Defense in Depth

Sicherheit in acht Schichten

Zentraler Bestandteil der Normenreihe IEC62443 ist der Defense-in-Depth-Ansatz, der Produktionsanlagen vor Cyberangriffen schützen soll. Was verbirgt sich dahinter und wie können Unternehmen eine solche Strategie umsetzen?

Das Konzept Defense in Depth arbeitet mit verschiedenen Verteidigungsschichten und berücksichtigt die Normenreihe IEC62443. (Bild: Axians IT Security GmbH)

Die Vernetzung von IT und OT schreitet voran. Viele Industrieunternehmen haben ihre Produktion mit ERP- und MES-Systemen (Manufacturing Execution System) verknüpft, um Prozesse zu steuern und Daten auszutauschen. Maschinen verfügen zudem oft über einen Fernwartungszugang. Auch wenn noch wenige Cyberangriffe direkt auf die Produktion abzielen, häufen sich Fälle, bei denen die Produktion indirekt von Cyberangriffen betroffen ist und nicht produziert werden kann. Denn wenn ERP- und MES-System ausfallen, kommen Fertigungsauftragsdaten nicht mehr an den Anlagen an. Immer wieder zeigen aktuelle Vorfälle, wie Cybersicherheit sowohl IT als auch OT betrifft. Schutzmaßnahmen aus der IT Security lassen sich jedoch nur eingeschränkt auf die OT, die Betriebstechnik, übertragen. Denn im Produktionsumfeld gelten besondere Anforderungen an Verfügbarkeit und Prozessintegration. Speziell für die Automatisierungstechnik wurde daher die Normenreihe IEC62443 entwickelt. Anders als der IT Security-Standard ISO27000 sind die Dokumente auf die Bedingungen und Anforderungen im industriellen Umfeld ausgerichtet. Dabei handelt es sich um ein mehrschichtiges Modell aus verschiedenen technischen und organisatorischen Maßnahmen. Für die OT sollten folgende acht Schichten berücksichtigt werden:

Bewusstsein, Vorgaben und Prozesse:

Zunächst geht es um den organisatorischen Rahmen. Dazu zählt das Asset Management: Wenn Firmen ihre kritischen Systeme kennen, können sie diese schützen. Notfallpläne helfen, die Geschäftskontinuität im Falle eines Angriffs sicherzustellen. Wichtig sind auch Security-Awareness-Maßnahmen für die Beschäftigten in OT und IT. Diese zu schulen und an neue Herausforderungen anzupassen gilt als wichtigste Maßnahme eines gesamtheitlichen Cyber-Security-Konzepts.

Physische Sicherheit: Die zweite Schicht besteht aus Vorkehrungen, die oft außen vor bleiben. Physischen Zugangskontrollen können etwa dafür sorgen, dasss nur berechtigte Personen Zutritt haben. Schaltschränke in der Produktion sollten immer abgeschlossen sein und auch Videoüberwachung kann in großen Hallen helfen, den Überblick zu wahren. Außerdem empfiehlt es sich, nicht benötigte Netzwerk- und USB-Ports von z.B. Industrie-PCs mit Wachsplomben zu versiegeln, um etwa den Anschluss fremder USB-Stick vorzubeugen.

ANZEIGE

Wie Sie smarter automatisieren

Prozesse optimieren und Kosten senken? Bildanalysen mit KI können dabei wertvolle Hilfe bieten. Auf der automatica in München stellt IDS neue Produkte und Möglichkeiten vor. Erhalten Sie hier einen Einblick, was das Unternehmen an Stand B5.203 zeigen wird.‣ weiterlesen

Perimeter-Sicherheit: Zum Standard gehören Schutzmaßnahmen am Perimeter, also dem Übergang zwischen Netzwerken mit unterschiedlichen Sicherheitsanforderungen – etwa Produktions- und Corporate-IT-Netzwerk oder dem internen Netzwerk und dem Internet. Dazu werden am Übergang zwischen den Netzwerken Next-Generation-Firewalls vorgesehen, die den Datenverkehr kontrollieren. Dabei gilt es im Produktions- oder OT-Netzwerk auf Lösungen zu achten, die eine tiefere Analyse der gängigsten OT-Kommunikationsprotokolle bieten. Ein Grund, warum der Übergang zum Produktionsnetzwerk immer stärker aufgeweicht wird, sind Fernwartungsverbindungen zu Maschinen und Anlagen. Betreiber sollten auf ein einheitliches Konzept für alle Hersteller und Integratoren setzen, damit keine unkontrollierten Fernzugriffe erfolgen können. Konsolidierung ist hierbei ein entscheidender Faktor, denn das Fernwartungssystem selbst muss auch gewartet werden, um die Angriffsfläche nicht zu vergrößern.

