Anzeige
Anzeige
Beitrag drucken

Stufensystem für die Sicherheit

Seit dem Auftreten von Stuxnet häufen sich Mitteilungen zur Anfälligkeit von Automatisierungssystemen für derartige Angriffe. Doch eine Absicherung der Automationsebene alleine genügt nicht – in der Regel sind zusätzliche Maßnahmen erforderlich, um bestimmte Angriffe abzuwehren. Inzwischen stehen bewährte und wirksame Konzepte bereit, um einen entsprechend sicheren Betrieb von Industrieanlagen zu unterstützen.

Bild: Siemens

Die öffentliche Diskussion differenziert meist nicht ausreichend zwischen dem notwendigen Beheben von Produktschwachstellen auf der einen und der Einrichtung von Schutzmaßnahmen gegen Schadsoftware auf der anderen Seite. Auf Seiten der Automationshersteller werden seit Jahren Schwachstellentests für seine Standardprodukte durchgeführt und Geräte entsprechend optimiert – dies bezeichnet man als Härten. Jedoch kann diese Absicherung allein keinen umfassenden Schutz vor Cyberangriffen gewährleisten. Hierfür sind in der Regel zusätzliche Maßnahmen wie sichere Authentifizierung, Zugangskontrolle oder Verschlüsselung erforderlich.

Diese Kombination aus passiver Sicherheit und aktiven Maßnahmen ist in der IT schon Usus: So werden regelmäßig durch Windows-Patches Schwachstellen bereinigt, für einen umfassenden Schutz gegen Viren oder unberechtigte kommen zusätzliche Schutzmaßnahmen zum Einsatz, etwa Virenscanner und Firewalls. Beim Design heutiger Automatisierungsprodukte und -protokolle standen bisher Performance und Funktionalität im Vordergrund. Security-Aspekte wurden kaum berücksichtigt, da entsprechende Anforderungen in der Industrie erst in den letzten Jahren zunehmen.

Daher verfügen die meisten Automatisierungssysteme und -protokolle nur über begrenzte Sicherheitsfunktionalitäten. Um ein gutes Schutzniveau zu erreichen, ist ein umfassendes Security-Konzept aber unabdingbar, das unterschiedlichen Bedrohungen auf unterschiedliche Weise und auf verschiedenen Ebenen begegnet. Es bedarf also einer mehrschichtige Strategie oder ‚Defence in Depth‘, die mehrere Hürden für potenzielle Angreifer aufbaut. Dazu gehören physikalische Security-Maßnahmen, IT-Sicherheit und Netzwerkzugangsschutz sowie Zugriffskontrolle und Applikationssicherheit auf allen Endgeräten.

Zellenschutz als Königsweg

Der physikalische Zugangsschutz und die Einrichtung entsprechender Security-Prozesse und -Richtlinien liegt in der Verantwortung der Betreiber. Herstellerfirmen können jedoch im Bereich der Netzwerk- und Endgeräte-Security unterstützen, indem sie geeignete Produkte zur Verfügung stellen. Im Bereich der industriellen Netzwerksicherheit hat sich das Zellenschutzkonzept bewährt. Dabei werden Teile eines Netzwerkes von einer verteilten Security-Anwendung geschützt und dadurch das Netz bei Einsatz mehrerer Module sicherheitstechnisch segmentiert. Somit sind Geräte im geschützten Netzsegment, der ‚Zelle‘, vor unbefugten Zugriffen sicher. Auch die Kommunikation zwischen den Zellen ist geschützt. Scalance S von Siemens ist solch eine Security Appliance, die Zugriffe mittels Firewall-Mechanismen kontrollieren sowie den Datenverkehr mittels Virtual Private Network (VPN) verschlüsseln kann.

Ein geschütztes Netzsegment bietet auch den Vorteil, dass Echtzeitkommunikation innerhalb des Sicherheitsbereichs unbeeinflusst von rechenintensiven Sicherheitsanwendungen stattfindet und dennoch geschützt wird. Vergleichbares gilt auch für Safety-Applikationen wie Profisafe, die aber eine ausreichende Performance benötigen. Sonst kann die Anlage leicht in den funktional sicheren Zustand gezwungen werden kann, worunter die Verfügbarkeit leidet. Das Zellenschutzkonzept bietet den Ausweg aus dem Dilemma, einerseits genügend Leistung zur Verfügung haben zu müssen und andererseits ausreichenden Schutz zu gewährleisten.

