Anzeige
Anzeige
Anzeige
Beitrag drucken

IT-Sicherheit

Drei-Stufen-Modell gegen Feinde im eigenen Netz

Die umfassende Vernetzung heutiger Industrieumgebungen eröffnet Cyberkriminellen neue Möglichkeiten. Einmal in das Unternehmensnetzwerk eingedrungen, kann ein Angreifer zumindest theoretisch viele integrierte Systeme sabotieren. Umso wichtiger sind deshalb IT-Security-Lösungen, die auf alle Bedrohungsszenarien optimal reagieren können.

Ausgehend von einer detaillierten Status- und Bedarfsanalyse sollten Anwender ein dreistufiges IT-Sicherheitssystem mit Low-, Medium- und High-Security-Ebene errichten.

Bild: Euromicron Deutschland GmbH

Der Weg zu Industrie 4.0 stellt Unternehmen auch im Sicherheitsbereich vor völlig neue Herausforderungen. Kernpunkt ist dabei nicht so sehr die Physical Security, die auch schon vor der Digitalisierung einen hohen Stellenwert besaß. Vielmehr hat mit der betriebsweiten, oft auch standortübergreifenden Vernetzung von Maschinen, Gebäuden und Prozessen das Thema IT-Sicherheit enorm an Bedeutung gewonnen – eröffnen solche Umgebungen doch der Cyberkriminalität völlig neue Möglichkeiten. Repräsentierten Industrieanlagen und ihre Steuerungssysteme in der Vergangenheit meist einen abgeschlossenen Bereich, sind sie heute oft in lokale Firmennetzwerke integriert und mit dem Internet verbunden. Wo aber alles mit allem verknüpft ist, reicht zumindest theoretisch eine kleine Sicherheitslücke, um das große Ganze ins Visier nehmen zu können. Einmal in das Unternehmensnetzwerk eingedrungen, hat ein Angreifer potenziell auf eine Vielzahl integrierter Systeme Zugriff und könnte elementare Bereiche eines Betriebes lahmlegen – von Bürorechnern und Buchhaltungsprogrammen über Heizung und Beleuchtung bis hin zu zentralen Maschinen- und Anlagensteuerungen. Selbst ins Netzwerk integrierte Systeme Physikalischer Sicherheit wie Videoüberwachung, Brandschutz oder Zutrittskontrolle lassen sich durch Cyberattacken möglicherweise außer Gefecht setzen. Aus diesem Grunde entfalten Industrie 4.0-Lösungen ihren Nutzen nur dann, wenn das Thema IT-Sicherheit nicht vernachlässigt wird. Doch welche Sicherheitsmaßnahmen sollten Unternehmen ergreifen, um ihre Anlagen bestmöglich vor Cyberangriffen zu schützen?

Netzwerkschutz durch modernisierte IT-Sicherheitslösung

Im Zentrum einer funktionsfähigen Industrie 4.0-Sicherheitsarchitektur sollte auf jeden Fall die Absicherung der grundlegenden IT-Infrastruktur stehen. Geschützt werden müssen all jene Netzwerke und Systeme, die direkt oder indirekt mit dem Internet verbunden sind. Die individuelle Absicherung von Geräten und Maschinen, die in diese Netzwerke und Systeme integriert sind, ist hingegen nur in Einzelfällen notwendig und kann auf hochgradig kritische Anlagenbereiche beschränkt bleiben. Verabschieden müssen sich Anwender allerdings von der Vorstellung, dass ihre neu geschaffenen Industrie 4.0-Konstrukte mit bestehenden IT-Sicherheitslösungen wirksam geschützt werden könnten. Denn diese Lösungen wurden fast immer für den Schutz von Office-Umgebungen konzipiert und sind nur in Ausnahmefällen geeignet, auch Industrienetzwerke mit ihren speziellen Strukturen und Protokollen abzusichern. Eine grundlegende Modernisierung des IT-Sicherheitssystems ist deshalb in den meisten Fällen unumgänglich. Erster Schritt sollte dabei eine detaillierte Status- und Bedarfsanalyse sein: Wie ist das Industrie 4.0-Netzwerk aufgebaut und welche Maschinen, Geräte und Steuerungssysteme sind dort integriert? Welche Protokolle kommen zum Einsatz? Gibt es Anlagen älteren Datums, bei denen keine neuen Sicherheitsupdates mehr möglich sind und die deshalb besonderer Schutzmaßnahmen bedürfen? Auf welche Systeme oder Maschinen darf aus der Ferne zugegriffen werden, beispielweise von einem Lieferanten? In welchen Unternehmensbereichen führt aus organisatorischen Gründen kein Weg an einer engen Vernetzung vorbei, wo könnten Vernetzungen zu einem ernsthaften Sicherheitsrisiko werden? Wenn diese und ähnliche Fragen ausführlich beantwortet sind, lassen sich dann im nächsten Schritt lokale Schutzzonen (zum Beispiel eine Maschinengruppe) definieren und die Erfordernisse und der Ausstattungsbedarf jeder einzelnen Zone festlegen.

