Fabrikautomatisierung
Datensicherheit für Steuerungs- und Regelungsnetzwerke
Fortsetzung des Artikels von Teil 3
Herausforderungen bei der Installation industrieller Netzwerke
Ein Steuerungs- und Regelungsnetzwerk zu installieren, erfordert das Abwägen zwischen Kosten- und Risiko-Management. Kritische Infrastrukturen wie eine überregionale Energieversorgung müssen natürlich umfangreicher geschützt werden, was zu höheren Kosten führt. Angriffe durch Malware sind einfacher und kostengünstiger abzuwehren; schwieriger ist es, sich gegen Hacker abzusichern. Die meistgenutzten Maßnahmen zum Schutz von Steuerungs- und Regelungsnetzwerken sind verstärkte Wachsamkeit und die Einführung von Methoden, die den Angriffsprozess so stark verkomplizieren, dass es für Hacker uninteressant wird. Diese Methoden bilden das Herz der von Branchenexperten empfohlenen »Defense-in-Depth«-Strategie.
Das American National Standards Institute (ANSI) und die International Society of Automation (ISA) tragen den besonderen Sicherheitsanforderungen von Steuerungs- und Regelungsnetzwerken mit ihren Standards ANSI/ISA-99 (IEC 62443) Rechnung. Im Zentrum dieses Standards steht das »Zone-and-Conduit«-Sicherheitsmodell (Zone und Leitung), das mit einer Defense-in-Depth-Strategie implementiert wird.
Im ANSI/ISA-99-Modell werden die Geräte in Steuerungs- und Regelungsnetzwerken in voneinander unabhängige, aus miteinander verbundenen Geräten bestehende Zonen segmentiert, die zur Erfüllung einer spezifischen Funktion zusammenarbeiten. Während die Kommunikation innerhalb einer Zone weniger restriktiv gehandhabt wird, gilt für die verschiedenen Zonen die Anforderung, dass sie nur durch einen einzigen Punkt, »Conduit« (Leitung) genannt, miteinander kommunizieren dürfen. Dieser Punkt wird üblicherweise durch einen Secure Router oder eine Firewall geschützt. Conduits sind so geschützt, dass sie nur spezifische Daten durchlassen, die für die Koordination von Funktionen der verschiedenen Zonen erforderlich sind. Jegliche Kommunikation, die für die Funktion einer bestimmten Zone irrelevant ist, wie HTTP-Verkehr zu einer Modbus-TCP-Zone, wird vom Secure Router blockiert.
- Datensicherheit für Steuerungs- und Regelungsnetzwerke
- Schutz gegen externe Eindringlinge
- Schutz gegen versehentlich hervorgerufene Störungen
- Herausforderungen bei der Installation industrieller Netzwerke
- Hindernisse bei der Implementierung von Defense-in-Depth-Cyber-Sicherheit
- Die Herausforderungen annehmen
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
B&R/Wibu-Systems
Automatisierungs- und Security-Technik »verheiratet«
Automatisieren
Schutz industrieller Anlagen mit integrierter Sicherheit
