- IT&Production - https://www.it-production.com -

Was Unternehmen heute schon tun können

Sicherheit im 'Internet of Things'

Was Unternehmen heute schon tun können

Derzeit dreht sich vieles um das Schlagwort 'Industrie 4.0'. Doch bei der Diskussion um die Zukunft vergessen viele die Absicherung der aktuell eingesetzten Systeme. Diese werden heute schon erfolgreich angegriffen und bilden gleichwohl die Basis für viele künftige Produktions-Umgebungen. Daher sollten Unternehmen sowohl taktische als auch strategische Security-Maßnahmen ergreifen, um sich zu schützen.

Bild: Computacenta

Trotz oder gerade wegen des aktuellen Hypes macht die deutsche Wirtschaft beim Thema Industrie 4.0 kaum noch mit. Dies zeigt eine aktuelle Umfrage von Eco, dem Verband der deutschen Internetwirtschaft. Demnach glauben 85 Prozent der Befragten, dass die meisten Firmen hierzulande keine klare Vorstellung haben, was Industrie 4.0 ist und wie sie aussehen wird. 94 Prozent halten die deutsche Wirtschaft für überfordert, die Vernetzung von Hardware, Software und Telekommunikation durchzuführen. Und ebenso viele fordern einheitliche Branchenstandards. Gleichwohl werden auch ohne Industrie 4.0 die Produktionsprozesse zunehmend sowohl untereinander als auch mit der Office-IT vernetzt. Die Produktionssysteme müssen demnach auch heute schon geschützt werden. Dabei sollten Unternehmen auch in die Zukunft blicken und die Security-Weichen gleich richtig stellen.

Taktik und Strategie

Auf der taktischen Seite lassen sich heute ‚Application Whitelisting‘, ‚Netzwerksegmentierung und Filterung‘ sowie ’sichere Fernwartung‘ umsetzen. Flankiert werden sollte dies mit den strategischen Maßnahmen ‚Security Governance‘, ‚Logging und Monitoring‘ sowie ‚Cyber Defense für die Produktion‘. Im Vergleich zu herkömmlichen Antiviren-Lösungen dreht Whitelisting das Sicherheitsprinzip um: Es ist nicht mehr alles erlaubt, was nicht verboten wird, sondern es ist alles verboten, was nicht ausdrücklich erlaubt wird. Dazu dient eine Software auf dem Endgerät, welche die laufenden Produktionsvorgänge freigibt. Die Konfiguration erfordert einen gewissen initialen Aufwand, doch anschließend läuft das Sicherheitssystem so lange wie sich an den Produktionsprozessen nichts ändert, also in der Regel mehrere Jahre.

Für die Sicherheit eines Produktionsnetzes bietet sich dessen interne Segmentierung in verschiedene Zonen an, um die Auswirkungen eines Vorfalls zu begrenzen. Die Segmentierung wird mit Firewalls und Intrusion Prevention-Systemen realisiert, die an die speziellen Anforderungen der Produktionsumgebung angepasst sind. Dazu zählen physische Eigenschaften wie Robustheit, 5-Volt-Anschluss und Hutschiene sowie funktionale Eigenschaften, wie etwa die Unterstützung spezifischer Protokolle oder ‚fail-open‘-Optionen. Zudem ist das Produktionsnetz von der Office-Umgebung zu trennen. Denn so wie Schadprogramme und Angreifer aus dem Internet in die Office-IT geraten können, breiten sie sich möglicherweise von dort in die Produktion aus. Um dies zu verhindern, können ähnlich moderne und komplexe Security-Infrastrukturen zwischen Office- und Produktions-IT aufgebaut werden, wie zwischen Internet und Unternehmensnetzwerk.

