{"id":12887,"date":"2018-06-26T11:56:27","date_gmt":"2018-06-26T09:56:27","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=12887"},"modified":"2018-06-19T08:56:45","modified_gmt":"2018-06-19T06:56:45","slug":"industrie-4-0-sicher-vernetzen","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=12887","title":{"rendered":"Industrie 4.0 sicher vernetzen"},"content":{"rendered":"
\"\"<\/a>
Florian Hermann, Technical Expert bei Axians Networks & Solutions (Quelle: Axians)<\/figcaption><\/figure>\n

Autor\/Redakteur: Florian Hermann, Technical Expert bei Axians Networks & Solutions<\/a>\/gg<\/p>\n

IT und Operational Technology (OT) wachsen im Industrie-4.0-Umfeld zusammen, wobei die Vernetzung den Automatisierungsgrad und die Effizienz der Produktion entscheidend steigert. Flankierend muss aber ein Sicherheitsniveau erreicht werden, das zumindest dem Standard in der IT entspricht.<\/p>\n

<\/p>\n

Auch in der Industrie 4.0 mit ihren vernetzten Produktionsumgebungen m\u00fcssen sich beispielsweise Virenschutz und Sicherheitsstrategie auf dem h\u00f6chsten Niveau bewegen. Sonst kann etwa Schadsoftware f\u00fcr erhebliche Verluste sorgen. So erlitt der d\u00e4nische Reederei-Konzern Maersk durch die Ransomware Petya 2017 Umsatzeinbu\u00dfen in H\u00f6he von bis zu 300 Millionen US-Dollar. Dar\u00fcber hinaus h\u00e4ngt der Erfolg immer auch von den Mitarbeitern ab und wie sie die System- und Datensicherheit leben. Industrieunternehmen m\u00fcssen daher bei der Vernetzung der Anlagen vorab ihre Mitarbeiter f\u00fcr die Gefahren und Sicherheitsrisiken sensibilisieren. Schulungen sind n\u00f6tig, um den sicherheitsbewussten Umgang mit Daten und vernetzten Ger\u00e4ten zu vermitteln.<\/p>\n

Welche Angriffsszenarien aktuell drohen<\/strong><\/p>\n

Ein Beispiel unter vielen: Einige Anwender sind sich \u00fcber die Risiken gar nicht im Klaren, wenn sie ihr Handy per USB an einer Maschine laden. Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) jedoch stuft die \u201eKompromittierung von Smartphones im Produktionsumfeld\u201c in einem Ranking der Gefahren, die Industrieanlagen bedrohen, auf den zehnten Platz ein. Das Risiko einer solchen Attacke senken Unternehmen drastisch, indem sie den Zugriff von Smartphones auf Steuerungssysteme auf den Lesemodus beschr\u00e4nken. Angreifer k\u00f6nnen so keine Betriebs- oder Produktionsparameter ver\u00e4ndern. Idealerweise fungiert die interne IT zudem als zentrale Instanz, die Apps f\u00fcr Smartphones pr\u00fcft und verteilt.<\/p>\n

Zudem macht ein Blick auf die Top-3 in dem BSI-Ranking deutlich: Typische Angriffsszenarien, mit denen die IT zu k\u00e4mpfen hat, betreffen nun auch die OT. Die gr\u00f6\u00dfte Gefahr f\u00fcr vernetzte Produktionsumgebungen stellen demnach Phishing und Social Engineering, das Einschleusen von Schadsoftware \u00fcber Wechseldatentr\u00e4ger und externe Hardware sowie die Infektion mit Schadsoftware \u00fcber das Internet dar. Gelingt es Cyberkriminellen bis zur Anlagensteuerung vorzudringen, k\u00f6nnten sie die komplette Produktion lahmlegen. Selbst durch Industriespionage entsteht schon ein riesiger Schaden.<\/p>\n

