Industrie-4.0-/IIoT-Retrofit Ohne Cyber-Security kein IIoT

Dr. Oliver Kleineberg, Chief Technology Officer bei Belden:
Dr. Oliver Kleineberg, Chief Technology Officer bei Belden

Weil das IIoT Einfallstore für Manipulationen an Maschinen und Anlagen sowie für unbefugte Zugriffe auf Software und Daten eröffnet, ist Cybersecurity auch beim Industrie-4.0-/IIoT-Retrofit ein wichtiges Thema. Wie lassen sich solche Bedrohungen verhindern? Experten aus fünf Unternehmen informieren.

Dr. Oliver Kleineberg, Chief Technology Officer bei Belden: Das Netzwerk sollte von Grund auf nach den Designvorgaben gängiger Standards (IEC 62443) konzipiert werden, also mit sauberer Unterteilung in Zonen und Leitungen (­Zones and Conduits). Hier spielt die Auswahl der Ethernet-Switches und IP-Router eine große Rolle, weil die Geräte als Leitung (Conduit) Filterfunktion übernehmen oder beispielsweise als erste Linie einer Perimeter-Verteidigung (z.B. durch Network Access Control) wichtig sind und entsprechende Features unterstützen müssen.

Gleichzeitig müssen die nötigen Verbindungen in die Weitbereichsnetze (Internet) korrekt geschützt und abgesichert und für den industriellen Betrieb handhabbar sein. Hierfür gibt es schon eine Vielzahl von Technologien und Lösungen, die sich beispielsweise in der IT-Welt bewährt haben, sowie für den industriellen Markt angepasste Lösungen wie etwa Hirschmanns Secure-Remote-Access-Lösung.

Neben diesen Maßnahmen zur Netzwerksicherheit ist das Thema „rollenbasierter Zugriff“ sowie eine durchgängige Authentifikation an allen Maschinen- und Anlagen-Komponenten wichtig. Außerdem müssen die Geräte in Zukunft auch intrinsisch sicher sein und sich selbst beispielsweise nach außen in Richtung Benutzer zuverlässig als „nicht manipuliert“ ausweisen. Hier sind Software-Signierung und Secure Boot gängige und erprobte Mechanismen, die mehr und mehr Einzug in die Automatisierungswelt halten werden.

Michael Volz, Unternehmensberater und Senior Advisor für HMS Industrial Networks: Mit der zunehmenden Vernetzung der Maschinen und Anlagen mit dem Internet steigt natürlich auch die Anfälligkeit gegenüber Cyber-Angriffen. Zum Einsatz kommen sollten daher nur Komponenten, die über eine geeignete Security-Zertifizierung wie etwa IEC 62448 oder ISO 27001 verfügen. Praxisorientierte Richtlinien für den Schutz der Maschinen und Anlagen bieten die Security-Richtlinien des Bundesamts für Sicherheit in der Informationstechnik (BSI) für Industrial Control-Systems. Als Alternative zur Anbindung der Anlagen an das Internet bietet sich der Betrieb des Datenspeichers lokal im eigenen Unternehmen (on-premise) an.

Wolfgang Wanner, Leiter Marketing & Sales Consultancy von Insys Microelectronics: Es fängt bereits mit kleinen Dingen an, die zu einer gewissen Sicherheit führen: Vergeben Sie ein eigenes sicheres Passwort und nutzen Sie eine Firewall sowie VPN-Verbindungen. Vertrauen Sie Ihrem Anbieter, seinen Managed Services und seiner Hardware. Es ist aber auch wichtig, dass Sie Ihre Mitarbeiter, die direkt mit der Kommunikationstechnik in Kontakt kommen, sensibilisieren und überprüfen. Schulen Sie daher Ihr Personal im Umgang mit der Technik und Ihren IT-Sicherheitsbestimmungen. Es gibt auch Software, mit der Sie typische Vorgänge automatisch prüfen lassen können: Auf Basis logischer Annahmen können ereignisgesteuerte Meldungen initiiert werden, etwa wenn ein Türkontakt geöffnet ist oder ein unbefugter Zugriffsversuch auf den Router erfolgt.

Klaus-Dieter Walter, Geschäftsführer von SSV Software Systems: Da gibt es kein Patentrezept. Security ist ein Prozess. Für eine Retrofit-Lösung sollte man daher mit einer möglichst umfassenden Risikoanalyse beginnen, in die externe Cyber-Angreifer bis hin zu staatlichen Diensten, aber auch die eigenen Mitarbeiter und Service-Techniker der Partnerfirmen als Stakeholder einzubeziehen sind. Zu jedem identifizierten Risiko sollte eine geeignete Gegenmaßnahme ausgewählt, evaluiert und umgesetzt werden. Diese Prozessschritte werden von Zeit zu Zeit wiederholt. Trotz allem kann man letztlich nicht verhindern, dass man angegriffen wird – dazu zähle ich auch den unberechtigten Zugriff auf Maschinen- und Anlagendaten. Wichtig ist, dass man einen solchen Angriff über ein SIEM (Security-Information- and Event-Management) möglichst frühzeitig als Anomalie erkennt. Bei der Erkennung von Anomalien helfen wiederum Daten und Predic­tive Analytics weiter.

Zoltan Berkessy, Sales Manager D-A-CH von Tosibox: Es gibt eine Fülle von Maßnahmen, die wir unseren Kunden für die Sicherung ihrer Daten empfehlen. Einige davon sind recht banal, bieten aber bei Nichteinhaltung sehr effiziente Angriffspunkte. Im ersten Schritt versuchen wir jedoch, unsere Kunden für die Bedeutung ihrer Daten zu sensibilisieren. Eine einfache Frage reicht: Wem gehören die Daten? Sie sind Eigentum der Kunden.

Viele Analysten betrachten die Daten als das Öl der Zukunft. Daher sollte man bei der Realisierung einer Fernanbindung vorrangig die Frage stellen, wem ich meine Daten anvertraue. Werden die Daten in fremden Portalen oder Cloud-Systemen zwischengespeichert? Sind diese entfernten Speicher sicher, kann ich ihnen vertrauen? Wäre es für meine Anwendung nicht sicherer, solche Speicher selbst zu hosten oder bei der Fernanbindung beispielsweise auf End-to-End-Verbindungen mit einer garantierten VPN-Integrität zurückzugreifen?

Wenn diese Frage geklärt ist, sprechen wir weitere Empfehlungen aus für die Aspekte Verschlüsselung, Authentifizierung, Einfachheit der Konfiguration, nötige Eingriffe in bestehende IT-Strukturen, zentrale Verwaltung der Zugänge, Gewährleistung von OTA-Updates durch die Hersteller, sichere Werkseinstellungen, kryptische und singuläre Passwörter, Back-Doors und Master-Passwörter.

Die Anzahl der möglichen Maßnahmen ist sehr groß. Wir betrachten es als wichtig, dass Kunden alle aufgezählten Maßnahmen bei ihrer Sicherheitsbetrachtung berücksichtigen. Es ist weniger wichtig, einige dieser Maßnahme besonders streng auszulegen – es ist viel wichtiger, alle zu berücksichtigen. Viele unsere Kunden fragen beispielsweise nach der Verschlüsselungsstärke unserer Fernverbindung. Unserer Meinung nach ist es jedoch viel wichtiger, den Schlüssel der Verschlüsselung sicher aufzubewahren, also nicht öffentlich auf Cloud-Servern, als einen sehr komplexen und Ressourcen-konsumierenden Verschlüsselungs-Algorithmus zu nutzen.