We automate your success.

Industrial Security

1. Was ist Industrial Security?

Die fortschreitende Vernetzung und Digitalisierung von Anlagen und Maschinen im industriellen Umfeld führen zu höheren Anforderungen aller beteiligten Komponenten. Industrial Security beschäftigt sich mit dem Schutz dieser Anlagen vor absichtlich oder unabsichtlich herbeigeführten Fehlern. Ziel ist insbesondere die Sicherstellung der Verfügbarkeit und Zuverlässigkeit solcher Anlagen, sowie die Vertraulichkeit und Integrität von Maschinendaten und Prozessen.
Die Bedrohungen können vielfältig und die Auswirkungen weitreichend sein.
Es wird daher ein aufeinander abgestimmter, ganzheitlicher Ansatz an Security Maßnahmen benötigt, der alle Bereiche abdeckt: Geräte, Systeme, Anlagen, Prozesse und Mitarbeiter.


Mögliche Sicherheitslücken und Schwachstellen

Die Sicherheitskette eines Unternehmens ist nur so stark wie ihr schwächstes Glied. Schwachstellen können an vielen Stellen existieren, diese Liste zeigt einige Beispiele.

  • Mitarbeiter
  • Netzwerkinfrastruktur
  • Produktionsanlagen und Maschinen
  • IT Equipment (PCs, HMI, Laptops, Drucker, Tablet-PCs, Smartphones)
  • Richtlinien und Vorschriften


Mögliche Bedrohungen

  • Beeinträchtigung der Maschinensicherheit (Safety)
  • Anlagenstillstand und Ausfallzeiten durch Schadsoftware
  • Sabotage an Produktionsanlagen
  • Manipulation der Daten oder Applikation
  • Unberechtigte Nutzung


Mögliche Auswirkungen

  • Produktionsausfall
  • Verminderte Qualität
  • Verlust von geistigem Eigentum
  • Gefahr für Menschen
  • Wirtschaftlicher oder Imageschaden


Trends mit Einfluss auf Industrial Security

  • Internet der Dinge (IoT) - Elektronische Geräte werden netzwerkfähig und kommunizieren über das Internet
  • Fernzugriff auf Anlagen und Maschinen
  • Einsatz von Drahtlostechnologie (WiFi, Mobilfunk)
  • Cloud Computing

2. Security Maßnahmen und Empfehlungen

In diesem Kapitel werden Security-Maßnahmen empfohlen, um ihr System vor Bedrohungen zu schützen. Die Empfehlungen werden in die drei Teile: Systemsicherheit, Netzwerksicherheit und Anlagensicherheit aufgeteilt, welche sich dann zu einem Gesamtkonzept ergänzen.
 

2.1 Systemsicherheit, Systemhärtung

Unter Systemsicherheit werden Maßnahmen verstanden, welche sich auf einen Anlagenteil oder ein System konzentrieren. Neben den hier aufgeführten Empfehlungen finden Sie unter den aufgeführten Links weitere systemspezifische Härtungsempfehlungen.
Systemhärtung beschreibt die Reduktion von möglichen Angriffspunkten eines Systems. Dabei werden Einstellungen des Auslieferzustands angepasst, nicht benötigte Dienste deaktiviert und Richtlinien umgesetzt.
Aufgrund der vielfältigen Einsatzmöglichkeiten werden Jetter Produkte nicht komplett gehärtet ausgeliefert.


Netzwerkdienste und Ports

Aktivierte Dienste stellen ein Risiko dar. Zur Minimierung der Risiken sollten nicht benötigte Dienste (wie. Z.B. Webserver, Telnet, Fernwartung, etc.) deaktiviert werden.


(Nicht zum Betrieb erforderliche) Software

Software belegt Systemressourcen. Nicht benötigte Software sollte daher deinstalliert oder deaktiviert werden. Die Quellen und Installationsmedien neuer Software müssen außerdem virenfrei sein.


Verschlüsselte Datenübertragung

Um Daten vor unberechtigtem Einsehen und Manipulation zu schützen, sollten kryptografische Methoden zur Übertragung, Authentifizierung und Signatur benutzt werden.

  • Asymmetrische Verschlüsselung mittels PKI
  • Hashing
  • Symmetrische Verschlüsselung


Benutzer-Accounts und Passwörter

Jeder aktivierte Benutzer-Account ermöglicht den Systemzugriff und ist damit ein potenzielles Risiko. Folgende Maßnahmen werden deshalb empfohlen:

  • Reduktion der aktivierten Benutzer-Accounts auf das benötigte Minimum
  • Verwendung von nicht privilegierten Accounts zur Ausführung von Prozessen
  • Verwendung von sicheren Zugangsdaten für vorhandene Accounts
  • Ändern von Standard-Passwörtern während der Inbetriebnahme
  • Regelmäßige Passwortänderung
  • Regelmäßige Prüfung der Benutzer-Accounts


Lokale Firewall

Eine Firewall kontrolliert den ein- und ausgehenden Netzwerkverkehr des Systems. Es wird empfohlen, die lokale Firewall zu aktivieren und nur den erforderlichen Netzwerkverkehr zu erlauben.


