Anzeige
Anzeige
Anzeige
Beitrag drucken

IT-Sicherheit

Drei-Stufen-Modell gegen Feinde im eigenen Netz

Die umfassende Vernetzung heutiger Industrieumgebungen eröffnet Cyberkriminellen neue Möglichkeiten. Einmal in das Unternehmensnetzwerk eingedrungen, kann ein Angreifer zumindest theoretisch viele integrierte Systeme sabotieren. Umso wichtiger sind deshalb IT-Security-Lösungen, die auf alle Bedrohungsszenarien optimal reagieren können.

Ausgehend von einer detaillierten Status- und Bedarfsanalyse sollten Anwender ein dreistufiges IT-Sicherheitssystem mit Low-, Medium- und High-Security-Ebene errichten.

Bild: Euromicron Deutschland GmbH

Der Weg zu Industrie 4.0 stellt Unternehmen auch im Sicherheitsbereich vor völlig neue Herausforderungen. Kernpunkt ist dabei nicht so sehr die Physical Security, die auch schon vor der Digitalisierung einen hohen Stellenwert besaß. Vielmehr hat mit der betriebsweiten, oft auch standortübergreifenden Vernetzung von Maschinen, Gebäuden und Prozessen das Thema IT-Sicherheit enorm an Bedeutung gewonnen – eröffnen solche Umgebungen doch der Cyberkriminalität völlig neue Möglichkeiten. Repräsentierten Industrieanlagen und ihre Steuerungssysteme in der Vergangenheit meist einen abgeschlossenen Bereich, sind sie heute oft in lokale Firmennetzwerke integriert und mit dem Internet verbunden. Wo aber alles mit allem verknüpft ist, reicht zumindest theoretisch eine kleine Sicherheitslücke, um das große Ganze ins Visier nehmen zu können. Einmal in das Unternehmensnetzwerk eingedrungen, hat ein Angreifer potenziell auf eine Vielzahl integrierter Systeme Zugriff und könnte elementare Bereiche eines Betriebes lahmlegen – von Bürorechnern und Buchhaltungsprogrammen über Heizung und Beleuchtung bis hin zu zentralen Maschinen- und Anlagensteuerungen. Selbst ins Netzwerk integrierte Systeme Physikalischer Sicherheit wie Videoüberwachung, Brandschutz oder Zutrittskontrolle lassen sich durch Cyberattacken möglicherweise außer Gefecht setzen. Aus diesem Grunde entfalten Industrie 4.0-Lösungen ihren Nutzen nur dann, wenn das Thema IT-Sicherheit nicht vernachlässigt wird. Doch welche Sicherheitsmaßnahmen sollten Unternehmen ergreifen, um ihre Anlagen bestmöglich vor Cyberangriffen zu schützen?

Netzwerkschutz durch modernisierte IT-Sicherheitslösung

Im Zentrum einer funktionsfähigen Industrie 4.0-Sicherheitsarchitektur sollte auf jeden Fall die Absicherung der grundlegenden IT-Infrastruktur stehen. Geschützt werden müssen all jene Netzwerke und Systeme, die direkt oder indirekt mit dem Internet verbunden sind. Die individuelle Absicherung von Geräten und Maschinen, die in diese Netzwerke und Systeme integriert sind, ist hingegen nur in Einzelfällen notwendig und kann auf hochgradig kritische Anlagenbereiche beschränkt bleiben. Verabschieden müssen sich Anwender allerdings von der Vorstellung, dass ihre neu geschaffenen Industrie 4.0-Konstrukte mit bestehenden IT-Sicherheitslösungen wirksam geschützt werden könnten. Denn diese Lösungen wurden fast immer für den Schutz von Office-Umgebungen konzipiert und sind nur in Ausnahmefällen geeignet, auch Industrienetzwerke mit ihren speziellen Strukturen und Protokollen abzusichern. Eine grundlegende Modernisierung des IT-Sicherheitssystems ist deshalb in den meisten Fällen unumgänglich. Erster Schritt sollte dabei eine detaillierte Status- und Bedarfsanalyse sein: Wie ist das Industrie 4.0-Netzwerk aufgebaut und welche Maschinen, Geräte und Steuerungssysteme sind dort integriert? Welche Protokolle kommen zum Einsatz? Gibt es Anlagen älteren Datums, bei denen keine neuen Sicherheitsupdates mehr möglich sind und die deshalb besonderer Schutzmaßnahmen bedürfen? Auf welche Systeme oder Maschinen darf aus der Ferne zugegriffen werden, beispielweise von einem Lieferanten? In welchen Unternehmensbereichen führt aus organisatorischen Gründen kein Weg an einer engen Vernetzung vorbei, wo könnten Vernetzungen zu einem ernsthaften Sicherheitsrisiko werden? Wenn diese und ähnliche Fragen ausführlich beantwortet sind, lassen sich dann im nächsten Schritt lokale Schutzzonen (zum Beispiel eine Maschinengruppe) definieren und die Erfordernisse und der Ausstattungsbedarf jeder einzelnen Zone festlegen.