<\/p>\n

Maschinen kommunizieren anders<\/strong><\/p>\n

Als einfache L\u00f6sung dr\u00e4ngt sich auf, die bew\u00e4hrten Sicherheitstechniken aus der IT auf die Produktionsnetzwerke zu \u00fcbertragen. Das funktioniert allerdings nicht, da etwa ein Maschinenpark ganz besondere Anforderungen hat. Herk\u00f6mmliche Security-Produkte aus dem Enterprise-Umfeld sind nicht f\u00fcr den Einsatz im Industrie-4.0-Umfeld geeignet. Stattdessen braucht man speziell f\u00fcr die Industrie entwickelte Komponenten. Au\u00dferdem sprechen Produktionsanlagen untereinander mit anderen Protokollen als IT-Netzwerke. Eine Enterprise-Firewall kann sich also nicht mit einem OT-Netzwerk verst\u00e4ndigen. Zwei Aspekte erschweren die Absicherung der Kommunikation zus\u00e4tzlich. Zum einen existieren mehrere Kommunikations-Standards parallel, wie Profinet und Profibus. Anderseits sprechen die meisten Steuerungskomponenten derzeit ungesch\u00fctzt \u00fcber Klartextprotokolle miteinander. Angreifer k\u00f6nnten in die Feldbus-Kommunikation eingreifen, um mitzulesen, zu manipulieren oder Steuerbefehle einzuspielen.<\/p>\n

Industrie 4.0 zeichnet sich noch durch weitere Besonderheiten aus, die zu ber\u00fccksichtigen sind. So erwarten Produktionsanlagen Antwortzeiten im Millisekundenbereich. Diese Anforderungen hat beispielsweise eine Firewall zu erf\u00fcllen, wenn sie den Netzwerkverkehr analysiert und Sicherheitsregeln umsetzt. Generell m\u00fcssen Industrie-4.0-Sicherheitskomponenten Hitze, K\u00e4lte oder Staub aushalten k\u00f6nnen. Verbreitet setzen Industriefirmen darauf, ihre Anlagen \u00fcber WLAN zu vernetzen. Die Funktechnologie eignet sich am besten, weil die Maschinen oft weit auseinanderstehen.<\/p>\n

<\/p>\n

Mit einer genauen Analyse starten<\/strong><\/p>\n

Die Bedrohungsszenarien und die Vor-Ort-Gegebenheiten machen klar: Am h\u00f6chsten Sicherheitslevel f\u00fcr die vernetzte Produktion k\u00f6nnen nur Spezialisten arbeiten. Herstellerunabh\u00e4ngige Berater und Systemintegratoren wie Axians in Zusammenarbeit mit dem Automatisierungsspezialisten Actemium bringen sowohl IT- als auch OT-Know-how mit und k\u00f6nnen wertvolle Unterst\u00fctzung leisten. Die beiden Konzernschwestern der Vinci Energies arbeiten im Bereich Industrie 4.0 bereits engmaschig zusammen.<\/p>\n

Die Spezialisten ermitteln das Sicherheitsbed\u00fcrfnis des Industrieunternehmens und die n\u00f6tigen Technologieanwendungen, Protokolle und Richtlinien f\u00fcr die Umsetzung. Zudem sorgen sie daf\u00fcr, dass die vorgeschlagenen Sicherheitsma\u00dfnahmen gesetzeskonform sind. So m\u00fcssen Betreiber von kritischen Infrastrukturen etwa aus den Sektoren Energie, Wasser, Gesundheit oder Ern\u00e4hrung die strengen Anforderungen der KRITIS-Verordnung erf\u00fcllen. Oft besteht der Wunsch nach einer Fernsteuerung und -wartung, um die sich ein externer Dienstleister k\u00fcmmern soll. Das Steuern der Anlage \u00fcber das Internet geht dann als Punkt in den Anforderungskatalog ein. F\u00fcr die technische Realisierung gilt es allgemein, die richtige Balance zu finden. Die Ma\u00dfnahmen sollen zum h\u00f6chsten Sicherheitsniveau f\u00fchren, d\u00fcrfen aber die Produktion nicht beeintr\u00e4chtigen.<\/p>\n

