Die fortschreitende Vernetzung und Digitalisierung von Anlagen und Maschinen im industriellen Umfeld führen zu höheren Anforderungen aller beteiligten Komponenten. Industrial Security beschäftigt sich mit dem Schutz dieser Anlagen vor absichtlich oder unabsichtlich herbeigeführten Fehlern. Ziel ist insbesondere die Sicherstellung der Verfügbarkeit und Zuverlässigkeit solcher Anlagen, sowie die Vertraulichkeit und Integrität von Maschinendaten und Prozessen.
Die Bedrohungen können vielfältig und die Auswirkungen weitreichend sein.
Es wird daher ein aufeinander abgestimmter, ganzheitlicher Ansatz an Security Maßnahmen benötigt, der alle Bereiche abdeckt: Geräte, Systeme, Anlagen, Prozesse und Mitarbeiter.
Mögliche Sicherheitslücken und Schwachstellen
Die Sicherheitskette eines Unternehmens ist nur so stark wie ihr schwächstes Glied. Schwachstellen können an vielen Stellen existieren, diese Liste zeigt einige Beispiele.
Mögliche Bedrohungen
Mögliche Auswirkungen
Trends mit Einfluss auf Industrial Security
In diesem Kapitel werden Security-Maßnahmen empfohlen, um ihr System vor Bedrohungen zu schützen. Die Empfehlungen werden in die drei Teile: Systemsicherheit, Netzwerksicherheit und Anlagensicherheit aufgeteilt, welche sich dann zu einem Gesamtkonzept ergänzen.
Unter Systemsicherheit werden Maßnahmen verstanden, welche sich auf einen Anlagenteil oder ein System konzentrieren. Neben den hier aufgeführten Empfehlungen finden Sie unter den aufgeführten Links weitere systemspezifische Härtungsempfehlungen.
Systemhärtung beschreibt die Reduktion von möglichen Angriffspunkten eines Systems. Dabei werden Einstellungen des Auslieferzustands angepasst, nicht benötigte Dienste deaktiviert und Richtlinien umgesetzt.
Aufgrund der vielfältigen Einsatzmöglichkeiten werden Jetter Produkte nicht komplett gehärtet ausgeliefert.
Netzwerkdienste und Ports
Aktivierte Dienste stellen ein Risiko dar. Zur Minimierung der Risiken sollten nicht benötigte Dienste (wie. Z.B. Webserver, Telnet, Fernwartung, etc.) deaktiviert werden.
(Nicht zum Betrieb erforderliche) Software
Software belegt Systemressourcen. Nicht benötigte Software sollte daher deinstalliert oder deaktiviert werden. Die Quellen und Installationsmedien neuer Software müssen außerdem virenfrei sein.
Verschlüsselte Datenübertragung
Um Daten vor unberechtigtem Einsehen und Manipulation zu schützen, sollten kryptografische Methoden zur Übertragung, Authentifizierung und Signatur benutzt werden.
Benutzer-Accounts und Passwörter
Jeder aktivierte Benutzer-Account ermöglicht den Systemzugriff und ist damit ein potenzielles Risiko. Folgende Maßnahmen werden deshalb empfohlen:
Lokale Firewall
Eine Firewall kontrolliert den ein- und ausgehenden Netzwerkverkehr des Systems. Es wird empfohlen, die lokale Firewall zu aktivieren und nur den erforderlichen Netzwerkverkehr zu erlauben.
Virenscanner
Der Einsatz eines Virenscanners sollte den Produktionsbetrieb einer Anlage nicht beeinträchtigen. Für den Einsatz auf industriellen Anlagenkomponenten sollten deshalb folgende Anforderungen erfüllt werden:
Patchen
Es wird empfohlen, die Systeme aktuell zu halten. Für Windows-basierte Systeme steht die von Microsoft angebotene Systemfunktionalität WSUS (Windows Server Update Service) zur Verfügung. WSUS unterstützt Administratoren dabei, Microsoft Updates in großen lokalen Netzwerken auszuliefern.
Weitere Härtungsempfehlungen
Das Herzstück der Schutzmaßnahmen bildet die Netzwerksicherheit. Hier wird das Anlagennetz in Teilbereiche aufgetrennt und die Kommunikation übergreifend begrenzt. Dadurch werden Schutzzonen geschaffen. Auch kann es hilfreich sein, Anomalien des Netzwerkverkehrs zu erfassen und anschließend den Verkehr einzuschränken.
Definition und Konfiguration von Netzwerkzonen
Eine Einteilung in verschiedene Netzwerkzonen (Segmentierung) in einer Fabrik kann sinnvoll sein, da nicht jede Zone den gleichen Schutzbedarf hat. Trennen Sie kritische von unkritischen Anlagen. Zusammengehörige Netzwerkzonen sollten ähnliche Kommunikationscharakteristika aufweisen. Definieren Sie anschließend Regeln zur übergreifenden Kommunikation. Es lassen sich durch sinnvolle Segmentierung auch potenziell unsichere Systeme (veraltete Betriebssysteme, …) weiter betreiben, indem sie vollständig von anderen Zonen abgeschottet werden.
Trennung über Firewall-Systeme
Im einfachsten Fall erfolgt die Trennung über ein Firewall-System, welches die Kommunikation zwischen den Netzen kontrolliert und einschränkt.
Trennung über DMZ-Netzwerk
Durch die Unterbindung der direkten Kommunikation zwischen Produktions- und Unternehmensnetzwerk wird die Sicherheit weiter erhöht. Dabei erfolgt die Kopplung über ein separates DMZ-Netzwerk, und die Kommunikation erfolgt indirekt über (Terminal-) Server im DMZ-Netzwerk.
Stateful Packet Inspection (SPI) und Nextgen Firewalls
Durch Inspektion der Datenpakete und Einbeziehen des Verbindungsstatus in die Übertragungsentscheidung können Firewalls ungewollten Netzwerkverkehr blockieren. Durch virtuelles Patching können auch noch nicht bekannte Schwachstellen gemindert und deren Ausnutzung blockiert werden. Mittels Intrusion Prevention können Eindringversuche von Angreifern verhindert werden.
Einsatz von VPN mit IPSec bei Fernwartung
Durch Verschlüsselung und Authentifizierung kann ein gesicherter Tunnel zum System hergestellt werden, dessen Daten nicht abgefangen oder manipuliert werden können. Dadurch kann Fernwartung in einer sicheren Umgebung betrieben werden.
Die Anlagensicherheit stellt den äußeren Schutzring der Verteidigung dar. Sie enthalten physikalische Schutzmaßnahmen, Prozesse und Richtlinien.
Physikalischer Schutz von kritischen Bereichen
Es wird empfohlen den Unternehmensstandort selbst, sowie Produktions- und Anlagenbereiche vor Unbefugten zu schützen. Die physikalische Sicherheit kann durch folgende Maßnahmen erhöht werden:
Frank Gründig
Cyber Security Engineer
+49 (7141) 2550-436
frank.gruendig@bucherautomation.com
Vertrieb
+49 (7141) 2550-663
sales@bucherautomation.com
Technische Hotline
nähere Infos
hotline@bucherautomation.com
Weitere Informationen
(5,38 MB)Katalog Industrie- automation
(9,39 MB)Katalog Mobile Automation