Lesezeit: ca.: 6 Minuten
Im Zeitalter von Industrie 4.0 und Digitalisierung, in dem die Vernetzung von Maschinen, Steuerungen und Anlagen stets zunimmt, ist der Schutz dieser vernetzten Systeme relevanter denn je. Die informationstechnische Sicherheit von industriellen Anlagen – bekannt als Industrial Security – ist ein entscheidender Faktor für die Zuverlässigkeit und Wettbewerbsfähigkeit moderner Produktions- und Fertigungsbetriebe. Doch welche technischen Grundlagen müssen Unternehmen beachten, um ihre Systeme effektiv abzusichern? Im Folgenden erhalten Sie einen detaillierten Überblick.
Bedeutung von Industrial Security in der Industrie
Die Digitalisierung industrieller Prozesse bietet vielfältige Vorteile – von einer höheren Effizienz über bessere Steuerungsmöglichkeiten bis hin zu datengetriebenen Optimierungsmöglichkeiten. Doch mit diesen Vorteilen gehen auch neue Bedrohungen wie Sabotage, Industriespionage und die Verschlüsselung von Daten mit anschließender Erpressung einher. Industrial Security beschreibt alle möglichen und notwendigen Maßnahmen, um industrielle Steuerungssysteme und physische Prozesse zu schützen. Während Cyber Security allgemein IT-Systeme und Netzwerke absichert, liegt der Fokus bei Industrial Security auf Produktionsanlagen und deren spezieller Architektur.
IT-Sicherheit und OT-Sicherheit
Die Maßnahmen zur IT-Sicherheit (Information Technology) und OT-Sicherheit (Operational Technology) verfolgen prinzipiell fast identische Ziele: den Schutz von Systemen, Daten und Prozessen vor Schäden durch unautorisierte Zugriffe und Aktivitäten. Allerdings unterscheiden sich die Wege zu diesen Zielen grundlegend:
- IT-Sicherheit: Die obersten Ziele sind der Schutz von Vertraulichkeit, Integrität und Verfügbarkeit der digitalen Daten. Angriffe auf IT-Systeme können zu Datenverlust, Betriebsunterbrechungen oder zu finanziellen Schäden führen. Typische Maßnahmen umfassen Firewalls, Verschlüsselung und Zugangskontrollen. Es ist völlig normal, dass ein Anwender während eines Sicherheitsupdates ein paar Sekunden länger auf eine Serverantwort wartet als üblich.
- OT-Sicherheit: Hier liegt der Fokus klar auf der Verfügbarkeit und Sicherheit physischer Prozesse, sodass eine unterbrechungsfreie Produktion gewährleistet ist. Das Verhindern von Produktionsausfällen, Maschinenschäden oder sogar Personengefährdung stehen hier an erster Stelle. Viele industrielle Systeme haben Echtzeitanforderungen oder sind spezielle Lösungen, die nicht ohne weiteres aktualisiert werden können. Das kann bestenfalls in einem Wartungsfenster erfolgen und setzt die Freigabe des Updates für die entsprechende Systemumgebung voraus.
Die Konvergenz von IT und OT: Mit der zunehmenden Integration von IT-Systemen wie Industrie-Computer in OT-Umgebungen verschwimmen die Grenzen. Ein erfolgreiches Sicherheitskonzept muss daher beide Welten berücksichtigen und auf die jeweiligen Besonderheiten eingehen.
Ein anschauliches Beispiel für IT-Systeme in der Produktion sind die Industrie-Computer der tci GmbH. Die Panel-PCs, Box-PCs und Touchpanels sind als robuste Systeme viele Jahre im produktiven Einsatz. Die Anwender freuen sich über die Langlebigkeit der Systeme, und nach dem Motto „never change a running system“ wird ein Industrie-Computer mit Windows 7 nicht deswegen ersetzt, weil es keine Sicherheitsupdates mehr gibt.
