Aufrufe
vor 1 Jahr

INDUSTRIELLE AUTOMATION 6/2022

  • Text
  • Industrielle
  • Automation
  • Unternehmen
  • Einsatz
  • Maschinen
  • Sensoren
  • Komponenten
  • Produkte
  • Kommunikation
  • Anwendungen
INDUSTRIELLE AUTOMATION 6/2022

CYBERSECURITY FÜR

CYBERSECURITY FÜR INDUSTRIELLE NETZWERKE GEBEN SIE HACKERN KEINE CHANCE Wenn die Produktionsanlage durch Hackerangriffe stillsteht, kann es teuer werden. Deshalb müssen sich Betriebe dagegen schützen. Ein ganzheitliches Sicherheitskonzept, bestehend aus den Bausteinen Anlagensicherheit, Netzwerksicherheit und Systemintegrität, soll Cyber-Angreifern das Leben schwer machen. 2021 war ein erfolgreiches Jahr – zumindest für Hacker. Ihnen sind einige spektakuläre Attacken gelungen, darunter auf kritische Infrastrukturen wie Ölpipelines und Wasserwerke. Auch die Industrie leidet unter fast täglichen Angriffsversuchen: Die Vorfälle nehmen laut der europäischen Agentur für Netzwerksicherheit (ENISA) jährlich um über 30 Prozent zu. Die Angriffsstrategien haben sich verändert. Während früher Malware, landläufig als Viren bekannt, bei Hackern besonders beliebt war, sind es heute Phishing und vor allem Ransomware. Dort verschlüsseln die Kriminellen sämtliche Daten ihrer Opfer und erpressen dann Lösegeld fürs Entschlüsseln. Häufig wohl mit Erfolg, wobei nur wenige Betriebe zugeben, dass sie Opfer wurden. Von den kleinen und mittelständischen Unternehmen in Deutschland waren laut ENISA schon 61 % von Cybercrime betroffen und die übrigen wird es früher oder später treffen, darin sind sich Experten einig. Ein guter Schutz bietet das Defence-In-Depth Konzept. Ein wichtiger Baustein dabei sind Netzwerkkomponenten, die bereits ab Werk so gesichert sind, dass Angreifer nicht eindringen können. Die Schlüsselrolle spielen Switches für industrielles Ethernet und Profinet. Lapp, Hersteller von integrierten Kabelund Verbindungssystemen, hat ein breites Portfolio an Routern und Switches, die nach dem aktuellen Stand der Technik gesichert sind. Für hohen Schutz empfehlen sich vor allem die Managed Switches und NAT-Router mit Firewall. Sie lassen sich einfach konfigurieren und sind sofort einsatzbereit. ES KANN JEDEN TREFFEN Allerdings ist Technik allein nicht die Lösung. Betriebe brauchen ein ganzheitliches Cybersecurity-Konzept. Trotz der Gefahren haben das nach Angaben der ENISA nur 30 % der kleinen und mittelständischen Unternehmen. Das ist ein Spiel mit dem Feuer. Unternehmen droht somit der Verlust von geistigem Eigentum sowie Geschäftsgeheimnissen oder die Sabotage der Produktion. Es kann auch Unternehmen treffen, die sich eigentlich mit IT auskennen, wie Citrix. Dort waren Hacker fünf Monate lang unentdeckt im Firmennetzwerk unterwegs. Sogar Fireeye, eine Sicherheitsfirma für IT-Software, wurde gehackt, geplündert und die Sicherheits-Software entwendet. 54 INDUSTRIELLE AUTOMATION 2022/06 www.industrielle-automation.net