Finales Feinjustieren an Anlage und Netz<\/strong><\/p>\n

Das Sicherheitskonzept stimmen die Experten individuell auf die Produktionsumgebung ab. Zun\u00e4chst nehmen sie sich die Anlage selbst vor, um zu pr\u00fcfen, ob sich bereits die Steuereinheit absichern l\u00e4sst. Oft besteht die M\u00f6glichkeit, in der Steuerungssoftware einzustellen, welche Personen oder Ger\u00e4te die Anlage programmieren d\u00fcrfen. Auf Netzwerkebene kommen spezielle, f\u00fcr die Umgebung geeignete Firewalls zum Einsatz. So lassen sich Kommunikationsfl\u00fcsse steuern und Sicherheitsregeln auf den Netzwerkverkehr anwenden. Die Richtlinien legen fest, welche Systeme im Unternehmensnetzwerk \u00fcberhaupt mit der Produktionsanlage sprechen d\u00fcrfen. Die Maxime lautet: Je weniger Kommunikation stattfindet, desto besser, denn umso kleiner wird die Angriffsfl\u00e4che. Soll ein externer Dienstleister die Anlage \u00fcber das Internet steuern, ist der Aufbau einer verschl\u00fcsselten Verbindung und das Implementieren eines granularen Rechtemanagements n\u00f6tig.<\/p>\n

Doch auch die beste Firewall braucht Updates, um zuverl\u00e4ssig ihren Dienst zu verrichten. Deshalb sollten Sicherheitsverantwortliche schon in der Konzeptionsphase ber\u00fccksichtigen, wie sie ihre Systeme regelm\u00e4\u00dfig patchen k\u00f6nnen. Auch die Software der Produktionsanlage selbst sollte \u2013 auch wenn das mit Aufwand und Risiko verbunden ist \u2013 stets aktualisiert werden, um m\u00f6gliche Sicherheitsl\u00fccken zu schlie\u00dfen.<\/p>\n

Technik verbindet, Sicherheit verlangt nach Verantwortung<\/strong><\/p>\n

Eine reine IT-Sicherheitsstrategie greift in einer Industrie-4.0-Umgebung nicht. Das Zusammenwachsen von IT und OT verlangt das Verkn\u00fcpfen von Technologien, Protokollen und Sicherheitsrichtlinien, damit die vernetze Produktion auf einem hohen Sicherheitsniveau stattfindet. Diese Aufgabe k\u00f6nnen nur Spezialisten \u00fcbernehmen, die sich bestens in beiden Welten auskennen \u2013 in der IT und der OT. Der Weg zum sicheren Industrie-4.0-Projekt f\u00fchrt immer auch \u00fcber die Mitarbeiter, weshalb ein umfassendes Security-Konzept aufzeigen muss, wie die Belegschaft sensibilisiert und geschult wird. Ohne deren verantwortungsvolles Handeln wirken im Ernstfall die implementierte Technik und umgesetzten Vorschriften nicht wie vorgesehen.<\/p>\n","protected":false},"excerpt":{"rendered":"

Autor\/Redakteur: Florian Hermann, Technical Expert bei Axians Networks & Solutions\/gg IT und Operational Technology (OT) wachsen im Industrie-4.0-Umfeld zusammen, wobei<\/p>\n","protected":false},"author":3,"featured_media":12884,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,3831],"tags":[9290,490,9825,5432,36],"class_list":["post-12887","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-m2miot","tag-axians","tag-bsi","tag-ot","tag-ransomware","tag-sicherheit"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/12887","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=12887"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/12887\/revisions"}],"predecessor-version":[{"id":12888,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/12887\/revisions\/12888"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/12884"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=12887"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=12887"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=12887"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}