:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
OT stellt wachsende Anforderungen an die Cyber-Security IT-Sicherheit bei der Vernetzung von Produktionsanlagen
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Die Bedeutung von Cyber-Security und ein vorausschauender Umgang mit entsprechenden Bedrohungspotentialen gewinnen zunehmend an Bedeutung. Nicht erst seit der Cyber-Attacke auf die Colonial Pipeline, die größte und wichtigste Pipeline der USA, rückt das Thema in den Fokus einer breiteren Öffentlichkeit. Cyber-Attacken mit Ransomware sperren Computer oder verschlüsseln Daten, wie beim obigen Beispiel passiert, mit dem Ziel, eine Lösegeldzahlung zu erpressen.
Derzeit ist es rechtlich zwar meist eine Grauzone, aber in einigen Fällen gilt ein Ransomware-Angriff auch als Datenschutzverletzung. Als Konsequenz können Kunden der betroffenen Unternehmen mit Bezug auf HIPAA (Health Insurance Portability and Accountability Act) und DSGVO (Datenschutzgrundverordnung) in deren Geltungsbereich auf Fahrlässigkeit plädieren und das Unternehmen verklagen, wodurch neben den direkten Ausgaben für Lösegeld und/oder Wiederherstellung der verschlüsselten Daten zusätzliche erhebliche Kosten durch Bußgelder und Geldstrafen entstehen können.
:quality(80)/images.vogel.de/vogelonline/bdb/1841700/1841711/original.jpg "Ein Ransomware-Fall ist für ein Unternehmen ein schwerwiegender IT-Sicherheits-Vorfall, aber kann sich auch schnell zu einem Verstoß gegen die DSGVO-Meldepflichten entwickeln. (Suttipun - stock.adobe.com)")
Beispiele für Meldepflichten nach DSGVO
Wann eine Ransomware-Attacke gemeldet werden muss
Über den monetären Schaden hinaus kann das Bekanntwerden einer Cyber-Attacke durch Ransomware eine enorme Ruf-Schädigung zur Folge haben. Deren Behebung geht als weiterer Kostenfaktor ein und muss bei der Betrachtung des Gesamtrisikos und der Definition einer Risikobewältigungsstrategie Berücksichtigung finden.
Ein wichtiger Aspekt in der Entwicklung einer sinnvollen Risiko-Begrenzungs- und Risikobewältigungsstrategie stellt die Entwicklung eines umfassenden Sicherheitskonzeptes, d.h. IT-Sicherheit nach „Stand der Technik“ dar. Stand der Technik ist dabei nicht nur ein gängiger juristischer Begriff, sondern lässt sich auch anhand existierender nationaler und internationaler Standards und Normen ermitteln.Die steigende Gefahr von Cyber-Attacken und darauf basierende Datenschutzvorfälle macht IT-Sicherheit zu einem grundlegenden Thema in jeder Branche. Der Aufbau eines ISMS (Information-Security-Management-System) nach ISO 27001 auch ohne Zertifizierung erfüllt u.a. auch die zentralen Anforderungen von Wirtschaftsprüfern nach IDW PS 330 (Institut der Deutschen Wirtschaftsprüfer Prüf-Standard). An dem Beispiel IDW PS 330 ist ersichtlich, dass ein ISMS unabhängig von Branche und Betriebsgröße generell für alle Unternehmen sinnvoll ist. Spätestens mit Inkrafttreten des IT-SiG 2.0 (IT-Sicherheitsgesetz) ist diesbezüglich mit weiter Dynamik zu rechnen: Basierend auf dem IT-SiG 2.0 und der BSI-KritisV 2.0 (BSI-Kritisverordnung) werden nicht nur die Schwellenwerte für KRITIS-Anlagen gemäß KritisV 1.0 nach unten korrigiert, es kommen auch neue KRITIS (Kritische Infrastrukturen) hinzu. Unter anderem werden UNBÖFI (Unternehmen in besonderem öffentlichen Interesse) als eine Art „KRITIS-light“ definiert. Auch für Lieferanten und Dienstleister KRITIS werden weitere Anforderungen zur Gewährleistung der Informationssicherheit verpflichtend.
