Sichere Vernetzung und Anomalieerkennung
Mehr Produktivität durch Deep-Packet-Inspection
Im IIoT sind Maschinen und Anlagen den gleichen Cyber-Gefahren ausgesetzt wie alle anderen vernetzten IT-Systeme. Abhilfe schafft ein tiefer Blick in die Datenkommunikation etwa durch Deep Packet-Inspection, die Sicherheit und Produktivität durch eine Anomalie-Erkennung deutlich erhöhen kann.
Mit Industrie 4.0 und der zunehmenden Digitalisierung steigt das Risiko potenzieller Cyber-Angriffe auf die vernetzte Produktionsumgebung. Fernwartungslösungen, Production on Demand oder neue Geschäftsmodelle wie Pay per Use sind allerdings ohne durchgängige Vernetzung nicht realisierbar. Die Bedrohungslage für OT-Systeme hat sich damit schlagartig verschärft: »Sie sind nicht nur denselben Gefahren wie IT-Systeme ausgesetzt, sondern sind häufig auch – bedingt durch veraltete und oft nicht mehr aktualisierbare Soft- und Firmware – ein leichtes Ziel für digitale Angreifer«, erläutert Dennis Paul, Bereichsleiter IoT-Projekte beim Datenkommunikations-Dienstleister mdex GmbH. »Ein sabotiertes System in einer Industrieanlage kann einen erheblichen finanziellen Schaden verursachen, etwa durch den Ausfall einer Produktionsanlage. Entsprechende Schutzmaßnahmen rechnen sich deshalb recht schnell.«
Schreckensszenarien durch Cyber-Angriffe sind leider nicht mehr nur Theorie. Der Netzwerkübergang zwischen der Office-IT und dem Produktionsnetzwerk (OT) bildet ein Einfallstor für Cyber-Kriminelle. So können beispielsweise Würmer, Trojaner oder andere unerwünschte Programme von der IT-Infrastruktur aus in die Produktionsumgebung gelangen und dort den Produktionsprozess erheblich beeinträchtigen. Stuxnet, WannaCry und Emotet sind bekannte Beispiele dafür. Doch wie kann die Gefahr durch solche Bedrohungen minimiert werden, ohne auf die Vorteile einer durchgängigen Vernetzung zu verzichten? Schließlich sind ohne sie viele innovative Konzepte gar nicht realisierbar, angefangen bei Fernwartung und Remote-Zugriffen zur Produktionssteuerung bis hin zu Production on Demand oder Pay per Use. »Hundertprozentigen Schutz wird es für OT-Systeme leider genauso wenig geben wie für IT-Systeme«, betont Dennis Paul. »Für einen bestmöglichen Schutz lassen sich aber verschiedene Maßnahmen miteinander kombinieren.«
Den Datenverkehr kontrollieren
Im ersten Schritt gilt es, den Datenverkehr zu kontrollieren, etwa durch eine Firewall, die idealerweise nicht nur die internen IT-Systeme vom Internet trennt, sondern auch von den eigenen OT-Systemen. »Hier lässt sich nicht nur präzise regeln, welche IT-Systeme mit welchen OT-Systemen kommunizieren dürfen, sondern auch, welche Protokolle sie dafür verwenden dürfen«, führt Dennis Paul aus. »Wenn ein IT-System also ausschließlich über eine HTTPS-Verbindung mit einem OT-System kommunizieren soll, ist es sinnvoll, die Kommunikation auf genau dieses Protokoll einzugrenzen. Damit sind dann Angriffe, die beispielsweise auf dem SMB-Protokoll beruhen, nicht mehr möglich.«
Genauso kann es gegebenenfalls sinnvoll sein, die Kommunikationsrichtung einzuschränken, wenn ein OT-System immer nur Daten an ein IT-System sendet, etwa für Dokumentationszwecke. Zugriffe aus der Ferne gilt es natürlich ebenfalls abzusichern. »Der bloße Schutz durch die Kombination aus Passwort und Benutzername genügt hier keineswegs«, stellt Dennis Paul fest. »Verschlüsselte Verbindungen, etwa per Virtual Private Network (VPN), sind hier eine bessere Wahl.«
Schon diese Überlegungen zeigen, dass es keine universelle Sicherheitslösung gibt, die für alle Betriebe passt, sondern dass die entsprechenden Maßnahmen immer auf die betrieblichen Erfordernisse abzustimmen sind.
- Mehr Produktivität durch Deep-Packet-Inspection
- Risikominimierung als Ziel
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
