IT-Security: Die Fertigung absichern

Das „Internet of Things“ (IoT) verspricht der produzierenden Industrie einen riesigen Innovationssprung. Soll IoT jedoch zur Erfolgsgeschichte werden, müssen Cyber-Angriffe rechtzeitig erkannt und konsequent abgewehrt werden – und zwar ohne, dass sich die Produktionsprozesse dadurch verzögern. Dafür sind speziell auf die Industrie ausgerichtete IT-Sicherheitslösungen nötig.

von Anja Dienelt

Im Zeitalter des IoT werden Maschinen, Werkzeuge und Steuerungsgeräte zu Trägern digitaler Informationen. Sie sind „smart“ und können Daten verarbeiten und Befehle selbstständig weitergeben. Für die produzierende Industrie entstehen mit der Entwicklung des IoT neue Chancen, um Produktionsprozesse dynamischer und effizienter zu gestalten. Gleichzeitig gehen mit der wachsenden Anzahl der mit dem Internet verbundenen Geräte jedoch auch Sicherheitsrisiken einher.

Cyber-Kriminelle können die Schnittstellen mit dem Netz als Angriffspunkt nutzen – mit gravierenden Folgen. Diese reichen vom Verlust sensibler Unternehmensinformationen über die Sabotage einzelner Maschinen bis hin zu Produktionsausfällen.

Der Schuh drückt

Laut einer neuen Studie, welche die IDG Communications Media AG jüngst zur Hannover Messe 2017 vorgelegt hat, gilt die IT-Sicherheit bei den Unternehmen als wichtigste Hemmnis beim Thema Industrie 4.0. Und unterstreicht damit, was schon frühere Studien belegen.

Die Umfrage zeigt, dass sich die Unternehmen insbesondere um Hackerangriffe oder DDoS-Attacken sorgen, gefolgt von Industriespionage und dem daraus resultierenden Verlust der Wettbewerbsfähigkeit. Gleichzeitig gehen zwei Drittel (65 Prozent) der Unternehmen davon aus, dass Industrie 4.0 innerhalb der nächsten drei Jahre für sie wichtig oder sehr wichtig werden wird.

Zu ähnlichen Ergebnissen kam beispielsweise die Studie „IT-Sicherheit für Industrie 4.0“ des Bundeswirtschaftsministeriums aus dem vergangenen Jahr, die zu dem Schluss kommt: IT-Sicherheit ist zunehmend technische Voraussetzung und entscheidender Enabling-Faktor für Industrie 4.0.

Vernetzung macht angreifbar

Vor allem dort, wo Maschinen und Anlagen für den Fernzugriff durch Hersteller und Wartungstechniker vernetzt sind, entstehen hohe Sicherheitsrisiken. Über Fernwartungszugänge und Update-Interfaces an den Maschinen entstehen Schlupflöcher, durch die Daten unerwünscht nach außen dringen oder schädliche Daten in das Unternehmen gelangen könnten. Diesen Gefahren haben die in den Produktionsnetzwerken eingesetzten industriellen Leit- und Steuerungskomponenten kaum etwas entgegenzusetzen.

Das rührt aus der Tatsache, dass die meisten Komponenten der Steuerungs- und Regelungstechnik in der Vergangenheit mit Blick auf deren Verfügbarkeit und nicht auf deren IT-Sicherheit entwickelt wurden. Solange die Produktionsnetze von der übrigen IT-Infrastruktur getrennt waren, war das auch nicht nötig, denn es gab deutlich weniger Angriffsmöglichkeiten. Mit dem Aufkommen des „Internet der Dinge“ und der Industrie 4.0 ändert sich dies grundlegend.

Heterogene Strukturen

Durch die Industrienetzwerke fließen immer mehr Daten, was daran liegt, dass diese enorm schnell anwachsen und im Gegensatz zum homogenen Office-Netz eher heterogen geprägt sind von unterschiedlichen Anlagenlieferanten, die die Hoheit über ihre Maschinen haben. Das Netzwerk wird damit zur Blackbox, in der Informationen und Befehle unbeobachtet ausgetauscht werden können – etwa um Produktinformationen an Produktionssysteme weiterzugeben, eine permanente Zustandsüberwachung von Anlagen zu erlangen (Condition Monitoring) und um Logistikprozesse zu synchronisieren.

Externe Partner haben zunehmend Zugriff auf dieses Netzwerk. Denn Maschinenbauer integrieren ihre eigenen IoT-Lösungen in ihre Geräte, sodass der Anlagenbetreiber letztlich kaum noch weiß, welche Systeme in seinem Netzwerk aktiv sind. Gleichzeitig ist er darauf angewiesen, dass die Produktion kontinuierlich und ohne Unterbrechungen arbeitet. Nur dann wird Industrie 4.0 für die Industrie tatsächlich zur Chance.

Mehrstufiges Sicherheitskonzept

Um sich vor Angriffen und Netzwerkproblemen zu schützen, müssen Industrieunternehmen daher Gefahren aufdecken, Anomalien visualisieren und das Netzwerk vor Angriffen schützen – und zwar sehr schnell, sodass es innerhalb der Produktionsprozesse zu keinerlei Verzögerungen kommt.

