OT stellt wachsende Anforderungen an die Cyber-Security IT-Sicherheit bei der Vernetzung von Produktionsanlagen

Autor / Redakteur: Jürgen Kreis / Peter Schmitz

Die Bedeutung von Cyber-Security und ein vorausschauender Umgang mit entsprechenden Bedrohungspotentialen gewinnen zunehmend an Bedeutung. Nicht erst seit der Cyber-Attacke auf die Colonial Pipeline, die größte und wichtigste Pipeline der USA, rückt das Thema in den Fokus einer breiteren Öffentlichkeit. Cyber-Attacken mit Ransomware sperren Computer oder verschlüsseln Daten, wie beim obigen Beispiel passiert, mit dem Ziel, eine Lösegeldzahlung zu erpressen.

Firmen zum Thema

Mit zunehmender Konvergenz von IT und OT (Operational Technology) hin zum ganzheitlichen Business 4.0 müssen sich produzierende Unternehmen zusätzlichen Herausforderungen stellen.
Mit zunehmender Konvergenz von IT und OT (Operational Technology) hin zum ganzheitlichen Business 4.0 müssen sich produzierende Unternehmen zusätzlichen Herausforderungen stellen.
(© greenbutterfly - stock.adobe.com)

Derzeit ist es rechtlich zwar meist eine Grauzone, aber in einigen Fällen gilt ein Ransomware-Angriff auch als Datenschutzverletzung. Als Konsequenz können Kunden der betroffenen Unternehmen mit Bezug auf HIPAA (Health Insurance Portability and Accountability Act) und DSGVO (Datenschutzgrundverordnung) in deren Geltungsbereich auf Fahrlässigkeit plädieren und das Unternehmen verklagen, wodurch neben den direkten Ausgaben für Lösegeld und/oder Wiederherstellung der verschlüsselten Daten zusätzliche erhebliche Kosten durch Bußgelder und Geldstrafen entstehen können.

Über den monetären Schaden hinaus kann das Bekanntwerden einer Cyber-Attacke durch Ransomware eine enorme Ruf-Schädigung zur Folge haben. Deren Behebung geht als weiterer Kostenfaktor ein und muss bei der Betrachtung des Gesamtrisikos und der Definition einer Risikobewältigungsstrategie Berücksichtigung finden.

Ein wichtiger Aspekt in der Entwicklung einer sinnvollen Risiko-Begrenzungs- und Risikobewältigungsstrategie stellt die Entwicklung eines umfassenden Sicherheitskonzeptes, d.h. IT-Sicherheit nach „Stand der Technik“ dar. Stand der Technik ist dabei nicht nur ein gängiger juristischer Begriff, sondern lässt sich auch anhand existierender nationaler und internationaler Standards und Normen ermitteln.Die steigende Gefahr von Cyber-Attacken und darauf basierende Datenschutzvorfälle macht IT-Sicherheit zu einem grundlegenden Thema in jeder Branche. Der Aufbau eines ISMS (Information-Security-Management-System) nach ISO 27001 auch ohne Zertifizierung erfüllt u.a. auch die zentralen Anforderungen von Wirtschaftsprüfern nach IDW PS 330 (Institut der Deutschen Wirtschaftsprüfer Prüf-Standard). An dem Beispiel IDW PS 330 ist ersichtlich, dass ein ISMS unabhängig von Branche und Betriebsgröße generell für alle Unternehmen sinnvoll ist. Spätestens mit Inkrafttreten des IT-SiG 2.0 (IT-Sicherheitsgesetz) ist diesbezüglich mit weiter Dynamik zu rechnen: Basierend auf dem IT-SiG 2.0 und der BSI-KritisV 2.0 (BSI-Kritisverordnung) werden nicht nur die Schwellenwerte für KRITIS-Anlagen gemäß KritisV 1.0 nach unten korrigiert, es kommen auch neue KRITIS (Kritische Infrastrukturen) hinzu. Unter anderem werden UNBÖFI (Unternehmen in besonderem öffentlichen Interesse) als eine Art „KRITIS-light“ definiert. Auch für Lieferanten und Dienstleister KRITIS werden weitere Anforderungen zur Gewährleistung der Informationssicherheit verpflichtend.

