:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/d7/a7/d7a74fc125765e3aaa4a1cd46952f036/0109587894.jpeg "Checkmarx Supply Chain Threat Intelligence kombiniert Threat Intelligence mit Machine Learning, Retro Hunting und Cross-Language Hunting. (Bild: Checkmarx)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/fc/cffcdb017034d5478cacf1bcb30a7665/0109349789.jpeg "Um die Sicherheit von Daten und Systemen zu erhöhen und das Risiko von Angriffen oder Datenverlust zu reduzieren sollten Berechtigungen auf das absolut notwendige Minimum beschränkt werden. (Bild: frei lizenziert Fernando Arcos - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/08/48/084856af2569f600d6a8ddc908e286b4/0110345761.jpeg "„Unternehmen, die in ihre Mitarbeiter investieren, haben immer die Nase vorn, besonders in schwierigen Zeiten.“ sagt Erik Gaston, VP Global Executive Engagement bei Tanium. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Sicherheitskonzepte für Industrie 4.0 Sichere Netzwerke für die Smart Factory
Das Vernetzen von Anlagen automatisiert und individualisiert die Produktion, sorgt für mehr Effizienzund höhere Rentabilität – und macht die Systeme für Hacker angreifbar. Denn Cyberkriminelle könnten ausnutzen, dass die gängigen IT-Sicherheitsstandards im Industrie-4.0-Umfeld häufig nicht so greifen, wie IT-Experten das erwarten.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
In der Smart Factory sind Maschinen, Anlagen und Steuerungstypen mit Sensoren ausgestattet, vernetzt, und über IoT-Gateways mit einem Data Lake verbunden. Alle Geräte messen, erfassen und kommunizieren untereinander sowie mit dem ERP-System. Diese Vernetzung von IT und Operational Technology (OT) kennzeichnet Industrie-4.0-Umgebungen, in denen die IT über die automatisierten Abläufe in der Produktion wacht. Sie greift in die komplexen Systeme ein, um die Effizienz zu wahren oder Produkte zu individualisieren. Dieser unbestrittene Fortschritt geht allerdings mit einem Sicherheitsrisiko einher: Die Produktion wird durch die Verbindung zum Unternehmensnetzwerk und Internet zu einem möglichen Ziel für Cyberkriminelle.
Die Gefahr vor Augen führte bereits Stuxnet, der vermutlich 2011 in die iranische Urananreicherungsanlage Natanz eingeschleust wurde. Der Computervirus griff die Software WinCC von Siemens an, sollte Systemabstürze und Störungen herbeiführen – und gilt als Beleg dafür, dass auch SCADA-Systeme angreifbar sind. Ein Stillstand der Produktion kann die Folge sein und einen immensen Schaden für das betroffene Unternehmen bedeuten.
:quality(80)/images.vogel.de/vogelonline/bdb/1389100/1389112/original.jpg "Cybersecurity ist eines der Kernthemen der Hannover Messe 2018. (Pixabay)")
Hannover Messe 2018
16 Security-Lösungen für eine sichere Industrie
Bedrohungsrangliste des BSI
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft aktuell Social Engineering und Phishing als die Angriffswege ein, von denen die größte Gefahr für Industrieanlagen ausgeht. Auf den Plätzen dahinter folgen das Einschleusen von Schadsoftware über Wechseldatenträger und externe Hardware, die Infektion mit Schadsoftware über Internet und Intranet sowie der Einbruch über Fernwartungszugänge.
Ransomware & Co bedrohen industrielle Steuerungssoftware nicht nur mit einer einzigen Attacke, sondern Cyberkrimelle versuchen auch, sich über Folgeangriffe sukzessive im Unternehmen auszubreiten. Beispielsweise könnten sie mit Brute-Force- oder Wörterbuchangriffen die Authentisierungsmechanismen attackieren, um sich Zugang zu weiteren internen Systemen zu verschaffen. Oder der Folgeangriff zielt auf die Feldbus-Kommunikation: Dann lesen die Angreifer mit, manipulieren oder spielen Steuerbefehle ein. Steuerungskomponenten rücken ins Visier der Angreifer, weil sie oft über Klartextprotokolle und somit ungeschützt kommunizieren.
Vernetztes Fachwissen nötig
Die Bedrohungslage macht es erforderlich, Sicherheitsmaßnahmen zu ergreifen, die Produktion und IT gleichermaßen schützen. Derzeit bewegen sich die nun miteinander vernetzten Welten nicht auf demselben Sicherheitsniveau. Herkömmliche Security-Produkte aus dem Enterprise-Umfeld eignen sich nicht für einen Maschinenpark, der andere und besondere Anforderungen auch durch äußere Einflüsse wie Hitze, Kälte oder Staub stellt. Stattdessen braucht man speziell für die Industrie entwickelte Komponenten. Diese Lösungen müssen die jeweilige Produktionsanlage absichern und sich schlüssig in ein Sicherheitskonzept fügen. Das Planen und Umsetzen eines angemessenen Sicherheitslevels verlangt IT- und OT-Wissen. Herstellerunabhängige Berater und Systemintegratoren wie Axians in Zusammenarbeit mit dem Automatisierungsspezialisten Actemium bringen beides mit. Die beiden Konzernschwestern der Vinci Energies arbeiten im Bereich Industrie 4.0 bereits engmaschig zusammen.
