IT-Sicherheit in der vernetzten Produktion – der ganzheitliche Ansatz

Für die Wettbewerbsfähigkeit des deutschen Mittelstands sind Investitionen in Industrie 4.0 Voraussetzung.Mit der zunehmenden Vernetzung steigt jedoch das Risiko für Cyberangriffe. IT-Sicherheit avanciert damit zum kritischen Erfolgsfaktor für die Digitalisierung. Doch worauf müssen Unternehmen achten, wenn sie ihre Daten und Anlagen schützen wollen?  von Raphael Vallazza

Eine Herausforderung bei der Digitalisierung von Produktionsanlagen liegt darin, zunächst die Verbindung zwischen der Feldebene und der IT-Ebene herzustellen. Die Verantwortlichen sind hier mit einer großen Bandbreite inkompatibler industrieller Kommunikationsstandards konfrontiert. Die Komponente, die die Konnektivität erlauben soll, kann dabei auch die Kommunikation absichern. Sie sollte also klug gewählt sein.

Konnektivität und Sicherheit

Besonderes Augenmerk sollte auf die Auswahl des passenden Gateways gerichtet werden, denn ihm kommen zwei unterschiedliche Aufgaben zu: Es muss die Integration der Daten in die übergeordneten Leitsysteme ermöglichen und gleichzeitig die Anlagen sowie die Kommunikation absichern.

Idealerweise kann ein Industrie-Gateway viele unterschiedliche Kommunikationsstandards auslesen und an die IT-Ebene übertragen. Die gewonnenen Daten lassen sich beispielsweise für die vorausschauende Wartung einsetzen. Der proaktive Wartungsansatz hilft dabei, Ausfallzeiten von Maschinen und Anlagen gering zu halten und damit die Produktivität zu steigern.

Security by Design

Über das Prinzip „Security by Design“ liefern einige Gateway-Hersteller die Basis für IT-Sicherheit gleich mit. Solche Gateways basieren auf einem Unified Threat Management (UTM), das mehrere Sicherheitsfunktionen in einer einzigen Anwendung kombiniert: Eine Firewall schützt Maschinen und Analgen vor Übergriffen von außen, während eine VPN-Appliance den Datenfluss verschlüsselt. Appliance steht hier für eine Kombination aus Soft- und Hardware, die die VPN-Funktion sicherstellt. Diese Verschlüsselt die Daten Ende-zu-Ende, also von der Maschine bis hin zur IIot-Plattform. Zusätzlichen Schutz bietet eine Antivirus-Software und ein IDS/IPS (Intrusion Detection/Prevention System). Also ein System das bestimmte Angriffe erkennt und in einigen Fällen selbst abwehren kann.

Auch ohne Expertise gewappnet

Unterschiedliche integrierte UTMs (Unified Threat Management – einheitliches Gefahren-Management) ermöglichen einen schnellen Rollout mehrerer Security-Funktionen. Das ist besonders für kleine und mittlere Unternehmen vorteilhaft, wenn sie nicht über die notwendigen Ressourcen und IT-Security-Expertise verfügen. Außerdem reduzieren integrierte Lösungen die Security-Vorfälle, weil sie Angriffe schon in einer einzigen Analyse erkennt. Damit sind UTMs mittlerweile auch für große Unternehmen ein unverzichtbarer Baustein für mehr IT-Sicherheit.

IIoT und Berechtigungen

Der zweite wichtige Schritt in Richtung IT-Sicherheit in der vernetzten Produktion ist die Wahl der richtigen IIoT-Plattform. Zur zentralen Verwaltung aller Nutzer, Geräte und Berechtigungen muss die IIoT-Plattform über ein mandantenfähiges Berechtigungsmanagement verfügen. Basierend auf ihren Rollen bekommen Anwender nur Zugriff auf die Maschinen und Anlagen, die für ihre Aufgaben relevant sind. Gleichzeitig lässt sich festlegen, welche Maßnahmen die einzelnen Nutzer oder Nutzergruppen auf den Maschinen durchführen dürfen und welche Daten sie bereitgestellt bekommen.

Für Fernwartungszwecke beispielsweise haben Techniker der Anlagenbauer die Möglichkeit, auf die Maschinen in den verschiedenen Standorten ihrer Kunden zuzugreifen. Dort dürfen sie allerdings nur Einblick in die Vorgänge und Daten erhalten, die für die Fernwartung von Bedeutung sind. Für eine noch umfassendere Kontrolle sollte der Betreiber die Möglichkeit haben, über eine digitale Schnittstelle den Zugriff des Dienstleisters oder Maschinenherstellers auf die Maschinen freizuschalten und zu überwachen.