F-Serie von tci: Industrie-Computer/Touchpanel als Teil des skalierbaren Modulssystem
Solche Systeme müssen durch geeignete Maßnahmen, etwa Firewalls oder abgeschottete Netzwerksegmente, vom Netzwerk getrennt werden. Ein Betriebssystem-Update scheidet oft aus, weil die produktive Anwendersoftware nur für ein bestimmtes Betriebssystem freigegeben ist. Das Problem mit veralteten Systemen besteht natürlich bei jedem Industrie-Computer, unabhängig von tci.
Firewalls – Barrieren gegen Angriffe
Firewalls spielen eine zentrale Rolle in der Absicherung von Netzwerken. Sie kontrollieren und überwachen den Datenverkehr zwischen den Netzwerksegmenten und blockieren unautorisierte Zugriffe.
In industriellen Netzwerken kommen in der Regel Automation Firewalls zum Einsatz, die speziell für industrielle Umgebungen entwickelt wurden. Sie bieten entscheidende Vorteile gegenüber klassischen IT-Firewalls. Sie sind auf die besonderen Anforderungen industrieller Netzwerke und Steuerungssysteme abgestimmt, bei denen Echtzeitfähigkeit, hohe Verfügbarkeit und spezifische Protokolle im Vordergrund stehen.
Automation Firewalls sind darauf ausgelegt, industrielle Kommunikationsprotokolle wie Modbus TCP, OPC UA, Profinet, EtherNet/IP und andere zu verstehen und zu analysieren. Sie bieten Deep Packet Inspection (DPI) für diese Protokolle, wodurch sie Anomalien oder potenziell schädliche Aktivitäten innerhalb der Protokollkommunikation erkennen können. Im Gegensatz zu klassischen Firewalls, die auf generische Datenpakete ausgelegt sind, können Automation Firewalls gezielt OT-spezifische Angriffe abwehren, wie das Senden manipulierter Steuerungsbefehle.
Industrielle Prozesse erfordern oft einen kontinuierlichen Betrieb mit minimalen Latenzen. Automation Firewalls sind für diese Anforderungen optimiert, sodass sie den Datenfluss nicht beeinträchtigen. Sie unterstützen in der Regel Failover-Funktionen, um sicherzustellen, dass der Datenverkehr insgesamt bei einem Ausfall eines einzelnen Netzwerkteilnehmers nicht beeinträchtigt wird.
Netzwerksegmentierung
Eine der wichtigsten Maßnahmen, um industrielle Systeme und Netzwerke effektiv zu schützen, ist die Netzwerksegmentierung. Dabei wird ein Netzwerk in kleine, logisch voneinander unabhängige Bereiche aufgeteilt. An den Übergängen zwischen den Netzwerken überwacht eine Firewall den Datenaustausch und erlaubt nur den definierten Datenverkehr.
Ohne Segmentierung können sich erfolgreiche Cyberangriffe, die ein System kompromittieren, leicht über das gesamte Netzwerk ausbreiten. Mit klar definierten Grenzen zwischen den Netzwerksegmenten wird dieses Risiko minimiert.
Umsetzung in der Praxis:
- VLANs (Virtual Local Area Networks): Ermöglichen eine logische Trennung von Netzwerken, selbst wenn sie physisch auf derselben Infrastruktur laufen.
- DMZ (Demilitarisierte Zone): Die DMZ ist ein zweistufiges Sicherheitskonzept mit einer Pufferzone zwischen unsicheren externen Netzwerken und internen Systemen, das kritische Produktionssysteme schützt.
- Subnetze: Erstellen kleinerer Netzwerkbereiche mit spezifischen Sicherheitsregeln, um den Datenverkehr gezielt zu steuern.
