Mehrstufige Sicherheitskonzepte zur erfolgreichen Automatisierung und Vernetzung

Anfallende Datenmengen in Wertschöpfungsnetzwerken erfordern professionellen DaaS-Anbieter

[datensicherheit.de, 15.04.2017] Viele Unternehmen und Institutionen haben sich häufig eher schleppend als begeistert der Sicherheit ihrer Office-IT gewidmet – nicht selten mussten erst gravierende Datensicherheitsverletzungen „Überzeugungsarbeit“ leisten, um die Notwendigkeit einzusehen und Mittel freizusetzen. Ähnlich wie mit der Zunahme der Digitalisierung und Vernetzung noch vor Jahren multimediale, spielerische Attitüden zur Informations- und Kommunikationstechnologie in Büros und bei Privatanwendern Einzug hielten (und Sicherheitsaspekte dabei gerne kleingeschrieben wurden), haben die neuen technischen Möglichkeiten zur vorschnellen Befolgung eines Hypes dann auch in industriellen Anwendungen geführt: In Medienberichten und Vorträgen auf IT-Sicherheitstagungen wird immer wieder auf die berühmt-berüchtigte Suchmaschine „Shodan“ eingegangen, mit welcher u.a. das Auffinden zumeist ungeschützter, mit dem Internet verbundener Geräte und Computersysteme möglich ist – und geradezu eine Einladung für maliziöse Hacker ist. Die industrielle IT-Sicherheit wird zu einem Qualitätsmerkmal und einer zentralen Herausforderung:
Es ist höchste Zeit, mit der Hinwendung der Wirtschaft zur Industrie 4.0 mehrstufige Sicherheitskonzepte zu entwickeln, um die Chancen dieses epochalen Wandels erfolgreich nutzen zu können.

Industrie im Visier destruktiver Absichten

Mit der Verlagerung der industriellen Wertschöpfung in durch Vernetzung geschaffene temporäre oder auch dauerhafte digitalisierte Kooperationsstrukturen ist das Eine sicher: Kriminalität, Sabotage und andere destruktive Machenschaften werden diese verstärkt ins Visier nehmen!
Malware-Attacken, als Beispiel sei hier nur „Stuxnet“ genannt, treffen die automatisierte Industrie und vernetzte Infrastrukturen. Angreifern wird es bisher leider noch zu oft sehr leicht gemacht, Malware über USB-Schnittstellen, das unternehmenseigene Intranet oder das Internet einzuschleusen. Solche Schwachstellen stellen eine große, gar existenzielle Gefahr dar.

Bestandsaufnahme aller Schwachstellen zur Ableitung von Maßnahmen

Waren vor allem kleine und mittlere Unternehmen (KMU) schon oft überfordert, sich selbst der IT-Sicherheit im Büro zu widmen, dürfte die industrielle Ebene kaum noch ohne Hilfe externer Experten zu schützen und zu sichern sein. Yokogawa z.B. verweist auf die Richtlinie ISA99 (Industrial Automation and Control Systems Security) als Grundlage der Gestaltung von Abwehrmaßnahmen gegen Angriffe. Dazu gehören demnach auch Berechtigungskonzepte und sichere Anmeldeverfahren.
Eine detaillierte Analyse der Sicherheit vor Ort sei indes immer notwendig: Im Rahmen einer Bestandsaufnahme müssten Schnittstellen und deren Offenheit sowie weitere Schwachstellen identifiziert und abgebildet werden. Im Kontext eines solchen Audits sollten auch Interviews beim Kunden mit dem Ziel einer umfassenden Risikoanalyse durchgeführt werden, um im Ergebnis einen Realisierungsplan für Sicherheitsmaßnahmen abzuleiten. Eine einfache Sicherheitsmaßnahme könnte z.B. eine regelmäßige und systematische Einspielung von Sicherheitsupdates für die jeweilige Industrieanlage oder eine vorzeitige Verriegelung der USB-Ports sein.

Mehrstufiges Sicherheitskonzept für Automatisierungssysteme

Yokogawa rät zu einem Sicherheitskonzept auf vier Ebenen:

1. Physische Sicherheit und Netzwerksicherheit (z.B. Zugangsbeschränkungen bzw. -überwachung für Computer- und Schalträume, Firewall zwischen Leitsystem-Bus und anderen Netzwerken wie z.B. Büro- oder Drahtlosnetzen, VPN-Zugänge)
2. Sicherheit von Servern und Applikationssoftware (z.B. Whitelisting, Antiviren-Software und Systempflege wie Updates, Upgrades und Patches)
3. Sicherungs- und Wiederherstellungsoptionen (z.B. automatisches Erstellen von Backups, Backupverwaltung)
4. Lebenszyklus-Management (Anpassung der Sicherungs- und Schutzmaßnahmen an den aktuellen Stand der Technik und die spezifische Bedrohungslage)

Gestützt auf ein solches Konzept sowie auf die Aufmerksamkeit und Achtsamkeit der Mitarbeiter ließen sich industrielle Anlagen zuverlässig vor Spionage und Sabotage schützen.

Sicheres Management gewaltiger Datenmengen

Die Zunahme an Sensorik und Aktorik sowie der Einsatz „smarter“ Maschinen führt zu einem gewaltigen Anwachsen der Datenmengen im „Industrial Internet of Things“ – diese müssen gesammelt, analysiert und wieder bereitgestellt und somit auch geschützt und gesichert werden. In Wertschöpfungsnetzwerken fallen unzählige Daten u.U. an verschiedenen Produktionsstandorten an – diese sollten zusammengeführt werden, um die Produktion und die Datensicherheit effektiver und effizienter zu gestalten.
Eine solche Zusammenführung, Analyse und Bereitstellung von Daten in Form einer Servicedienstleitung wird in der Branche als „Data as a Service“ (DaaS) bezeichnet. Dazu werden in einer Cloud Daten aus den verschiedensten Systemen, d.h. Anlagen, Geräten bzw. Maschinen, zusammengeführt, ausgewertet und aktiviert. DaaS umfasst somit mehr als nur die Bereitstellung des Servers zur Speicherung der Daten – es gilt, die anfallenden Daten zu überprüfen, zu sortieren, ggf. zu löschen bzw. zu sichern, diese nach Bedarf neu anzuordnen und einfach abrufbar zur Verfügung zu stellen. Für diese Aufgabe sollte ein verlässlicher externer Dienstleister, dem alle Netzwerkpartner vertrauen können, beauftragt werden.

Weitere Informationen zum Thema:

datensicherheit.de, 10.10.2016
Cluster Industrie 4.0 zu Gast bei datensicherheit.de auf der „it-sa 2016“