Industrielle Produktions- und Steueranlagen werden immer stärker vernetzt. Das Ergebnis sind effizientere Abläufe, aber auch erhöhte Angreifbarkeit – intern wie extern. Die bewährten Sicherheitssysteme wie Virenscanner und Firewall kommen dabei an ihre Grenzen und können in Steuernetzen oft nicht eingesetzt werden. Ein vielversprechender Ansatz sind intelligente Überwachungssysteme auf Basis der Deep Packet Inspection-Technologie.

Bild: Rhebo AG

Wie bei allen IT-Systemen, macht die Vernetzung von Steueranlagen diese auch zum Ziel für Angriffe aus dem Internet – oft nur zufällig aufgrund ihrer öffentlichen Erreichbarkeit. Zwischen 2012 und 2014 untersuchte die Forschergruppe von Infracritical mit dem Projekt Shine, wie viele Steuersysteme aus dem Internet erreichbar sind. Am Ende fanden sie 2,2 Millionen Steuersysteme, die über das Internet auffindbar und potentiell zugänglich waren – oftmals ohne Wissen ihrer Betreiber. 15 Prozent der gefundenen Steuerungen befanden sich in Deutschland. Aber auch nicht ans Internet angeschlossene Hardware ist potentiell gefährdet, wie der BSI-Bericht ‚Industrial Control System Security: Top 10 Bedrohungen und Gegenmaßnahmen‘ von 2014 aufzeigt:

  • privat genutzte (Wartungs-)Laptops

  • gezielte Spear Phishing-Attacken

  • Zugriff auf das WLAN in Produktionshallen per Richtantenne

  • Fernwartung per häufig ungesichertem Virtual Private Network (VPN)

  • unzufriedene oder gutgläubige Mitarbeiter, die durch Social Engineering
    zur Datenweitergabe motiviert werden

  • unbedacht verwendete Fremd-Laufwerke wie USB-Sticks.

ANZEIGE

Webinar:
SAP-Partner – Die Industrieexperten im SAP-Ökosystem

Wann: 9.Dez., 11:00 Uhr. Jetzt kostenfrei anmelden.

‣ weiterlesen

Alte Gefahren

Selbst eine vollkommen isolierte Anlage bietet keine absolute Sicherheit vor netzwerkbedingten Störungen. Mit steigendem Grad der Konnektivität von Maschinen und Steuerungen untereinander erhöht sich die Komplexität und damit die Wahrscheinlichkeit eines Ausfalls. Zudem kann es – anders als bei busbasierten Systemen – bei paketorientierter Kommunikation zu Überlastzuständen kommen. So kann etwa das tägliche Hochladen von Logdaten auf einen FTP-Server eine erhebliche Last verursachen, die zu Störungen führen kann, wenn zeitgleich zeitkritische Kommunikation auf dem Medium läuft. Problemen dieser Art auf die Spur zu kommen, ist mit herkömmlichen Tools nahezu unmöglich, da die üblichen Industrie-Protokolle von gängiger Netzwerkdiagnose-Software kaum unterstützt werden. Industriespezifische Protokoll-Analyzer wiederum sind nicht hinreichend auf das Auswerten von Informationen der unteren Protokollschichten (Ethernet und IP) ausgerichtet.

Zwei Schwächen

Aktuell wird für den Netzwerkschutz auf Virenscanner und Firewalls zurückgegriffen. Diese weisen zwei entscheidende Schwächen auf: Erstens erkennen sie nur bereits bekannte Anomalien (sogenannter ‚Black Listing‘-Ansatz). Bei täglich rund 17.000 neuen Bedrohungen (Quelle: viruslist.com) kommt keine dieser Lösungen hinterher. Zweitens überwachen sie nur die externen Schnittstellen. Wie der BSI-Bericht zeigt, erfolgt die Mehrzahl der Angriffe mittlerweile jedoch von intern oder über authorisierte Schnittstellen (zum Beispiel über VPN-Clients). Die Situation wird durch die Nutzung von Betriebssystemen verschärft, für die teils keine Sicherheits-Updates mehr bereitgestellt werden, wie seit 2014 für Windows XP. Auch werden in Steuerungen immer wieder Lücken gefunden. Die Open-Source Vulnerability Database (OSVDB) weist einen achtfachen Anstieg zwischen 2009 und 2014 aus.