Dafür ist ein mehrstufiges Sicherheitskonzept notwendig, bestehend aus:

1. Netzwerk-Sensor

2. Reporting-Tool

3. Industrie-Firewall

1. Der Netzwerk-Sensor – auch als Probe bezeichnet – wird an mehreren Stellen in das Netzwerk eingefügt. Dort schneidet er den Netzwerkverkehr mit und analysiert ihn. Auf diese Weise lässt sich zum einen erkennen, was in der Leitung passiert – gleichzeitig lassen sich Angriffe aufspüren.

Kern einer solchen Netzwerkanalyse ist eine sogenannte Deep Packet Inspection (DPI) und eine entsprechende DPI-Engine. Anstatt den Datenverkehr über den genutzten „Port“ zu klassifizieren, werden mit dem DPI-Verfahren die Daten inhaltlich dekodiert. Erst das ermöglicht detaillierte Einblicke in den Datenverkehr. Auf diese Weise werden auch versteckte Angriffe auch in erlaubten Protokollen gefunden.

2. Das Reporting-System trifft auf Basis dieser Daten Aussagen zum Zustand des Netzes, wie etwa die Kommunikationsbeziehungen im Netz oder das Kommunikationsverhalten einzelner Maschinen. Die gewonnenen Daten verschaffen Unternehmen die entscheidende Grundlage zur Sicherung eines kontinuierlichen Betriebs und ermöglichen darüber hinaus eine genauere Planbarkeit hinsichtlich Netzwerkauslastung und -dimensionierung.

Es gibt sogar die Möglichkeit, dass das Reporting Anomalien in dem Moment visualisiert, in dem sie im Netzwerk auftreten. Ein solches Event-Monitoring weist Administratoren und Betreiber industrieller Netze sofort auf mögliche Probleme im Netz hin. Probleme, die aus infizierten Maschinensteuerungen, Fehlkonfigurationen oder potenziellen Cyber-Angriffen resultieren können, lassen sich auf diese Weise schnell erkennen. Ein zeitnahes „Troubleshooting“ ist möglich, noch bevor die Produktion vom Angriff beeinflusst wird und hohe Kosten entstehen.

3. Die Industrie-Firewall: Bislang wurden Prozess- und Steuerungsnetze hauptsächlich durch klassische Firewalls geschützt, die das Firmennetzwerk im Ganzen vor Angriffen von außen sichern (First Line of Defense). Solche Perimeter-Firewalls reichen als Schutzkonzept in komplexen Industrienetzwerken nicht mehr aus.

Benötigt werden stattdessen zusätzlich Firewalls, die im Inneren des Netzes arbeiten und dieses in mehrere Zonen segmentieren. Solche „Brandabschnitte“ sorgen dafür, dass im Falle eines Angriffs, der Schaden nicht auf das gesamte Netzwerk übertreten kann.

Um auch unbekannte Angreifer fernzuhalten, braucht die Industrie zudem Firewalls mit einer integrierten DPI-Engine. Diese ermöglicht einen sogenannten proaktiven Schutz mittels Whitelisting. Dieses Konzept stellt sicher, dass Industrienetzwerke nur von autorisierten Personen mit definierten Befehlen angesteuert werden. Auf diese Weise wird auch ein Schutz vor „Zero-Day-Exploits“ möglich, also vor Cyber-Angriffen die Sicherheitslücken ausnutzen, die noch unbekannt sind und deshalb nicht geschlossen wurden.

Hohe Performance

Neben der Genauigkeit bei der Datenerkennung, spielt die Zuverlässigkeit der Performance in der Industrie eine entscheidende Rolle. Latenzzeiten gilt es zu vermeiden, denn Produktionsprozesse dulden keine Unterbrechung. Die Datenübertragung in einem Produktionsnetzwerk muss stets sofort erfolgen, deshalb sollte eine Industrie-Firewall mit der sogenannten „Single-Pass-Technologie“ arbeiten, bei der der Netzverkehr parallel statt sequentiell bearbeitet wird. Das steigert die Performance erheblich.

Und schließlich sollte eine Firewall für Industrienetzwerke auch verschiedene Industrieprotokolle, wie Scada, Modbus TCP oder DNP 3 unterstützen, damit sie diese auch erkennen und dekodieren kann. Die Hardware muss zudem so konzipiert sein, dass sie auch für anspruchsvolle Einsatzorte wie Produktionshallen, Windparks, Werkstätten oder für das Verkehrswesen (bspw. Schifffahrtsindustrie) geeignet ist.

Mit einer gehärteten Hardware schützt die Firewall auch unter extremen Temperaturverhältnissen oder unter EMV-­Einflüssen – also ungewollten elektrischen oder elektromagnetischen Effekten – verlässlich das Netzwerk. jbi

Autor: Anja Dienelt ist Solution Manager IoT bei Rohde & Schwarz Cybersecurity.


  • Ein Reporting-System trifft auf Basis von Netzwerkdaten Aussagen zu dessen Zustand. Bild: Rohde & Schwarz
0
RSS Feed

Hat Ihnen der Artikel gefallen?
Abonnieren Sie doch unseren Newsletter und verpassen Sie keinen Artikel mehr.

Mit einem * gekennzeichnete Felder sind Pflichtfelder!

Neuen Kommentar schreiben

Entdecken Sie die Printmagazine des WIN-Verlags