- IT&Production - https://www.it-production.com -

Mehr IT-Sicherheit mit regulierten IIoT-Geräten

Gesetzliche Mindestanforderungen für IoT-Hardware

Mehr IT-Sicherheit
mit regulierten IIoT-Geräten

Dass im Rahmen von Industrie 4.0 immer mehr vernetzte Geräte mit mangelhafter IT-Security auf den Markt kommen, ist aus Sicht der Anwender kaum zu akzeptieren. Gesetzlich vorgeschriebene Mindestanforderungen an die IT-Sicherheit von IIoT-Geräten könnten deren Hersteller zum Umdenken bewegen.

[1]

Bild: ©Gorodenkoff Productions/iStock.com / Fortinet GmbH

In der Industrie 4.0 treffen IT und Operational Technology (OT) aufeinander – Teile einer Anlage kommunizieren untereinander und mit Unternehmenssoftware wie ERP-Systemen. Durch die Verknüpfung werden die Prozesse zwar effizienter, bieten aber auch mehr Angriffsfläche. Mögliche Cyber-Attacken betreffen dann nicht nur die IT, sondern auch OT-Komponenten. Hacker könnten in den Computer eines Produktionsleiters eindringen, um Industriespionage zu betreiben oder um die Produktionskette lahmzulegen. OT-Netzwerke sind häufig anfälliger für Hackerangriffe als IT-Netzwerke. Sie verwenden oft proprietäre und ältere Betriebssysteme und Geräte, die möglicherweise nie als IP-fähig konzipiert wurden. Diese können teilweise durch einfaches Scannen der Geräte oder durch Malware zerstört werden. Nach dem BSI sind die häufigsten Bedrohungen für Industrieanlagen Social Engineering und Phishing sowie das Einschleusen von Schad-Software über Wechseldatenträger und externe Hardware. Auf Platz drei liegt das Risiko der Infektion mit Schad-Software über das Inter- und Intranet. Die Angriffsszenarien ähneln den Risiken aus der IT zwar stark. Doch bewährte Anwendungen für die IT-Sicherheit können nicht einfach auf die OT übertragen werden. Um hierfür eine geeignete Lösung zu finden, ist zunächst zu klären, worin die Herausforderungen für die IT-Security vernetzter Anlagen liegen.

Sichere vernetzte Anlagen

Die Anforderungen an die Sicherheit von vernetzten Anlagen sind komplex. Zum einen kommunizieren Industrieanlagen über andere Protokolle als IT-Netzwerke, zum anderen gibt es in der Industrie bisher keinen einheitlichen Standard. In der Industrie 4.0 werden Prozesse und dazugehörige Maschinen immer intelligenter und modularer. Neue Protokoll-Standards wie OPC UA (Open Platform Communications Unified Architecture) erlauben bisher isolierten Steuereinrichtungen, miteinander zu kommunizieren. So entstehen komplexe Netzwerke über mehrere industrielle Ökosysteme hinweg. Traditionell arbeiten Sicherheitsanwendungen jedoch isoliert, an einer Stelle im Netzwerk. Sie verlieren deswegen bei dem Schutz von miteinander verbundenen Geräten, Benutzern und verteilten Netzwerken zunehmend ihre Wirkung.

Spezialanforderung Industrie

Eine weitere Hürde für die Cyber-Sicherheit in Industrie 4.0-Umgebungen liegt in den Rahmenbedingungen der Produktionsanlage: Da sie meist über eine große Fläche verteilt ist, müssen die Netzwerke weite Distanzen überbrücken. Dies erfordert eine Funktechnologie mit optimierten WLAN-Strukturen. Zudem müssen die Sicherheitskomponenten den äußeren Einflüssen wie Verschmutzungen oder extreme Temperaturen standhalten – eine herkömmliche Firewall beispielsweise wäre der extremen Hitze in einer Produktionshalle nicht gewachsen. Nicht zuletzt müssen die Anlage und somit auch die dazugehörigen Sicherheitssysteme schnell und flexibel bedienbar sein. In der Produktionsabfolge sind Antwortzeiten im Millisekunden-Bereich Voraussetzung, um die Kette nicht zu stören. Auch die Sicherheit muss darauf optimiert sein, doch Firewalls verursachen durch die Analyse des Netzwerkverkehrs Zeitverzögerungen. Außerdem müssen die Sicherheitskomponenten – wie die Fertigungsanlage – aus der Ferne steuerbar sein. Wie die Geschwindigkeit der Sicherheitssysteme auch, ist eine Steuerung aus der Ferne notwendig, um die sichere Abfolge der Produktionskette sicherzustellen und im Extremfall schnell reagieren zu können.

Mindestanforderung muss reguliert werden

Es gibt viele Faktoren, die spezielle Herausforderungen an die Sicherheitskomponenten in der Industrie 4.0 stellen. Erschwerend kommt hinzu, dass Hersteller von IoT-Geräten in deren Entwicklung oft die Cyber-Sicherheit vernachlässigen. Die meisten Geräte sind kopflos, ihnen fehlt ein traditionelles Betriebssystem und oft sogar der nötige Speicher und die Rechenleistung, um eine Sicherheitskomponente oder einen Sicherheitsklienten zu installieren. Um diesen Risiken entgegenzuwirken und sicherzustellen, dass nur abgesichere Produkte in der Industrieanlage vernetzt sind, sollte schon in der Fertigung der IIoT-Produkte die Sicherheit an erster Stelle stehen. Doch dies ist über den organisatorischen Aufwand hinaus auch mit höheren Kosten verbunden. Um einen Anreiz zu schaffen, wäre daher eine gesetzlich vorgegebene Mindestsicherheitsanforderung an IoT-Geräte sinnvoll. Gleichwohl muss bei einer professionelleren Nutzung des IoT – insbesondere bei industriellen und kritischen Infrastruktur-Anwendungen – darauf geachtet werden, dass sich die Regulierung nicht auf Innovation und Wettbewerb auswirkt.

Unersetzlich: Menschenverstand

Komplexe und sensible IT-Strukturen in vernetzten Anlagen würden von gesetzlichen Mindestanforderungen an die IIoT-Sicherheit profitieren. Doch eine Verbesserung der Technik ersetzt noch immer nicht den menschlichen Verstand: Es braucht weiterhin kompetente Netzwerk-Teams, um sicherzustellen, dass Geräte und Systeme je nach Einsatz angemessene Sicherheitsstandards erfüllen. Denn für jedes Projekt im Kontext von Industrie 4.0 sind sowohl Expertise in IT als auch OT unerlässlich, um die verschiedenen Protokolle und Technologien – und somit die beiden Welten – miteinander zu verknüpfen.