Dreistufiges Sicherheitssystem

Basierend auf diesen Analysen und Zonendefinitionen sollten produzierende Unternehmen schließlich ein dreistufiges Sicherheitssystem mit Low-, Medium- und High-Security-Ebene errichten. Erste Stufe ist der sogenannte Grundschutz (Low), der unter anderem Next Generation Firewall (NGF), permanent aktualisierte Antivirensoftware sowie Mail-Security-Lösungen umfassen kann. Eine Netzwerksegmentierung samt Erteilung abgestufter Zugriffsrechte ist der Schlüssel zur Realisierung der Schutzzonen. Das Firmennetz wird in Teilnetze gegliedert, zu denen nur ausgewählte Nutzer Zugang haben. Dadurch wird festgelegt, wer Geräte und Maschinen steuern, in die Gebäudeleittechnik eingreifen oder die Daten der Finanzabteilung einsehen darf. Wer Zugang zu bestimmten Bereichen wünscht, muss sich dann über Eingabe von Benutzernamen und Passwort als Inhaber entsprechender Rechte authentifizieren. Für höhere Sicherheit bei Fernwartungen kann ergänzend dazu eine via NGF abgeschirmte demilitarisierte Zone (DMZ) zwischen Internet und Firmennetzwerk errichtet werden, in der ein Fernwartungsserver installiert wird. Der Wartungsdienstleister erhält dann lediglich Zugriffsrechte für den Fernwartungsserver in der DMZ, während ihm der Zugang zum Wartungsobjekt aktiv gestattet werden muss. Doch es sind nicht nur solche Segmentierungs- und Authentifizierungsfunktionen, die eine NGF unverzichtbar machen. Mindestens ebenso wichtig ist die sogenannte Deep-Packet-Inspection des Application Layers (Layer 7), bei der die NGF im Gegensatz zu älteren Stateful Inspection Firewalls nicht nur Netzwerk-Ports und IP-Adressen der Daten-Absender und -Empfänger, sondern die kompletten Datenpakete untersucht. Dadurch kann auch Schadsoftware identifiziert und gestoppt werden, die in einem IP-Paket enthalten ist. Ein recht hohes Sicherheitsniveau wird bereits mit Realisierung der zweiten Stufe (Medium) des anvisierten Industrie 4.0-Sicherheitssystems erreicht. Die VPN Client Security etwa sorgt für die Verschlüsselung getunnelt übertragener Daten, Next Generation Intrusion Prevention Solutions detektieren und eliminieren eine Vielzahl von Schadprogrammen. Gemeinsam mit den Security-Systemen der Grundschutzebene lassen sich so alle bekannten Bedrohungen zuverlässig abwehren.