Dreistufiges Sicherheitssystem

Basierend auf diesen Analysen und Zonendefinitionen sollten produzierende Unternehmen schließlich ein dreistufiges Sicherheitssystem mit Low-, Medium- und High-Security-Ebene errichten. Erste Stufe ist der sogenannte Grundschutz (Low), der unter anderem Next Generation Firewall (NGF), permanent aktualisierte Antivirensoftware sowie Mail-Security-Lösungen umfassen kann. Eine Netzwerksegmentierung samt Erteilung abgestufter Zugriffsrechte ist der Schlüssel zur Realisierung der Schutzzonen. Das Firmennetz wird in Teilnetze gegliedert, zu denen nur ausgewählte Nutzer Zugang haben. Dadurch wird festgelegt, wer Geräte und Maschinen steuern, in die Gebäudeleittechnik eingreifen oder die Daten der Finanzabteilung einsehen darf. Wer Zugang zu bestimmten Bereichen wünscht, muss sich dann über Eingabe von Benutzernamen und Passwort als Inhaber entsprechender Rechte authentifizieren. Für höhere Sicherheit bei Fernwartungen kann ergänzend dazu eine via NGF abgeschirmte demilitarisierte Zone (DMZ) zwischen Internet und Firmennetzwerk errichtet werden, in der ein Fernwartungsserver installiert wird. Der Wartungsdienstleister erhält dann lediglich Zugriffsrechte für den Fernwartungsserver in der DMZ, während ihm der Zugang zum Wartungsobjekt aktiv gestattet werden muss. Doch es sind nicht nur solche Segmentierungs- und Authentifizierungsfunktionen, die eine NGF unverzichtbar machen. Mindestens ebenso wichtig ist die sogenannte Deep-Packet-Inspection des Application Layers (Layer 7), bei der die NGF im Gegensatz zu älteren Stateful Inspection Firewalls nicht nur Netzwerk-Ports und IP-Adressen der Daten-Absender und -Empfänger, sondern die kompletten Datenpakete untersucht. Dadurch kann auch Schadsoftware identifiziert und gestoppt werden, die in einem IP-Paket enthalten ist. Ein recht hohes Sicherheitsniveau wird bereits mit Realisierung der zweiten Stufe (Medium) des anvisierten Industrie 4.0-Sicherheitssystems erreicht. Die VPN Client Security etwa sorgt für die Verschlüsselung getunnelt übertragener Daten, Next Generation Intrusion Prevention Solutions detektieren und eliminieren eine Vielzahl von Schadprogrammen. Gemeinsam mit den Security-Systemen der Grundschutzebene lassen sich so alle bekannten Bedrohungen zuverlässig abwehren.

Schutz vor dem Unbekannten

Doch selbst dieses hohe Schutzniveau reicht inzwischen nicht mehr aus, da die Bedrohungen immer unkalkulierbarer werden. Unter Cyberkriminellen werden heute auf den Marktplätzen des Darknets äußerst effektive Angriffswerkzeuge gehandelt, die mit unkonventionellen Angriffsmustern arbeiten und durch standardisierte Tools nicht mehr erfasst werden können. Nicht zufällig wurden Schadcodes wie Petya, WannaCry oder Mirai weder durch Antivirenprogramme noch durch Intrusion Prevention Solutions gestoppt. Auf das Erkennen bekannter Angriffsmuster ausgelegt, konnten diese Schutztechnologien die neuen Schadprogramme nicht als solche identifizieren. Den Urhebern von Petya gelang es so beispielsweise, die Strahlenmessung im havarierten AKW von Tschernobyl zu sabotieren – eine Tatsache, die nicht nur den Grad der Bedrohung, sondern auch die Skrupellosigkeit der Cyberkriminellen unterstreicht. Um auch gegen Attacken dieser Qualität bestmöglich gewappnet zu sein, müssen Industrie 4.0-Anwender das oberste Schutzniveau (High) anstreben und eine ausgefeilte Forensik mit permanenten Datenverkehrsanalysen realisieren. Die Firmennetzwerke werden hierzu mit Sensoren ausgestattet, die den kompletten Netzwerkverkehr überwachen und selbst bei Datendurchsätzen von mehreren Gigabit pro Sekunde Verhaltensanomalien erkennen. Untersucht werden dabei nicht nur einzelne Datenpakete, sondern komplette Sessions, sodass auch verdächtige Ereignisse identifiziert werden, die sich mit den signatur- und paketbasierenden Analysen herkömmlicher Intrusion Prevention Solutions nicht erfassen lassen. Dadurch gelingt es in den allermeisten Fällen, Ransom- und Malware, Exploits, Zero Days und viele andere Schadcodes zu identifizieren und rechtzeitig unschädlich zu machen. Um Fehlalarme zu vermeiden, können außerdem an den Netzwerkendpunkten – also etwa an Maschinen- oder Geräteschnittstellen – Softwareagenten installiert werden, welche die Angriffswarnungen verifizieren und infizierte Endpunkte von Schadcodes bereinigen. Hier kommen beispielsweise Sandbox-Umgebungen zum Einsatz, die den verdächtigen Datensätzen eine reale Anwendungsumgebung vorspiegeln und so deren Verhalten überprüfen. Ergänzend besteht außerdem die Möglichkeit, sämtliche wichtigen Informationen zu Dateien, Prozessen, Registry, Netzwerk, DNS und URLs aufzuzeichnen, sodass sich alle Angriffsverläufe später genau rekonstruieren und Angreifer leichter identifizieren lassen.

