Startseite » Security »

Die ICS-Security in der Produktion darf nicht vergessen werden

Gemeinsames Konzept statt Einzellösungen
Phoenix Contact unterstützt bei ICS-Security

Anzeige
Wird von Cyber Security gesprochen, ist meist nur die IT-Security gemeint, also die Absicherung des Büroumfelds vor unbefugten Zugriffen. Die ICS-Security darf allerdings nicht vergessen werden. Das Know-how der Office-IT muss hier die besonderen Belange des Fertigungsbereichs berücksichtigen. Denn lediglich ein abgestimmtes gemeinsames Vorgehen führt zu einem effizienten und wirksamen Schutz des gesamten Unternehmens. Phoenix Contact bietet umfangreiche Unterstützung.

Dr.-Ing. Lutz Jänicke, Corporate Product & Solution Security Officer, Phoenix Contact GmbH & Co. KG, Blomberg

Inhaltsverzeichnis

1. ISMS in Richtung Produktion erweitern
2. Besonderheiten des Automatisierungsumfelds berücksichtigen
3. Einsatz externer Schutzmaßnahmen notwendig
4. Portfolio bewährter Schutzlösungen verfügbar
5. Security im kompletten Lebenszyklus verankert

Beim Vergleich der Bereiche Office-IT und industrieller Automatisierungswelt (Industrial Control Systems, ICS) wird gerne auf die Unterschiede bei den Prioritäten sowie den Bedingungen für einen Neustart der Systeme, dem Patch-Management und der Lebenszeit der Hardware hingewiesen. Dabei sind die Herausforderungen in der Automatisierung hinreichend erkennbar: Jede Störung der Prozesse resultiert in einer verminderten Produktivität. Zudem lassen sich Schwachstellen nur eingeschränkt beseitigen, weil die Maschinen und Anlagen teilweise nicht neu gestartet werden können und jede Änderung an einem Automatisierungssystem das Risiko weiterer Fehlfunktionen nach sich zieht. Da im Mittelpunkt ein physischer Prozess steht, der durchzuführen ist, richtet sich die Lebensdauer einer Maschine oder Anlage nicht an typischen IT-Zyklen aus.

Als unzutreffend erweist sich jedoch die Annahme, dass es in der IT-Umgebung des Office-Bereichs keine entsprechenden Probleme gibt. Sicher sind Büro-PCs weniger kritisch, will heißen bei einem Ausfall ist die Effizienz der Arbeit einzelner Mitarbeiter eventuell eingeschränkt. Die Abhängigkeit von Hardware zeigt sich ebenfalls als nicht so hoch, solange keine besonderen Anforderungen gestellt sowie Virtualisierungs-Technologien, Betriebssysteme und Applikationen kompatibel unterstützt werden. Tatsächlich verursacht die Versorgung mit hochverfügbarer Rechenleistung in modernen Virtualisierungs-Umgebungen keine Probleme.

ISMS in Richtung Produktion erweitern

In der Regel werden IT-Komponenten selbst ausgewählt und beschafft, sodass die Administration und Organisation von Updates in der Hand des jeweiligen Betreibers liegen. Ab einer bestimmten Mitarbeiterzahl unterhalten viele Unternehmen allerdings zentrale Dienste, ohne die im Büroumfeld wenig und im Automatisierungsbereich so gut wie nichts funktioniert. Dabei handelt es sich beispielsweise um zentrale Netzwerkfunktionen, die Benutzerverwaltung als Basisaufgabe sowie das ERP-System (Enterprise Resource Planning), das für die Verwaltung der Aufträge, den Einkauf von Material sowie die Abwicklung der Produktion und Logistik zuständig ist. Diese Dienste sind somit genauso „mission critical“ wie die eigentliche Fertigung und werden daher ebenso widerwillig angefasst.

Beispiele über spektakulär gescheiterte Migrationsprojekte im ERP-Umfeld finden sich reichlich in der Literatur. Konsequenterweise können Installationen auch im IT- und Büroumfeld sehr lange Nutzungszeiträume haben, also veraltete Applikationen auf unzeitgemäßen Betriebssystemen laufen – mit allen negativen Folgen für die Zugriffssicherheit.