Auf einen Blick

Angesichts der zunehmenden Komplexität und der sich entwickelnden Bedrohungslage sind neue Lösungen gefordert. Industrial Protector der Firma Rhebo verfolgt deshalb einen neuartigen Ansatz, der eine lückenlose Unterscheidung zwischen erlaubter und nicht erlaubter Netzwerkaktivität ermöglicht. Grundlage für die Funktion sind die deterministischen Prozesse, die in einer Produktionsanlage geplant laufen und folglich in einer deterministischen Kommunikation im Netzwerk resultieren. Industrial Protector erlernt diesen erlaubten Kommunikationsprozess, um Abweichungen – oder Anomalien – davon jederzeit und unmittelbar zu erkennen und zu melden. Diese Meldungen machen alle Probleme im Steuernetz, die zu einer Beeinträchtigung des Betriebs führen können, direkt sichtbar. Darunter fallen unter anderem Fehlkonfigurationen oder Fehlfunktionen einzelner Komponenten, Überlastungen und Kommunikationsausfälle, aber auch gezielte und ungezielte Angriffe von innen oder außen.

Kommunikation erlernen

Das Erlernen des normalen Kommunikationsverhaltens erfolgt mittels einer vollständigen Überwachung, Erkennung und Dekodierung des Datenverkehrs. Dabei werden die Fernwirk- und Feldbusprotokolle bis auf Befehlsebene mittels Deep-Packet-Inspection-Technologie analysiert und validiert. Jeder Befehlsaustausch zwischen Komponenten im Steuernetz (zum Beispiel Steuerungen, Sensoren, Aktoren) wird von Industrial Protector in der Lernphase als Normverhalten registriert. Jede Abweichung von diesem Normverhalten erzeugt im späteren Betrieb eine Meldung. Damit wird zum Beispiel erkannt:

  • ob ein nicht authorisiertes Gerät auf das Netzwerk zugreift

  • ob über ein neues oder unbekanntes Protokoll kommuniziert wird

  • ob ein Wartungslaptop auf eine Steuerung zugreift, mit der er zuvor noch
    nicht kommuniziert hat

ANZEIGE

Wenn IT-Lösungen in der digitalen Fertigung einfach gut zusammenpassen
It’s a match!

In der Smart Factory erfüllt die Fertigungs-IT ein breites Spektrum an Aufgaben. Damit die einzelnen Funktionen und Anwendungen flexibel miteinander zusammenarbeiten, braucht es fundiertes Expertenwissen, ein Maximum an Flexibilität und eine klare Vision. Wir von MPDV bieten das alles und noch viel mehr!‣ weiterlesen

  • ob eine Malware das Netz scannt

  • ob die Rate zyklischer Ereignisse sich verändert oder

  • auf ein Gerät schreibend zugegriffen wird, wo zuvor nur lesend zugegriffen
    wurde

Kurz: Alle Anomalien im Netzwerk werden unmittelbar angezeigt – inklusive aller für die Auswertung notwendigen Daten. Unbekannte Aktivitäten können so umgehend bewertet und als ‚gefährlich‘ blockiert oder als ‚unbedenklich‘ freigegeben werden. Die Sicherheitslösung blockiert dabei nicht automatisch alle unbekannten Vorgänge, sondern überlässt dem Betreiber die Entscheidung und Netzwerkhoheit. So lassen sich Ausfallzeiten drastisch reduzieren und in vielen Fällen ganz vermeiden. Überwacht werden MAC- und IP-Adressen, das Anwendungsprotokoll (zum Beispiel Profinet, Ethercat, Modbus, S7, aber auch SNMP oder NTP sowie etwa 50 weitere industriespezifische und Standardprotokolle), der Nachrichtentyp (Synchronisation, Authentisierung, Datenübertragung, Fehlermeldungen und so weiter) und die daraus resultierenden Kombinationen.

Zwei Komponenten

Industrial Protector besteht aus zwei Komponenten: Einem zentralen Server und optional mehreren Sensoreinheiten, die zum Beispiel im Schaltschrank an der Hutschiene montiert werden können und dort mittels Netzwerk-Tap oder Spiegelport vollkommen passiv Daten abgreifen. Installationsaufwand und Wartung sind minimal. Die Anlernphase dauert oft nur wenige Minuten bis Stunden, die Konfiguration ist automatisiert und im Normalbetrieb ist nicht mit Fehlalarmen zu rechnen. Installationen von Industrial Protector im Umfeld der deutschen Automobilindustrie konnten ohne Produktionsunterbrechnung umgesetzt werden. Erste Ergebnisse zeigen ein reibungsloses und effizientes Kommunikationstracking.

Die Anforderungen steigen

Betreiber kritischer Infrastruktur wie Energieversorger oder Wasser- und Abwasserbetriebe werden durch das neue IT-Sicherheitsgesetz angehalten, sich angemessen nach aktuellem Stand der Technik vor Angriffen zu schützen und darüber hinaus erhebliche IT-Sicherheitsvorfälle zu melden. Aber auch in produzierenden Betrieben ist damit zu rechnen, dass entsprechende Anforderungen steigen, sei es durch konzerninterne Richtlinien oder Auflagen von Versicherern. Hier können Deep-Packet-Inspection-Technologien wie Rhebo Industrial Protector sinnvolle Dienste leisten, denn sie machen Sicherheitsvorfälle unmittelbar sichtbar und liefern die zur forensischen Analyse eines Angriffs oder einer Störung notwendigen Daten im PCAP-Format gleich mit.