Fernwartung absichern

Eine aktuelle Herausforderung der Produktions-IT stellt auch die Absicherung der Fernwartung für die Automations- und Anlagenhersteller dar. Der Internet-basierte VPN-Zugang ist mittlerweile etabliert, jedoch existiert eine Vielzahl konkurrierender Umsetzungen. Für Betreiber, die Anlagen verschiedener Hersteller verantworten, stellt sich die Frage nach einer Fernwartungsplattform, die dem Wildwuchs der anlagenspezifischen Lösungen Einhalt gebietet und mindestens folgende Security-Anforderungen erfüllt:

Maßnahmen für fünf Jahre

Die beschriebenen taktischen Maßnahmen in der Produktions-IT sollten den zeitlichen Horizont für die nächsten fünf Jahre abdecken. Danach könnte die Vision einer Industrie 4.0 schrittweise produktive Realität werden. Schon heute ist absehbar, welche Sicherheits-Themen und Technologien relevant werden könnten. Ihre Einführung lässt sich schon jetzt planen und teilweise testen, auch wenn viele Details noch unklar sind. Während Produktionsprozesse heute mehrere Jahre lang weitgehend unverändert laufen, werden sie sich in Zukunft durch selbstregelnde Systeme ständig ändern. Agilität wird dann zum Normalfall, ebenso die systematische Vernetzung mit IPv6 sowie der Einsatz von Cyber-Physischen Systemen zur Unterstützung der Produktion. Daraus lassen sich einige strategische Security-Maßnahmen ableiten, die auch heute schon wirksam sind.

Die Einführung eines ISO 27001-basierten Information Security Management-Systems mit Risk- und Compliance-Management für die Produk-tions-IT scheint zwingend notwendig, um die regulatorischen Security-Anforderungen an die Produktion umzusetzen. Schon heute wirken Vorschriften in bestimmten Branchen in die Produktions-IT hinein. Je stärker sich die Produktion in Richtung Industrie 4.0 entwickelt, umso umfangreicher werden die Compliance-Anforderungen. Die Methoden und Themen der Security Governance in der Produktion werden dabei weitgehend deckungsgleich mit denen der Office-IT sein. Deutliche Unterschiede wird es jedoch in der konkreten Ausgestaltung geben. So kann etwa die Passwort-Richtlinie aus der Office-IT in der Produktions-IT in der Regel nicht umgesetzt werden, ohne die Produktion zu sabotieren.

Nachvollziehbarkeit sichern

Eine technologische Maßnahme, die in vielen Regularien wiederzufinden ist, betrifft das Logging zur Sicherstellung der Nachvollziehbarkeit. Diese kann sich etwa auf System- oder Applikationszugriffe oder auf Qualitätsprozesse beziehen. Mit der zunehmenden regulatorischen Kontrolle steigen auch die Anforderungen an das Logging in der Produk-tions-IT. Weiterhin stellen Logging und Monitoring zwei zentrale Kernfunktionen der Detektion von Angriffen dar. Je vernetzter und agiler die Produktion wird, umso verletzlicher und interessanter als Ziel wird sie. Technologien und Prozesse, die heute in den Office-Welten zur Detektion von und Reaktion auf Sicherheitsvorfälle implementiert werden, sind in Zukunft auch in die Produktions-IT einzuführen. Security Information and Event Management und Vulnerability Management bilden dazu die Grundlage und können in einen vollwertigen

Einzug in die Produktion

Mit Industrie 4.0 wird die agile Prozess-, Technologie- und Sicherheitslandschaft der Office-IT möglicherweise auch in die Produktion einziehen. Dass die Entwicklung etwa zehn bis 15 Jahre hinterherhinkt, kann vor diesem Hintergrund auch als Vorteil gesehen werden, da die Produktion von den umfangreichen Erfahrungen der Office-Welt profitieren und existierende Lösungen anpassen kann. Wer dies heute schon erledigt, ist in puncto Sicherheit gut auf Industrie 4.0 vorbereitet und kann die neuen Technologien dann in die bestehende Sicherheitsumgebung integrieren.