Cyber Security - Horizontal vernetzte Arbeitsplatzumgebungen, hier in der Elektroindustrie, bieten kriminellen Hackern mehr Angriffsvektoren als isolierte Netze auf Werksebene.

Bild: Elabo GmbH

Gegen Haftungsansprüche gesichert

Unternehmen, die auch dieses oberste Schutzniveau verwirklichen und so ein vollwertiges dreistufiges IT-Sicherheitssystem aufbauen, haben alles getan, was nach heutigem Stand in puncto IT-Security möglich ist. Sie erfüllen damit die gesetzliche Vorschrift, ihre IT-Sicherheitssysteme auf dem neuesten Stand der Technik zu halten und sind so im Schadensfall vor Haftungsansprüchen sicher. Da moderne Sicherheitssoftwarelösungen fast die gesamte Netzwerkkontrolle und Netzwerkbereinigung automatisch ablaufen lassen, kann dieses Maß an Sicherheit mit vergleichsweise überschaubarem Aufwand erreicht werden. Nicht versäumt werden sollte allerdings, die IT-Schutzmaßnahmen durch rechtlich wasserdichte Betriebsvereinbarungen zu flankieren, da detaillierte Traffic-Analysen tief in die Netzwerke eingreifen und auch die datenschutzbewehrte Mitarbeiterkommunikation betreffen. Wer sich hier rechtzeitig absichert und alle verfügbaren Tools auf die eigene Prozessumgebung abstimmt, hat aber auf jeden Fall hervorragende Grundlagen für einen möglichst sorgenfreien Einsatz seiner Smart-Industry-Lösungen geschaffen.


Michael Babylon (links) ist Director Key Account IT Security Lösungen bei der Euromicron Deutschland GmbH und Timo Bednarek (rechts) ist Geschäftsbereichsleiter Arbeitsplatzlösungen bei der Elabo GmbH.
google plus


Das könnte Sie auch interessieren:

Der standortübergreifende Austausch von Projekten leidet, Produktdaten können nicht automatisiert in die Tools geladen und damit nutzbar gemacht werden. Der offene Standard eCl@ss Advanced ist ein Schlüssel, um der Kommunikation von Systemen verschiedener Hersteller Tür und Tor zu öffnen.‣ weiterlesen

Mit der Deutschen Beteiligungsgesellschaft DPE hat sich die BE-terna-Gruppe einen Partner für die weitere Expansion des Unternehmens an Bord geholt. Die Beteiligungsgesellschaft hat die Mehrheit der Gesellschaftsanteile der IT-Gruppe übernommen.‣ weiterlesen

Der Code of PLM Openness (CPO) von 2011 ist ein Leuchtturmprojekt mit internationaler Strahlkraft. Sieben Jahre nach Einführung der Initiative bilanziert ein Softwareanbieter, der von Anfang an den CPO mitgestaltet hat, dass die Architekturmodelle der 2000er-Jahre immer häufiger an ihre Grenzen stoßen.‣ weiterlesen

Das Systemhaus Bressner Technology gehört ab sofort zum US-Unternehmen One Stop Systems. Trotz der Übernahme soll Bressner weiterhin als eigenständiges Unternehmen agieren.‣ weiterlesen

Anzeige
Anzeige
Anzeige