Security-Konzepte

IT-Sicherheit fängt beim Design an

Die unternehmensinterne Vernetzung bis hinunter zu den Smartphones oder Überwachungskameras bringt auch Probleme mit sich, denn diese Assets müssen schließlich auch vor unerlaubtem Zugriff sicher sein. Anhand eines zweiteiligen Konzepts beschreibt Philippe Borloz, Vice President Sales EMEA bei Kudelski Security, wie mobile Geräte sicher miteinander kommunizieren können.

(Bild: ©tampatra/stock.adobe.com)

Der Schutz von Produktionsanlagen, Geräten und Fahrzeugen vor unerlaubtem Zugriff, Datendiebstahl und Schadsoftware ist eine Voraussetzung für den Fortbestand von Industrieunternehmen. Und dennoch fehlt es oft an Risikobewusstsein. Beispielsweise wollen immer mehr Betriebe ihre Maschinen vernetzen, um so die Fernwartung zu erleichtern, die Kosten zu senken und die Logistik zu optimieren – ohne das Risiko damit einhergehender Bedrohungen genau zu kennen. Einen Ausgangspunkt für Zugangskontrollen zu industriellen Assets und Daten bieten Industrieanlagen, die nach einem Security by Design‘-Ansatz konzipiert werden. Dabei ist die Entwicklung von Grund auf daraus ausgelegt, die bestmögliche Sicherheit zu bieten. Eine Reihe von Faktoren verhindert jedoch, dass die betrieblichen Schutzstandards flächendeckend dem State of the Art entsprechen. Ein Grund: Viele Akteure in der Industrie haben nur unzureichend Erfahrungen mit ‚Security by Design‘. Hinzu kommt, dass oftmals klare Zuständigkeiten innerhalb der Organisation fehlen. Ein weiterer Knackpunkt kann die unzureichende Zusammenarbeit zwischen den Verantwortlichen für IT und den Verantwortlichen für OT sein.

Grundlagen beachten

IoT- und IIoT-Sicherheit sollten in Betrieben denselben Stellenwert haben wie die IT-Sicherheit. Es muss klare Verantwortlichkeiten innerhalb und zwischen den Organisationen geben mit klar definierten Budgets, Regeln und Vorschriften. Eben dafür hat das US-amerikanische National Institute on Standards in Technology (NIST) ein Cyber Security Framework veröffentlicht, das einen Sicherheitsansatz aus fünf abstrakten Funktionen beschreibt. Unternehmen sollten dies als Grundlage für den Aufbau einer Sicherheitsstrategie betrachten, im Zuge derer Sicherheitsprozesse implementiert, präventive Technologien integriert, Bedrohungserkennung eingesetzt und eine angemessene Reaktion auf Bedrohungen oder Attacken ermöglicht werden. Eine solche Strategie lässt sich aber nur dann sinnvoll umsetzen, wenn auf Führungsebene ein Überblick sowohl über die IT- als auch die OT-Infrastruktur gegeben ist. Darüber hinaus sollten Unternehmen Cyberbedrohungen in ihre Risikoanalyse einbeziehen und mit ihren Lieferanten zusammenarbeiten, um eine resistente Lieferkette sicherzustellen.

Unterschiedliche Zielsetzungen

IT- und OT-Sicherheitskonzepte haben völlig unterschiedliche Zielsetzungen und lassen sich daher nicht auf herkömmliche Art und Weise kombinieren. Dennoch muss es das Ziel einer IIoT-Strategie sein, beide Infrastrukturen zu verbinden und Daten zwischen ihnen auszutauschen, um Geschäftsprozesse zu optimieren. Der Fokus beider Ansätze ist unterschiedlich, aber das Zusammenwirken ergibt ein kombiniertes IIoT-Sicherheitskonzept.

ANZEIGE

Die Transformation meistern

Unternehmen stehen unter erheblichem Transformationsdruck, um ihre Wettbewerbsfähigkeit zu sichern. Doch es benötigt erfahrene Experten für die Gestaltung dieser digitalen und organisatorischen Prozesse.‣ weiterlesen

