stiegen stark an und drei Tonnen des Reaktionsgemisches traten über die Belüftungsleitung aus. Das Gemisch konnte im Abwassersammelbecken aufgefangen und ordnungsgemäß entsorgt werden. Es wurde niemand diesem Gemisch ausgesetzt und es erfolgte auch keine werksexterne Verschmutzung.

Fallbeispiel 4: Fehlerhafte Temperaturmessung durch Fehler bei Wartungsarbeiten

Bei der Dichtheitsprüfung einer Anlage wurde eine Leckage festgestellt. Die Undichtigkeit wurde in einer längeren Rohrleitung vermutet, die mittels zweier getrennter Begleitheizungen beheizt wurde. Um die genaue Stelle zu lokalisieren, wurde eine der beiden Begleitheizungen ausgeschaltet und die Isolierung des Rohrleitungsstücks entfernt.

Die Begleitheizung war jedoch nicht komplett stromlos geschaltet worden und bei der Lecksuche wurden versehentlich auch die Thermoelemente an der noch in Betrieb befindlichen Begleitheizung stückweise abisoliert.

Da durch die Entfernung der Wärmeisolierung eine niedrigere Temperatur gemessen wurde, erhöhte die Regelung die Heizleistung auf 100 Prozent. Hierdurch wurden die Rohrleitung und die Isolierung auf über 300 °C erhitzt und die Isolierung geriet durch die Selbstentzündung von Verunreinigungen in Brand. Das Feuer konnte sofort gelöscht werden, es entstand kein weiterer Schaden.

Intelligente Messgeräte und fremde Intelligenz

Während die beschriebenen Ereignisse auf fehlerhafte Eingangssignale bzw. Datenverarbeitung in Prozessanlagen mit konventioneller Regelungstechnik zurückzuführen waren, rücken aktuell auch Situationen in den Fokus, die mit neuen Entwicklungen einhergehen könnten.

Im Zuge der fortschreitenden Digitalisierung – Stichworte „Industrie 4.0“ und „Smart factory“ – ergibt sich auch in der Verfahrenstechnik die Vision einer Produktion, in der sich Fertigungsanlagen und Logistiksysteme ohne menschliche Eingriffe weitgehend selbst organisieren. Und durch diese Vernetzung von Produktionssystemen und dynamischen Geschäfts- und Engineering-Prozessen eine wirtschaftliche Herstellung von Produkten auch bei individuellen Kundenwünschen ermöglichen.

Technische Grundlage sind dabei cyberphysische Systeme, welche mit Hilfe des „Internets der Dinge“ (Internet of things, IoT) miteinander kommunizieren. Viele Sensoren und Aktoren für die Prozesstechnik haben heute entsprechende Schnittstellen, um miteinander beispielsweise über Cloudstrukturen kommunizieren zu können – schließlich erübrigt eine WLAN-Lösung auch aufwändige Verkabelungen und neben den eigentlichen Messwerten können zusätzlich andere Informationen ausgetauscht werden, die für Wartung und Prozessoptimierung von Bedeutung sein können.

Allerdings führt dieser Trend auch dazu, dass Dritte via Internet die Kontrolle über die Prozess-Steuerung übernehmen könnten. Ein Szenario, mit dem sich Anlagenbetreiber grundsätzlich auseinander setzen sollten. „Generell ist der Betreiber des Betriebsbereichs dafür verantwortlich, das Risiko durch cyberphysische Angriffe zu bewerten und ggf. notwendige technische und organisatorische Gegenmaßnahmen zu ergreifen“, so die Kommission für Anlagensicherheit (KAS) in ihrem aktuellen Leitfaden KAS-51. Unter Cyberangriff wird dabei jeder unbefugte Zugriff oder jede unbefugte Veränderung auf/von IT-Systemen verstanden. Die beschriebenen Anforderungen basieren auf dem BSI IT-Grundschutz-Kompendium und gelten für Betriebsbereiche im Sinne des § 3 Absatz 5a des BImSchG.

