Sichere Vernetzung von Produktions- und Office-IT

IT-Security-Strategien für Industrie 4.0

| Autor / Redakteur: Dror-John Röcher / Nico Litzel

Der Autor: Dror-John Röcher ist Lead Consultant Secure Information bei Computacenter
Der Autor: Dror-John Röcher ist Lead Consultant Secure Information bei Computacenter (Bild: Computacenter)

Die schöne neue Produktionswelt, die Industrie 4.0 verspricht, ist Fluch und Segen zugleich: Auf der einen Seite steht ein automatisch gesteuerter und geregelter Prozessablauf, der eine flexible industrielle Herstellung individueller Produkte ermöglicht. Auf der anderen Seite besteht durch die Vernetzung von Produktionssystemen ein höheres Sicherheitsrisiko durch IT-Angriffe. Grund genug für Unternehmen, schon heute erste Maßnahmen zum Schutz zu ergreifen.

Eine strikte Trennung von Produktions- und Office-IT gehört der Vergangenheit an. Waren Produktionsstraßen bislang weitgehend von der Außenwelt abgeschottet – sowohl physisch durch Zugangssysteme als auch logisch durch die fehlende Vernetzung – werden zunehmend Verbindungen in die Office-Welt aufgebaut, auch unabhängig von Industrie 4.0. Oftmals findet das über herkömmliche und nur leicht angepasste IP-Standards statt, wodurch die aus der Office-IT bekannten Angriffs- und Spionagemechanismen prinzipiell auch in der Produktion funktionieren und dort erhebliche Schäden verursachen können.

Allerdings ist es nicht damit getan, die etablierten Sicherheitskonzepte aus der Office-Welt zu adaptieren. Denn während die IT-Landschaft dort inzwischen weitgehend standardisiert ist und sich Anwendungen unternehmensweit ausrollen lassen, zeichnet sich die Produktions-IT durch individuelle Systeme aus.

Überblick gewinnen und behalten – mit der richtigen Strategie

In Zukunft werden daher herkömmliche präventive Sicherheitstechnologien wie Antivirenprogramme, Intrusion-Prevention- Systeme oder Spamfilter allein nicht mehr ausreichen. Sie behalten zwar weiterhin ihre Bedeutung für einen gewissen Basisschutz, müssen aber durch neuartige Ansätze ergänzt werden, die eine schnelle, zuverlässige Detektion von Angriffen ermöglichen.

Ein solch neuer Ansatz ist zum Beispiel ein Security Operation Center (SOC), das durch eine organisationsweite Verfügbarkeit von Logs und Netzwerkdaten eine ganzheitliche Sicht auf den Sicherheitszustand einer Organisation ermöglicht. Es wertet Informationen im Kontext aus, um intelligente Angriffe (Advanced Persistent Threats, APTs) zu erkennen und angemessen darauf reagieren zu können.

Derzeit führen viele Unternehmen ein solches SOC im Bereich der Office-IT ein, was durch die zunehmende Vernetzung durchaus auch für Herstellungssysteme sinnvoll wäre. Für Fertigungsunternehmen bietet sich daher ein spezielles Security Operation Center für die Produktion an, das unter anderem SIEM (Security Information and Event Management) sowie Vulnerability Management umfasst.

Ergänzend zu diesem umfassenden Ansatz lassen sich bei der Produktions-IT weitere strategische Maßnahmen umsetzen, die im Office-Bereich schon zum Standard gehören. Dazu zählt das Logging der Vorgänge auf dem Netzwerk, um Nachvollziehbarkeit zu gewährleisten sowie ein umfassendes Monitoring zur schnellen und zuverlässigen Detektion von Angriffen.

Verantwortlichkeiten festlegen

Eine meist größere Herausforderung als die Auswahl der richtigen Technologie ist die organisatorische Festlegung der Verantwortlichkeiten im Rahmen der Governance. Dabei ist zu klären, wer für die Sicherheit der Produktionssysteme verantwortlich ist, wer sich um die Umsetzung kümmert und wer darüber entscheidet, wie viel Sicherungsaufwand für welches Risiko wirtschaftlich vertretbar ist.

Ein praktikabler Ansatz, um Verantwortung zu strukturieren – auch jenseits der Industrial IT-Security – ist die Ausarbeitung sogenannter RACI-Matrizen (Responsible, Accountable, Consulted, Informed). Die entsprechende Kategorisierung beschreibt, welche Rolle für welche Aktivitäten verantwortlich ist und welche Mitarbeiter zu beteiligen sind.

Damit erreichen Unternehmen eine klare Beschreibung der Verantwortlichkeiten und Zuständigkeiten. Im Einsatzbereich der Produktions-IT steht Responsible folglich für die Verantwortung zur Einführung, Umsetzung und den operativen Betrieb der Security-Lösungen, Accountable für die strategischen Entscheidungen, Consulted für die unterstützende Beratung und Informed für die Weitergabeprozesse von Informationen.

Ganz praktisch: taktische Maßnahmen

Ergänzend zu den strategischen lassen sich noch diverse taktische Maßnahmen für die Produktions-IT implementieren. Dazu gehört beispielsweise die Netzwerksegmentierung, die das Fertigungsnetz in einzelne Zonen teilt. Auf diese Weise lassen sich die Auswirkungen eines erfolgreichen Angriffs effektiv auf einen Bereich beschränken.

Das gesamte Produktionsnetz sollte zudem gegenüber der Office-IT entkoppelt werden. Dazu dienen Sicherheitsarchitekturen, die vergleichbar aufgebaut sind wie diejenigen, welche die Office-Umgebung weitgehend vom Internet abschotten.

Gerät trotzdem ein Schadprogramm in das Produktionsnetz, lässt es sich mithilfe von Application Whitelisting als präferierte Hardening-Methode stoppen. Damit bleiben alle Prozesse und Aktivitäten verboten, die nicht ausdrücklich erlaubt wurden. Dazu dient eine auf dem Endgerät installierte Software, die laufende Produktionsprozesse freigibt. Zwar erfordert die Erstkonfiguration etwas Aufwand, doch das Sicherheitssystem läuft danach so lange, wie sich an den Herstellungsprozessen nichts ändert.

Für die Fernwartung der Produktions-IT verwenden Automations- und Anlagenhersteller heute bereits meist einen abgesicherten VPN-Zugang. Allerdings gibt es dafür zahlreiche verschiedene Umsetzungen. Daher benötigen Fertigungsunternehmen eine einheitliche Fernwartungsplattform, die je nach Anforderung über folgende Funktionen verfügen sollte: Schleusenfunktion zur Kontrolle der übertragenen Dateien, detaillierte Berechtigungsverwaltung für Wartungsmitarbeiter, Aktivierung durch den Betreiber inklusive Notausschalter sowie Session Recording oder Live-Kontrolle für Transparenz.

Fazit

Im Verlauf der kommenden fünf bis zehn Jahre wird die Vision einer Industrie 4.0 schrittweise produktive Realität – und mit diesen taktischen und strategischen Maßnahmen ist ein entscheidender Schritt hin zur Industrie-4.0-Readiness getan. So können Unternehmen ihre Produktionssysteme vernetzen, um schon heute von der zentralen Steuerung zu profitieren und sich rechtzeitig auf Industrie 4.0 vorzubereiten.

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43057635 / Recht & Sicherheit)