Das könnte Sie auch interessieren:

Bestandsanlagen anbinden
Aus alt mach neu

Um Produktionsdaten per Manufacturing Execution System auswerten zu können, müssen die Daten aus der Maschine in das System gelangen - bei alten Maschinen ein Problem. Doch können Fertiger nicht einfach so in einen neuen Maschinenpark investieren. Der Retrofit-Ansatz kann dabei helfen, auch ältere Maschinen Industrie 4.0-Ready zu machen.‣ weiterlesen

Industrielle Bildverarbeitung
Turboaggregate in Highspeed geprüft

Auf Basis einer PC-basierten Automatisierungsplattform hat Cretec bei einem deutschen Automobilzulieferer die Taktraten bei Prüfungen von Turboaggregaten deutlich gesenkt. Inklusive vollständiger Rückverfolgbarkeit der Produkte.‣ weiterlesen

Einführung von Industrial IoT-Umgebungen
Dreisprung zu optimierten Produktionsprozessen

Wollen Fertigungsunternehmen die Vorteile einer vernetzten Produktion erschließen, kommen sie an der Einführung eines firmenweiten IIoT-Netzwerks kaum vorbei. Der Weg bis zum Betrieb einer solchen zentralen Steuerungsinstanz lässt sich in drei Schritte gliedern.‣ weiterlesen

Wertstromanalyse bei KSP

Unternehmensprozesse können nicht in einem Schritt digitalisiert werden. Es kommt auf die Priorisierung an. Beim Pumpenhersteller KSB halfen dabei eine Wertstromanalyse sowie agiles Projektmanagement.‣ weiterlesen

Studie von Reichelt Elektronik
Was Unternehmen beim KI-Einsatz heute anders machen würden

Nahezu die Hälfte der für eine Reichelt Elektronik-Studie befragten Unternehmen würde Implementierung von künstlicher Intelligenz nach heutigem Stand anders angehen. Beispielsweise würden sie Mitarbeiter stärker einbeziehen.‣ weiterlesen

Auftragseingang im Maschinen- und Anlagenbau
Bestellungen legen im Oktober zu

Die Auftragseingänge der deutschen Maschinen- und Anlagenbauer sind im Oktober zweistellig gewachsen. Die Wachstumsraten fallen jedoch geringer aus als im Sommer dieses Jahres.‣ weiterlesen

150 Lösungen im Marktspiegel untersucht
Mit MES-Software Zielgrößen erreichen

Viele MES-Anwendungen unterscheiden sich in ihren Leitideen, Anforderungsschwerpunkten und Steuerungsansätzen deutlich voneinander. Zusammen mit ihren Branchen- und Funktionsschwerpunkten lassen sich die Angebote am Markt schwer vergleichen. Der neue MES-Marktspiegel hilft dabei, indem er unternehmerische Zielgrößen mit MES-Funktionalitäten korreliert und marktverfügbare Lösungen auf ihre Abdeckung untersucht.‣ weiterlesen

Planungstools für die Produktion
Lernen, besser zu planen

Lieferketten waren in der letzten Zeit von gleich mehreren unvorhersehbaren Ereignissen mit solcher Tragweite betroffen, dass vielerorts die Produktionsplanung darunter leidet oder die Fertigung sogar zum Stillstand kommt. Solche Ereignisse können Algorithmen zwar nicht vorhersagen, wohl aber wie Firmen bestmöglich darauf reagieren können.‣ weiterlesen

Forschungsprojekt SDM4FZI
Softwarebasis für flexiblere Automobilfertigung

Um Produktionssysteme in der Automobilindustrie schneller, flexibler und effizienter zu gestalten soll im Forschungsprojekt ’Software-Defined Manufacturing für die Fahrzeug- und Zulieferindustrie (SDM4FZI)‘ eine neue technologische Grundlage entwickelt werden.‣ weiterlesen

Ifo-Schätzung
Wieder mehr Kurzarbeit im November

Erstmals seit Februar ist die Zahl der Kurzarbeitenden in Deutschland wieder gestiegen. Wie das Ifo Institut mitteilt, waren im November 10.000 Beschäftigte mehr in Kurzarbeit als noch im Oktober.‣ weiterlesen

Edge Computing für Analytics, KI und Co.
Architekturen zur IT- und OT-Integration

Geht es um Datenspeicher und ihre Verarbeitungsoptionen, gibt es zahlreiche Plattformen: Edge-, On-Premise- oder Cloudbasierte Server sollen den unterschiedlichen Anforderungen gerecht werden. Doch was erfüllen diese Ansätze im Fabrikumfeld besonders gut, und wie setzen Firmen diese um?‣ weiterlesen