Detaillierte Aufteilung auf der Gerätebene
Durch die Verwendung einer detaillierten Bereichsaufteilung innerhalb einer einzelnen Zone wird die Anlagensicherheit nochmals erhöht, wie die Abbildung einer Absicherung von Honeywell zeigt: SPSen kommunizieren in der Regel mit dem Steuerungssystem über einen einzigen Port via Modbus Protocol und den TCP/IP-Standard. Die SPS-Konfigurationsstation benötigt dabei zwar weitreichende Netzwerkkommunikation zu den SPSen, es besteht jedoch keine Notwendigkeit für die SPS-Station, mit dem Experion PKS-System zu kommunizieren. Daher separiert eine Tofino-Firewall den Datenverkehr zwischen SPSen und Konfigurationsstation.
Nur der Modbus-Verkehr wird an die Experion weiter geleitet. Dies ist besonders wichtig, da die Embedded-Geräte der Ebene 1 meist mit begrenzten Speicherressourcen arbeiten, Festplatten oder umfangreiche Solid-State-Drives stehen in der Regel nicht zur Verfügung. Tritt im Netzwerk eine Überlastung im Datenverkehr auf, beispielsweise durch eine Denial of Service-Attacke (DoS), können die Netzwerk-Stacks der SPS daher überfüllt werden und abstürzen. Eine Firewall minimiert dieses Risiko. Die neunte Ausgabe von Rockwell Automations „State of Smart Manufacturing“ Report liefert Einblicke in Trends und Herausforderungen für Hersteller. Dazu wurden über 1.500 Fertigungsunternehmen befragt, knapp 100 der befragten Unternehmen kommen aus Deutschland. ‣ weiterlesen
KI in Fertigungsbranche vorn
Einrichtungskosten und Risikopotenzial abwägen
Allerdings ist die Einrichtung von Sicherheitszonen vielfach mit hohem Aufwand verbunden. Daher lohnt sich eine umfassende Gefährdungsanalyse. Dabei werden Risiken für das Unternehmen, beispielsweise Produktionsausfälle und Bußgelder, aber auch Umweltschäden oder die Gefährdung von Menschenleben, abgeklärt und gegebenenfalls quantifiziert. Zudem kann die Gefährdungsanalyse dazu beitragen, zwischen Bedrohungen für Anlagensteuerung und IT zu unterscheiden. Denn die IT-Abteilung liefert die Fachkenntnisse zu Server- und Firewall-Management oder Sicherungs- und Wiederherstellungsverfahren für die Absicherung der Steuerungssysteme.
Die Prioritäten in der Messwarte sind jedoch nicht die gleichen: Das IT-Personal schützt in erster Linie das geistige Eigentum des Unternehmens, bei der Sicherheit der Prozesssteuerung geht es um den Schutz von Anlage, Mitarbeitern und Umgebung. Patch-Management, Firewalls, Antiviren-Software und Verschlüsselung müssen anders gehandhabt werden. Die Analyse trägt dazu bei, diese Unterschiede hervorzuheben. Der Thin[gk]athon, veranstaltet vom Smart Systems Hub, vereint kollaborative Intelligenz und Industrie-Expertise, um in einem dreitägigen Hackathon innovative Lösungsansätze für komplexe Fragestellungen zu generieren. ‣ weiterlesen
Innovationstreiber Thin[gk]athon: Kollaborative Intelligenz trifft auf Industrie-Expertise
Das Wesentliche im Blick behalten
Schließlich sollte eine Gefährdungsanalyse helfen, akute Sicherheitslücken im System aufzudecken. Dazu gehört eine Bestandsaufnahme der Netzwerke und der Systemdokumentation. So wird vermieden, dass sich die Sicherheitsstrategie auf spektakuläre Ereignisse mit niedriger Wahrscheinlichkeit konzentriert, beispielsweise auf einen Terrorangriff. Dagegen können hoch wahrscheinliche, folgenschwere Sicherheitslücken anhand der Abhängigkeiten zwischen IT-Sicherheit, funktionaler Sicherheit und Zuverlässigkeit entdeckt werden. Entsprechend können Prioritäten gesetzt werden, wie mit hoch wahrscheinlichen, folgeschweren Sicherheitslücken im Unternehmen umgegangen werden soll.
