zapp2photo - stock.adobe.com
Schritt für Schritt zur sicheren Produktionsumgebung
Im Zuge der IoT-Vernetzung entstehen immer mehr Services und Systeme, die auf intelligente, also smarte, Technologien setzen. Dies vergrößert die Angriffsfläche von Unternehmen.
Smart-X-Technologien erfassen und analysieren Informationen. So liefern Sensoren in Echtzeit Daten, die sich – sofern sie von Produktionsmaschinen stammen – für Smart Maintenance oder Qualitätssicherung nutzen lassen. Während Smart Logistics das Internet of Things (IoT) für optimierte Transportverfahren nutzt, werden in Städten und Kommunen intelligente Infrastrukturen zur Smart City. Im Privaten ist das IoT-Prinzip auch längst angekommen: Smarte Uhren helfen uns dabei, uns fit zu halten, und smarte Lautsprecher spielen nicht nur Musik, sondern unterstützen uns bei vielen kleinen Dingen im Alltag.
Allerdings wirft Smart X eine eigene Sicherheitsfrage auf: Die potenzielle Angriffsfläche für Kriminelle wird umso größer, je mehr Systeme sowie Komponenten vernetzt sind und Daten per Wireless LAN, Mobilfunk, Bluetooth oder Low Power Wide Area Networks (LP-WAN) – wie Sigfox, LoRaWAN, LTE-M und NarrowBand IoT – über diverse Schnittstellen austauschen.
Das Erfassen und übliche Vorverarbeiten von Daten durch Edge-Computing-Systeme muss genauso sicher erfolgen wie der Transport von Daten zu Cloud-Plattformen wie von AWS, Microsoft, IBM oder der Deutschen Telekom, Bosch und Siemens.
Technologien zum Absichern von Smart X
Bewährt hat sich, die TLS-Verschlüsselung (Transport Layer Security) einzusetzen, damit die Daten zur Analyse in der Cloud sicher ankommen. Plattformbetreiber müssen dann dafür sorgen, dass nur Befugte auf die Informationen zugreifen.
Es empfiehlt sich, ein zentrales Identity and Access Management (IAM) zu verwenden. In dem Fall lässt sich über Policies regeln, welche internen sowie externen Mitarbeiter, aber auch welche Applikationen und Dienste mit welchen Systemen und Daten wie arbeiten dürfen.
Data-Leak-Prevention-Systeme (DLP) wiederum verhindern die Datenweitergabe an unautorisierte Empfänger. In Produktionsnetzwerken stellt die Segmentierung des Netzes die Basis dafür dar, um im Falle eines Vorfalles einzelne Bereiche zu isolieren und somit das restliche Netzwerk gegen die Ausbreitung des Vorfalles abzusichern. Im Falle einer Mikrosegmentierung kann das bis zur Isolation einzelner Maschinen gehen. Dasselbe Prinzip ist auch bei fast allen anderen smarten Anwendungsfällen anwendbar.
In die Aufzählung der unterstützenden Technologien gehören außerdem Lösungen im Bereich der Anomalieerkennung, die mit Hilfe künstlicher Intelligenz (KI) zum Beispiel bereits existierende Datenbestände oder gerade anfallende Daten in Echtzeit auf Anomalien untersuchen können. Sie sind zudem in der Lage, das Kommunikationsverhalten der PCs, Maschinen und Sensoren im Produktionsnetz auf verdächtige Muster hin zu überwachen, die auf einen Cyberangriffe hinweisen und entsprechende Anomalien zu melden. Auch letzteres passiert in Echtzeit.
Weitere Sicherheitsaufgaben, wie etwa die Überwachung aller verfügbarer Security-Informationen und das daraus resultierende proaktive oder auch reaktive Handeln decken Security Operations Center (SOC) ab, die man entweder selbst betreiben kann oder auch von Anbietern, wie Axians, als Dienstleistung beziehen kann.