Schutz vor dem Unbekannten

Doch selbst dieses hohe Schutzniveau reicht inzwischen nicht mehr aus, da die Bedrohungen immer unkalkulierbarer werden. Unter Cyberkriminellen werden heute auf den Marktplätzen des Darknets äußerst effektive Angriffswerkzeuge gehandelt, die mit unkonventionellen Angriffsmustern arbeiten und durch standardisierte Tools nicht mehr erfasst werden können. Nicht zufällig wurden Schadcodes wie Petya, WannaCry oder Mirai weder durch Antivirenprogramme noch durch Intrusion Prevention Solutions gestoppt. Auf das Erkennen bekannter Angriffsmuster ausgelegt, konnten diese Schutztechnologien die neuen Schadprogramme nicht als solche identifizieren. Den Urhebern von Petya gelang es so beispielsweise, die Strahlenmessung im havarierten AKW von Tschernobyl zu sabotieren – eine Tatsache, die nicht nur den Grad der Bedrohung, sondern auch die Skrupellosigkeit der Cyberkriminellen unterstreicht. Um auch gegen Attacken dieser Qualität bestmöglich gewappnet zu sein, müssen Industrie 4.0-Anwender das oberste Schutzniveau (High) anstreben und eine ausgefeilte Forensik mit permanenten Datenverkehrsanalysen realisieren. Die Firmennetzwerke werden hierzu mit Sensoren ausgestattet, die den kompletten Netzwerkverkehr überwachen und selbst bei Datendurchsätzen von mehreren Gigabit pro Sekunde Verhaltensanomalien erkennen. Untersucht werden dabei nicht nur einzelne Datenpakete, sondern komplette Sessions, sodass auch verdächtige Ereignisse identifiziert werden, die sich mit den signatur- und paketbasierenden Analysen herkömmlicher Intrusion Prevention Solutions nicht erfassen lassen. Dadurch gelingt es in den allermeisten Fällen, Ransom- und Malware, Exploits, Zero Days und viele andere Schadcodes zu identifizieren und rechtzeitig unschädlich zu machen. Um Fehlalarme zu vermeiden, können außerdem an den Netzwerkendpunkten – also etwa an Maschinen- oder Geräteschnittstellen – Softwareagenten installiert werden, welche die Angriffswarnungen verifizieren und infizierte Endpunkte von Schadcodes bereinigen. Hier kommen beispielsweise Sandbox-Umgebungen zum Einsatz, die den verdächtigen Datensätzen eine reale Anwendungsumgebung vorspiegeln und so deren Verhalten überprüfen. Ergänzend besteht außerdem die Möglichkeit, sämtliche wichtigen Informationen zu Dateien, Prozessen, Registry, Netzwerk, DNS und URLs aufzuzeichnen, sodass sich alle Angriffsverläufe später genau rekonstruieren und Angreifer leichter identifizieren lassen.

Cyber Security - Horizontal vernetzte Arbeitsplatzumgebungen, hier in der Elektroindustrie, bieten kriminellen Hackern mehr Angriffsvektoren als isolierte Netze auf Werksebene.

Bild: Elabo GmbH

Gegen Haftungsansprüche gesichert

Unternehmen, die auch dieses oberste Schutzniveau verwirklichen und so ein vollwertiges dreistufiges IT-Sicherheitssystem aufbauen, haben alles getan, was nach heutigem Stand in puncto IT-Security möglich ist. Sie erfüllen damit die gesetzliche Vorschrift, ihre IT-Sicherheitssysteme auf dem neuesten Stand der Technik zu halten und sind so im Schadensfall vor Haftungsansprüchen sicher. Da moderne Sicherheitssoftwarelösungen fast die gesamte Netzwerkkontrolle und Netzwerkbereinigung automatisch ablaufen lassen, kann dieses Maß an Sicherheit mit vergleichsweise überschaubarem Aufwand erreicht werden. Nicht versäumt werden sollte allerdings, die IT-Schutzmaßnahmen durch rechtlich wasserdichte Betriebsvereinbarungen zu flankieren, da detaillierte Traffic-Analysen tief in die Netzwerke eingreifen und auch die datenschutzbewehrte Mitarbeiterkommunikation betreffen. Wer sich hier rechtzeitig absichert und alle verfügbaren Tools auf die eigene Prozessumgebung abstimmt, hat aber auf jeden Fall hervorragende Grundlagen für einen möglichst sorgenfreien Einsatz seiner Smart-Industry-Lösungen geschaffen.