INDUSTRIELLE KOMMUNIKATION Anlagen. Sie befasst sich neben einem allgemeinen Teil mit Prozessen, dem System und auch einzelnen Komponenten. Angelehnt an die Norm ist das Konzept Defence-In-Depth. Das ist ein mehrschichtiges Sicherheitskonzept aus drei Teilen: Anlagensicherheit, Netzwerksicherheit und Systemintegrität. Nur 30 Prozent der kleinen und mittelständischen Unternehmen haben ein ganzheitliches Cybersecurity-Konzept. Das ist ein Spiel mit dem Feuer. Unternehmen droht somit der Verlust von geistigem Eigentum sowie Geschäftsgeheimnissen oder die Sabotage der Produktion. Jürgen Greger, Produktmanager Industrial Communication, Lapp Wenn sich schon IT-Firmen nicht schützen können, wie soll es dann einem mittelständischen Maschinenbauer gelingen? Resignieren ist keine Option, denn man kann sich schützen. Zwar nicht zu 100 %, aber dennoch sollte der Aufwand für die Hacker so groß wie möglich sein, damit es sich für sie nicht lohnt. Unterstützung bietet auf europäischer Ebene die ENISA, die europäische Agentur für Cybersecurity oder in Deutschland das Bundesamt für Sicherheit in der Informationstechnik (BSI). Große Unternehmen unterhalten Computer Emergency Response Teams, kurz CERT. In Deutschland gibt es derzeit 48 CERT, darunter das CERT-Bund vom BSI oder das VDE-CERT für die Elektrotechnik- Industrie. Auch die Deutsche Telekom unterhält ein eigenes CERT-Team, ebenso Siemens und einige mehr. SCHWERPUNKT AUF VERFÜGBARKEIT Die meisten Industriebetriebe können sich das nicht leisten und sind auf externe Hilfe angewiesen. IT-Experten wittern da einen lukrativen Markt. Fragt man diese, was sie unter Security verstehen, wird ihr Hauptaugenmerk vor allem auf der Vertraulichkeit liegen. Doch das ist den Betrieben gar nicht so wichtig. Bei der Industrial Security, auch OT-Security genannt, liegt der Fokus auf der Verfügbarkeit. In der OT geht es um Maschinen und Produktionsanlagen; da können 300 Millisekunden Ausfall schon zu viel sein, eine nahezu 100-prozentige Verfügbarkeit von 24/7 ist dort das A und O. Viele dieser Aspekte werden in der IEC 62443 abgedeckt. Sie ist ein umfassender und international anerkannter Standard für Industrial Security und beschreibt im Detail die Verfügbarkeit von SO FUNKTIONIERT DAS SICHERHEITSKONZEPT Die drei Bausteine des Defence-In-Depth-Konzepts sind nachfolgend erläutert: Anlagensicherheit: Dort geht es hauptsächlich darum, Anlagen abzuschließen, z. B. mit speziellen Schaltschränken. Nicht jede Person soll Zugang zum Netzwerk haben. Dazu gehört, den Mitarbeitern Arbeitsanweisungen und Richtlinien in entsprechenden Schulungen bekanntzumachen. Netzwerksicherheit: Empfehlenswert ist die Netzwerksegmentierung, etwa mit NAT. Hier empfiehlt sich der Einsatz von IP und MAC Filtern, das Deaktivieren ungenutzter Ports und außerdem sollte verhindert werden, dass offene Ports frei verfügbar im Internet stehen. Weiterhin ist der Einsatz einer Firewall für die sichere Kommunikation mit der Außenwelt obligatorisch. Es gibt smarte Lösungen, die auch einzelne Maschinen oder kleine Fertigungszellen vom restlichen Unternehmensnetzwerk abschotten. Dann sollte man sichere Protokolle verwenden, etwa beim Aufruf einer Webseite. Systemintegrität: Dort geht es um die Systemhärtung. Default- Passwörter wie 0000, die im Auslieferungszustand vom Gerätehersteller hinterlegt sind, sollten sofort durch ein sicheres Passwort ersetzt werden. Damit macht man es Hackern so schwer wie möglich, ein Netzwerk zu attackieren. Weitere Maßnahmen sind Whitelisting und Virenschutz. Whitelisting deshalb, weil Betriebe wissen, welche Komponenten miteinander kommunizieren dürfen, zumindest in der Fertigungsebene. Die IT setzt dagegen hauptsächlich auf Blacklisting, weil man dort nicht wissen kann, wer auf die eigene Website zugreifen will, es gibt also spezifisch verbotene Bereiche. Die Authentifizierung befasst sich mit der Klassifizierung der Benutzer und mit dem Passwortmanagement. Folgt man diesen Empfehlungen, führt in der Fabrikvernetzung kein Weg an gemanagten Geräten vorbei. Lapp hat ein umfangreiches Portfolio an Switches für die Vernetzung in Fabriken, die mit hohen Sicherheitsstandards ausgerüstet sind – und es Hacker angriffen damit schwer machen. Als Anbieter von zuverlässigen Verbindungslösungen sieht es das Unternehmen als seine Auf gabe, sich der Thematik anzunehmen und seine Kunden davor zu schützen. Bilder: oz – stock.adobe.com; sonst Lapp www.lappkabel.de UNTERNEHMEN Lapp GmbH Schulze-Delitzsch-Straße 25 70565 Stuttgart Tel.: 0711/7838-01 E-Mail: info@lappkabel.de AUTOR Jürgen Greger, Produktmanager Industrial Communication, U.I. Lapp GmbH, Stuttgart www.industrielle-automation.net INDUSTRIELLE AUTOMATION 2022/06 55