Oberstes Ziel: Verfügbarkeit Sicherheitsbewusstsein in der Operational Technology

Autor: Melanie Staudacher

Das Bewusstsein für die Sicherheit in vernetzten Produktionen wird steigen. Davon ist Peter Meivers, Senior Product Manager beim Software-Hersteller Baramundi, überzeugt. Allerdings erfordert die Security in der Operational Technology (OT) viel Fingerspitzengefühl.

Firmen zum Thema

Die höchste Priorität hat in der OT die Verfügbarkeit der Produktion. Danach müssen sich auch die Sicherheitsmaßnahmen richten.
Die höchste Priorität hat in der OT die Verfügbarkeit der Produktion. Danach müssen sich auch die Sicherheitsmaßnahmen richten.
(Bild: ipopba - stock.adobe.com)

Peter Meivers, Senior Product Manager bei Baramundi
Peter Meivers, Senior Product Manager bei Baramundi
(Bild: Baramundi)

Durch die technologischen Entwicklungen im Zuge der Industrie 4.0 und der Digitalisierung sind Industrieunternehmen in der Lage, ihre Fertigungsprozesse zu optimieren und ihre Position am Markt zu stärken. Außerdem können Produktionsunternehmen mithilfe digitaler Geschäftsmodelle neue Umsatzfelder erschließen, die Effizienz steigern und nachhaltig wettbewerbsfähig bleiben. Allerdings bringen die Faktoren auch Herausforderungen an die Sicherheit mit sich, wie Peter Meivers, Senior Product Manager bei Baramundi, weiß. Denn durch vernetzte Anlagen, Steuerungseinheiten und IoT-Devices wird die Absicherung der Produktionsinfrastruktur komplexer. Und die OT als vernetzte Betriebstechnologie vergrößert die Angriffsfläche für Cyber-Kriminelle. Das erfordert, wie Meivers betont, ein den spezifischen Anforderungen der OT entsprechendes Sicherheitskonzept.

Unterschiede zwischen IT und OT

Die OT umfasst operative Technologien im Hard- und Softwarebereich, mit denen industrielle Anlagen in ihrer Funktion überwacht werden. „In der OT geht es um vernetzte Systeme, wie zum Beispiel Maschinensteuerungen oder Industrie PCs, die einen direkten Einfluss auf den Produktionsprozess haben“, ergänzt Meivers. Als oberstes Ziel der OT definiert er die Verfügbarkeit der Produktion und ein für Menschen sicheres Arbeitsumfeld. Im Gegensatz dazu ginge es in der IT weniger um die Verfügbarkeit der Systeme, sondern eher um Datensicherheit und Integrität von Systemen, die wir aus dem Kontext von Büroumgebungen kennen.

Die Security in der OT geht jedoch noch darüber hinaus. Auch physikalische Gefahren können die Folgen von mangelndem Schutz sein. Zwar sind Arbeitsschutzregeln keine Neuheit in der Produktion, mittlerweile sehen sich die Teams jedoch mit Risiken konfrontiert, die außerhalb ihrer Kontrolle liegen. Hacking ist in der OT ein genauso sensibles Thema wie in der IT, erreicht jedoch völlig neue Extreme. Ist durch einen Angriff die funktionale Sicherheit von Maschinen gefährdet, können diese die Mitarbeiter verletzen, zum Beispiel durch Überhitzung oder nicht funktionierenden Notabschaltungen. Abgeschaltete Anlagen, lahmgelegte Produktionen oder fehlerhafte Kontrollprozesse, die zu für den Endverbraucher schädlichen Produkten führen können, sind weitere vorstellbare Folgen.

Security in der Produktion umsetzen

Für Meivers ist hinsichtlich der Sicherheit, im Sinne der IT-Security, in der vernetzten Produktion wichtig zu verstehen, dass nicht eine Maßnahme das Allheilmittel sein kann. Um ein effektives Sicherheitskonzept zu erstellen, muss das Thema ganzheitlich betrachtet werden, mit Maßnahmen, die sich ergänzen. Dafür gibt es internationale Normen wie die IEC 62443. Sie verfolgt den Ansatz „Defense in Depth“, der verschiedene, voneinander unabhängige Verteidigungsinstanzen umfasst, die über das gesamte System verteilt sind. Ziel dieses Konzepts ist es, mehrere Verteidigungslinien zu schaffen für den Fall, dass eine Sicherheitsmaßnahme ausfällt oder eine Sicherheitslücke ausgenutzt wird. Dazu gehören Meivers zufolge auch die Awareness für IT-Sicherheit von Produktionsmitarbeitern, die mit Schulungen aufgebaut werden soll, sowie klare Policies und konkrete Handlungsanweisungen.

