Das IoT-Security-Gateway Endian 4i Edge X ist nur ein Teil eines ganzheitliches Sicherheitskonzept für Smart Factory. Was noch alles dazu gehört. (Bild: Endian)
Höhere Flexibilität, individuelle Produktion und Produktivitätssteigerung – eine Smart Factory bringt viele Vorteile mit sich. Doch mit ihren vielen unterschiedlichen Technologien und der enormen Menge an eingebundenen IoT-Geräten bieten Smart Factories gleichzeitig eine breite Angriffsfläche für Cyberkriminelle. Ein ganzheitliches Sicherheitskonzept hilft, das Risiko einzudämmen.
In vernetzten Produktionsumgebungen können Maschinen und Logistiksysteme durch den Austausch von Daten weitgehend selbständig arbeiten. Voraussetzung ist die intelligente Verknüpfung der verschiedenen Komponenten und Maschinen. Doch genau diese Verknüpfungen bringen auch ein gewisses Risiko mit sich, denn jede Schnittstelle kann ein potentielles Einfallstor für Cyberkriminelle sein. Weil die operativen Technologien (OT) der Smart Factory in Netzwerke eingebunden sind, können Angriffe mit Schadsoftware auch auf die OT übergreifen.
Weitere Auswirkungen der Digitalisierung verschärfen die Bedrohungslage für Produktionsunternehmen zusätzlich. So sorgen beispielweise die Möglichkeiten der Fernwartung sowie der anhaltende Trend zum Home-Office dafür, dass sich Unternehmensgrenzen zusehends auflösen. Gleichzeitig werden die Netzwerke immer komplexer, weil immer mehr Geräte verbunden sind. Daher müssen vernetzte Produktionsumgebungen das Thema Sicherheit neu denken und ein Sicherheitskonzept etablieren, das die unterschiedlichen Risiken berücksichtigt.
Wie Bestandsanlagen sicher vernetzt werden können
Eine Smart Factory wird nicht von Grund auf neu geplant. Anders als in der IT, wo Systeme meist nach spätestens fünf Jahren ausgetauscht werden, haben Maschinen in der Industrie eine deutlich längere Laufzeit. In der Praxis müssen deshalb oft Maschinen vernetzt werden, die veraltete Betriebssysteme verwenden.
Für eine sichere Vernetzung sorgt die Verwendung eines IoT-Security-Gateways, das eine einzelne Maschine oder eine Produktionslinie geschaltet wird. Das IoT-Security-Gateway Endian 4i Edge X beispielsweise verfügt über die notwendigen Konnektivitätsoptionen und ist mit einer Vielzahl von IT-Sicherheitsfunktionen ausgestattet, wie Firewall, Deep Packet Inspection (DPI), Intrusion Detection System (IDS) und Intrusion Prevention System (IPS) sowie VPN. Es analysiert und filtert Datenströme.
Was Visualisierung und Segmentierung in der OT-Sicherheit sind und was sie bringen
Den Überblick behalten – das ist in einer intelligenten Fabrik eine Herausforderung und gleichzeitig Voraussetzung für ein ganzheitliches Sicherheitskonzept. Über eine Software zur Netzwerkvisualisierung lassen sich alle verbundenen Dinge darstellen, sämtliche Geräte, ihre Verknüpfungen untereinander und die regulären Datenströme. Sobald der Normalzustand bekannt ist, lassen sich Angriffe mittels einer automatisierten Anomalieerkennung feststellen.
Die Netzwerkvisualisierung bildet auch die Grundlage für den nächsten Schritt der Netzwerkesegmentierung, bei der ein Netzwerk in mehrere Bereiche unterteilt wird. Die Segmentierung hat die gleiche Funktion, wie die Schotten auf einem Schiff, die verhindern, dass eintretendes Wasser sich im gesamten Schiff verteilt und es sinken lässt. Die Netzwerksegmentierung unterbindet das unkontrollierte Übergreifen von Schadsoftware von einem System auf das nächste, indem IoT-Security-Gateways Netzwerkbereiche voneinander abtrennen. Sollte es einem Angreifer gelingen, eine Firewall zu überwinden, so wird der Vorfall auf einen Netzwerkbereich begrenzt und lässt sich damit einfacher beheben.
Auch der Branchenstandard IEC 62443 für Industrial Security fordert eine klare Segmentierung der einzelnen Produktionsbereiche. Jede Produktionslinie oder -zelle stellt hier nach Möglichkeit ein einzelnes Segment dar. Außerdem sieht der Standard eine Multi-Faktor-Authentifizierung vor ebenso wie Datenverschlüsselung und die granulare Verwaltung der Zugriffsberechtigungen von Nutzer und Nutzergruppen.