Zunächst sollte in einem Sicherheitsprojekt eine Bestandsaufnahme durchgeführt werden. Diese zeigt auf, über welche WLAN-Infrastruktur die Anlagen, die meist weit auseinanderstehen, miteinander vernetzt sind. Daneben haben die Experten die Protokolle zu ermitteln, über die sich die Maschinen austauschen. Für Industrie 4.0 existiert bisher kein einheitlicher Kommunikations-Standard. Stattdessen kommen oft mehrere Standards parallel zum Einsatz, wie Profinet und Profibus. Generell nutzen die Maschinen und Geräte in den Fabrikhallen andere Protokolle als im normalen IT-Netz. Daraus ergibt sich ein wesentliches Kriterium für Sicherheitskomponenten wie Firewalls: Sie kommen für die Installation nur in Frage, wenn sie die „Maschinen-Protokolle“ beherrschen.
:quality(80)/images.vogel.de/vogelonline/bdb/1378000/1378030/original.jpg "Moderne Schiffe sind in vielen Fällen schwimmende Computernetzwerke und dementsprechend ähnlich anfällig für Cyber-Angriffe, die Gefahr wird aber von den Reedereien noch immer unterschätzt. (donvictori0 - stock.adobe.com)")
Schadprogramme als Steuermann
Schifffahrt in der IoT-Falle
Sicherheitsbedürfnis ausbalanciert umsetzen
In den Anforderungskatalog, der im zweiten Schritt erstellt wird, hat zudem einzufließen, wie sich die meist übliche Fernsteuerung und -wartung absichern lässt. Soll künftig ein externer Dienstleister die Anlage über das Internet steuern, ist eine verschlüsselte Verbindung und ein granulares Rechtemanagement zu implementieren. Im Mittelpunkt steht, das Sicherheitsbedürfnis des Industrieunternehmens zu definieren und mit den Gesetzesvorgaben in Einklang zu bringen. Zum Beispiel müssen Betreiber von kritischen Infrastrukturen etwa aus den Sektoren Energie, Wasser, Gesundheit oder Ernährung die strengen Anforderungen der KRITIS-Verordnung erfüllen.
Die IT- und Automatisierungsspezialisten haben anschließend einen Balanceakt zu meistern. Das technische Umsetzen der Anforderungen soll das höchste Sicherheitslevel erreichen, ohne die Produktion zu beinträchtigen. Beispielsweise dürfen Firewalls auf Netzwerkebene keine signifikanten Zeitverzögerungen verursachen, um Sicherheitsregeln durchzusetzen. Produktionsanlagen erwarten Antwortzeiten im Millisekundenbereich. Jede Produktionsumgebung sieht anders aus und verlangt ein individuelles Anpassen des Sicherheitskonzeptes. Das Feinjustieren fängt im Kleinen an – in der Standardanlage, die es so nicht gibt. Dennoch lässt sich meistens bereits die Steuereinheit einer Maschine vor Manipulation schützen. Dazu werden in der Steuerungssoftware Einstellungen vorgenommen, um festzulegen, welche Personen oder Geräte die Anlage überhaupt programmieren dürfen.
Frühzeitig sollten Sicherheitsverantwortliche darüber nachdenken, wie sie ihre eingesetzten Systeme regelmäßig patchen. Dazu zählen auch Updates der Software für die Produktionsanlage, um mögliche Sicherheitslücken zu schließen. Es lässt sich zwar in der Regel eine virtuelle Testumgebung für ein Software-Update aufbauen. Doch auch das garantiert nicht, dass sich die Ergebnisse eins zu eins in die reale Produktion übertragen lassen. Ein Restrisiko bleibt. Hier gilt es abzuwägen, was schwerer wiegt: ein Hackerangriff oder ein Maschinenstillstand.
:quality(80)/images.vogel.de/vogelonline/bdb/1386200/1386218/original.jpg "Um IoT-Risiken besser zu verstehen und daraus Schutzmechanismen zu entwickeln, sollten Unternehmen Bedrohungsszenarien modellieren und Angriffe simulieren. (Pixabay)")
Security im Internet of Things
So lassen sich IoT-Gateways richtig absichern
Der Mensch bleibt die Schlüsselfigur in Sicherheitsfragen
Ein schlüssiges Sicherheitskonzept im Industrie-4.0-Umfeld umfasst nicht nur technische Maßnahmen und das Implementieren von Policies und Richtlinien, sondern legt einen Schwerpunkt auf die Mitarbeitersensibilisierung. Denn mit Social Engineering und Phishing zielen Cyberkriminelle direkt auf sie ab. Jeder in der Firma soll im Ernstfall richtig reagieren. Die Mitarbeiterschulung genießt deswegen weiterhin hohe Priorität.
Über den Autor: Florian Hermann ist Technical Expert bei Axians Networks & Solutions.
(ID:45286702)
:quality(80)/images.vogel.de/vogelonline/bdb/1896200/1896232/original.jpg "Security by Design ist ein Designansatz in der Hard- und Softwareentwicklung, der schon im Entwicklungsprozess die Berücksichtigung der Sicherheit verlangt. (gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1944800/1944848/original.jpg "Oliver Hanka ist Director EMEA Industrial & IoT Security bei PwC Deutschland. (PwC Deutschland)")