Längere Übergangsstrategie

Sicherheitstechnik nachzurüsten ist zwar nicht unmöglich, aber oft als herausfordernd. In den meisten Fällen muss eine Übergangsstrategie entwickelt werden, die sich je nach Komplexität des Systems Monate oder Jahre erstreckt. Dieser Übergang erfordert möglicherweise auch ein Überdenken der Sicherheitsarchitektur des IIoT-Systems, um externe Bedrohungen infolge der Verbindung der Infrastruktur mit externen Netzwerken abzuschwächen. Der IEC62443 Zoning-Ansatz ist ein Ansatz für eine Sicherheitsarchitektur, die während einer Übergangsphase in Betracht gezogen werden kann. Dabei werden Netzwerke segmentiert und nur über dedizierte Firewalls verbunden. Für die Nachrüstung von Maschinen ist der einfachste Ansatz die Einführung von Edge-Gateways, die vor Industriemaschinen platziert werden und den Datenfluss zwischen der Maschine und dem Rest der Lösung verwalten. Diese Edge-Geräte müssen mit den Protokoll-Stacks ausgestattet sein, die die Kommunikation sowohl mit der Maschine als auch mit der IIoT-Lösung ermöglichen, und sie müssen in geeigneter Weise gesichert und verwaltet werden. Der nächste Schritt besteht darin, die Maschinen-Firmware, Protokolle und Prozesse auf sichere Weise zu aktualisieren – in aller Regel schrittweise.

Kein Zutritt

Beim Security-by-Design-Ansatz wird ein Produkt oder eine Lösung von Grund auf mit Fokus auf Sicherheit gestaltet. Für die Konzeption werden Prinzipien wie minimale Angriffsfläche, Least Privilege, Defense in Depth, Funktionstrennung und die komplette Bandbreite verfügbarer Aktualisierungsoptionen in den Entwurf einbezogen. Im Rahmen des IIoT bedeutet das, dass Fabriken mit einer IT/OT-Netzwerkarchitektur entworfen werden, die die Chancen eines Angriffs verringert, indem Angreifer vom Perimeter ferngehalten und Daten in einem End-to-End-Modus geschützt werden, sodass nur autorisierte Einheiten Zugriff auf diese Daten erhalten können. Dazu werden Authentifizierungs- und Autorisierungsprinzipien implementiert. Dies ermöglicht es den Unternehmen, Risiken zu reduzieren und effektiv zu managen sowie die Kosten für die Wartung deutlich zu senken. Die relativen Kosten für die Fehlerbehebung steigen im Laufe des Entwicklungslebenszyklus deutlich an. Das NIST hat herausgefunden, dass die Beseitigung von Defekten in der Produktion im Vergleich zur frühzeitigen Erkennung und Behebung 30-mal mehr kosten kann und im Falle von Sicherheitsdefekten bis zu 60-mal mehr.

Zweiteiliges Konzept

Einen Ansatz zur Absicherung der Datenkommunikation zwischen vernetzten Geräten sowie zwischen Geräten und Service-Plattformen unabhängig vom verwendeten Kommunikationsprotokoll bietet das folgende Konzept, das aus zwei teilen besteht: dem Root of Trust, der sich in den IIoT-Geräten befindet, und einem Key-Management-System, das das aktiv die Verwaltung und Sicherheit des Geräts über die Zeit gewährleistet. Das schafft Vertrauen, Integrität, maßgeschneiderten Schutz und Kontrolle über den gesamten Lebenszyklus der IIoT-Lösung – vom sicheren Onboarding des Geräts in das Cloud-Backend des Kundens über End-to-End-Datenschutz, Zero-Touch-Provisioning und Feature-Autorisierung bis hin zu Firmware-Signierung und -Updates sowie kontinuierlicher Überwachung des Verhaltens und des Status der Geräte.

ANZEIGE

Breitbandausbau: Smartes Update für die Industrie

Der deutsche Glasfaserausbau treibt die Industrie der Zukunft voran. Mit vernetzten Maschinen im Internet der Dinge laufen Prozesse effizient und automatisiert ab.‣ weiterlesen

Anwendungsszenarien

Für Kompatibilität mit gängigen Softwarelösungen, Ökosystemen oder Plattformen im industriellen Umfeld verschiedene Möglichkeiten der Geräteintegration und die Kompatibilität mit mehreren Cloud-Anbietern. Die Anwendungsszenarien reichen von der Sicherstellung der Datenintegrität bei der vorbeugenden Wartung über die passive schlüssellose Zugangskontrolle für Fahrzeuge und Gebäude bis hin zu Metering, Telemetrie und dem Einsatz von Überwachungskameras – ein Gesamtpaket für abgestimmte IT- und OT-Sicherheit.

