Beim Thema Industrie 4.0/IIoT darf die Sicherheit nicht zu kurz kommen. Allerdings benötigt es spezielle auf die die Industrie ausgerichtete IT-Sicherheitslösungen.
Im Zeitalter des industriellen IoT tragen Maschinen, Werkzeuge und Steuerungsgeräte digitale Informationen. Die ‚Things‘ sind smart, verarbeiten Daten und geben Befehle selbstständig weiter. Für die Industrie erwachsen mit der Entwicklung des IoT neue Chancen, beispielsweise dynamischere und effizientere Produktionsprozesse. Gleichzeitig steigen – mit der wachsenden Anzahl der mit dem Internet verbundenen Geräte – auch die Sicherheitsrisiken. So können Cyber-Kriminelle die Schnittstellen mit dem Netz als Angriffspunkt nutzen – mit zum Teil gravierenden Folgen. Diese reichen vom Verlust sensibler Informationen über die Sabotage einzelner Maschinen bis hin zu finanziellen Schäden und Produktionsausfällen.
Vor allem dort, wo Maschinen und Anlagen für den Fernzugriff mit Herstellern und Wartungstechnikern vernetzt sind, lauern enorme Sicherheitsrisiken. Fernwartungszugänge und Update-Interfaces bilden Schlupflöcher, durch die Daten unerwünscht nach außen dringen oder schädliche Daten in das Unternehmen gelangen können. Die in den Produktionsnetzwerken eingesetzten industriellen Leit- und Steuerungskomponenten haben diesen Gefahren kaum etwas entgegenzusetzen, denn die meisten Komponenten wurden mit Blick auf deren Verfügbarkeit und nicht auf deren Sicherheit entwickelt. Solange die Produktionsnetze von der übrigen IT-Infrastruktur getrennt waren, gab es deutlich weniger Angriffsmöglichkeiten. Mit dem Aufkommen des IoT und der Industrie 4.0 ändert sich dies allerdings.
Blackbox Netzwerk
Durch die Industrienetze fließen immer mehr Daten. Das macht ihre Kontrolle zunehmend schwierig. Rohde & Schwarz Cybersecurity
Durch die Industrienetzwerke fließen immer mehr Daten. Der Grund dafür ist, dass die Netze enorm schnell anwachsen und gleichzeitig sehr heterogen sind. Beispielsweise sind unterschiedliche Anlagenlieferanten angebunden, die jeweils die Hoheit über ihre Maschinen haben. Das Netzwerk wird so zur Blackbox, in der es zum unbeobachteten – und damit unüberwachten – Austausch von Informationen und Befehlen kommt, etwa für die Fernwartung von Anlagen, um Produktinformationen an Produktionssysteme weiterzugeben, eine permanente Zustandsüberwachung von Anlagen zu erlangen (Condition Monitoring) und um Logistikprozesse zu synchronisieren. Externe Partner haben zunehmend Zugriff auf dieses Netzwerk, denn Maschinenbauer integrieren eigene IoT-Lösungen in ihre Geräte, sodass der Anlagenbetreiber letztlich kaum noch weiß, was auf seinem Netz läuft. Gleichzeitig ist er jedoch darauf angewiesen, dass die Produktion kontinuierlich und ohne Unterbrechungen arbeitet.
Aus welchen Stufen das Sicherheitskonzept besteht, lesen Sie auf Seite 2
Mehrstufiges Sicherheitskonzept
Um sich vor Angriffen und Netzwerkproblemen zu schützen, müssen Unternehmen Gefahren aufdecken, Anomalien visualisieren und das Netzwerk vor Angriffen sichern – und zwar so schnell, dass es innerhalb der Produktionsprozesse zu keinerlei Verzögerungen kommt. Dafür ist ein Sicherheitskonzept aus drei Komponenten notwendig:
– Netzwerk-Sensor
– Reporting-Tool
– Industrie-Firewall
Der Netzwerk-Sensor – auch als Probe bezeichnet – überwacht den Netzwerkverkehr, indem er per Hardware in das Netzwerk eingebunden wird. Dort schneidet er den Netzwerkverkehr mit und analysiert ihn. Dadurch erkennt er was in der Leitung passiert und kann so Angriffe finden. Kern dieser Netzwerkanalyse ist eine sogenannte Deep Packet Inspection (DPI)-Engine. Anstatt den Datenverkehr über den genutzten ‚Port‘ zu klassifizieren, dekodiert das DPI-Verfahren die Daten inhaltlich und ermöglicht so detaillierte Einblicke in den Datenverkehr. Auf diese Weise lassen sich versteckte Angriffe auch in erlaubten Protokollen finden.
