Operational Security

Andrea Gillhuber,

Sicherheitsarchitektur für Industrie 4.0

Fertigungsunternehmen, die Industrie-4.0-Prozesse einführen, sind durch die steigende Komplexität ihrer IT-Umgebung zunehmend anfällig für Cyberangriffe. Ein zentralisiertes Device- und Prozessmanagement hilft, bei immer mehr Endgeräten den Überblick zu behalten. Dabei müssen sich IT-Security-Teams gemeinsam mit IT- und Fachabteilungen um den Schutz der Kommunikation im Unternehmensnetzwerk kümmern. Eine Sicherheitsstrategie, die gestaffelte Verteidigungslinien aufbaut, hilft dabei. Von Bernhard Steiner

Fertigungsunternehmen, die Industrie-4.0-Prozesse einführen, sind zunehmend anfällig für Cyberangriffe. © Shutterstock.com – Omelchenko

Mit der steigenden Zahl an Geräten und Netzverbindungen geht zunehmend der Überblick in Sachen Sicherheit verloren. Bereits heute kümmert sich ein Administrator im Durchschnitt um mehrere hundert Geräte. Im Jahr 2020 werden es laut einer Cisco-Studie hunderttausende Devices sein. Um dieser Geräteflut Herr zu werden, benötigen Unternehmen ein zentralisiertes und weitgehend automatisiertes Management sämtlicher Daten, Geräte und Prozesse.

Mit der Implementierung von Industrie-4.0-Lösungen müssen automatisierte Software-Updates für alle entsprechenden Geräte jederzeit möglich sein. Zudem benötigen Unternehmen effiziente Endpoint-Security-Systeme, um tausende von Endpunkten gegen Angriffe zu schützen. Gleichzeitig ist die interne Absicherung des Unternehmensnetzwerks durch Zugriffssteuerung von Geräten und Nutzern zu gewährleisten. Das heißt: Industrie 4.0 stellt umfassende Anforderungen an Patch Management, Unified Endpoint Management, Netzwerksicherheit, Endpoint Security sowie Authentifizierung – und das alles muss von zentraler Stelle aus verwaltet werden.

Anzeige

Der bisherige Sicherheitsansatz vieler Unternehmen aus Firewall und Antivirensoftware reicht heute längst nicht mehr aus. Vielmehr ist eine umfassende IT-Security-Konzeption nötig, die nicht nur einzelne Sicherheitsmaßnahmen umfasst, sondern ein System von Schutzschilden, die sich gegenseitig ergänzen. Eine solche ganzheitliche Sicherheitsstrategie erfordert ein Zusammenwirken aller Unternehmensbereiche. Denn hier ist eine Transferleistung der aufgestellten Sicherheitsrichtlinien in die konkreten Prozesse und Arbeitsabläufe gefordert.

IT-Sicherheit muss im Betrieb verankert sein

Schematische Darstellung von Operational Security. © Endian

Ein erfolgversprechendes Konzept stellt „Operational Security“ dar. Es geht von der Annahme aus, dass sich IT-Sicherheit unmittelbar in den (IT-)Betrieb integrieren muss. Dieser Ansatz fokussiert sich auf drei Aufgaben:

Einblick gewinnen: Zuerst ist festzustellen, welche betrieblichen Daten kritisch sind und welche nicht.

Schwächen analysieren: Anschließend müssen Erkenntnisse abgeleitet werden, wo die Sicherheit beeinträchtigt ist und welche Risiken lauern.

Entsprechend reagieren: Schließlich sollen Mitarbeiter ein Gespür dafür entwickeln, wann und wo ein Angriff potenziell stattfinden kann und wie darauf zu reagieren ist.

Operational Security bedingt, dass ein Unternehmen von Beginn an eine zusammenhängende Tool-Landschaft etabliert und nicht in voneinander isolierten Sicherheitslösungen denkt. Erst mit einer Kombination aus System Management, automatisiertem Patch Management in Verbindung mit Anwendungskontrolle und Benutzerverwaltung lassen sich alle Ebenen des IT-Betriebs unter sicherheitsrelevanten Aspekten betrachten. Vernetzte Tools zeigen auf, welche Anwendungen und Geräte im Einsatz sind und bringen dies in Einklang mit dem Asset Management und der Anwendungskontrolle.

Nur was bekannt ist, lässt sich auch schützen

Den ersten Schritt für die Erarbeitung einer solchen Sicherheitsarchitektur stellt die Inventarisierung von Hard- und Software dar. Fertigungsbetriebe erhalten so einen vollständigen Überblick der IT-Landschaft – bis hin zu allen Teilbereichen wie Cloud-Komponenten und der eigenen IIoT-Landschaft. Darauf basierend lassen sich Analysen über die tatsächliche Geräte- und Softwarenutzung durch Anwender erstellen. Viele Unternehmen aktualisieren ihre Betriebssysteme – die wenigsten spielen aber regelmäßig Updates für sämtliche Anwendungen auf. Gerade veraltete Software birgt jedoch die Gefahr von Schwachstellen, auch wenn sie ungenutzt auf einem Endgerät schlummert. Gleiches gilt für IIoT-Systeme wie Sensoren, Kameras oder Maschinen, die mit sensiblen Daten für den Fertigungsablauf arbeiten.

Ein zentrales und automatisiertes Patch-Management für Betriebssysteme und Anwendungen für die gesamte IT-Infrastruktur hilft, diese Hürde zu nehmen. Die Anwendungskontrolle ist in der Lage, zwischen autorisierter und unautorisierter Software zu unterscheiden und die Ausführung letzterer zu unterbinden. Die Kombination mit einer strengen Benutzerrechteverwaltung senkt das Risiko gegenüber internen Angriffen.

