Cybersicherheit ist ein sehr umfangreiches Thema, und die Verantwortung für die Gewährleistung einer sicheren vernetzten Maschine wird von verschiedenen Beteiligten getragen. (Bild: Alexandr Mitiuc/Fotolia.com)
Mit der zunehmenden Vernetzung der Industrie 4.0 steigt auch die Gefahr von Sicherheitsverletzungen und Cyberangriffen und die dadurch verursachten Schäden exponentiell an. Wenn man sich der Sicherheitsrisiken nicht bewusst ist, ist die Wahrscheinlichkeit eines Cyberangriffs sogar noch höher.
Cyberangriffe, die ihren Ursprung in OT-Ausrüstung haben, können katastrophale Folgen für die Fabrik haben und einen großen Imageschaden verursachen, der besonders Maschinenbauer hart trifft. Die Zahl der Cyberangriffe, die zu Betriebsstörungen im Industriesektor führen, steigt dramatisch an. Maschinen oder sogar ganze Fabriken fallen aus, Daten werden gestohlen und im schlimmsten Fall kommen sogar Menschen zu Schaden.
Steigende Nachfrage der Kunden nach Cybersicherheit
Endkunden, insbesondere Fabrikbesitzer, werden sich zunehmend der Risiken bewusst, die sie eingehen, wenn sie ihre Geräte im Rahmen des Internet of Things (IoT) mit dem Internet verbinden. Das führt dazu, dass sie im komplexen Bereich der Cybersicherheit mehr von Maschinenbauern erwarten. Diese müssen wissen, wie angebotene Konnektivitätslösung funktionieren und sich der Risiken bewusst sein, die vernetzte Maschinen mit sich bringen. Jedoch bieten die Maschinenhersteller nur relativ wenige Service Level Agreements (SLAs) an, welche eine Leistung, ihre Merkmale, ihre Qualität sowie einen Zeitrahmen beschreiben. In der Regel stehen Wartung und Überwachung der Maschinen nach der Garantiezeit kaum im Mittelpunkt. Das Hauptaugenmerk liegt darauf, die Maschinen optimal zu betreiben und sicherzustellen, dass sie physisch geschützt sind. Heutzutage reicht das jedoch nicht mehr aus, denn mangelndes Fachwissen über Sicherheitsmaßnahmen erhöht zusätzlich die Risiken. Für viele Maschinenbauer ist das ein völlig neuer Bereich, in dem sie viel zusätzliche Verantwortung tragen.
Warum Maschinenbauer über ihr Sicherheitsmanagement informieren sollten
Es ist klar, dass Maschinenbauer eine große Verantwortung gegenüber ihren Kunden haben, was die Cybersicherheit ihrer angeschlossenen Systeme angeht. Wahrscheinlich erhalten sie Fragen über den Mehrwert ihrer Konnektivitätslösung und darüber, wie sie sich auf ihr Fabriknetzwerk auswirken könnte. Sie gewinnen mehr Vertrauen, wenn sie kompetent kommunizieren und transparent machen, wie Sicherheit, Benutzerzugriff und z. B. offene Netzwerkports geregelt sind.
Gemeinsame Verantwortung für Cybersicherheit
Cybersicherheit ist ein sehr umfangreiches Thema, und die Verantwortung für die Gewährleistung einer sicheren vernetzten Maschine wird von verschiedenen Beteiligten getragen. Unbeantwortete Fragen, wer für was verantwortlich ist, führen zu Sicherheitslücken und Angriffen. Sie müssen wissen, wer an der Sicherheit von Geräten beteiligt sein sollte und was von wem erwartet werden kann. Die Verantwortung für die Cybersicherheit wird geteilt zwischen:
- Maschinenbauer
- Endkunde (Maschinenbediener)
- Anbieter von Konnektivitätslösungen
Das sind die Verantwortlichkeiten eines Maschinenbauers
Der Maschinenbauer ist derjenige, der entscheidet, dass er seine Maschine an eine bestimmte Konnektivitätslösung anschließen muss. Er muss sicherstellen, dass die gewählte Lösung sicher ist und den angeschlossenen Systemen und dem OT-Netzwerk keinen Schaden zufügen kann. Um die Risiken zu minimieren, sollten sie auch:
Wissen weitergeben, das aus der Sicherheitsüberwachung ihrer Maschine gewonnen wurde;
- Informationen über ihre Sicherheits- und Datenschutzrichtlinien weitergeben;
- Maschinenkomponenten mit einer robusten Firewall und der neuesten Firmware vor äußeren Gefahren schützen;
- Benutzerzugriffe und -rechte innerhalb der Konnektivitätslösung verwalten.