Michael Babylon (links) ist Director Key Account IT Security Lösungen bei der Euromicron Deutschland GmbH und Timo Bednarek (rechts) ist Geschäftsbereichsleiter Arbeitsplatzlösungen bei der Elabo GmbH.


Das könnte Sie auch interessieren:

Die Nutzung von privaten 5G-Frequenzen kann beginnen. Wie das Bundesministerium für Wirtschaft und Energie (BMWi) mitteilt, können Unternehmen ab sofort Anträge stellen.‣ weiterlesen

Seit Anfang November ist Frank Steinhoff (Bild) neuer Geschäftsführer bei Softing Industrial Automation. Er ist am Hauptsitz des Unternehmens in Haar bei München tätig.‣ weiterlesen

Auf der SPS präsentiert Gossen Metrawatt neben Messtechnik zur Prüfung elektrischer Anlagen und Betriebsmittel seine Cloud-basierten Lösungen für ein integrales Prüfdatenmanagement.‣ weiterlesen

Nach dem Start der Frequenzvergabe für industrielle und landwirtschaftliche 5G-Netze äußern sich die vier Industrieverbände VCI, VDA, VDMA und ZVEI in einer gemeinsamen Pressemitteilung zu den Vergabebedingungen.‣ weiterlesen

Der Automatisierer ABB erweitert den Service ABB Ability Condition Monitoring für den Antriebsstrang, der Antriebe, Motoren, Pumpen und Lager miteinander verbindet, mit einer Option für die zustandsbasierte Instandhaltung von Antrieben.‣ weiterlesen

Die Pepperl+Fuchs-Marke Ecom bringt eine neue Version der eigensicheren 4G/LTE-Android-Smartphone-Serie Smart-Ex auf die kommende SPS (Halle 7A, Stand 330) mit. Mit 12,7cm-Display und einem überarbeiteten Zubehörkonzept ist das neu entwickelte Smart-Ex 02 explosionsgeschützte Smartphone für die Zone 1/21 und Div. 1 zertifiziert.‣ weiterlesen

Rittal wird auf der SPS zahlreiche Neuheiten vorstellen. Als Highlight hat das Unternehmen Oncite ausgerufen, ein echtzeitfähiges und datensouveränes KI-Edge-Rechenzentrum zur Verarbeitung von Produktionsdaten.‣ weiterlesen

Die Version 2.9 von Eplan Smart Wiring soll den Prozess der Verdrahtung für Anwender leichter und übersichtlicher gestalten. Architektur und Layout wurden dafür von Hersteller Eplan (Halle 6, Stand 120) überarbeitet. Der Verdrahtungsstatus von Projekten wird nun direkt angezeigt, inklusive Prüfmodus.‣ weiterlesen

Nach den Industrie-PCs S21WP und S19P hat Noax (Halle 7, Stand 400) seine Steel-Serie nun um ein Gerät im 15-Zoll-Format erweitert. Das Display mit PCAP-Touch-Technologie wird durch gehärtetes Sicherheitsglas geschützt, lässt sich aber sowohl mit Fingern als auch mit Handschuhen bedienen.‣ weiterlesen

MathWorks hat kürzlich Release 2019b mit neuen Funktionen in Matlab und Simulink vorgestellt. Dazu gehören unter anderem Funktionen für die künstliche Intelligenz, das Deep Learning und Erweiterungen für Firmen der Automobilindustrie.‣ weiterlesen

Aaronn Electronic ist dieses Jahr zum ersten Mal auf der Messe SPS in Nürnberg als Aussteller vertreten (Halle 8, Stand 426). Der Systemintegrator zeigt an seinem Stand zum einen neue Produkte seiner Technologiepartner Advantech und Kontron.‣ weiterlesen

Anzeige
Anzeige
Anzeige