In vier Schritten zu IT- und OT-Sicherheit
Wie Unternehmen nun in der Praxis zu einem Sicherheitskonzept für Smart X kommen können, lässt sich an einer vernetzten Produktionsumgebung, bestehend aus IT und Operational Technology (OT), zeigen. Empfehlenswert sind vier Schritte:
- das Erfassen der möglichen Angriffsfläche inklusive Asset-Analyse;
- die Analyse der gewonnenen Daten;
- das Erstellen eines Sicherheitskonzeptes (technologisch und organisatorisch), das IT sowie OT abdeckt, und dessen Implementierung;
- eine ständige Optimierung der IT- und OT-Sicherheit basierend auf den Erkenntnissen der kontinuierlichen Sicherheitsdatenanalyse.
Im ersten Schritt werden alle IT-Prozesse und die dafür verwendeten Cyber-Security-Komponenten ermittelt. Dasselbe gilt für die Netzwerktopologie, die IT-Systeme sowie die eingesetzten Cloud-Dienste. Für OT sind nicht nur Informationen über Netzwerksysteme und die Topologie erforderlich, sondern etwa auch über Prozessleit- und Fertigungssysteme, IIoT-Geräte (Industrial Internet of Things) sowie speicherprogrammierbare Steuerungen. Ein Scanvorgang sollte zudem Aufschluss über das Kommunikationsverhalten der einzelnen Systeme sowie die die Systeme beschreibenden Parameter wie Hard- und Firmwarestände, Bezeichnungen, verwendete Einschübe oder Erweiterungen geben.
In der Analyse, der zweiten Phase, wird sich in der Regel eine Abweichung des Ist-Zustands vom Soll-Wert ergeben – in Form von bislang unbekannten „Assets“ (Systeme) oder ermittelter Schatten-IT sowie eigentlich untersagten Kommunikationsvorgängen. Im Schritt drei werden diese Daten in ein Modell überführt. Es umfasst die IT- und die OT-Welt und befähigt dazu, Sicherheitsszenarien und ihre Auswirkungen durchzuspielen, ohne dass die Fertigung beeinträchtigt wird.
„Eine zentrale Rolle im Sicherheitskonzept spielen Technologien, die ihre Umgebung selbstständig erfassen und deren Verhalten lernen können.“
Eric Dreier, Axians Deutschland
Zum Abschluss wird auf Grundlage dieser Daten ein neues Soll-Zustandsmodell erarbeitet. Es dient dazu, die IT- sowie OT-Sicherheitsmaßnahmen zu optimieren und ein entsprechendes Monitoring zu etablieren. Das neue Modell ermöglicht es, das Verhalten von Produktionssystemen und IT-Komponenten gemeinsam im laufenden Betrieb in Echtzeit zu überwachen und gegebenenfalls einzugreifen.
Übertragbares smartes Sicherheitskonzept
Eine zentrale Rolle im Sicherheitskonzept spielen Technologien, die ihre Umgebung selbstständig erfassen und deren Verhalten lernen können. Auf Basis der erfassten und gelernten Daten erstellen diese Systeme Modelle, die Abweichungen von einem erwarteten Verhaltensmuster und damit Anomalien in Echtzeit erkennen. Werden dann unbekannte Zugriffe auf Geräte festgestellt, können sie auf eine laufende Attacke hinweisen. Mit diesem Konzept lassen sich auch viele andere smarte Anwendungsfälle absichern, beispielsweise in der Energieerzeugung und -verteilung, in der Logistik und im Gebäudemanagement.
Über den Autor:
Eric Dreier ist Business Development Manager bei Axians Deutschland. Er ist Wirtschaftsingenieur mit einem Schwerpunkt auf Telekommunikationsmanagement und hat einen Masterabschluss in Telekommunikation. Er arbeitet seit über zehn Jahren in verschiedenen Positionen in der Informations- und Telekommunikationsbranche. Seit 2017 ist er bei Axians Deutschland tätig und entwickelt als Business Development Manager neue Geschäftspotenziale für die ICT-Marke Axians. Sein Schwerpunkt liegt dabei auf industriellen Cybersicherheitslösungen, Cloud Security Services und Managed Security Services.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder und entsprechen nicht unbedingt denen von ComputerWeekly.de.