Das könnte Sie auch interessieren:

MES-Rollout bei Endress+Hauser
Gemeinsam und agil ins Ziel

‚Never touch a running System‘ oder ‚Wenn du merkst, dass du ein totes Pferd reitest – steige ab!‘ – auf Unternehmenssysteme bezogen, zeigen die Sprichwörter auf den schmalen Grat zwischen solidem Bestandssystem und veralteten Legacy-Anwendungen. Auf das eigenentwickelte MES bei Endress+Hauser Temperature+System Products traf seit einiger Zeit eher das zweite Sprichwort zu. Es wurden Funktionen aufwendig integriert, die im Markt längst zum Standard zählen. Daher zogen IT-Abeilung und Produktion an einem Strang, um in einem agilen Projekt auf SAP Manufacturing Execution zu wechseln. ‣ weiterlesen

Studie 'CRM in der Praxis' von Trovarit
CRM-Anwender beurteilen ihre Tools

Die Trovarit AG fragt alle zwei Jahre CRM-Anwender danach, wie sich ihre Software im Unternehmen schlägt. Jetzt liegen wieder aktuelle Ergebnisse vor und mit einem ‚Gut+‘ in der Gesamtnote kann der CRM-Markt durchaus zufrieden sein. Dennoch offenbart die Umfrage ein Spannungsfeld zwischen Nutzen und Herausforderungen im CRM-Einsatz. ‣ weiterlesen

Blended Learning
Das Online- und Präsenz-Lernen verzahnen

Viele Unternehmen nutzen inzwischen die Digitaltechnik, um sogenannte Blended-Learning-Konzepte in ihrer Organisation zu realisieren – auch weil diese Lernform den Erwartungen der Angehörigen der Generation Z entspricht. ‣ weiterlesen

Neue Arbeitsgruppe für Datenräume
Eclipse Foundation gründet Dataspace Working Group

Die Dataspace Working Group, eine neue Arbeitsgruppe der Eclipse Foundation, soll auf Basis von Open-Source-Technologien ein Modell für den Datenaustausch zwischen verschiedenen Organisationen entwickeln. ‣ weiterlesen

Forschung- und Entwicklung
Forschungsausgaben im Maschinenbau auf Rekordwert

Der Maschinen- und Anlagenbau in Deutschland hat im Jahr 2022 knapp 8,7Mrd.€ für Forschung und Entwicklung ausgegeben. Das war eine Steigerung von knapp 6 Prozent zum Vorjahr und zugleich ein Rekordwert. ‣ weiterlesen

Zahlen des Ifo Instituts
Geschäftsklima in der Autoindustrie kühlt ab

Im Juni 2023 ist Stimmung der Automobilindustrie deutlich eingebrochen. Und nach Angaben des Ifo Instituts hat sich dieses Niveau bis heute nicht wesentlich verändert.
‣ weiterlesen

CO2-Emissionen einlagern
Studie: Carbon Capture and Storage in Industrieprozessen

Technologien zum Abtrennen und Speichern von CO2 (CCS) waren vor einigen Jahren für Kohlekraftwerke im Gespräch – stießen aber auf massiven Widerstand in der Bevölkerung und wurde daher aufgegeben. In Industrieprozessen wie der Kalk- oder Zementproduktion ist CO2 allerdings ist Teil des chemischen Prozesses. Eine Befragung des Wuppertal Instituts zeigt, dass CCS in diesem Bereich auf vergleichsweise hohe Akzeptanz stößt. ‣ weiterlesen

CRM strategisch in Software abgebildet
Fünf Stolpersteine im CRM-Projekt

Wer heute Kundenbeziehungen und Kundenzufriedenheit in den Mittelpunkt rückt, greift früher oder später zu Software. Customer Relationship Management(CRM)-Tools helfen dabei, die Prozesse rund um Kunden und Interessenten abzubilden, zu vereinheitlichen und möglichst zu automatisieren. Der Artikel lenkt den Blick auf fünf typische Fehler bei der Integration solcher Systeme. ‣ weiterlesen

Trilog zum Cyber Resilience Act
Open Source Business Alliance begrüßt CRA-Anpassungen

Mit dem Cyber Resilience Act formuliert die EU Sicherheitsanforderungen für Produkte mit digitalen Elementen, also auch Software. Einige Formulierungen im CRA stießen jedoch in der Open Source Community auf Bedenken hinsichtlich möglicher Rechtsunsicherheiten. Diese scheinen nun ausgeräumt.‣ weiterlesen

Produktpiraterie
EBM-Papst deckt Fälscherwerkstatt auf

EBM-Papst hat im August eine chinesische Fabrik aufgedeckt, die gefälschte Produkte des Ventilatorenhersteller verkaufte. Durch den Hinweis eines Kunden wurde das Unternehmen auf mögliche Unregelmäßigkeiten aufmerksam.‣ weiterlesen

Anwendungstipps für eine effiziente Produktion
Drei Irrtümer bei der Produktionsplanung

Gibt die Produktionsplanung trotz viel Arbeit schlechte Ergebnisse aus? Dann sollten Unternehmen prüfen, ob sie über einen der folgenden drei Fallstricke gestolpert sind. Das beginnt bereits bei der Bereitstellung passender Daten. ‣ weiterlesen