Kommentar von Dror-John Röcher, Computacenter

Industrie 4.0 – das volle Potenzial sicher nutzen

| Autor / Redakteur: Dror-John Röcher / Nico Litzel

Der Autor: Dror-John Röcher ist Lead Consultant Secure Information bei Computacenter.
Der Autor: Dror-John Röcher ist Lead Consultant Secure Information bei Computacenter. (Bild: Computacenter)

Fertigungsunternehmen müssen mit der Vernetzung ihrer Produktions- und Office-IT auch ihre Sicherheitssysteme aufrüsten. Denn Smart Factories werden nur dann erfolgreich sein, wenn sie sicher und stabil produzieren.

Nach einer Studie der Experton Group setzen sich etwa 70 Prozent der Hersteller in Deutschland mit Industrie-4.0-Konzepten auseinander. Doch nur zwei Prozent realisieren bereits entsprechende Projekte. Das liegt wohl an den zahlreichen Herausforderungen des notwendigen Wandels: von der Implementierung der Systeme über Standardisierung bis zur Sicherheit einer hochgradig vernetzten Landschaft.

Besser heute als morgen an die Sicherheit denken

Im Zuge von Industrie 4.0 werden viele Produktionsmaschinen und -anlagen mit dem Internet verbunden – und sind damit oft riesige Einfallstore für Angreifer. Denn der Schutz vor Malware oder Hackerangriffen dieser Systeme ist meist unzureichend. Daher müssen fertigende Unternehmen rechtzeitig Sicherheitsmechanismen [PDF] etablieren, die eine Manipulation der Produktionssysteme verhindern. Während einzelne Lösungen wie Firewalls weit verbreitet sind, ist es noch der Weg zu einer ganzheitlichen und robusten Sicherheitsarchitektur für die Fertigung noch weit.

Daher gilt es, spätestens jetzt mit der Einführung und dem Ausbau bestehender Schutzmaßnahmen zu beginnen. Hierbei kommt es darauf an, kurzfristig unterstützende mit langfristig notwendigen Maßnahmen sowie technologische mit organisatorischen Konzepten zu verbinden. Das lässt sich Schritt für Schritt umsetzen.

Schnelle präventive Maßnahmen

Zu den wichtigsten technischen Maßnahmen zählen spezielle Firewalls und Intrusion-Prevention-Systeme (IPS) für die Produktion. Eine Schutzlösung für die Fertigung muss physisch robuster sein als für die Office-IT, weil es in Fabrikhallen heiß werden kann und Erschütterungen keine Seltenheit sind. Außerdem gibt es hier andere Montage- und Stromversorgungsstandards, beispielsweise Gleich- statt Wechselstrom und die DIN-Schienenmontage.

Funktional muss eine Produktionsfirewall in der Lage sein, in der Fertigung eingesetzte Protokolle zu „verstehen“. Auch das Verhalten im Fehlerfall unterscheidet sich: Die Firewall darf den Datenverkehr dann nicht vollständig blockieren, weil das die gesamte Fertigung lahmlegen würde.

Bei IPS wiederum bestehen die gleichen funktionalen Anforderungen wie in der Office-IT, da sie Cyberattacken anhand bestimmter Angriffssignaturen erkennen. Damit Angriffe auf Fertigungsanlagen entdeckt werden, sind aber produktionsspezifische Signaturen zu hinterlegen.

Eine weitere Herausforderung liegt in der Dezentralität, denn pro Halle oder Standort sind mehrere Dutzend bis Hunderte von mittelgroßen bis kleinen Systemen zu verwalten. Da diese oft stark verteilt und mit unterschiedlichen Regelwerken ausgestattet sind, erhöht das die Komplexität der Verwaltung im Vergleich zur herkömmlichen Office-IT.

Vorsorge mit Nachsorge – von Netzwerk-Segmentierung bis Fernwartung

Zusätzlich zu den vorbeugenden Maßnahmen empfehlen sich Lösungen, die den Schaden im Incident-Fall begrenzen, etwa durch Segmentierung des Netzwerks in mehrere Zonen, damit Schadsoftware nur einen begrenzten Abschnitt befällt. Viele Unternehmen nehmen eine geografische Trennung vor – beispielsweise nach Hallen. Eine Alternative ist die funktionale Abschottung einzelner Gewerke innerhalb einer Halle. Die Netzwerk-Segmentierung funktioniert entweder über traditionelle Ethernet-Netze, in denen Daten dezentral geroutet, oder Multiprotocol-Label-Switching-Netze (MPLS-Netze), die zentral an einer Stelle zusammengeführt werden.

