Serie Grundlagen der Technik, Teil 9

Cybersecurity in der Industrie 4.0

IT-Sicherheit
Eine Sofortmaßnahme zum Schutz der Produktion kann ein kleines sicheres Produktionsnetzwerk sein, das die Anlagen in Micro- und Nano-Segmente mit Firewalls physikalisch segmentiert Bild: Siemens
Anzeige
Ein Komplettausfall von IT und Produktion ist auf alle Fälle zu verhindern – doch in der Praxis gab es Fälle, in denen Unternehmen das bis zu vier Wochen verkraften mussten. Konzepte für die Cybersecurity setzen deswegen frühzeitig an und separieren unter anderem Office- und Produktions-Netzwerke. Denn häufig sind ‚uralte‘ Windows-Betriebssysteme oder USB-Sticks Einfallstore für Angreifer. Klar sein sollte auch, wo der Netzwerkübergang zwischen dem IT- und dem OT-Netz ist, um bei Bedarf ‚den Stecker zu ziehen‘, damit die Produktion weiterlaufen kann.

Jörg Menzner, Sales Specialist/Net Consultant, Siemens AG

Inhaltsverzeichnis

1. Herangehensweise 2. Sofortmaßnahmen 3. Beratungsansatz 4. Zu dieser Serie

Eine der größten Herausforderungen eines Unternehmens auf dem Weg zur Digitalisierung sind die Kommunikationswege zwischen der Maschine und dem Office-Netzwerk sowie dem unsicheren Internet. Daher sollte bei der Planung der IoT-Strategie das Cybersecurity-Konzept genau beleuchtet werden und die Frage beantwortet werden, wie Maschinendaten in die Cloud gelangen. Beispielsweise dann, wenn zukünftig ein Maschinen-Marketplace genutzt werden soll und die Anlagen-Leistungen inklusive Personal transparent im Internet angeboten werden sollen. Viele Endkunden wollen nur noch die Leistungen einer Maschine nutzen und diese durch Fremdpersonal betreiben lassen. Solche Konzepte für die ‚Fabrik in der Fabrik‘ werden immer häufiger verlangt und gerade kleinere Kunden sowie Maschinen- und Anlagenbauer haben hier bei der Umsetzung große Probleme. Hier machen sich fehlendes IT-Know-how und Security-Bewusstsein bemerkbar.

Auch große Unternehmen wie die Esslinger Festo AG & Co. KG bestätigen diese Herausforderungen: „Die Digitalisierung der industriellen Automatisierungssysteme ist verbunden mit zunehmender Vernetzung, großen Datenmengen und der Verwendung offener Standards, mit denen Durchgängigkeit erreicht wird“, so Albrecht Salm, Chief Information Security Officer bei Festo. „Die Schattenseite dieser Entwicklung ist die Verwundbarkeit der Systeme gegenüber Cyberangriffen. Die Netzwerke im Produktionsbereich sind zu Angriffszielen geworden; das Vorgehen der Angreifer wird zunehmend aggressiver.”

Herangehensweise

  • Grundsätzlich sollte sich jedes Unternehmen Gedanken machen, wie externe und interne Personen über das Internet oder Office-Netz auf die Anlagendaten zugreifen können.
  • Außerdem muss betrachtet werden, wie über einen zentralen Übergabe-Punkt (Konzentrator) die Produktionsdaten in die Cloud gelangen. Man spricht hier von einer Data Strategy für In-Going und Out-Going Traffic.

Die Erfahrung zeigt, dass es in den letzten zwei Jahren einige Fälle gab, in denen Unternehmen nach einer Cybersecurity-Attacke bis zu vier Wochen einen Komplettausfall der IT und der Produktion verkraften mussten. Grund dafür sind häufig ‚uralte‘ Windows-Betriebssysteme oder USB-Sticks, über die Anlagen angegriffen werden – was sich dann schlagartig auf die komplette IT-Infrastruktur ausbreitet. In der Regel dauert es dann bis zu drei Tage, in denen ein Unternehmen IT-technisch handlungsunfähig ist. Die Erfahrung zeigt auch, dass bei 90 % der Anwender keine Trennung zwischen dem Office- und dem Produktions-Netzwerk vorgenommen wurde. Lädt dann ein Mitarbeiter eine infizierte Datei aus dem Internet herunter oder öffnet er eine infizierte E-Mail, können schlagartig ungepatchte Altlasten-PCs in der Produktion angegriffen werden.