Das PERA-Modell zeigt die demilitarisierte Zone zwischen IT und OT.
Das PERA-Modell zeigt die demilitarisierte Zone zwischen IT und OT.
(Bild: Baramundi)

Um einen ausreichenden Schutz des Produktionsnetzwerkes sicherzustellen, bedarf es dem Software-Hersteller zufolge zunächst einer Erfassung und Inventarisierung aller im Produktionsumfeld eingesetzten Endgeräte. Dadurch wird eine Segmentierung der Produktionsinfrastruktur in einzelne, abgetrennte Bereiche ermöglicht. Besonders relevant sei laut Meivers außerdem eine stärkere Trennung der klassischen Office-IT und OT-Netzwerken. Durch diese Trennung lasse sich das Risiko verringern, dass Kriminelle durch IT-Angriffe wie Phishing oder Malware die gesamte Fertigungsinfrastruktur gefährden. Umgesetzt wird dies mit dem PERA-Modell (Purdue Enterprise Reference Architecture). Dabei wird eine demilitarisierte Zone (DMZ) eingerichtet, die ausschließlich für den Außenkontakt zuständig ist. Die Rede ist dabei von Servern, auf die von außen zugegriffen werden soll. Die DMZ wird von einer Firewall geschützt, gleichzeitig besteht auch ein Schutz zwischen der DMZ und dem internen Netzwerk.

Die richtige Balance

In der OT sollen Prozesse kontinuierlich optimiert werden, damit die Anlagen miteinander kommunizieren können, was wiederum die Effizienz steigert. Zwar müssen auch Sicherheitsmaßnahmen möglichst effektiv sein, dürfen jedoch nicht die Vernetzung beeinträchtigen. „In der Produktion wird Jahr für Jahr eine Steigerung der Effizienz gefordert“, sagt Meivers. „Es muss also eine Balance gefunden werden, zwischen dem notwendigen Level an IT-Sicherheit und der Produktivität, die ich brauche, um die notwendige Effizienzsteigerung zu erreichen.“

Mit der Baramundi Management Suite (BMS) ist die Inventarisierung von Endgeräten und das Identifizieren von Schwachstellen möglich. „Wir bieten konkrete Abgleiche, die auf dem Verzeichnis der National Vulnerability Data Base basieren, in der Schwachstellen katalogisiert und bewertet sind. Damit können wir den Anwendern aufzeigen, welche konkreten Schwachstellen auf den Geräten vorhanden sind“, erläutert Meivers. Die dadurch gewonnene Transparenz bildet somit die Basis für ein Risikomanagement. Dazu gehören dann gegebenenfalls Maßnahmen wie Patches, Konfigurationseinstellungen oder Isolation einzelner, möglicherweise veralteter Systeme.

Die Grenzen werden verschwimmen

Was die Automatisierung angeht, ist die OT bisher zurückhaltender als die IT. „Bei Baramundi werden viele Schritte, die von BMS zwar automatisiert werden können, wie eine Inventur, ein Schwachstellenabgleich oder ein Software Update, erstmals bewusst manuell vom Anwender ausgelöst“, erklärt Meivers. „Wenn sich dann herausstellt, dass diese Schritte den Produktionsablauf nicht beeinträchtigen, geht es nach und nach in die Automatisierung. Denn auch hier muss wieder das oberste Ziel der Verfügbarkeit der Produktion beachtet werden. Mit zunehmender Automatisierung wird das Risikomanagement einfacher und Gegenmaßnahmen können schneller durchgeführt werden.“

Meivers ist sich sicher, dass sich Security im Sinne von IT-Sicherheit in der OT als fester Bestandteil etablieren und dabei auch den Anforderungen der OT gerecht wird. „Anfänglich hat bei der Industrie 4.0 kaum jemand über Security gesprochen, sondern über die vielen Möglichkeiten neuer Service Angebote, wie zum Beispiel Predictive Maintenance. Auch wenn viele denken, dass sie nicht von Angriffen betroffen sein können, weil sie eine Firewall haben, werden sie sich über kurz oder lang dem Thema der IT-Sicherheit in der vernetzten Produktion stellen müssen.“

(ID:47030011)

Über den Autor

 Melanie Staudacher

Melanie Staudacher

Volontärin, Vogel IT-Medien GmbH