Um Produktionsmaschinen gegenüber Angriffen zu „härten“, bietet sich das Application Whitelisting an. Diese gerätebasierte Methode legt in einem zentralen Management-Interface für jedes Endgerät ein Profil mit erlaubten Anwendungen an. Alle Vorgänge, die von diesem Profil abweichen, werden unterbunden und nicht erlaubte Programme beendet. Einmal implementiert, läuft das meist über einen langen Zeitraum, weil sich in den grundlegenden Prozessen kaum etwas ändert.

Für einen guten Blick auf die Produktions-IT sollten Unternehmen eine Fernwartungsplattform einrichten. Darüber kontrolliert ein Wartungsdienstleister alle Status-Updates und greift im Störungsfall ein. Der Zugriff muss durch eine zweistufe Authentifizierung und eine verschlüsselte Netzwerkverbindung via Virtual Private Network (VPN) geschützt werden. Die wichtigsten Anforderungen sind ein nicht-personalisierter Zugriff auf die Produktionssysteme, Nachvollziehbarkeit aller Wartungsvorgänge und einfache Freischaltung für Wartungszugriffe – im Notfall auch am Regelprozess vorbei. Daher sind ein sicheres Zugangsgateway, Session-Recording und zentrales Logging wichtige Elemente einer Fernwartungsplattform.

Besser vorbereitet sein – Verantwortlichkeiten für die IT-Sicherheit regeln

Zu einem ganzheitlichen Sicherheitskonzept zählt auch die Neudefinition der IT-Governance, vor allem bei der Zuweisung der Verantwortlichkeiten. Den meisten IT-Experten mangelt es an Know-how im Produktionsbereich, Fachkräfte in der Fertigung besitzen dagegen oft nicht das erforderliche IT-Wissen. Ein zentraler Sicherheitsverantwortlicher könnte ebenfalls scheitern, etwa an der großen Vielfalt der eingesetzten Systeme und fehlenden Weisungsrechten.

Eine Herangehensweise für diese Herausforderung ist die RACI-Methode (Responsible, Accountable, Consulted, Informed). Sie beschreibt eine etablierte Vorgehensweise, die für die Security Governance in der Produktions-IT spezifiziert wurde.

  • Responsible steht für Durchführungsverantwortung. Diese Person initiiert und verantwortet die Ausführung der Sicherheitsmaßnahmen.
  • Accountable meint die rechenschaftspflichtige Kostenverantwortung im rechtlichen oder kaufmännischen Kontext.
  • Consulted bezieht sich auf die Fachverantwortung. Darunter fallen externe und interne Ratgeber, die eine fachliche Unterstützung bieten, aber nicht rechtlich oder disziplinarisch verantwortlich sind.
  • Informed steht für das Informationsrecht von Personen, die über den Verlauf oder das Ergebnis der Tätigkeit informiert werden müssen.

Über diese Maßnahmen hinaus sollten Unternehmen ihre Governance an die vernetzte Produktionswelt anpassen. Während etwa auf den Endgeräten in Büros personenbezogene Accounts vergeben werden, sind die Zugänge in der Produktion keinem Mitarbeiter zugeordnet, sondern für jede Schicht identisch.

Alles im Griff?

Die Zentrale, in der die beschriebenen Maßnahmen zusammenfließen sowie zentral überwacht und gesteuert werden, ist das Security Operation Center (SOC). Es basiert auf dem Echtzeit-Monitoring aller Logdateien von Netzwerkgeräten, Steuerungssystemen und Firewalls.

Vor dem Aufbau eines SOC muss jedoch die Sicherheitsrelevanz aller Daten definiert werden. Um die kritischen Daten aus der gesamten IT-Infrastruktur zusammenzuführen, brauchen Unternehmen zentrale Management-Lösungen. Ein erster Schritt dorthin ist das Security Information and Event Management (SIEM), das viele Informationen miteinander verknüpft und daraus Sicherheitsevents erzeugt.

Werden diese zusätzlich unter Einsatz forensischer Methoden analysiert, können auch nicht vorhergesehene Angriffsmuster aufgedeckt werden. Ein solches Cyber Defense Center ermöglicht in Kombination mit Big-Data-Echtzeitanalysen eine besonders hohe Detektionsrate und eine sehr schnelle Reaktion auf Cyberattacken.

Sicherheit und robuste Netze sind ein Muss

Zusammenfassend gilt: Wer das Potenzial von Industrie 4.0 für sich nutzen möchte, muss sich neben dem Aufbau robuster Netze auch zwingend mit der Absicherung der vernetzten Produktionssysteme beschäftigen. Zu diesem Schluss kommt auch eine Studie von Bitkom und Fraunhofer [PDF]: Smart Factories werden nur dann erfolgreich sein, wenn sie sicher und stabil produzieren.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43748262 / Netzwerk-Security-Devices)