Netzwerksegmentierung: Ein zentraler Schutzmechanismus ist die Netzwerksegmentierung. In der IEC62443 liest man dabei von Zonen und Leitungen (Zones and Conduits). Ziel ist es, auch zwischen den Netzwerksegmenten Kontrollen einzuführen. In der IEC62443 wird dazu eine Netzwerksegmentierung nach sinnvollen logischen oder physikalischen Kriterien gefordert. Eine Zone könnte Komponenten umfassen, die unbedingt miteinander kommunizieren müssen oder sich im selben Risikobereich befinden. Die Safety-relevanten Systeme sind in einem eigenen Netzwerksegment zu gruppieren, da diese in Echtzeit kommunizieren und im Ernstfall schnell reagieren müssen.

Systemhärtung: Die im industriellen Umfeld verwendeten IT-Komponenten arbeiten meist mit Windows- und Linux-Betriebssystemen. Allerdings laufen diese oft mehrere Jahre, ohne gepatcht oder upgedatet worden zu sein. Umso wichtiger ist, dass diese Workstations und Industrie PCs gehärtet werden. Dazu gehört mindestens, nicht benötigte Dienste und Applikationen zu löschen, sowie wenn möglich, Anti-Viren-Software einzusetzen und Patches und Updates einzuspielen. Oft ist das nicht umsetzbar – etwa, weil die eingesetzten Betriebssysteme nicht mehr unterstützt werden oder durch ein Update die Herstellergarantie der Anlage erlischt. Systeme ohne Internetzugang können zudem keine Malware-Pattern nachladen. Eine Whitelisting-Lösung kann trotzdem für Schutz sorgen.

Härtung von Applikationen: Auch Applikationen, die auf ihren Automatisierungskomponenten laufen, sollten gehärtet werden. Automatisierungskomponenten wie Steuerungen (SPS) verfügen etwa über integrierte Dienste, wie einen Webserver, der Systeminformationen oder eine Visualisierung bereitstellt, einen FTP-Server für den Datenaustausch und einen OPC UA Server. Hersteller und Systemintegratoren sollten – wenn möglich – Dienste wie SFTP anstatt des unverschlüsselten FTP verwenden. Unbenötigte Dienste sollten deaktiviert werden.

ANZEIGE

Intelligente Bestellprozesse

Die innovativen Retarus Cloud Services für Integration und Automatisierung machen Prozesskommunikation agiler, sicherer und zuverlässiger.‣ weiterlesen

Sichere Kommunikationsprotokolle: Im Produktionsbereich werden viele Daten ausgetauscht, sowohl zwischen Komponenten, als auch mit übergeordneten Systemen zur Prozessdatenerfassung, Prozessvisualisierung oder dem ERP-System. Diese Kommunikation sollte über sichere Protokolle erfolgen. Als Standard-Architektur für die plattformunabhängige Kommunikation hat sich OPC UA etabliert. OPC UA unterstützt sowohl Verschlüsselung als auch ein Rollen- und Rechtemanagement. Die Sicherheit wurde vom BSI bestätigt. Anlagenbetreiber sollten Hersteller und Systemintegratoren in die Pflicht nehmen, sichere Kommunikationsschnittstellen wie OPC UA in ihren Komponenten bereitzustellen. Vor allem wenn die Kommunikation über mehrere Netzwerksegmente hinweg gewährleistet werden muss.

Härtung integrierter Geräte: Hier stehen die Hersteller in der Verantwortung: So muss ‚Security by Design‘ bereits im Entwicklungsprozess ihrer Produkte eine zentrale Rolle spielen und umgesetzt werden. Dabei unterstützten der Abschnitt 4-1 und 4-2 der IEC62443 mit Anforderungen an eine sichere Produktentwicklung und technische Anforderungen an sichere Automatisierungskomponenten. Dazu gehört etwa die Sicherheit von Drittkomponenten zu überprüfen. Denn wer z.B. einen unsicheren TCP/IP-Stack in sein Betriebssystem integriert, bindet auch dessen Schwachstellen ein. Ein sicherer Software-Entwicklungsprozess ist für Komponentenhersteller umso wichtiger, je komplexer die Anforderungen an ihre Produkte werden.

In Summe wirksames Konzept

Das Zusammenspiel aller Schichten macht ein Defense-in-Depth-Modell wirksam. Die Summe der Maßnahmen erschwert es Angreifern erheblich, bis in die sensiblen Bereiche eines Unternehmens vorzudringen und erhöht die Resilienz gegenüber negativen Einflüssen von außen. Welche Maßnahmen genau umgesetzt werden, muss immer individuell zusammen mit dem zu schützenden Unternehmen abgestimmt werden. Spezialisierte Dienstleister helfen dabei.