Netzwerküberwachung
Die Netzwerküberwachung ist eine Art Sicherheitsdienst für den Datenverkehr eines Netzwerks. Ähnlich wie bei einem Gebäudezugang, bei dem Sicherheitsmitarbeiter prüfen, ob Personen zum Zugang berechtigt sind, sollte das in einem industriellen Netzwerk sein. Hier übernehmen entsprechend konfigurierte Firewalls diese Aufgabe, indem sie prüfen, ob Geräte oder Benutzer berechtigt sind, auf das Netzwerk zuzugreifen. Wie eine Überwachungskamera im Gebäude suchen Überwachungstools im Netzwerk nach ungewöhnlichem Verhalten, etwa ungewöhnlich großer Datenverkehr, Zugriffe auf Systeme, die normalerweise nicht genutzt werden oder Zugriffsversuche auf gesperrte Ports. Voraussetzung für die Netzwerküberwachung ist, dass der Normalzustand exakt hinterlegt ist.
Ähnlich einem Logbuch protokollieren Netzwerk-Monitoring-Systeme, welcher Datenverkehr von welchem Gerät kam, welche Dienste genutzt wurden und ob es ungewöhnliche Zugriffsversuche gab. Zudem wird überwacht, dass Geräte oder Benutzer nur auf die Teile des Netzwerks zugreifen, für die sie berechtigt sind. Dazu gehört auch, bestimmte Verbindungen oder Dienste zu blockieren oder einzuschränken.
Wenn die Netzwerküberwachung solche Anomalien erkennt, wird sofort ein Alarm ausgelöst, sodass die Administratoren reagieren können.
Die Netzwerk-Überwachung hat manchmal etwas Abstraktes an sich. Sie funktioniert jedoch ähnlich wie die Sicherheitsmaßnahmen, die wir aus der realen Welt kennen. Es ist ein aktives System, das ständig überprüft, wer Zugang zum Netzwerk erhält und was innerhalb der sicheren Zone vor sich geht.
Industrial Security ist ein kontinuierlicher Prozess
Industrial Security ist keine einmalige Maßnahme, sondern ein kontinuierlicher Prozess. Die Kombination aus Netzwerksicherheit, Segmentierung, Firewalls, Überwachung und Anomalieerkennung bildet die Grundlage, um industrielle Anlagen vor aktuellen Bedrohungen von innen und außen zu schützen. Angesichts der zunehmenden Vernetzung von IT und OT ist ein ganzheitliches Sicherheitskonzept unverzichtbar, um die Daten und Prozesse bestmöglich zu schützen und einen kontinuierlichen und sicheren Betrieb der Anlagen zu gewährleisten.
Für das oben genannte Problem mit den veralteten Betriebssystemen, die keine Patches und keine Updates mehr erhalten, zeichnen sich neue Lösungsansätze mit Linux ab. Das skalierbare Modulsystem von tci bietet hier bereits heute eine zukunftsfähige Lösung an, die aus drei Komponenten besteht:
- tci WebPanels als robuste und langlebige Hardware, Langzeit-verfügbar, wartungsfrei, ermöglichen einen reibungslosen und sicheren Betrieb.
- Die Software Suite umfasst einen Yocto-basierten aktuellen Linux-Kernel mit Long-Term Support, integrierter Security durch verschlüsselte Verbindungen, gerätespezifische Zertifikate und ein sicheres Patchmanagement.
- Das Flottenmanagement ermöglicht die effiziente Verwaltung, Steuerung und Vernetzung der Geräteflotte über eine sichere Cloud-Plattform
Das ist ein anschauliches Beispiel, wie ein Industriecomputer-Hersteller wie tci Systeme bieten kann, die dank Security-by-Design systembedingt die Maschinenbauer und Anlagenbetreiber dabei unterstützen, ein zukunftsfähiges Industrial Security-Konzept umzusetzen.
Zu den Bedrohungen und Risiken in Sachen Industrial Security gehen wir hier ein: https://blog.tci.de/industrial-security-bedrohungen-und-risiken