Was ist die IEC 62443
IEC 62443 ist eine Normenreihe, die sich mit unterschiedlichen Aspekten der IT-Sicherheit von industriellen Automatisierungssystemen befasst. Die Normenreihe beschreibt Anforderungen und Empfehlungen für die Umsetzung von Sicherheitsmaßnahmen in verschiedenen Phasen des Lebenszyklus von industriellen Steuerungssystemen, einschließlich der Planung, Entwicklung, Implementierung, Wartung und Außerbetriebnahme. Ziel der Normenreihe ist es, einheitliche Standards und Best Practices für die IT-Sicherheit von industriellen Automatisierungssystemen bereitzustellen, um Cyber-Angriffe zu verhindern und die Zuverlässigkeit und Verfügbarkeit von industriellen Steuerungssystemen sicherzustellen.
Zentrales Management der Anlagen
Die sichere Vernetzung ist die Basis für das ganzheitliche Sicherheitskonzept. Der nächste Schritt ist die zentrale Verwaltung aller verbundenen Anlagen über eine einzige IoT-Plattform. Damit ist sichergestellt, dass die verbundenen IoT-Security-Gateways immer die aktuellen Sicherheitsupdates erhalten, um die Anlagen auch vor neuen Bedrohungen zu schützen.
Die zentrale IoT-Plattform sollte auch die Möglichkeit bieten, Nutzerrollen und -berechtigungen einzurichten und in Echtzeit zu verwalten. So können Unternehmen definieren, wer welche Maßnahmen an einer Anlage durchführen darf, oder welche Nutzer Einblicke in sensible Daten erhalten. Die Vergabe der Nutzungsrechte sollte nach dem „Least-Privilege-Prinzip“ erfolgen, nach dem jeder Nutzer nur so wenig Rechte wie unbedingt nötig erhält.
Für eine weitere Steigerung des Sicherheitsniveaus sorgt das Zero-Trust-Konzept. Hier wird für jeden Zugriff eine eigene Berechtigung erteilt, ganz gleich, ob der Zugriff von innerhalb oder außerhalb der Unternehmensgrenzen erfolgt.
Wie Edge Computing einen Teil zur Sicherheit beitragen kann
Auch die Datenverarbeitung am Netzwerkende, dem sogenannten Edge, kann einen Beitrag zur Sicherheit leisten. Da die Daten dort verarbeitet werden, wo sie entstehen, müssen weniger Daten über das Internet an ein zentrales Rechenzentrum übertragen werden. Damit verringert sich die Gefahr, dass die Daten während der Übertragung gestohlen oder manipuliert werden. Moderne IoT-Gateways bieten die dafür notwendige Rechenkapazität und einen ausreichend großen Speicher, um die Daten zwischenzuspeichern, falls die Verbindung zur Cloud unterbrochen werden sollte. Sind die Gateways auch für den Einsatz von Docker Containern vorgesehen, erleichtern sie den Unternehmen gelichzeitig ihre Arbeitsprozesse. Individuelle Anwendungen lassen sich mithilfe von Containern leicht auf die IoT-Gateways übertragen und vor Ort ausführen. Einfache und schnelle Prozesse sind auch immer ein Baustein für mehr Sicherheit.
Belegschaft muss ihren Teil zur Sicherheit beitragen
Trotz aller technischen Maßnahmen müssen Unternehmen ihre Mitarbeiter konsequent in Sachen IT-Sicherheit schulen und weiterbilden, denn die besten Schutzmaßnahmen helfen nichts, wenn Unternehmen den Angreifern die Tür öffnen. Cyberkriminelle wissen das und starten ihre Angriffe häufig über eine Phishin-E-Mail, in der sich Schadsoftware in einem Anhang oder einem infizierten Link verbirgt. Im dicht getakteten Arbeitsalltag passiert es immer wieder, dass Mitarbeiter auf diesen Anhang oder Link klicken und damit einer Schadsoftware Zugang zu den Systemen ermöglichen. Künstliche Intelligenz könnte in der Zukunft dafür sorgen, dass infizierte Mails immer schwerer zu identifizieren sind.
Weil auch Zugriffsberechtigungen und Segmentierungen einem dynamischen Prozess unterliegen, ist es wichtig, für Transparenz zu sorgen. Nicht zuletzt leisten auch ein vertrauensvolles Arbeitsklima und eine offene Fehlerkultur einen Beitrag zur mehr IT-Sicherheit.
