Inhaltsverzeichnis
1. Herangehensweise
2. Sofortmaßnahmen
3. Beratungsansatz
4. Zu dieser Serie
Eine der größten Herausforderungen eines Unternehmens auf dem Weg zur Digitalisierung sind die Kommunikationswege zwischen der Maschine und dem Office-Netzwerk sowie dem unsicheren Internet. Daher sollte bei der Planung der IoT-Strategie das Cybersecurity-Konzept genau beleuchtet werden und die Frage beantwortet werden, wie Maschinendaten in die Cloud gelangen. Beispielsweise dann, wenn zukünftig ein Maschinen-Marketplace genutzt werden soll und die Anlagen-Leistungen inklusive Personal transparent im Internet angeboten werden sollen. Viele Endkunden wollen nur noch die Leistungen einer Maschine nutzen und diese durch Fremdpersonal betreiben lassen. Solche Konzepte für die ‚Fabrik in der Fabrik‘ werden immer häufiger verlangt und gerade kleinere Kunden sowie Maschinen- und Anlagenbauer haben hier bei der Umsetzung große Probleme. Hier machen sich fehlendes IT-Know-how und Security-Bewusstsein bemerkbar.
Auch große Unternehmen wie die Esslinger Festo AG & Co. KG bestätigen diese Herausforderungen: „Die Digitalisierung der industriellen Automatisierungssysteme ist verbunden mit zunehmender Vernetzung, großen Datenmengen und der Verwendung offener Standards, mit denen Durchgängigkeit erreicht wird“, so Albrecht Salm, Chief Information Security Officer bei Festo. „Die Schattenseite dieser Entwicklung ist die Verwundbarkeit der Systeme gegenüber Cyberangriffen. Die Netzwerke im Produktionsbereich sind zu Angriffszielen geworden; das Vorgehen der Angreifer wird zunehmend aggressiver.”
Herangehensweise
- Grundsätzlich sollte sich jedes Unternehmen Gedanken machen, wie externe und interne Personen über das Internet oder Office-Netz auf die Anlagendaten zugreifen können.
- Außerdem muss betrachtet werden, wie über einen zentralen Übergabe-Punkt (Konzentrator) die Produktionsdaten in die Cloud gelangen. Man spricht hier von einer Data Strategy für In-Going und Out-Going Traffic.
Die Erfahrung zeigt, dass es in den letzten zwei Jahren einige Fälle gab, in denen Unternehmen nach einer Cybersecurity-Attacke bis zu vier Wochen einen Komplettausfall der IT und der Produktion verkraften mussten. Grund dafür sind häufig ‚uralte‘ Windows-Betriebssysteme oder USB-Sticks, über die Anlagen angegriffen werden – was sich dann schlagartig auf die komplette IT-Infrastruktur ausbreitet. In der Regel dauert es dann bis zu drei Tage, in denen ein Unternehmen IT-technisch handlungsunfähig ist. Die Erfahrung zeigt auch, dass bei 90 % der Anwender keine Trennung zwischen dem Office- und dem Produktions-Netzwerk vorgenommen wurde. Lädt dann ein Mitarbeiter eine infizierte Datei aus dem Internet herunter oder öffnet er eine infizierte E-Mail, können schlagartig ungepatchte Altlasten-PCs in der Produktion angegriffen werden.
Sofortmaßnahmen
Eine Sofortmaßnahme zum Schutz der Produktion ist ein kleines sicheres Produktionsnetzwerk, das die Anlagen in Micro- und Nano-Segmente mit Firewalls physikalisch segmentiert. Somit können sich auch untereinander die Anlagen nicht angreifen und der Zugriff aus dem Internet und Office-Netzwerk wird über ein zentrales User-Management geregelt. Nur wenige Profinet-Teilnehmer aus den Zellen dürfen dann in die überlagerten Netzwerk-Schichten und mit OT-Servern kommunizieren. Zudem ist wichtig zu wissen, wo der Netzwerkübergang zwischen dem IT- und dem OT-Netz ist – damit bei einem Cyberangriff klar ist, wer und wo ‚den Stecker ziehen darf‘, damit die Produktion weiterläuft.
Beratungsansatz
Siemens arbeitet hier sehr eng mit dem BSI (Bundesamt für Sicherheit in der Informationstechnik) zusammen, mit dem Beratungsansatz und Lösungskonzepte abgestimmt werden. Zu empfehlen ist dabei immer, den Schutzlevel einer Anlage zu bewerten – sprich die Frage zu stellen, welche Anlagen unbedingt 365 Tage im Jahr laufen müssen und welchen Risiken sie ausgesetzt sind. Erst dann sollte nach der IEC 62443 der Schutzlevel SL1 bis SL3 gewählt werden – und danach die Umsetzung erfolgen. Sollte ein Geschäftspartner den Nachweis ‚Bau einer sicheren Anlage‘ nach IEC 62443-3-3 verlangen, ist der Anwender dann mit solch einem Security-Konzept schon gut vorbereitet. co
Weitere Details liefert der Beitrag ‚Datensicherheit per Defense in Depth – eine Strategie für Cybersecurity‘:
info
Zu dieser Serie
Zusammen mit der Technischen Akademie Esslingen stellt die elektro AUTOMATION in dieser Grundlagenserie Hintergründe und praktische Einsatzszenarien in aktuellen Technikfeldern zusammen. Tipps zu passenden Seminarangeboten erleichtern die Planung einer praxisorientierten Weiterbildung.
Erschienen sind bereits:
Teil 1: Einsatz von hybriden CPU-FPGA-Chips in Embedded Systems: hier.pro/HMeEq
Teil 2: Elektrofahrzeuge – Standardisierte Integration in Smart-Home-Systeme: hier.pro/L06ag
Teil 3: Protokollanalyse und Bestimmung der Phasen: hier.pro/9ANhA
Teil 4: Dezentrale Antriebstechnik – Intelligenz im Antrieb: hier.pro/a4ecu
Teil 5: Sensordatenfusion mittels ROSE-Filter: hier.pro/ps7x0
Teil 6: Einführung eines ESD-Kontrollprogrammes: hier.pro/lhRfo
Teil 7: IT-Recht im Rahmen von Industrie 4.0: hier.pro/tvk74
Teil 8: Automatische Bewertung modularer I4.0-Anlagen: hier.pro/bmvnU