:quality(80)/images.vogel.de/vogelonline/bdb/1822700/1822734/original.jpg "Nach zwei Jahren und fünfzehn Artikeln ist unsere Serie zur Netzwerk- und IT-Sicherheit in den kritischen Infrastrukturen Deutschlands wohl noch lange nicht am Ende. (MH - stock.adobe.com)")
IT-Sicherheit mit besonderen Anforderungen
Netzwerk- und IT-Sicherheit in den kritischen Infrastrukturen (KRITIS)
Mit zunehmender Konvergenz von Office IT und OT (Operational Technology) hin zum ganzheitlichen Business 4.0 müssen sich insbesondere produzierende Unternehmen somit zusätzlichen Herausforderungen stellen:
- Durch Vernetzung von OT-Bereichen untereinander und Anbindung der OT an die Office-IT und/oder an das Internet werden nicht nur Großunternehmen, sondern auch KMU´s (Klein- und Mittelstand) auch im Umfeld ihrer Produktionsanlagen mit der „CIA-Triade“ von IT-Sicherheit und Datenschutzes konfrontiert: Confidentiality – Vertraulichkeit, Integrity – Integrität, Availability – Verfügbarkeit.
- Netzwerk-Segmentierung als Teil des Sicherungskonzept, um einem Totalausfall vorzubeugen – auch im OT-Bereich.
- Gateway zur Trennung von IT- und OT-Netz-Segmenten, idealerweise kombiniert mit einer OT-kompatiblen Firewall-Lösung um zu verhindern, dass durch das Einspielen „falscher“, potentiell gefährlicher Steuerungsparameter Anlagen zerstört oder Personen gefährdet oder verletzt werden
- Besondere Anforderungen an die Resilienz der vernetzten Produktionsmittel: ein Ausfall von IT- und oder Internet-Kommunikation darf die Produktionsanlagen zunächst nicht beeinträchtigen.
- Absicherung der oftmals älteren und im Hinblick auf den Stand der Technik unsicheren Hardware im OT-Bereich durch IOT-Gateways zwischen allen OT-Netzwerk Segmenten: Insbesondere bei Produktionsmaschinen ist die lokale Intelligenz bzw. der dazu gehörige Industrie-Rechner, dem Alter der Anlage entsprechend, mit Betriebssystemen ausgestattet, die hinsichtlich der eingesetzten Protokolle in der IT-Welt als veraltet und / oder potentiell gefährlich eingestuft werden müssen
- Edge Computing: Vorverarbeitung von Teildaten möglichst nah an den jeweiligen Produktionsprozessen, dadurch die Möglichkeit zur Daten-Aggregierung und Umsetzung teilautonomer Produktionsketten; gleichzeitig die fortlaufende Dokumentation der Produktionsparameter zur frühzeitigen Trenderkennung und Qualitätskontrolle.
Alle vorgenannten Teilaspekte lassen sich durch dedizierte Komponenten abdecken. In der Folge kann daraus jedoch eine sehr komplexe Hardware-Landschaft entstehen, die nicht nur schwer wartbar ist sondern für jede Einheit, die einen Teilaspekt der vorgenannten Punkte adressiert, wiederum ein mögliches Einfallstor für entsprechende Angriffe darstellt.
Arendar IIoT Gateway
Die Firma Arendar IT Security GmbH hat mit dem Arendar IIoT Gateway eine Lösung entwickelt, die die besonderen Anforderungen an die Vernetzung von Produktionsanlagen berücksichtigt und von Beginn an sowohl beim Design der Hardware als auch der Konzeption der eingesetzten Software dem Sicherheitsaspekt eine zentrale Rolle zugedacht hat.
Das System wurde dabei aus dem Blickwinkel eines Systemintegrators als erweitertes IIoT-Gateway entwickelt, wobei sowohl die Anforderungen an eine vernetzte Produktionslandschaft als auch an die IT-Sicherheit Berücksichtigung fanden. Bestandsanlagen können dabei nahtlos in die digitale Vernetzung einbezogen werden, da der Arendar durch Verarbeitung verschiedenster Protokolle und Datensammlungs- und Auswertungsmöglichkeiten volle Datentransparenz und damit Effizienzsteigerungen über alle angebundenen Produktionsmittel ermöglicht.
Die Arendar-Hardware bietet ausreichende Leistungsreserven, um mit einem einzelnen Gerät die Datenflüsse zusammengehöriger Produktionsdaten zu sammeln. Das System ist durch die mögliche Kaskadierbarkeit für Industrieunternehmen jeglicher Größe geeignet; mehrere Einheiten können Datenflüsse logisch zusammenfassen, verarbeiten und visualisieren.