Cyber Security ist folglich kein Thema, das mit isolierten Einzelkonzepten adressiert werden kann. Nur durch ein abgestimmtes gemeinsames Vorgehen lässt sich eine effiziente und wirksame Schutzlösung erarbeiten. Dies stellt sich insbesondere deswegen als wichtig heraus, weil die Office-IT über Security-Know-how verfügt, das im Produktionsumfeld häufig fehlt, auf der anderen Seite aber die speziellen Eigenheiten der Fertigungsprozesse berücksichtigt werden müssen. Die Basis jedes Konzepts sollte ein Informationssicherheitsmanagementsystem (ISMS) sein, etwa gemäß ISO 27001 oder IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik, welches zumeist ausgehend von der Office-IT in Richtung der Produktion erweitert wird.

Besonderheiten des Automatisierungsumfelds berücksichtigen

Automatisierungssysteme orientieren sich an den zu erfüllenden Automationsaufgaben. In einem Fertigungsbereich mit zahlreichen spezialisierten Arbeitsaufträgen – wie Stanzen, Schweißen, Bestücken oder Löten – kommen deshalb unterschiedliche Systeme von vielen Lieferanten zum Einsatz. Die Produktionslandschaft ist somit inhomogen, weshalb sich die Verwaltung der IT als solche und besonders die Security-Administration als schwierig darstellt. Anders als beim typischen Vorgehen einer IT werden die Systeme nicht vom Betreiber selbst ausgesucht und zusammengestellt, sondern von Integratoren und Lösungsanbietern jeweils nach den Automatisierungsanforderungen aus Komponenten aufgebaut. Dabei lassen sich auch Standardkomponenten und -betriebssysteme nutzen. Folglich ist in der Fertigung eine Lötanlage installiert, die für einen IT-Administrator im Netzwerkmonitor wie ein Standard-PC aussieht.

Vor diesem Hintergrund fehlt in den meisten Unternehmen bereits der Überblick, welche Hard- und Softwarekomponenten vorhanden sind, wie sie miteinander kommunizieren und wer zum Beispiel die Updates bereitstellen muss. Darf der Betreiber das Betriebssystem einfach selbst aktualisieren oder hat er auf die Zurverfügungstellung und Freigabe durch den Lieferanten zu warten, damit die Funktionstüchtigkeit von dessen Anlage nicht gefährdet ist?

Als ein weiterer spezieller Aspekt erweist sich der Schutz von Mensch und Umwelt, also die funktionale Sicherheit oder Safety. Mit zunehmender Integration derartiger Schutzfunktionen in das Netzwerk steigt das Risiko, dass Angreifer entsprechende Schäden verursachen. Der Triton-Angriff auf ein Kraftwerk am Persischen Golf belegt diese Gefahr. Die Malware sollte die Sicherheitsmechanismen daran hindern, ihre Funktion zu erfüllen, sodass es zu physischen Schäden gekommen wäre. Glücklicherweise scheiterte die Attacke aber an einem Fehler in der Schadsoftware. Wie die Wechselwirkung der beiden oftmals getrennt betrachteten Themen behandelt werden muss, wird derzeit intensiv diskutiert.

Einsatz externer Schutzmaßnahmen notwendig

Der internationale Security-Standard IEC 62443 nimmt diese Problematik auf und versucht, eine systematische Kette von Security-Maßnahmen, die in der Automatisierung umzusetzen sind, auf die funktionalen Anforderungen an Systeme und deren Komponenten herunterzubrechen. Im Bereich des IT-Grundschutzes sind ebenfalls mehrere Bausteine zur ICS-Security entstanden. Aufgrund der Inhomogenität und begrenzten Update-Fähigkeit kommen in der Automatisierung vielfach externe Schutzmaßnahmen zum Einsatz. Insbesondere die Bildung von Zonen mit kontrollierten Übergängen, häufig ausgeführt als Netzwerksegmente mit Firewalls, stellt ein wesentliches Element dar, weil der Eingriff in die Automatisierungsanlage auf diese Weise minimiert wird.

Die Organisation der Fernwartung spielt eine gleichfalls wichtige Rolle. So schränkt eine Benutzerverwaltung die Zugriffsmöglichkeiten und damit potenzielle Sicherheitsrisiken weiter ein. Darüber hinaus leistet die Härtung des Netzwerks durch Abschaltung unbenutzter Zugänge und Funktionen einen substanziellen Dienst bei der Erhöhung der Widerstandsfähigkeit. Eine Zunahme des Security-Niveaus wird ferner durch die Verfügbarkeit von Komponenten möglich, die in einem sicheren Entwicklungsprozess entstanden sind. Diese Geräte kommen jedoch vor allem bei Neuinstallationen zum Tragen.