Virenscanner

Der Einsatz eines Virenscanners sollte den Produktionsbetrieb einer Anlage nicht beeinträchtigen. Für den Einsatz auf industriellen Anlagenkomponenten sollten deshalb folgende Anforderungen erfüllt werden:

  • Virenscanner muss ohne weitere Abhängigkeiten, wie Firewall installierbar sein
  • Virenscanner-Clients können in Gruppen (produkt- oder aufgabenabhängig) aufgeteilt und konfiguriert werden
  • Konfigurationsmöglichkeit von Meldungen, ohne automatische Aktionen (Löschen, Quarantäne, …) bei Virenerkennung
  • Möglichkeit der Deaktivierung der Verteilung von Signaturen und Updates
  • System- oder Dateiscan muss manuell und gruppenweise durchführbar sein
  • Protokollierungsmöglichkeit am Server
  • Unterdrückung lokaler Meldungen, um Systemmeldungen nicht zu überdecken


Patchen

Es wird empfohlen, die Systeme aktuell zu halten. Für Windows-basierte Systeme steht die von Microsoft angebotene Systemfunktionalität WSUS (Windows Server Update Service) zur Verfügung. WSUS unterstützt Administratoren dabei, Microsoft Updates in großen lokalen Netzwerken auszuliefern.


Weitere Härtungsempfehlungen


2.2 Netzwerksicherheit, Netzwerksegmentierung

Das Herzstück der Schutzmaßnahmen bildet die Netzwerksicherheit. Hier wird das Anlagennetz in Teilbereiche aufgetrennt und die Kommunikation übergreifend begrenzt. Dadurch werden Schutzzonen geschaffen. Auch kann es hilfreich sein, Anomalien des Netzwerkverkehrs zu erfassen und anschließend den Verkehr einzuschränken.


Definition und Konfiguration von Netzwerkzonen

Eine Einteilung in verschiedene Netzwerkzonen (Segmentierung) in einer Fabrik kann sinnvoll sein, da nicht jede Zone den gleichen Schutzbedarf hat. Trennen Sie kritische von unkritischen Anlagen. Zusammengehörige Netzwerkzonen sollten ähnliche Kommunikationscharakteristika aufweisen. Definieren Sie anschließend Regeln zur übergreifenden Kommunikation. Es lassen sich durch sinnvolle Segmentierung auch potenziell unsichere Systeme (veraltete Betriebssysteme, …)  weiter betreiben, indem sie vollständig von anderen Zonen abgeschottet werden.


Trennung über Firewall-Systeme

Im einfachsten Fall erfolgt die Trennung über ein Firewall-System, welches die Kommunikation zwischen den Netzen kontrolliert und einschränkt.


Trennung über DMZ-Netzwerk

Durch die Unterbindung der direkten Kommunikation zwischen Produktions- und Unternehmensnetzwerk wird die Sicherheit weiter erhöht. Dabei erfolgt die Kopplung über ein separates DMZ-Netzwerk, und die Kommunikation erfolgt indirekt über (Terminal-) Server im DMZ-Netzwerk.


Stateful Packet Inspection (SPI) und Nextgen Firewalls

Durch Inspektion der Datenpakete und Einbeziehen des Verbindungsstatus in die Übertragungsentscheidung können Firewalls ungewollten Netzwerkverkehr blockieren. Durch virtuelles Patching können auch noch nicht bekannte Schwachstellen gemindert und deren Ausnutzung blockiert werden. Mittels Intrusion Prevention können Eindringversuche von Angreifern verhindert werden.


Einsatz von VPN mit IPSec bei Fernwartung

Durch Verschlüsselung und Authentifizierung kann ein gesicherter Tunnel zum System hergestellt werden, dessen Daten nicht abgefangen oder manipuliert werden können. Dadurch kann Fernwartung in einer sicheren Umgebung betrieben werden.


2.3 Anlagensicherheit

Die Anlagensicherheit stellt den äußeren Schutzring der Verteidigung dar. Sie enthalten physikalische Schutzmaßnahmen, Prozesse und Richtlinien.


Physikalischer Schutz von kritischen Bereichen

Es wird empfohlen den Unternehmensstandort selbst, sowie Produktions- und Anlagenbereiche vor Unbefugten zu schützen. Die physikalische Sicherheit kann durch folgende Maßnahmen erhöht werden:
 

  • Absperrung und Überwachung des Firmengeländes
  • Wachpersonal und Einlasskontrolle
  • Begleitung von Betriebsfremden durch Unternehmensangehörige
  • Zutrittskontrolle im Produktionsbereich
  • Einbau von kritischen Komponenten und Steuerungen in abschließbare Schaltschränke
  • Überwachung und Alarmierung der abgeschlossenen Bereiche
  • Einschränkung der Funkreichweiten auf definierte Bereiche
  • Richtlinien zur Nutzung von Datenträgern (USB-Sticks) und IT Geräten an Steuerungskomponenten

Ihre Ansprechpartner

Frank Gründig
Cyber Security Engineer
  +49 (7141) 2550-436
  frank.gruendig@bucherautomation.com

Weitere Informationen

Ihre Ansprechpartner