Gleichzeitig muss die IIoT-Plattform die Möglichkeit bieten, detaillierte Logdateien über einen längeren Zeitraum abzuspeichern. Haben verschiedene Akteure Zugriff auf Anlagen, ist es nicht zuletzt für Haftungsfragen relevant zu erfassen, wer zu welchem Zeitpunkt auf der Maschine war und welche Änderungen in der jeweiligen Sitzung dort vorgenommen wurden.

Neben all diesen Komponenten und Funktionen stellt die IoT-Management-Plattform Connect Platform von Endian zusätzlich unendliche Skalierbarkeit bereit, um die extrem schnell eine wachsende Zahl vernetzter Geräte integrieren und verwalten zu können.

Sicherheit durch Übersicht

Bei der zunehmenden Komplexität digitalisierter Unternehmen gilt es, alle Prozesse möglichst einfach abzubilden. Werden viele Maschinen und Anlagen für die Fernwartung zentral verwaltet, sollten sich die Netzwerke visualisieren lassen. In der Endian Live-Map beispielsweise erkennen die Administratoren auf einen Blick den Status aller Geräte im Feld und können in Echtzeit nachvollziehen, welche Geräte gerade online sind und ob gerade ein anderer Nutzer auf der Maschine ist. Damit lässt sich sicherstellen, dass die Fernwartung definitiv an der richtigen Maschine durchgeführt wird und dass nicht gleichzeitig ein lokaler Nutzer auf die Maschine zugreift.

Schutzzonen definieren

Über die Segmentierung von Anlagen, Geräten und Netzwerken lässt sich das Sicherheitsniveau in einer vernetzten Produktion zusätzlich steigern. Mit technischen Maßnahmen werden Bereiche mit einem vergleichbaren Schutzbedarf voneinander abgetrennt. Damit die Kommunikation zwischen den einzelnen Segmenten reibungslos funktioniert, müssen die Schnittstellen klar definiert und entsprechend abgesichert werden.

Besonders der Übergang zwischen der Office-IT und den unteren Ebenen der Produktion hat sich in der Vergangenheit immer wieder als kritisch herausgestellt. Ist beispielsweise ein Office-Rechner über einen USB-Stick mit einer Schadsoftware infiziert worden, kann sich das Programm über einen ungesicherten Übergang schnell auf die Produktionsanlagen ausweiten und dort enormen Schaden verursachen.

Bei einer ordentlichen Segmentierung in verschiedene Schutzzonen lässt sich ein gestörtes Subnetz schnell isolieren. Gerade bei kleinen und mittleren Unternehmen, die nicht die Ressourcen für eine aufwendige Risikoanalyse aufbringen können, ist eine Abtrennung von Rechnern mit Zugang zum E-Mailsystem ein erster Schritt.

Verantwortung übernehmen –Silos aufbrechen

In vielen Unternehmen waren Produktions-IT und Office-IT bisher absolut getrennte Bereiche, in denen man weder Wechselwirkungen bedacht, noch Prozesse abgesprochen hatte. Vernetzte Wertschöpfungsketten lassen sich aber nur dann realisieren, wenn dieses Silodenken der Vergangenheit angehört. Koordinierte Maßnahmen sind auch unbedingte Voraussetzung für eine durchgängige Sicherheit im Unternehmen. Idealerweise wird ein Verantwortlicher benannt, der alle Ebenen eines Unternehmens im Bezug auf die IT-Sicherheit in Einklang bringt.

Eine kritische Schwachstelle und ein leichtes Angriffsziel sind nach wie vor die Mitarbeiter. Mit immer raffinierteren Social-Engineering-Methoden versuchen Hacker über die Beschäftigten an sensible Unternehmensdaten heranzukommen. Dabei forschen die Angreifer ihre Opfer aus, analysieren ihr soziales Umfeld und ihre Aufgabe im Unternehmen, um einen möglichst individuellen Angriff vorzubereiten. Viele Menschen teilen bereitwillig alle möglichen Informationen in sozialen Netzwerken und das macht es den Angreifern oft sehr einfach. Unternehmen sind deshalb gefordert, ihre Mitarbeiter zu sensibilisieren und entsprechende Schulungen anzubieten. jbi

Autor: Raphael Vallazza ist CEO bei Endian.