Mit zunehmender Konvergenz von Office IT und OT (Operational Technology) hin zum ganzheitlichen Business 4.0 müssen sich insbesondere produzierende Unternehmen somit zusätzlichen Herausforderungen stellen:

  • Durch Vernetzung von OT-Bereichen untereinander und Anbindung der OT an die Office-IT und/oder an das Internet werden nicht nur Großunternehmen, sondern auch KMU´s (Klein- und Mittelstand) auch im Umfeld ihrer Produktionsanlagen mit der „CIA-Triade“ von IT-Sicherheit und Datenschutzes konfrontiert: Confidentiality – Vertraulichkeit, Integrity – Integrität, Availability – Verfügbarkeit.
  • Netzwerk-Segmentierung als Teil des Sicherungskonzept, um einem Totalausfall vorzubeugen – auch im OT-Bereich.
  • Gateway zur Trennung von IT- und OT-Netz-Segmenten, idealerweise kombiniert mit einer OT-kompatiblen Firewall-Lösung um zu verhindern, dass durch das Einspielen „falscher“, potentiell gefährlicher Steuerungsparameter Anlagen zerstört oder Personen gefährdet oder verletzt werden
  • Besondere Anforderungen an die Resilienz der vernetzten Produktionsmittel: ein Ausfall von IT- und oder Internet-Kommunikation darf die Produktionsanlagen zunächst nicht beeinträchtigen.
  • Absicherung der oftmals älteren und im Hinblick auf den Stand der Technik unsicheren Hardware im OT-Bereich durch IOT-Gateways zwischen allen OT-Netzwerk Segmenten: Insbesondere bei Produktionsmaschinen ist die lokale Intelligenz bzw. der dazu gehörige Industrie-Rechner, dem Alter der Anlage entsprechend, mit Betriebssystemen ausgestattet, die hinsichtlich der eingesetzten Protokolle in der IT-Welt als veraltet und / oder potentiell gefährlich eingestuft werden müssen
  • Edge Computing: Vorverarbeitung von Teildaten möglichst nah an den jeweiligen Produktionsprozessen, dadurch die Möglichkeit zur Daten-Aggregierung und Umsetzung teilautonomer Produktionsketten; gleichzeitig die fortlaufende Dokumentation der Produktionsparameter zur frühzeitigen Trenderkennung und Qualitätskontrolle.

Alle vorgenannten Teilaspekte lassen sich durch dedizierte Komponenten abdecken. In der Folge kann daraus jedoch eine sehr komplexe Hardware-Landschaft entstehen, die nicht nur schwer wartbar ist sondern für jede Einheit, die einen Teilaspekt der vorgenannten Punkte adressiert, wiederum ein mögliches Einfallstor für entsprechende Angriffe darstellt.

Arendar IIoT Gateway

Arendar IIot-Gateway.
Arendar IIot-Gateway.
(Bild: Arendar IT-Security GmbH)

Die Firma Arendar IT Security GmbH hat mit dem Arendar IIoT Gateway eine Lösung entwickelt, die die besonderen Anforderungen an die Vernetzung von Produktionsanlagen berücksichtigt und von Beginn an sowohl beim Design der Hardware als auch der Konzeption der eingesetzten Software dem Sicherheitsaspekt eine zentrale Rolle zugedacht hat.

Das System wurde dabei aus dem Blickwinkel eines Systemintegrators als erweitertes IIoT-Gateway entwickelt, wobei sowohl die Anforderungen an eine vernetzte Produktionslandschaft als auch an die IT-Sicherheit Berücksichtigung fanden. Bestandsanlagen können dabei nahtlos in die digitale Vernetzung einbezogen werden, da der Arendar durch Verarbeitung verschiedenster Protokolle und Datensammlungs- und Auswertungsmöglichkeiten volle Datentransparenz und damit Effizienzsteigerungen über alle angebundenen Produktionsmittel ermöglicht.

Die Arendar-Hardware bietet ausreichende Leistungsreserven, um mit einem einzelnen Gerät die Datenflüsse zusammengehöriger Produktionsdaten zu sammeln. Das System ist durch die mögliche Kaskadierbarkeit für Industrieunternehmen jeglicher Größe geeignet; mehrere Einheiten können Datenflüsse logisch zusammenfassen, verarbeiten und visualisieren.

