Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige

Cell Zone Site-Konzept

Cyber-Sicherheit für Steuer- und Regelungsnetzwerke

Beitrag drucken



Grafik 1: Beispiel einer Zelle in einem segmentierten Netzwerk. Der blaue Kasten zeigt ein segmentiertes Sub-Netz. Bild: Moxa Europe

Schutz gegen externe Störungsbestrebungen

Viele Hollywood-Streifen zeigen Hacker als Jugendliche, die zum Spaß oder aus Neugier in Computersystemen herumschnüffeln. In der Realität ist es jedoch meist so, dass eine geringe Anzahl erfahrener Hacker es sich zum Ziel gesetzt hat, sich illegalen Zutritt zu Computersystemen und Netzwerken zu verschaffen. Firewalls bieten dabei einen minimalen Basis-Schutz gegen externe Eindringlinge, die Systeme versprechen aber keine umfassende Sicherheit, sobald ein Unternehmen über eine Internetverbindung verfügt.

Obwohl keine Hardware das gesamte System eines Industriebetriebes gegen die fortschrittlichsten Hacker schützen kann, kann der Einsatz der passenden Hardware, gemeinsam mit umfassenden Sicherheitsregeln, das Risiko deutlich senken. Die Realität ist leider, dass tausende von industriellen Steuerungssystemen bisher nicht ausreichend geschützt sind: Es besteht ein beträchtlicher Mangel an Sicherheit in der Industrie, unter anderem, weil Netzwerksicherheit meist nicht notwendig erscheint, so lange nichts Schlimmes passiert ist. Zu umfassenden Sicherheitsmaßnahmen, um das gesamte Netzwerk für den Fall zu schützen, dass es ein Hacker ‚hinter die Frontlinie‘ schafft, zählen

  • Segmentierung mit verschiedenen Firewalls und Network Address Translation (NAT)
  • Stringente Passwort-Verwaltung und deren Einhaltung durch Anwender
  • ‚Deep Packet Inspection‘ zur Netzwerk-Analyse
  • VPN-Absicherung der Nutzung von Fernzugriffen
  • Einsatz einer Netzwerkmanagement-Software

Schutz gegen Informationsdiebstahl

Um sich abzusichern, sollten industrielle Anwender zumindest eine Firewall beziehungsweise einen Router einsetzen, um das IT-Netzwerk vom Automatisierungsnetzwerk zu trennen. Nutzer aus dem Office-Bereich sollten zudem keinen Zugang zu kritischen Daten haben, auch nicht IT-Administratoren. Auf der zweiten Abwehr-Ebene ist sicherzustellen, dass jede ‚Wide Area Network‘-Verbindung (WAN) auch eine Firewall besitzt, die das WAN von der LAN-Seite trennt. Zusätzlich dazu sollte Fernzugriff nur dann erlaubt werden, wenn zumindest ein mit 128-Bit verschlüsseltes ‚Virtual Private Network‘ (VPN) zum Schutz der Daten und für die Zugangskontrolle zum Automatisierungsnetzwerk existiert. Neben Verschlüsselung und Authentifizierung sollte der VPN-Zugang auch mit starken Passwörtern geschützt werden. Diese können zum Beispiel von einem Passwort-Generator abgeleitet werden, der die Passwörter gemäß Nist- beziehungsweise Enisa-Standard gestaltet.

Schutz gegen unbeabsichtigte Störungen

Obwohl die Mitarbeiter eines Unternehmens in der Regel keinen Schaden anrichten wollen, kommt es sehr oft vor, dass dies ungewollt passiert. Meist werden Störungen von Geräten hervorgerufen, die nicht korrekt konfiguriert wurden. Denn viele Mitarbeiter sind technisch nicht so gut ausgebildet, dass sie die entsprechenden Aufgaben fehlerfrei beherrschen. Der beste Schutz dagegen ist die Segmentierung von Sub-Netzwerken: Jede Zelle sollte über ihr eigenes kleines, geschütztes Netzwerk verfügen. Genauer gesagt, sollte dieses Netzwerk zufällige Zugriffe nur bei zielgerichteter Absicht ermöglichen. Darüber hinaus schützt diese Art der Segmentierung gegen Datenüberflutung, etwa durch eine Fehlkonfiguration aus dieser Zelle. Diese Segmentierung lässt sich durch den simplen Einsatz eines Routers in jeder Zelle erreichen. Um kritische Störungen an Geräten zu verhindern, sollten vor den wichtigsten Geräten außerdem industrielle Firewalls integriert werden, zum Beispiel zwischen einer Produktionszelle und dem Rest des Netzwerks oder einer Gruppe kritischer Steuerungs-SPSen. Diese können dahingehend konfiguriert werden, nur industrielle Steuerungsnachrichten durchzugelassen. Die Firewall kann zum Beispiel so eingerichtet werden, dass nur Ethernet/IP-Kommunikation erlaubt wird, und diese nur von definierten Absendern.