Das sind die Verantwortlichkeiten des Endkunden
Der Endkunde muss sein eigenes Netz und seine Geräte sichern, z. B.:
- Schutz der eigenen IT-Infrastruktur und Daten;
- seine Geräte wie PCs, Tablets und Mobiltelefone mit starken Passwörtern schützen;
- die Identität der Infrastruktur der Konnektivitätslösung im Auge behalten;
- Benutzerzugriffe und -rechte innerhalb der Konnektivitätslösung verwalten.
Mehr zum Thema Cybersicherheit
und mögliche Sicherheitsmaßnahmen finden Sie im White Paper 'Sicherheit' von Ixon Cloud.
Das sind die Verantwortlichkeiten des Anbieters der Konnektivitätslösung
Die ausgewählte Konnektivitätslösung muss robust sein und Funktionen enthalten, die die Sicherheit der angeschlossenen Systeme gewährleisten, wie:
- Fortschrittliches Benutzerverwaltungssystem zur Organisation von Benutzerzugang und -rechten
- Zwei-Faktor-Authentifizierung
- Starke Verschlüsselung
- Backups
- Robuste Firewalls
Welche Sicherheitsvorkehrungen jeder Maschinenbauer treffen sollte
Um die Sicherheit der angeschlossenen Maschinen zu gewährleisten, müssen Maschinenbauer verschiedene Sicherheitsaspekte auf unterschiedlichen Ebenen berücksichtigen. Wenn sie über Cybersicherheit nachdenken, sollten sie die folgenden 3 Themen berücksichtigen:
- Interne Organisation
- Internes Anlagennetzwerk
- Eingehende Verbindungen
Wie sich die interne Organisation absichern lässt
Mit der internen Organisation sind alle Mitarbeiter sowohl auf der Seite des Maschinenbauers als auch auf der Seite des Endkunden gemeint. Da die meisten Cyber-Hacks aus menschlichen Fehler resultieren, sollte jeder Mitarbeiter sichere Passwörter verwenden. Die Mitarbeiter müssen über die Folgen und Maßnahmen, die sie ergreifen können, informiert und geschult werden. Darüber hinaus können Risikoanalysen, ein Incident Management System und ein User Management dazu beitragen, die Risiken zu mindern.
Absicherung des internen Anlagennetzes
Zunächst ist es wichtig, eine sichere Installation in der Anlage durch Netzwerktrennung zu schaffen. Maschinenbauer sollten sicherstellen, dass ihre Maschinen durch eine strenge Firewall vor unerwünschten eingehenden Verbindungen geschützt sind, so dass sie selbst ohne regelmäßige Firmware-Updates abgeschirmt sind.
Absicherung der Maschine vor eingehenden Verbindungen
Wenn Maschinenbauer Maschinen mit dem Internet verbinden, sollten sie gewährleisten, dass alle Verbindungen zwischen der Maschine und der Außenwelt gesichert sind. Dazu braucht es eine starke Verschlüsselung (HTTPS), und es ist gut, regelmäßig Penetrationstests durchzuführen oder eine kontinuierliche Überwachung einzurichten, um zu sehen, ob eingehenden Verbindungen sicher sind. Eine solide Benutzerauthentifizierung, wie 2FA (Zwei-Faktor-Authentifizierung), bei Fernanmeldungen kann das Risiko eines unbefugten Zugriffs verringern.