Ohne in Prozesse einzugreifen, können Daten sowohl aus Steuerungssystemen der Produktionsanlagen gelesen wie auch über Zusatz-Sensorik gewonnen und verknüpft werden. Insbesondere für KMU´s entfällt somit die oftmals im ersten Schritt notwendige Investition in neue Maschinen, um sich digital aufzustellen.

Einfache Integration des Arendar als zentralem Bindeglied zwischen Internet (WAN) / lokaler IT und OT-Netz.
Einfache Integration des Arendar als zentralem Bindeglied zwischen Internet (WAN) / lokaler IT und OT-Netz.
(Bild: Arendar IT-Security GmbH)

Das System verbindet Netzsegmente, indem der Arendar als physikalische Schnittstelle zwischen diesen Netzwerken Daten auf Protokoll-Ebene extrahiert und auf Datenblöcke in typischerweise anderen Protokollen im jeweils anderen Netz überträgt (Prinzip der Datenprojektion). Durch den damit einhergehenden Wegfall einer physikalischen Verbindung zwischen den angebundenen Netzwerken entsteht somit bereits implizit eine höhere Sicherheitsstufe, da nur erlaubte Daten ausgetauscht werden können. Durch die integrierten Übersetzungsmöglichkeiten (bis hin zur „native communication“ mit SPS-Systemen der verschiedenen Hersteller) können die Daten heterogener Produktionslandschaften sinnvoll zusammengefasst und ausgetauscht werden. Durch die Möglichkeit zur direkten Visualisierung der ausgetauschten Daten auf frei konfigurierbaren Webseiten bietet das System darüber hinaus die Möglichkeit eines verteilten oder kaskadierten SCADA-Systems.

Um dem Wunsch Rechnung zu tragen, dass im „Fall der Fälle“ trotzdem der Direktzugriff auf Anlagenteile möglich bleibt, bietet das System ferner einen schaltbaren VPN-Zugang, der mit Zweiwege-Authentifizierung eine entsprechende Netzwerkverbindung physikalisch freischaltet, um den direkten Zugriff auf Steuerungen bestimmter Maschinen zu ermöglichen.

Ein wichtiger Aspekt beim Design der integrierten Software war es, das Prinzip „Konfigurieren vor Programmieren“ so umfassend als möglich umzusetzen. Die Zuordnung und Verknüpfung von Datenpunkten kann bequem über das Webinterface des Systems konfiguriert werden, ebenso wie die Einrichtung der verschiedenen Datenzugriffsmöglichkeiten durch Freischaltung und Konfiguration entsprechender Provider. Damit ist es zum Beispiel möglich, Daten einer SPS-Steuerung in wenigen Minuten im Datennetz der lokalen Office-IT oder in Cloud-Lösungen bekannten Anbieter wie Microsoft Azure, Amazon AWS, Cumolosity Cloud und weiterer Cloud-Lösungen zu speichern. Die umfangreichen Funktionalitäten können durch einfache Konfiguration an verschiedenste Einsatzszenarien angepasst werden. Damit erlaubt diese Lösung eine erhebliche Reduktion der beschriebenen Komplexitäten durch die Integration der Funktionalitäten in einer einzelnen Baugruppe.

Das System wurde mit Details ausgestattet, die eine Hochverfügbarkeit sicherstellen. Die Stromversorgung hat beispielsweise eine integrierte USV, die selbstständig kurzfristige Schwankungen der Versorgungsspannung ausgleicht und, bei längerfristigem Ausfall (Versorgung mit 24V DC Industrie-Standard), das System selbständig kontrolliert herunterfahren und ggf. vorher entsprechende Meldungen absetzen kann.

Über den Autor: Jürgen Kreis (Dipl.-Ing., Dipl.-Wirt.Ing.) ist seit 2010 mit dem eigenen Beratungsunternehmen MARU International Business Consulting beratend für mittelständische Unternehmen tätig. Seine Themen sind dabei unter anderem der Aufbau eines internationalen Vertriebs (insb. Asien und NAFTA), M&A Projekte, die Identifikation neuer Technologien und Lieferanten, Restrukturierung und interkulturelle Kompetenz. Für die Arendar IT-Security GmbH ist er seit Frühjahr 2021 für den Aufbau von Vertrieb und Marketing sowie Business Development verantwortlich.

(ID:47596345)