Das könnte Sie auch interessieren:

Wechsel an der Fraunhofer-Spitze
Holger Hanselka wird Präsident der Fraunhofer-Gesellschaft

Prof. Dr.-Ing. Holger Hanselka, Präsident des Karlsruher Instituts für Technologie (KIT) wird der 11. Präsident der Fraunhofer-Gesellschaft und löst Prof. Dr.-Ing. Reimund Neugebauer nach fast elf Jahren ab.‣ weiterlesen

Neuer Vorstand
Wechsel an der Spitze bei DMG Mori

Christian Thönes, Vorstandsvorsitzender bei DMG Mori, hat am Donnerstag sein Amt niedergelegt. Sein Vertrag wurde im Rahmen einer Aufsichtsratssitzung einvernehmlich beendet. Alfred Geißler wurde vom Aufsichtsrat zum Nachfolger bestellt.‣ weiterlesen

40 Jahre Microsoft in Deutschland
Microsoft feiert Geburtstag und eröffnet Experience Center

Microsoft feiert 40. Geburtstag in Deutschland und eröffnet ein europäisches Experience Center in München. Es ist eines von vier Experience Centern weltweit.‣ weiterlesen

Neues Whitepaper der Plattform Lernende Systeme
Wo bleiben die europäischen KI-Sprachmodelle?

Expertinnen und Experten der Plattform Lernende Systeme beleuchten in einem neuen Whitepaper, wie es um die Entwicklung europäischer bzw. deutscher KI-Sprachmodelle bestellt ist.‣ weiterlesen

Ifo Geschäftsklimaindex im Mai
Skeptischer Blick auf den Sommer

Nach 93,4 Punkten im Vormonat, fällt der Ifo Geschäftsklimaindex im Mai auf 91,7 Punkte – der erste Rückgang in sechs Montanen. ‣ weiterlesen

Neuer Sonderforschungsbereich am KIT
Schnellere Updates für Cyber-physikalische Systeme

Cyber-physikalische Systeme (CPS), wie etwa Autos oder Produktionsanlagen, stecken voller elektronischer und mechanischer Komponenten, die von Software gesteuert werden. Jedoch ist es eine Herausforderung, die Systemarchitekturen solcher Systeme fortwährend konsistent zu halten. Neue Methoden dafür soll ein Sonderforschungsbereich (SFB) am Karlsruher Institut für Technologie (KIT) entwickeln.‣ weiterlesen

Transport und Logistik
G+D erweitert IoT-Portfolio mit Erwerb von Mecomo

Mit der Akquisition der Pod Group hat G+D bereits 2021 sein Portfolio im IoT-Bereich erweitert. Durch den Erwerb von Mecomo geht das Unternehmen nun einen weiteren Schritt in Richtung IoT-Komplettanbieter im Transport- und Logistikbereich.‣ weiterlesen

17. Produktionstechnisches Kolloquium
PTK diskutiert Herausforderungen für die Industrie

Im September laden Fraunhofer IPK und IWF der TU Berlin zum Produktionstechnischen Kolloquium. Im Fokus der Veranstaltung stehen Digitalisierung und Dekarbonisierung der Industrie. ‣ weiterlesen

Datenanalyse
Qlik übernimmt Talend

Mit der Übernahme von Talend will das Softwareunternehmen Qlik das eigene Portfolio erweitern. Die Leitung des neuen Unternehmens übernimmt Qlik-CEO Mike Capone.

‣ weiterlesen

Webbasiertes Anfragemanagement
Kundenanfragen schneller bearbeiten

Die Grimme-Gruppe produziert individuell konfigurierte Landmaschinen. Was für den Wettbewerb Vorteile bringt, ist allerdings mit großem Aufwand verbunden - so verwaltete Grimme Kundenanfragen lange über ein Excel-Tool. Mit dem Softwareanbieter Slashwhy zusammen wurde dies durch ein webbasiertes Anfragemanagement-Programm abgelöst.‣ weiterlesen

Mit Moryx modulare Fertigungsanlagen steuern
Linie ohne Stau

Die Software Moryx hilft der Fertigungssteuerung, Maschinen schnell auf einen neuen Kurs zu bringen oder sie für den nächsten Auftrag anzupassen. Mit seinen einheitlichen Bedienoberflächen und seiner niedrigen Einstiegshürde ist das Tool von Phoenix Contact insbesondere auf den Einsatz in Fertigungen mit der Losgröße 1 ausgerichtet.‣ weiterlesen