Festlegung von Verantwortlichkeiten

Verantwortlichkeit für die Maßnahmen zum Schutz vor Eingriffen Unbefugter eindeutig zuweisen.
Vertraulichkeit bezüglich der getroffenen Schutzmaßnahmen sicherstellen.

Zugangs- und Zutrittsmanagement

Physischen Zutritt auf das Gelände sowie Zugang zu Anlagen, MSR-Räumen und Computer begrenzen.
Zutritt in sensiblen Bereichen erfassen und dokumentieren.
Schlüsselmanagement („Hierarchiestufen“ für Schutzbereiche und Zugangsberechtigungen) festlegen und Vergabe regelmäßig kontrollieren.
Bei Personal- und Funktionswechsel Berechtigungen anpassen.

Zugriffsmanagement auf Prozesssteuerung/Sicherheitssteuerung

IT-/OT-Systeme (Operational Technology Systems) segmentieren.
Voreingestellte Passwörter bei Inbetriebnahme umgehend ändern, Maßnahmen gegen Missbrauch festlegen.
Prozess-/Sicherheitssteuerung vor dem Einsatz auf Schadsoftware überprüfen.
Konzepte und Abläufe festlegen, wie mit Updates umzugehen ist.
Externe Speichermedien und Hardwarekomponenten (z. B. Laptop des Servicetechnikers) vor der Infektion mit Schadsoftware schützen.
Bei Personal- und Funktionswechsel: Berechtigungen anpassen, ggf. Zugangsdaten löschen und Passwörter ändern.

Manipulationserkennung und ‑schutz

Regelungen für Fremdpersonal und fremdvergebene Dienstleistungen festlegen, Überwachung der fremdvergebenen Arbeiten in geeignetem Umfang durch unabhängiges oder eigenes Personal.
Vertragliche Regelung mit Dienstleistern zur Integrität der Daten sowie zur Vertraulichkeit der Arbeitsergebnisse und der übergebenen Dokumentation treffen.

Sensibilisierung/Schulung eigener Beschäftigter

Schulungskonzept zur IT-Sicherheit entwickeln und durchführen.
Motivation zur Meldung von Auffälligkeiten bezüglich der IT-Sicherheit fördern.

Eine Grundvoraussetzung für die Einleitung wirksamer Gegenmaßnahmen ist die rechtzeitige Detektion von IT-Sicherheitsvorfällen. Die Analyse von Vorfällen kann helfen, geeignete Maßnahmen zur zukünftigen Vermeidung treffen zu können.

Fazit

Der Schutz der Prozesssteuerung gegen Eingriffe Unbefugter ist eine wichtige Aufgabe, deren Bedeutung nicht zu unterschätzen ist. Gleichwohl muss aber durch geeignete Konzepte, Kontrollen und Managementsysteme gewährleistet werden, dass die Mess‑, Steuer- und Regelungstechnik nicht versehentlich durch „hausgemachte“ Fehler – beispielsweise in der Programmierung oder bei Bedienung, Austausch oder Wartung – Unfallereignisse begünstigt oder verursacht.

Quellen

Merkblatt R007 „Lehren aus Ereignissen – Sicherheitstechnische Erkenntnisse für die Bewertung chemischer Reaktionen und thermisch sensibler Stoffe“ der BG RCI https://medienshop.bgrci.de/shop/bgi/rreihe
Ereignis-Datenbank von ProcessNet https://processnet.org/ereignisdb.html
Leitfaden KAS-51 „Maßnahmen gegen Eingriffe Unbefugter“ der Kommission für Anlagensicherheit www.kas-bmu.de/kas-leitfaeden-arbeits-und-vollzugshilfen.html

Foto: privat

Dr. Joachim Sommer

Referent für Anlagen- und Verfahrenssicherheit der Berufsgenossenschaft Rohstoffe und chemische Industrie (BG RCI) und Mitglied der Kommission für Anlagensicherheit (KAS)

Sicherheitsingenieur 07|2020