zapp2photo - Fotolia

Industrie 4.0: Produktionssicherheit neu denken

Industrielle Produktionsanlagen werden von denselben Angriffsszenarien bedroht werden wie die Unternehmens-IT. Allerdings lassen sich nicht dieselben Sicherheitslösungen einsetzen.

Mit Industrie 4.0 können Unternehmen ihre Produktion flexibler, kostengünstiger und effizienter gestalten. Doch die Vernetzung der Anlagen mit Unternehmensnetzwerken und dem Internet öffnet neue Angriffsflächen für Hacker. Eine zentrale Frage lautet daher: Wie kann man eine vernetzte Produktionsumgebung richtig absichern?

Industrie 4.0 verbindet IT und Operational Technology (OT) und vernetzt die vorher getrennten Welten – und öffnet neue Einfallstore für Hacker. Angriffsszenarien, die wir bisher aus der IT kennen, betreffen jetzt auch die OT.

Und das mit gravierenden Folgen: Wenn es einem Angreifer gelingt, in den Computer eines Produktionsleiters einzudringen, könnte er bis zur Anlagensteuerung vordringen und sie manipulieren. Cyberkriminelle könnten so die komplette Produktion lahmlegen oder Industriespionage betreiben. In beiden Fällen wäre der Schaden riesig.

Spezielle Herausforderungen in der Produktion

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Liste Industrial Control System Security mit den zehn häufigsten Bedrohungen für Industrieanlagen veröffentlicht. Dabei fällt auf, dass sie sich kaum von den Angriffsszenarien für IT-Netzwerke unterscheiden. Auf Platz eins rangieren Social Engineering und Phishing. Platz zwei belegt das Einschleusen von Schadsoftware über Wechseldatenträger und externe Hardware, Platz drei die Infektion mit Schadsoftware über Internet und Intranet. Auf Rang vier folgt der Einbruch über Fernwartungszugänge.

Wenn IT und OT von denselben Angriffsszenarien bedroht sind, könnte man dann nicht einfach bewährte Sicherheitstechniken aus der IT auf die Produktionsnetzwerke übertragen? Leider nein, denn ein Maschinenpark hat ganz besondere Anforderungen. Eine Schwierigkeit besteht darin, dass Produktionsanlagen andere Protokolle sprechen als IT-Netzwerke. Eine Enterprise-Firewall kann sich also nicht mit einem OT-Netzwerk verständigen. Erschwerend kommt hinzu, dass es im industriellen Umfeld bisher keinen einheitlichen Kommunikations-Standard gibt. Sicherheitskomponenten müssen also immer auf die jeweiligen Protokolle im Maschinenpark abgestimmt sein.

Eine weitere Herausforderung liegt in der Geschwindigkeit. Denn Firewalls verursachen immer eine Zeitverzögerung, da sie den Netzwerkverkehr analysieren müssen, um Sicherheitsregeln umzusetzen. Produktionsanlagen erwarten Antwortzeiten im Millisekundenbereich. Darauf müssen Industrie-4.0-Sicherheitskomponenten optimiert sein. Gleichzeitig sind sie herausfordernden äußeren Einflüssen ausgesetzt, zum Beispiel Hitze, Kälte oder Staub. Eine herkömmliche Firewall würde die extremen Temperaturen in einem Stahlwerk nicht aushalten.

Maschinen in einer Produktionsanlage sind zudem meist über eine große Fläche verteilt. Netzwerke müssen also weite Distanzen überbrücken und Kabel sind dafür nicht praktikabel. Stattdessen ist eine geeignete Funktechnologie erforderlich. Auch sie muss mit der anspruchsvollen Umgebung zurechtkommen und robust funktionieren – etwa mit für den industriellen Bereich optimierten WLAN-Infrastrukturen.

Nicht zuletzt müssen sich Produktionsanlagen und damit auch die Sicherheitssysteme aus der Ferne steuern und managen lassen. Denn es ist nicht immer ein Systembetreuer vor Ort, der im Notfall schnell ein Problem beheben kann. Wenn eine Maschine stillsteht, kostet das jedoch viel Geld. Gerade in der Produktion ist es daher extrem wichtig, schnell auf Vorfälle zu reagieren.

Erster Schritt: ein Sicherheitskonzept entwickeln

Einige Hersteller bieten bereits Sicherheitskomponenten an, die auf die speziellen Bedürfnisse von Industrie 4.0 abgestimmt sind. Entscheidend ist, dass man die richtigen Komponenten für die jeweilige Produktionsanlage auswählt und in ein Gesamtkonzept einbindet. Unabhängige Berater können dabei helfen.