Ohne in Prozesse einzugreifen, können Daten sowohl aus Steuerungssystemen der Produktionsanlagen gelesen wie auch über Zusatz-Sensorik gewonnen und verknüpft werden. Insbesondere für KMU´s entfällt somit die oftmals im ersten Schritt notwendige Investition in neue Maschinen, um sich digital aufzustellen.
Das System verbindet Netzsegmente, indem der Arendar als physikalische Schnittstelle zwischen diesen Netzwerken Daten auf Protokoll-Ebene extrahiert und auf Datenblöcke in typischerweise anderen Protokollen im jeweils anderen Netz überträgt (Prinzip der Datenprojektion). Durch den damit einhergehenden Wegfall einer physikalischen Verbindung zwischen den angebundenen Netzwerken entsteht somit bereits implizit eine höhere Sicherheitsstufe, da nur erlaubte Daten ausgetauscht werden können. Durch die integrierten Übersetzungsmöglichkeiten (bis hin zur „native communication“ mit SPS-Systemen der verschiedenen Hersteller) können die Daten heterogener Produktionslandschaften sinnvoll zusammengefasst und ausgetauscht werden. Durch die Möglichkeit zur direkten Visualisierung der ausgetauschten Daten auf frei konfigurierbaren Webseiten bietet das System darüber hinaus die Möglichkeit eines verteilten oder kaskadierten SCADA-Systems.
Um dem Wunsch Rechnung zu tragen, dass im „Fall der Fälle“ trotzdem der Direktzugriff auf Anlagenteile möglich bleibt, bietet das System ferner einen schaltbaren VPN-Zugang, der mit Zweiwege-Authentifizierung eine entsprechende Netzwerkverbindung physikalisch freischaltet, um den direkten Zugriff auf Steuerungen bestimmter Maschinen zu ermöglichen.
Ein wichtiger Aspekt beim Design der integrierten Software war es, das Prinzip „Konfigurieren vor Programmieren“ so umfassend als möglich umzusetzen. Die Zuordnung und Verknüpfung von Datenpunkten kann bequem über das Webinterface des Systems konfiguriert werden, ebenso wie die Einrichtung der verschiedenen Datenzugriffsmöglichkeiten durch Freischaltung und Konfiguration entsprechender Provider. Damit ist es zum Beispiel möglich, Daten einer SPS-Steuerung in wenigen Minuten im Datennetz der lokalen Office-IT oder in Cloud-Lösungen bekannten Anbieter wie Microsoft Azure, Amazon AWS, Cumolosity Cloud und weiterer Cloud-Lösungen zu speichern. Die umfangreichen Funktionalitäten können durch einfache Konfiguration an verschiedenste Einsatzszenarien angepasst werden. Damit erlaubt diese Lösung eine erhebliche Reduktion der beschriebenen Komplexitäten durch die Integration der Funktionalitäten in einer einzelnen Baugruppe.
Das System wurde mit Details ausgestattet, die eine Hochverfügbarkeit sicherstellen. Die Stromversorgung hat beispielsweise eine integrierte USV, die selbstständig kurzfristige Schwankungen der Versorgungsspannung ausgleicht und, bei längerfristigem Ausfall (Versorgung mit 24V DC Industrie-Standard), das System selbständig kontrolliert herunterfahren und ggf. vorher entsprechende Meldungen absetzen kann.
Über den Autor: Jürgen Kreis (Dipl.-Ing., Dipl.-Wirt.Ing.) ist seit 2010 mit dem eigenen Beratungsunternehmen MARU International Business Consulting beratend für mittelständische Unternehmen tätig. Seine Themen sind dabei unter anderem der Aufbau eines internationalen Vertriebs (insb. Asien und NAFTA), M&A Projekte, die Identifikation neuer Technologien und Lieferanten, Restrukturierung und interkulturelle Kompetenz. Für die Arendar IT-Security GmbH ist er seit Frühjahr 2021 für den Aufbau von Vertrieb und Marketing sowie Business Development verantwortlich.
(ID:47596345)
:quality(80)/images.vogel.de/vogelonline/bdb/1935600/1935688/original.jpg "Der Zero-Trust-Ansatz kann auch in ICS-Umgebungen helfen die Sicherheit drastisch zu verbessern. (wladimir1804 - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1933800/1933897/original.jpg "Cybersecurity ist kein Add-On, sondern der Schlüssel für eine erfolgreiche Digitalisierung. (photon_photo - stock.adobe.com)")