Wir streben im Kontext der Digitalisierung danach, alles miteinander zu vernetzen. Für bessere Zugriffe und Analysen oder den 360-Grad Blick, immer und überall. Aber ist dies wirklich richtig, wenn man sich die hohe Kreativität und Schlagkraft heutiger Cybercrime Attacken vor Augen führt? Macht es Sinn, alle IT-Bereiche eines Unternehmens zu verbinden? Auf keinen Fall sollte […]
Wir streben im Kontext der Digitalisierung danach, alles miteinander zu vernetzen. Für bessere Zugriffe und Analysen oder den 360-Grad Blick, immer und überall. Aber ist dies wirklich richtig, wenn man sich die hohe Kreativität und Schlagkraft heutiger Cybercrime Attacken vor Augen führt? Macht es Sinn, alle IT-Bereiche eines Unternehmens zu verbinden?
Auf keinen Fall sollte Security erst im Nachhinein eine Rolle spielen und implementiert werden. Unternehmen sind sich der Bedrohungen heute durchaus bewusst, allerdings müssen in die Betrachtungen viele verschiedene Gedanken einfließen.
Was sind die größten Bedrohungen und welche Daten und Unternehmenswerte sind besonders schützenswert oder sensibel? Finden sich die größten Risiken eher extern oder intern bei unachtsamen Mitarbeitern und wie kann ich verhindern, dass eine Absicherung meine Prozesse unnötig verkompliziert und lähmt.
Logische Segmentierung in der Produktion
Wie ein Sicherheitskonzept im Zuge der Vernetzung von Produktion und klassischer Unternehmens-IT aussehen sollte, ist also eine individuelle und höchst strategische Entscheidung. „Wenn wir die Produktion anbinden und vernetzen, müssen alle Zugänge möglichst sicher sein, um sie gegen Angriffe zu sichern – VPN, Virenscanner, Firewall und so weiter.“ So oder ähnlich dürften Diskussionen anfangs geführt worden sein.
Zahlreiche Statistiken und Umfragen der letzten Jahre sehen aber inzwischen mit weit über 50% den leichtfertigen Umgang von Mitarbeitern mit Daten als mit Abstand größten Risikofaktor. Vor allem deswegen, weil die Angriffe immer mehr in diese Richtung zielen. Wer erinnert sich nicht an zahlreiche Kliniken, die durch E-Mails infiziert und lahmgelegt wurden. Ohne Segmentierung oder eine Minimierung von Netzübergängen sind einer Verbreitung von Schadprogrammen keine internen Grenzen gesetzt.
Eine logische Segmentierung von Produktionsbereichen in einer Produktionshalle oder auch darüber hinaus kann hier eine Lösung sein. Logisch zusammenhängende Maschinen, Anlagen und Produktionslinien werden beispielsweise innerhalb einer Halle in Gruppen eingeteilt, zentral verwaltet sowie sicherheitstechnisch gesteuert (z.B. Maschinenzertifikate und Remote-Updates) und überwacht.
Durch diese „IIoT-Insel Segmentierung“ werden die Produktionsbereiche des Unternehmens geschützt und mögliche Gefahren eingegrenzt. Unternehmen profitieren neben einer sauberen Produktionsstruktur durch die Eindämmung eines Cyberangriffs oder Security-Vorfalls auf die jeweilige Insel. Die restliche Produktion bleibt davon unberührt und die Verbreitung des Schadcodes ist massiv eingeschränkt.
Dies bedeutet, dass ein möglicher Schaden geringer ausfällt und auch die Ausfallzeit bis zur Wiederherstellung betroffener Systeme wesentlich kürzer ist. Ein zentrales Management System ist hierbei natürlich essentiell zur Steuerung, Überwachung und Sicherheitspflege der Infrastruktur. Es bietet auch genaue Definitionsmöglichkeiten, welche Administratoren und Mitarbeiter worauf geregelten Zugriff haben. Bis auf Gruppen- oder Mitarbeiterebene bieten vordefinierte Varianten und Kombinationsmöglichkeiten der Zwei-Faktor-/Multifaktor-Authentifizierung ein weiteres Sicherheitsmerkmal, das die genannten Risiken minimiert.
Zentrale Komponenten als Bindeglied für sichere Zugriffsszenarien
Bei aller Vernetzung wollen Industrieverantwortliche meist gar nicht, dass Maschinen durchgehend kommunizieren, sondern beispielsweise nur bei konkreten Anlässen wie einem Incident, einem kritischen Zustand, einer anstehenden Wartung oder einem neuen Firmware-Release. Solche temporären Zugriffe lassen sich am besten auch über automatisierte Prozesse steuern.
Denkbar ist beispielweise, dass IT-Administratoren im Problemfall über ein Management System temporäre User anlegen oder Authentisierungsanfragen ad hoc freigeben. Eine Web-Oberfläche kann in diesem Szenario für beide Seiten verfügbar gemacht werden: für das Unternehmen sowie den Maschinenhersteller, Techniker oder Dienstleister.
Durch Automation ist ein Zugriff innerhalb einer Minute möglich – im Vergleich zu mehreren Stunden Ausfallzeit bei vielen manuell gesteuerten Prozessen. Die interne IT gibt hierbei eine bestimmte vom Incident betroffene Maschine frei, während die andere Seite einen Techniker als Nutzer temporär anlegt.
Gezielter Fernwartungszugriff trotz identischer Netze
Solche Zugänge zur Fernwartung von Maschinen und Systemen erfordern Flexibilität und Verfügbarkeit bei gleichzeitiger Sicherheit. Sowohl die Absicherung der Verbindungen selbst, als auch Schutzmaßnahmen vor möglicherweise kompromittierten Netzen und Endgeräten der Hersteller stehen im Fokus.
Identisch konfigurierte Netze stellen in der Fernwartung ein Problem bei der Identifizierung von Zielsystemen dar. Eine gezielte Ansprache bis hin zum richtigen Endpunkt ist mit den NCP Komponenten möglich und bereits technisch gelöst – durch eindeutige temporäre IP-Adressen und Authentisierungsmerkmale der Gateways und Clients (hardware- oder softwarebasiert).
Grundlegend für eine Fernwartungslösung im hochautomatisierten Industrie4.0- / IIoT-Umfeld, ist ein klares Konzept und eine Risikoabschätzung. Fragen wie, welche Maschinen, Anlagen, Steuerungen brauchen überhaupt externen Zugriff, müssen im Vorfeld geklärt werden. Gerade die Sicherheit steht hier im Fokus und sollte von Beginn an höchste Priorität haben. Ein unerlaubter Zugriff kann negative Konsequenzen bis hin zum Totalausfall der gesamten Produktionsprozesse haben.
Weiterhin sollte bei der Fernwartungslösung nach dem Minimalprinzip vorgegangen werden. Hierbei ist die Granularität essentiell. Es muss sichergestellt werden, dass bspw. nur die betroffene authentifizierte Maschine, in einem definierten Zeitfenster, eine aktive verschlüsselte Verbindung zu genau dem autorisierten Fernwartungstechniker aufbaut. Das heißt, der Verbindungsaufbau darf nur von Innen heraus, aus Ihrem Produktionsnetz erfolgen. Der Fernwarter wird dabei immer und ausschließlich nur auf sein Zielsystem beschränkt.
Autor: Benjamin Isak, Account Manager Industrie 4.0 / IIoT bei NCP