Am Anfang machen die Experten eine Bestandsaufnahme und erarbeiten einen Anforderungskatalog. In welcher Halle stehen welche Maschinen und wo gibt es welche Sensoren? Welche Geräte müssen miteinander kommunizieren können? Welche Protokolle sprechen sie? Welche Ansprüche an die Sicherheit hat das Unternehmen? Diese können durch gesetzliche Regularien vorgeschrieben sein, etwa durch die Anforderungen der KRITIS-Verordnung.

Anschließend geht es um die Frage, wie sich die Anforderungen am besten technisch umsetzen lassen. Dabei gilt es, die richtige Balance zu finden: Einerseits besteht das Ziel darin, die größtmögliche Sicherheit zu erreichen. Andererseits dürfen die Security-Maßnahmen die Produktion nicht beeinträchtigen. Für Industrieunternehmen hat der reibungslose Betrieb der Anlage immer Priorität, denn damit verdienen sie ihr Geld.

Eine Standardanlage absichern: So geht‘s

Jede Produktionsumgebung ist anders. Deshalb muss auch das Sicherheitskonzept individuell darauf abgestimmt sein. Es gibt jedoch ein paar grundsätzliche Herangehensweisen, die als Blaupause dienen können. Zunächst einmal empfiehlt es sich, zu prüfen, ob die Anlage selbst bereits Möglichkeiten zur Absicherung bietet. In der Regel verfügen Industrieanlagen über eine Steuereinheit, auf der eine Software läuft. Meist kann man hier bereits Einstellungen vornehmen, etwa indem man festlegt, dass nur bestimmte Personen oder Geräte die Anlage überhaupt programmieren dürfen.

Florian Hermann, Axians

„Wer Industrie-4.0-Projekte richtig absichern möchte, braucht Kompetenz sowohl in der IT als auch der OT.“

Florian Hermann, Axians Networks & Solutions

Auf Netzwerkebene sollten Unternehmen spezielle, für ihre Umgebung geeignete Firewalls einsetzen. So lassen sich Kommunikationsflüsse steuern und Sicherheitsregeln auf den Netzwerkverkehr anwenden. Wenn eine Anlage von einem externen Dienstleister betreut wird, muss sie zudem übers Internet steuerbar sein. Dafür ist eine gesicherte, verschlüsselte Verbindung nötig ebenso wie ein granulares Rechte-Management.

Die beste Firewall bringt nichts, wenn sie nicht auf dem neuesten Stand ist. Deshalb sollten Sicherheitsverantwortliche schon in der Konzeptionsphase berücksichtigen, wie sie die eingesetzten Systeme regelmäßig patchen können. Auch die Software der Produktionsanlage selbst sollte stets aktualisiert werden, um mögliche Sicherheitslücken zu schließen.

Bei allen Sicherheitsbetrachtungen dürfen Unternehmen eines nicht vergessen: Das größte Sicherheitsrisiko ist und bleibt der Mensch. Wie die BSI-Risikoliste zeigt, nutzen Hacker häufig Social Engineering und Phishing, um sich Zugang zu Netzwerken und sensiblen Daten zu verschaffen. Unternehmen müssen ihre Mitarbeiter für solche Gefahren sensibilisieren.

Fazit

Wer Industrie-4.0-Projekte richtig absichern möchte, braucht Kompetenz sowohl in der IT als auch der OT. Denn nur wer die Technologien und Protokolle in beiden Welten kennt, kann sie auch sicher verknüpfen und in ein umfassendes Security-Konzept einbinden. Dieses muss neben technischen Überlegungen auch Maßnahmen zur Mitarbeitersensibilisierung enthalten. Für die Umsetzung benötigt man Komponenten, die speziell für die besonderen Anforderungen im industriellen Umfeld entwickelt wurden.

Über den Autor:
Florian Hermann ist Technical Expert bei Axians Networks & Solutions. Herstellerunabhängige Berater und Systemintegratoren wie Axians in Zusammenarbeit mit dem Automatisierungsspezialisten Actemium bringen sowohl IT- als auch OT-Know-how mit und können wertvolle Unterstützung leisten. Die beiden Konzernschwestern der Vinci Energies arbeiten im Bereich Industrie 4.0 bereits engmaschig zusammen.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Die Unterschiede zwischen IoT und IIoT

IoT-Sicherheitsrisiken mit NAC begrenzen

Gratis-eBook: Benutzerkonten und Rechte im Griff

Artikel wurde zuletzt im Februar 2018 aktualisiert

Erfahren Sie mehr über Best Practice: Netzwerk-Sicherheit und -Tools

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close