Obwohl dies normalerweise einfach durch Segmentierung des Netzwerks in Sub-Netzwerke erledigt werden kann, ist diese Methode allein nicht annähernd so sicher wie der gemeinsame Einsatz von Segmentierung und Firewall-Schutz. Um vor dem Diebstahl geistigen Eigentums zu schützen, ist der Einsatz von Firewalls, die in der Lage sind ‚Deep Packet Inspection‘ (DPI) durchzuführen, vor den betriebskritischen Geräten sinnvoll. Im Rahmen von DPI werden die eigentlichen Daten geprüft – zum Beispiel spezielle Befehle oder Anfragen – um zu entscheiden, ob sie durch die Firewall gelassen werden sollen oder nicht. So lassen sich auf Feldbusebene Datenpakete schützen. DPI ist so aufgebaut, dass SPSen nicht versehentlich Konfigurationen ändern oder Pakete senden können, die nur unnötigen Datenverkehr verursachen. Unschädliche, tägliche Anfragen zuzulassen wird im Tagesgeschäft notwendig sein, mit DPI ist es jedoch möglich, das Netzwerk gegen nicht autorisierte Ingenieure zu schützen, die Befehle ausgeben, welche sie nicht nutzen sollten. Manche industrielle Firewalls sind bereits DPI-fähig. Die Beispiele zeigen: Sichere industrielle Hardware und grundlegende Methoden können zur Absicherung hilfreich sein. Einzelmaßnahmen allein sind jedoch nicht geeignet, um Steuerungs- und Regelungsnetzwerke umfassend zu schützen.


Das könnte Sie auch interessieren:

Erfolgreiche KI-Projekte kombinieren das Domänenwissen von Prozessbeteiligten mit der Expertise von Datenanalysten und IT-Spezialistinnen. Da nicht jedes Maschinenbauunternehmen über diese drei wichtigen Kompetenzfelder verfügt, sind Kooperationen wichtige Bestandteile von KI-Projekten.‣ weiterlesen

Extreme Networks hat die Verfügbarkeit des Wi-Fi 6E Access Point bekanntgegeben. Als Wireless-Plattform erweitert der Zugangspunkt den Einsatzbereich auf das 6GHz-Frequenzband. Das Gerät wurde für Umgebungen mit hohen Anforderungen an Bandbreite und Nutzerdichte entwickelt und zeichnet sich Anbieterangaben zufolge durch seine Perfomance, Funktionalität und Sicherheit aus.‣ weiterlesen

Die Ersatzteilversorgung in der Automobilindustrie besitzt einen sehr kurzfristigen Charakter. Anwendungen zum Abbilden solcher Prozesse sind S/4Hana Supply Chain Management sowie S/4Hana-Automotive-Ersatzteilmanagement. Die wichtigen Zielgrößen für die Versorgungsqualität sind Lieferservicegrad und Time-to-Delivery.‣ weiterlesen

Im Cloud-Projekt Gaia-X entstehen Infrastruktur-Angebote, mit denen Hersteller digitale und vernetzte Produkte entwickeln können, ohne in Abhängigkeit zu Technologiekonzernen zu geraten. Die Strukturen dafür sind bereits etabliert. Jetzt ist es an den Produzenten, durch ihre Mitwirkung aus dem Projekt eine europäische Erfolgsgeschichte zu machen.‣ weiterlesen

Werma bietet ein neues Ruf- und Meldesystem zur Prozessoptimierung in Fertigung, Logistik und an manuellen Arbeitsplätzen an. Mit dem Andon WirelessSet lassen sich Probleme bei der Produktion per Knopfdruck melden, um die Behebung zu beschleunigen.‣ weiterlesen

Alle Werte einer Lieferkette im Blick zu behalten, ist eine Mammutaufgabe - können diese doch schnell in die Millionen gehen. Behälter mit benötigten Materialien müssen nicht mal verschwinden, schon der falsche Lagerplatz im Werk kann die Produktion ausbremsen. Tracker können dafür sorgen, dass nichts Wichtiges aus dem Blick gerät.‣ weiterlesen

Siemens und Zscaler arbeiten zusammen, um Kunden den sicheren Zugriff vom Arbeitsplatz im Büro oder mobil auf Operational-Technology(OT)-Systeme und -Anwendungen im Produktionsnetzwerk zu ermöglichen.‣ weiterlesen

Der österreichische Ableger von Bechtle hat Open Networks erworben. Die neuen Spezialisten bringen insbesondere Erfahrung in den Bereichen Application Services, Datacenter, Security und Netzwerk mit. Die Firma betreut rund 250 Kunden im Alpenstaat.‣ weiterlesen

Viele Konzepte etwa für Modern Workplaces und Digitalisierung hinterfragen Unternehmenskonzepte, die auf traditionelle Strukturen und Hierarchien setzen. Robert Lindner, Senior Regional Director & Country Manager Germany bei Red Hat, hat vier zentrale Grundsätze herausgearbeitet, wie sich Innovation befördern lässt, insbesondere als ein Unternehmen im Open-Sorce-Softwaremarkt.‣ weiterlesen

Panasonic hat sämtliche Unternehmensanteile des IT-Plattformanbieters Blue Yonder erworben. Der Kauf ist Teil der Konzern-Strategie, einzelne Geschäftsfelder zu stärken. Blue Yonder bewertet die Investition mit 8,5 Milliarden US-Dollar.‣ weiterlesen

Die Auftragsbücher im Maschinen- und Anlagenbau füllen sich, aber immer mehr Firmen verzeichnen Engpässe in ihren Lieferketten. Auch der Fachkräftemangel wird vermehrt zum Problem. Zu diesen Erkenntnissen kommt der VDMA nach einer seiner sogenannten Blitz-Umfragen.‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige