Trend Micro: IoT und Industrie 4.0[Gesponsert]

Langfristige Geschäftschancen für Partner und Berater

Safety vs. Security
Safety vs. Security (Bild: Trend Micro)

IoT und Industrie 4.0 sind als Themen kaum noch aus der IT-Berichterstattung wegzudenken. Glauben Kunden den einschlägigen Werbematerialien vieler Hersteller, so steht erfolgreichen Geschäftsabschlüssen nichts mehr im Weg. In der Realität tritt jedoch oft Ernüchterung ein.

Auf der einen Seite stehen zumeist sprachliche und branchenkulturelle Missverständnisse zwischen IT und OT. Auf der anderen Seite sind die genutzten Technologien zwar oft gleich – die Einsatzzwecke und Ziele häufig jedoch leicht verschoben. Gerade bei der Beratung ist es aber wichtig, die Unterschiede zu kennen und zu beachten. Und spätestens bei der Implementierung sind passende Best-Practices und Referenzarchitekturen Gold wert. Genau an dieser Stelle treten Partner und Berater als Vermittler zwischen den Welten aufs Spielfeld, sowohl zwischen Kunden und Herstellern als auch zwischen OT und IT. In diesem Zusammenhang gilt es aber einige Dinge zu beachten:

Safety vs. Security

Wer bisher keine Berührung mit OT oder IoT hatte, sollte zunächst einen Blick auf die Motive und die jeweilige Sprache im industriellen Kontext werfen. Das fängt schon beim Wort „Sicherheit“ an, das je nach Umfeld verschieden besetzt ist. Während im klassischen IT-Umfeld damit IT-Security gemeint ist, wird dieses Wort im Industriekontext häufig mit „Safety“ besetzt – also der Sicherheit von Maschine, Bediener und Umwelt. Hier empfiehlt sich eine grobe Einarbeitung in das Feld der funktionalen Sicherheit (z.B. IEC 61508/ISA 84), um zu verstehen, wieso manche Dinge im industriellen Umfeld anders bewertet werden. Auch ein Blick auf neuere Normen wie IEC62443/ISA99 hilft, die Sprache aber auch den Platz von IT in größeren Industrieprojekten zu verstehen. Insbesondere im deutschen Umfeld bietet sich auch ein Querlesen von Metanormen wie RAMI 4.0 an.

Branchen- und kundenagnostische IoT-Architekturübersicht
Branchen- und kundenagnostische IoT-Architekturübersicht (Bild: Trend Micro)

Geräte

Hinsichtlich der Endgeräte sollte man zwischen traditionellen Industrieumgebungen, also Aktoren und Sensoren, die über Feldbusse an SPS angebunden sind, und modernen (I)IoT-Geräten unterscheiden. Bei klassischen SPS-Umgebungen gibt es kaum Möglichkeiten, die SPS zu schützen außer über eine Absicherung der Kommunikation. Bei modernen (I)IoT-Umgebungen hingegen sieht es anders aus. Auf der einen Seite kommen dort häufig IT-nahe Komponenten wie Betriebssysteme sowie Kommunikationskanäle wie Ethernet und IP zum Einsatz. Auf der anderen Seite gibt es dort aber auch häufig die Möglichkeit, direkt in der Entwicklung für Sicherheit zu sorgen. Abgesehen von der Entwicklung kann der Partner hier aber auf sein gesammeltes Wissen über IT-Security bezüglich Patchen, Betrieb und Kommunikation zurückgreifen. In diesem Punkt unterscheiden sich viele (I)IoT-Geräte konzeptionell kaum von aus der Office-IT bekannten Systemen.

Möchte man hingegen auch schon bei der Entwicklung der Geräte helfend zur Seite stehen, empfiehlt sich neben einem grundsätzlichen Einblick in den Softwareentwicklungsprozess auch die Beschäftigung mit IoT-spezifischen Frameworks und Protokollen. Dies umfasst auch die Einbindung von IoT-spezifischen Security-Frameworks wie IoT Security von Trend Micro in Entwicklungs- und Testprozesse.

Kommunikation

Weder SPS- noch (I)IoT-Geräte existieren autark. Beide sind über Kommunikationsschnittstellen an nachgelagerte Steuer- und Kontrollsysteme angebunden. Dabei ist heute die Kombination aus Ethernet und IP allgegenwärtig. Hat ein Partner also schon Erfahrungen mit Netzwerksicherheit im Umfeld der Office-IT gesammelt, lassen sich diese direkt auch hier nutzen. Im Gegensatz zur Office-IT gibt es zwei Rahmenbedingungen, die stärker zu beachten sind: Verfügbarkeit und Konfiguration beziehungsweise Optimierung.

Bei der Verfügbarkeit denken die meisten sehr digital: Ein Dienst steht entweder zur Verfügung oder nicht. Dies ist jedoch der einfachste Fall. Kritischer und auch deutlich schwieriger zu analysieren sind Änderungen der Dienstqualität. Im Netzwerkbereich sind das schwankende Bandbreiten, Paketverlustraten und Weiterleitungsverzögerungen. Gerade diese Punkte sind im industriellen Umfeld jedoch von enormer Wichtigkeit. Die IPS-Familie von Trend Micro namens TippingPoint Threat Protection System adressiert diese Anforderungen durch eine Implementierung aller wichtigen Systeme in die Hardware. Dadurch kann die Qualität der Bearbeitung, anders als bei Software-basierten Lösungen, garantiert werden.

Auch bei der Konfiguration und Optimierung gibt es große Unterschiede. Bei einem klassischen IDS-System wird normalerweise ohne aktive Regeln begonnen. Patterns werden unter Berücksichtigung des inspizierten Verkehrs nach und nach aktiviert. Das Optimieren im laufenden Betrieb ist aber gerade im industriellen Umfeld sehr kritisch – immerhin bedeutet jede Änderung der Konfiguration eventuell eine Änderung des Verhaltens. Nicht selten impliziert dies auch eine Neuevaluierung aus Sicht der funktionalen Sicherheit.

Tipping Point IPS von Trend Micro agiert hier anders. Dank der Informationen der Zero Day Initiative (ZDI) ist Trend Micro umfassend über Sicherheitslücken in verschiedensten Produkten informiert. So wurden 2017 in ICS/HMI-Systemen mehr Lücken gefunden als in allen anderen Kategorien. Dieses Detailwissen ermöglicht es, Erkennungen für die Ausnutzung der Sicherheitslücke selbst zu erstellen, unabhängig von der konkreten Schwachstelle. Dies erklärt auch, wieso Tipping Point IPS standardmäßig scharfgestellt ist – also mit dem überwiegenden Teil der Regeln aktiviert. Im Industriekontext hat dies zwei entscheidende Vorteile: Auf der einen Seite ist man gegen einen Großteil der bekannten, unbekannten oder noch nicht veröffentlichten Lücken in Systemen geschützt. Auf der anderen Seite stehen auch weniger Änderungen der Konfiguration auf dem Plan – ein eindeutiges Plus gerade in diesem Kontext.

Auf den ersten Blick mag diese einfachere Implementierung für Partner und Berater kontraproduktiv wirken. Jedoch werden dadurch oft sehr viel mehr Bedrohungen gefunden als mit einem leistungsoptimierten IDS. Dies wiederum bedingt oft forensische Analysen auch von externen Komponenten. Hinzu kommt die Einbindung des IPS-Systems in eine übergreifende Abwehrstrategie (Connected Threat Defense), welche auch wieder ganz klar Beratungs- und Implementierungsdienstleistungen nach sich zieht.

Backend

Beim Backend kommen häufig verbreitete Server-Systeme und -Lösungen für Rechenzentren zum Einsatz. Dementsprechend lässt sich hier auch die gesamte Klaviatur der Lösungen für Rechenzentrums- und Cloud-Security ausspielen. Letztendlich unterscheiden sich diese Systeme höchstens in der Applikationslogik oder in speziellen Protokollen (z.B. MQTT) von jedem gängigen Backend. Die eingesetzten Betriebssysteme und Applikationen sind identisch und können auch mit bekannten und bewährten Sicherheitslösungen, z.B. Trend Micro Deep Security, gesichert werden.

Referenzarchitektur für Öl und Gas
Referenzarchitektur für Öl und Gas (Bild: Trend Micro)

Referenzarchitekturen

Niemand spielt gerne Versuchskaninchen, insbesondere beim Implementieren neuer Sicherheitsmaßnahmen. Best Practices und Referenzarchitekturen spielen deshalb gerade im industriellen und sicherheitskritischen Bereich eine entscheidende Rolle. Genau aus diesem Grund hat Trend Micro branchenspezifische Referenzarchitekturen dokumentiert. Diese kombinieren allgemeine Implementationsvorgaben und Erfolgsmodelle mit branchenspezifischen Vorgaben und Änderungen, auf die auch Partner zugreifen können.

Dienstleistung und Beratung

Letztendlich steckt in Projekten rund um die Industrie 4.0 ein enormes Umsatzpotential für Partner. Aus technologischer Sicht ist vieles außerdem sehr ähnlich zu bekannten IT-Lösungen. Als größter Hemmschuh ist das häufig fehlende Verständnis für die Anforderungen der Industrie und die von ihr verwendete Sprache zu sehen. Im industriellen Kontext ist die IT-Sicherheit oft nur ein kleines Puzzleteil in einem großen Gesamtbild. IT-Dienstleister sollten sich dieser Rolle bewusst sein, denn bei Projekten im Industriebereich ist selbst ein kleines Puzzleteil oft sehr groß.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45336781 / IoT & Industrie 4.0)