Das Reporting-System trifft auf Basis dieser Daten Aussagen zum Zustand des Netzes, etwa die Kommunikationsbeziehungen zwischen Teilnehmern oder das Kommunikationsverhalten einzelner Maschinen. Anhand der gewonnenen Daten sichern Unternehmen ihren kontinuierlichen Betrieb und können ihre Netzwerkauslastung und -dimensionierung besser planen.
Außerdem visualisiert das Reporting-System Anomalien in dem Moment, in dem sie im Netzwerk auftreten. Ein solches Event-Monitoring informiert Administratoren und Betreiber industrieller Netze sofort über mögliche Gefahren im Netz. Probleme, die aus infizierten Maschinensteuerungen, Fehlkonfigurationen oder potenziellen Cyber-Angriffen resultieren können, lassen sich auf diese Weise schnell erkennen. So ist ein zeitnahes Troubleshooting möglich, noch bevor der Angriff die Produktion beeinflusst und hohe Kosten entstehen.
Die Firewall der Specialized Line von Rohde & Schwarz Cybersecurity verfügt über eine DPI-Engine und kann Angreifer proaktiv abwehren. Rohde & Schwarz Cybersecurity
Die Industrie-Firewall: Bislang wurden Prozess- und Steuerungsnetze hauptsächlich durch klassische Firewalls geschützt, die das Firmennetzwerk im Ganzen vor Angriffen von außen sichern (First Line of Defense). Solche Perimeter-Firewalls reichen als Schutzkonzept in komplexen Industrienetzwerken nicht mehr aus. Unternehmen benötigen stattdessen zusätzliche Sicherheitssysteme, die im Inneren des Netzes arbeiten und es in mehrere Zonen segmentieren. Diese ‚Brandabschnitte‘ sorgen dafür, dass im Falle eines Angriffs, der Schaden nicht auf das gesamte Netzwerk übertreten kann.
Um auch unbekannte Angreifer fernzuhalten, braucht die Industrie Firewalls mit einer integrierten DPI-Engine, die proaktiv mittels Whitelisting schützen. Das Konzept stellt sicher, dass nur autorisierte Personen mit definierten Befehlen Industrienetzwerke ansteuern können. So verhindert das Whitelisting auch ‚Zero-Day-Exploits‘, also Cyber-Angriffe, die unbekannte und daher nicht geschlossene Sicherheitslücken ausnutzen.
Latenzzeiten reduzieren
Für die Industrie erwachsen mit der Entwicklung des IoT neue Chancen. Rohde & Schwarz Cybersecurity
Neben der Genauigkeit bei der Datenerkennung, spielt die Zuverlässigkeit der Performance in der Industrie eine entscheidende Rolle (Determinismus). Latenzzeiten gilt es zu reduzieren, denn Produktionsprozesse dulden keine Verzögerung und in einem Produktionsnetzwerk muss die Datenübertragung stets sofort erfolgen. Deshalb sollte eine Industrie-Firewall die sogenannte ‚Single-Pass-Technologie‘ verwenden, die den Netzverkehr parallel statt sequentiell bearbeitet, um die Performance zu steigern.
Und schließlich sollte eine Firewall für Industrienetzwerke auch Scada-Protokolle, Modbus TCP und DNP 3 unterstützen, damit sie diese auch erkennen und dekodieren kann. Die Hardware muss zudem so konzipiert sein, dass sie auch für anspruchsvolle Einsatzorte wie Produktionshallen, Windparks, Werkstätten oder für das Verkehrswesen (zum Beispiel Schifffahrtsindustrie) geeignet ist. Mit einer robusten Hardware schützt die Firewall das Netzwerk auch unter extremen Temperaturverhältnissen oder EMV-Einflüssen.
Anja Dienelt
(ml)