Sowohl IT als auch OT müssen gesichert sein
Heutzutage sind OT-Umgebungen immer stärker von der IT abhängig, weshalb ein ganzheitlicher Ansatz für die Cybersicherheit von enormer Bedeutung ist, da Angreifer nun auch OT über das Internet erreichen können. Die Endkunden konzentrieren sich bereits auf die IT, aber auf der OT-Seite gibt es noch viel zu gewinnen. Sowohl der Maschinenbauer als auch der Endkunde müssen wissen, wie die OT-Sicherheit in einer Konnektivitätslösung angeordnet ist, da viele Vorfälle genau dort auftreten.
Erwähnt sei an dieser Stelle Shodan, eine beliebte Suchmaschine für Hacker, die anfällige IoT-Geräte wie Router, SCADA und Smart-Home-Installationen entdeckt. Indem sie viele dieser ungeschützten Geräte ausnutzen, können Angreifer groß angelegte Angriffe wie Spamming, Phishing und DDoS durchführen, die enorme Auswirkungen haben können.
Die Abschottung sowohl der IT als auch der OT ist ein Muss. Auf der OT-Seite müssen Maschinenbauer die Maschinen einzeln voneinander isolieren, damit eine Maschine im Falle einer Beschädigung nicht die anderen beeinträchtigt, aber auch um Prozessstörungen durch fremde Netzwerkaktivitäten zu vermeiden. Der Maschinenbauer kann dies beeinflussen, indem er den Zugang zur OT-Seite der Fabrik zur Außenwelt mit einer Firewall blockiert.
Abwägung der Vorteile und Risiken von Konnektivität
Nach all diesen Überlegungen steht die Frage im Raum: "Lohnt es sich überhaupt, eine Konnektivitätslösung zu installieren?". Diese Frage sollten jedes Mal gestellt werden, wenn eine Maschine mit dem Internet verbunden wird. Überwiegen die Risiken den Nutzen, und sind alle notwendigen Vorkehrungen getroffen, um das Risiko so weit wie möglich zu minimieren?
Jedes zusätzlich angeschlossene System erhöht das Risiko von Sicherheitslücken. Um festzustellen, ob dies der Fall ist, lassen sich Risikobewertung vornehmen, indem Möglichkeiten gegen die Auswirkungen abgewägt werden. Indem Maschinenbauer erklären, warum die Vorteile gegenüber den Risiken überwiegen, können sie den Kunden überzeugen, warum Konnektivität für ihn einen Mehrwert darstellt.
Risikoverminderung durch Einhaltung von Sicherheitsstandards
Sicherheitsnormen sind ein wirksames Instrument, die die Sicherheit organisieren. IEC 62443 und ISO 27001 sind umfassende Industrienormen, die Unternehmen bei der Entwicklung sicherer Lösungen helfen sollen. Die Norm IEC 62443 beschreibt Anforderungen an die Herstellung sicherer Maschinenkomponenten und wie Maschinenbauer sichere Verbindungen gewährleisten müssen. Wenn sie mit einem Cloud-Service arbeiten, ist das ISO 27001-Zertifikat sehr empfehlenswert, da es einen starken Sicherheitsfokus auf die Vertraulichkeit von Daten gewährleistet.
Was eine gute IIoT-Plattform leisten sollte
Eine gut organisierte IIoT-Plattform kann viele Sicherheitsprobleme beseitigen. Gut organisierte bedeutet beispielsweise
- Fortschrittliches Benutzerverwaltungssystem;
- Zwei-Faktor-Authentifizierung;
- Starke Verschlüsselung, Backups und zuverlässige Firewalls;
- Spezialisierter Sicherheitsbeauftragter;
- Umfassendes Managementsystem für Informationssicherheit;
- Zertifizierung nach ISO 27001 und IEC 62443;
- Interne Sicherheitstrainings
Der Beitrag beruht auf Unterlagen von Ixon