Portfolio bewährter Schutzlösungen verfügbar

Phoenix Contact verfügt über eine langjährige Expertise im Bereich der ICS-Security. Die Security Appliances der Produktfamilie FL mGuard bieten beispielsweise spezielle Firewall-Funktionen für die Industrie, etwa eine Conditional Firewall, User Firewall, Deep Packet Inspection für industrielle Protokolle sowie sichere Netzwerkzugänge für Servicetechniker. Mit der mGuard Secure Cloud ist zudem ein System zur einfachen und sicheren Fernwartung erhältlich.

Die Steuerungen des offenen Ecosystems PLCnext Technology sind gemäß den Security-by-Design-Kriterien konzipiert und die Entwicklungsprozesse nach IEC 62443-4-1 zertifiziert worden. Durch die Verwendung eines Trusted Platform Modules (TPM), Nutzung eines konfigurierbaren Linux-Kerns, den Einsatz der Linux-Firewall und die Implementierung eines Crypto-Stores für Zertifikate und Schlüssel steigert sich die Zugriffssicherheit deutlich.

Security im kompletten Lebenszyklus verankert

Phoenix Contact steht seinen Kunden über die gesamte Prozesskette mit standardisierter Security zur Seite. Bei der Bestandsaufnahme und Bedrohungsanalyse bestehender oder geplanter Anlagen bilden individuelle Dienstleistungsangebote die Basis für die Umsetzung von Security-Konzepten. Darüber hinaus werden für verschiedene Branchen sichere Automatisierungslösungen zur Verfügung gestellt. Zum Aufbau sicherer Netzwerke tragen nicht zuletzt die entsprechenden Security-Komponenten bei, die in Kombination mit den Sicherheitsfunktionen anderer Komponenten wirken.

Vom sicheren Entwicklungsprozess bis zum kontinuierlichen Schwachstellenmanagement des Phoenix Contact PSIRT (Product Security Incident Response Team) ist Security dabei im kompletten Lebenszyklus der Produkte und Lösungen verankert. Erfahrung und Wertschöpfungstiefe unterstützen die Anwender außerdem bei der Erreichung ihrer Security-Qualitätsziele. Diese breit gefächerte Kompetenz von Phoenix Contact spiegelt sich unter anderem in Zertifizierungen wider: Phoenix Contact wurde als eines der ersten Unternehmen in Deutschland vom TÜV Süd nach der Normreihe für IT-Sicherheit IEC 62443-4-1, -2-4 und -3-3 zertifiziert. Diese Zertifizierungen unterstreichen die Strategie des Unternehmens, standardisierte Security in Produkten, Industrielösungen und Beratungsdienstleistungen anzubieten, um einen zukunftssicheren Betrieb von Maschinen, Anlagen und Infrastrukturen zu ermöglichen. (ge)

Weitere Details zu ICS-Security


Kontakt:
Phoenix Contact GmbH & Co. KG
Flachsmarktstraße 8
D-32825 Blomberg
Tel.: +49 5235 3-00
E-Mail: corporatewebsite@phoenixcontact.com
Website: www.phoenixcontact.com

Ebenfalls interessant

Phoenix Contact ist zertifizierter Security-Anbieter

Anzeige
Festo: Digitalisierung

Smartenance

Die Digitalstrategie von Festo im Überblick

Video

So war das mit den Messen vor dem Auftauchen des Coronavirus: Blicken Sie mit uns zurück auf die SPS in Nürnberg...

Aktuelle Ausgabe
Titelbild elektro AUTOMATION 5
Ausgabe
5.2020
LESEN
ABO
Newsletter

Jetzt unseren Newsletter abonnieren

Webinare & Webcasts

Technisches Wissen aus erster Hand

Automation Award

Automation Award
Sie wollen sich für die Teilnahme am Automation Award bewerben…

Videos

Hier finden Sie alle aktuellen Videos

Whitepaper

Hier finden Sie aktuelle Whitepaper

Anzeige
Anzeige

Industrie.de Infoservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de