Zukünftig wird Siemens sein Security-Produktportfolio erweitern und damit auch die Einsatzmöglichkeiten des Zellenschutzkonzeptes. Die Security-Funktionalitäten ‚Firewall‘ und ‚VPN‘ werden etwa in die Kommunikationsprozessoren (CP) der Steuerung Simatic S7 integriert. Damit können auch Endgeräte wie PC und andere Steuerungen geschützt werden. Zur Unterstützung der Anwender bietet das Unternehmen außerdem auch Security-Dienstleistungen an, die je nach Bedarf Schwachstellenanalyse, Erstellung, Implementierung und Überprüfung von Schutzkonzepten umfassen können. Werden solche Security-Maßnahmen und -Konzepte konsequent umgesetzt, lassen sich Automatisierungsanlagen auch heute mit einem vernünftigen Grad an Sicherheit betreiben.


Das könnte Sie auch interessieren:

Die Konsolidierung großer Datenmengen, um damit KI-Anwendungen für Produktionsprozesse zu entwickeln, fällt vielen Unternehmen noch schwer. Im Projekt ExDRa sollen Lösungen entstehen, die diesen Prozess spürbar vereinfachen. Dieser Text ist der Auftakt zu einer Artikelreihe zu den produktionsbezogenen Initiativen des vom BMWi geförderten Technologieprogramms Smarte Datenwirtschaft.‣ weiterlesen

Rockwell Automation hat einen neuen CTO. Zum 1 Juli hat Cyril Perducat das Amt des Chief Technology Officers übernommen.‣ weiterlesen

Um schon vor der Lieferung einer Werkzeugmaschine Einblicke in ihre Leistungsfähigkeit zu ermöglichen, arbeitet die Schweizer Starrag-Gruppe mit der NC-Simulationslösung Vericut. Anhand der ermittelten Daten lassen sich die für später angedachten NC-Programme feinjustieren, noch bevor die Maschine ihr Werk verlässt.‣ weiterlesen

Viele Firmen befassen sich gerade mit der Neuausrichtung Ihrer Lieferketten. Dabei bietet das europäische Estland auf einer Fläche so groß wie Niedersachsen beispielhafte Digitalisierungs- und Fertigungsexpertise. Zusammen mit dem vergleichsweise einfachen Marktzugang, der räumlichen Nähe und dem Rahmen der EU-Gesetzgebung dürfte das kleine Land ein zunehmend wichtiger Partner der hiesigen Industrie bei ihrer digitalen Transformation werden.‣ weiterlesen

Änderungen in Personalzeitwirtschaft und Entgeltabrechnung gehören im HR-Management zu den oft ungeliebten, aber dennoch regelmäßig anstehenden Aufgaben. Jede Änderung in den Betriebsvereinbarungen, Gesetzesnovellen oder tarifliche Neuregelungen verlangen die Überarbeitung von Schemen und Regeln in den Personalabteilungen. Und auch Adhoc-Änderungen müssen unmittelbar umgesetzt werden.‣ weiterlesen

ERP-Branchenlösungen sollen Standardgeschäftsprozesse und Spezialfunktionen unter einen Hut bringen. Innovachem für mittelständische Chemieunternehmen verbindet den Systemkern aus Basis von SAP S4/Hana etwa mit Modulen zur Rezepturentwicklung und Compliance-Prüfung. Das erspart so manche Programmierarbeit und Schnittstellenpflege.‣ weiterlesen

Aras Software hat einen neuen Geschäftsführer. Peter Schoppe hat mit Wirkung zum 1. Juli die Leitung des Plattformanbieters übernommen.‣ weiterlesen

Er ist schnell, leicht und verbraucht wenig Treibstoff: Der Hochgeschwindigkeits-Helikopter Racer kann Fluggeschwindigkeiten von bis zu 400km/h erreichen. Die Schalenbauteile seiner Außenhaut werden mit einem neuartigen Fertigungsverfahren hochautomatisiert hergestellt. Ein Forscherteam des Fraunhofer IGCV hat die Methode gemeinsam mit Airbus Helicopters entwickelt.‣ weiterlesen

Dualis hat den neuen Hauptsitz des Unternehmens in Dresden bezogen. Der reguläre Arbeitsbetrieb begann am 19. Juli.‣ weiterlesen

Kawasaki Gas Turbine Europe plant, produziert, installiert und wartet Gasturbinen. In Bad Homburg befindet sich das europäische Zentrallager des Tochterunternehmens von Kawasaki Heavy Industries. Um dort fehleranfällige Prozesse abzulösen, hat das Unternehmen eine Lagerwirtschaftslösung eingeführt, die alle Transportbewegungen dokumentiert.‣ weiterlesen

Störungen in der Lieferkette können schnell zu Problemen führen. Jaggaer hat vier Tipps zusammengestellt, wie Unternehmen Schwachstellen in der eigenen Lieferkette identifizieren können.‣ weiterlesen

Anzeige
Anzeige
Anzeige