Sofortmaßnahmen

Eine Sofortmaßnahme zum Schutz der Produktion ist ein kleines sicheres Produktionsnetzwerk, das die Anlagen in Micro- und Nano-Segmente mit Firewalls physikalisch segmentiert. Somit können sich auch untereinander die Anlagen nicht angreifen und der Zugriff aus dem Internet und Office-Netzwerk wird über ein zentrales User-Management geregelt. Nur wenige Profinet-Teilnehmer aus den Zellen dürfen dann in die überlagerten Netzwerk-Schichten und mit OT-Servern kommunizieren. Zudem ist wichtig zu wissen, wo der Netzwerkübergang zwischen dem IT- und dem OT-Netz ist – damit bei einem Cyberangriff klar ist, wer und wo ‚den Stecker ziehen darf‘, damit die Produktion weiterläuft.

Beratungsansatz

Siemens arbeitet hier sehr eng mit dem BSI (Bundesamt für Sicherheit in der Informationstechnik) zusammen, mit dem Beratungsansatz und Lösungskonzepte abgestimmt werden. Zu empfehlen ist dabei immer, den Schutzlevel einer Anlage zu bewerten – sprich die Frage zu stellen, welche Anlagen unbedingt 365 Tage im Jahr laufen müssen und welchen Risiken sie ausgesetzt sind. Erst dann sollte nach der IEC 62443 der Schutzlevel SL1 bis SL3 gewählt werden – und danach die Umsetzung erfolgen. Sollte ein Geschäftspartner den Nachweis ‚Bau einer sicheren Anlage‘ nach IEC 62443-3-3 verlangen, ist der Anwender dann mit solch einem Security-Konzept schon gut vorbereitet. co

Weitere Details liefert der Beitrag ‚Datensicherheit per Defense in Depth – eine Strategie für Cybersecurity‘:

hier.pro/8DCZe


info

Zu dieser Serie

Zusammen mit der Technischen Akademie Esslingen stellt die elektro AUTOMATION in dieser Grundlagenserie Hintergründe und praktische Einsatzszenarien in aktuellen Technikfeldern zusammen. Tipps zu passenden Seminarangeboten erleichtern die Planung einer praxisorientierten Weiterbildung.

Erschienen sind bereits:

Teil 1: Einsatz von hybriden CPU-FPGA-Chips in Embedded Systems: hier.pro/HMeEq

Teil 2: Elektrofahrzeuge – Standardisierte Integration in Smart-Home-Systeme: hier.pro/L06ag

Teil 3: Protokollanalyse und Bestimmung der Phasen: hier.pro/9ANhA

Teil 4: Dezentrale Antriebstechnik - Intelligenz im Antrieb: hier.pro/a4ecu

Teil 5: Sensordatenfusion mittels ROSE-Filter: hier.pro/ps7x0

Teil 6: Einführung eines ESD-Kontrollprogrammes: hier.pro/lhRfo

Teil 7: IT-Recht im Rahmen von Industrie 4.0: hier.pro/tvk74

Teil 8: Automatische Bewertung modularer I4.0-Anlagen: hier.pro/bmvnU

www.tae.de

Anzeige

Festo: Digitalisierung

Smartenance

Die Digitalstrategie von Festo im Überblick

Schlagzeilen

Video aktuell

Oliver Vogel, Team Leader Commercial Engineering bei Rockwell Automation GmbH erläutert das Besondere an Engineeringtools und welchen Vorteil Maschinenbauer davon haben

Aktuelle Ausgabe

Titelbild elektro AUTOMATION 10
Ausgabe
10.2019
LESEN
ARCHIV
ABO

Newsletter

Jetzt unseren Newsletter abonnieren

Webinare & Webcasts

Technisches Wissen aus erster Hand

Automation Award

Automation Award 2019
Die Besucher der SPS wählen während der Messe Ihre Favoriten! Nominierte Produkte…

Videos

Hier finden Sie alle aktuellen Videos

Whitepaper

Hier finden Sie aktuelle Whitepaper

Anzeige
Anzeige

Industrie.de Infoservice

Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de