Das Ziel dieses Sicherheitsansatzes ist es, Angriffe mithilfe mehrerer Verteidigungslinien zu verzögern und im Idealfall zu verhindern. So lassen sich Angriffe abwehren, die eine oder mehrere Hürden genommen haben, weil sie an anderen Hindernissen scheitern oder zumindest keine größeren Schäden mehr anrichten können.

Die größte Herausforderung bildet dabei jedoch die schiere Anzahl an Geräten und Herstellern sowie die fehlenden Standards im IIoT-Bereich. Gerade Geräte für das industrielle IoT basieren in der Regel auf unterschiedlichen Plattformen und verwenden Datenformate, die kaum zueinander kompatibel sind. Hinzu kommt, dass viele Hersteller nur unzureichende Sicherheitsmaßnahmen in ihre IIoT-Geräte implementieren und die Devices so leistungsschwach sind, dass sich keine dedizierten Security-Anwendungen darauf installieren lassen. Diese Geräte sind allerdings selten das eigentliche Ziel eines Angriffs. Vielmehr bieten sie ein Einfallstor, um in weitaus sensiblere Schichten der Unternehmens-IT vorzudringen.

Vernetzte Sicherheit heißt vernetzt zu arbeiten

Bei den meisten Fertigungsunternehmen arbeitet das IT-Team strikt getrennt von den Fachabteilungen. Der Produktionsleiter, der für die Anschaffung von IIoT-Geräten verantwortlich zeichnet, besitzt selten Einblick in relevante Sicherheitsaspekte. Daher ist eine Verzahnung mit der IT-Abteilung nötig, die Expertise in der Absicherung von Netzwerken vorweist. Leider tendieren beide Ebenen traditionell dazu, das Thema Sicherheit eher aus technischer Perspektive zu betrachten und nicht aus dem Blickwinkel der Geschäftsprozesse. Aber die Maschinen auf dem Shop Floor bilden die Basis für den wirtschaftlichen Erfolg jedes Fertigungsunternehmens. Entsprechend binden gerade größere Fertiger zunehmend IT-Security-Experten ein, welche die gefährdeten Abläufe aus Business-Sicht betrachten. Erst der Dreiklang aus Sicherheitsspezialisten, der IT und Produktion ist in der Lage, einen umfassenden „Operational Security“-Ansatz zu entwickeln und umzusetzen.

Operational Security ist ein Ansatz, um Sicherheitslücken im Prozess so früh wie möglich zu vermeiden. Die eigentliche Herausforderung liegt in den organisatorischen Strukturen vieler Unternehmen, wo die Abteilungen IT-Betrieb und IT-Sicherheit überwiegend parallel und weitgehend unabhängig voneinander agieren. Mithilfe von Automatisierung können heute aber schon beim Deployment und der Konfiguration sichere Grundlagen geschaffen werden, um die Angriffsfläche erheblich zu reduzieren.

Bernhard Steiner, Director PreSales EMEA Central bei Ivanti / ag

Anzeige

Das könnte Sie auch interessieren

Anzeige

Security

Cybersicherheit für die Industrie 4.0

Das Industrial Internet of Things (IIoT) befeuert die Heterogenität von Systemen und Geräten innerhalb von Unternehmen. Damit wächst die potenzielle Angriffsfläche für Cyberattacken. Denn egal ob Produktions-straße, IoT-Gerät oder Roboter; alles ist...

mehr...

CyberArk

5 Tipps gegen Insider-Bedrohung

Damit Insider-Bedrohung frühzeitig erkannt und unterbunden werden kann, helfen einfache Tipps, wie beispielsweise das Sichern von Anmeldedaten oder die Befugnisse der Accounts einzugrenzen.

mehr...
Anzeige

Gesamtanlageneffektivität auswerten und verbessern

Eine wichtige Kennzahl zur Messung der Wertschöpfung einer Produktionsanlage ist die Overall Equipment Effectiveness (OEE), die hierzulande Gesamtanlageneffektivität (GAE) genannt wird. Da erfolgreiche Verbesserungsansätze in der Produktion abhängig von einem zeitnahen Informationsaustausch über die GAE sind, bietet der Kennzeichnungsanbieter Bluhm Systeme seinen Kunden entsprechend vernetzte Soft- und Hardwarelösungen.

mehr...
Anzeige
Anzeige
Anzeige

Editorial

Risikofaktor Mensch

Vor einigen Wochen kam wieder einmal eine Warnung aus der IT: Hacker beziehungsweise Cyberkriminelle versenden Bewerbungs-E-Mails mit Trojanern oder anderer Schadsoftware im Anhang. Das Problem bei den E-Mails ist, dass sie auf den ersten Blick...

mehr...
Anzeige

Highlight der Woche

Kameragestützte Laserbeschriftung mit CPM
Der Einsatz von Vision-Systemen zur Bilderfassung und -verarbeitung ist ein wichtiges Werkzeug zur Prozesskontrolle und -optimierung. Entsprechend der Objektvielfalt bietet ACI kundenspezifisch angepasste Kameralösungen an.

 

Zum Highlight der Woche...
Anzeige
Anzeige
Anzeige

Newsletter bestellen

Immer auf dem Laufenden mit dem SCOPE Newsletter

Aktuelle Unternehmensnachrichten, Produktnews und Innovationen kostenfrei in Ihrer Mailbox.

AGB und Datenschutz gelesen und bestätigt.
Zur Startseite