„Defense-in-Depth“ als Verteidigungsstrategie

Die Vorteile der derzeit stattfindenden zunehmenden Digitalisierung und Vernetzung sind ganz klar Effizienzsteigerungen durch vereinfachte, besser aufeinander abgestimmte Prozesse sowie mehr Transparenz. Die Kehrseite der Medaille: Durch immer komplexer werdende Kommunikationsinfrastrukturen erhöht sich auch die Anzahl der Angriffspunkte. Den besten Schutz bieten Produkte und Anlagendesigns, bei denen bereits in der Entwurfsphase der Fokus auf maximale Sicherheit gelegt wurde. Von Sandra Winter, x-technik

Cyber Security ist Teamarbeit: Eine wesentliche Grundannahme der IEC 62443 ist, dass die Absicherung einer Maschine oder Anlage gegen gewollten oder ungewollten Missbrauch nicht durch einen einzigen Akteur vorgenommen werden kann, sondern von allen Beteiligten mitgestaltet werden muss. Das höchste Sicherheitsniveau werde erreicht, wenn Hersteller, Integratoren und Betreiber an einem gemeinsamen Strang ziehen. Wie dies konkret funktionieren kann, steht im Praxisleitfaden „Industrie 4.0 Security“ des VDMA sehr gut beschrieben.

Generelles Ziel einer „Industrie 4.0 Security“ sei es, wegzukommen von einem nachträglichen Hinzufügen von Security-Funktionen. Stattdessen soll der Produktentwicklungsprozess von der ersten Minute an „secure“ gestaltet werden. Als Orientierungshilfe für die Herstellung „sicherer“ Produkte dient die IEC 62443-4-1. Diese gibt organisatorische und prozessuale Anforderungen vor, wie ein „Secure Product Development Lifecycle“ realisierbar ist. „Security ist ein Thema, das über den kompletten Lebenszyklus der Produktentstehung hinweg im Auge zu behalten ist – angefangen bei einer Bedrohungsanalyse bis hin zur Umsetzung entsprechender Gegenmaßnahmen entweder direkt im Produkt selbst – in Form von Security-Funktionen – und/oder als Hinweis an den Kunden, damit er weiß, wie er sein Produkt ‚secure‘ einsetzen kann“, erklärt Frank Eberle, Software Developer Network Systems bei der Pilz GmbH & Co. KG. Inwiefern die Hersteller das Entstehen sicherer Gesamtsysteme sonst noch unterstützen könnten: „Indem sie netzwerkfähige industrielle Komponenten mit Automatismen versehen, die den Anwender vor dem ersten Online-gehen zu einer Passwort-Änderung zwingen“, verrät Michael Flesch, Safety Systems-Experte bei Turck. Denn die Beibehaltung von Standard-Passwörtern ist teilweise noch immer gang und gäbe. Etwaige Schwachstellen von Protokollen oder Verschlüsselungsverfahren sind bei neuen Gerätedesigns ebenfalls zu berücksichtigen.

Die unverzichtbaren Drei: Integrität, Verfügbarkeit, Vertraulichkeit

Die klassischen Ziele der Cyber- oder Informationssicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit. In der Automation gibt es in der Regel andere Prioritäten: Hier kommt der Verfügbarkeit die größte Bedeutung zu und dann erst folgen Integrität bzw. Vertraulichkeit. Bei Safety-Anwendungen wiederum ist Integrität das Wichtigste und wird sogar noch vor der Verfügbarkeit an erster Stelle gereiht. Wobei Integrität bedeutet, dass dafür zu sorgen ist, dass Datensätze unverfälscht bleiben und dass Systeme nicht unbemerkt angegriffen und infiltriert werden können. „Wir müssen also nicht nur die Integrität der Informationen, sondern auch die Integrität der Systeme managen und sicherstellen“, präzisiert Dr.-Ing. Lutz Jänicke, Product & Solution Security Officer im Bereich Corporate Technology bei Phoenix Contact. Die wichtigste Maßnahme bei höchstem Integritätsbedarf ist, die Rechte von allem und jedem grundsätzlich möglichst weit einzuschränken, empfiehlt der Praxisleitfaden „Industrie 4.0 Security“ vom VDMA. Die größte Wirksamkeit von Schutzmaßnahmen wird übrigens dadurch erreicht, dass im Sinne einer Defense-in-Depth-Strategie mehrere hintereinander gestaffelt werden, die auf dieselben Angriffsvektoren wirken.

Es gibt keine Universallösung

Das größte Problem im Umgang mit Security: Ähnlich wie beim Thema Industrie 4.0 gibt es nicht die eine Lösung, die für alle passt und die es als Rundumschutz von der Stange zu kaufen gibt. Stattdessen braucht es maßgeschneiderte ganzheitliche Konzepte, die nicht nur technische, sondern auch entsprechende organisatorische Maßnahmen beinhalten. Denn oft sind es nach wie vor die „altbekannten Klassiker“ wie Wechseldatenträger oder Wartung-Notebooks, über die Schadsoftware eingeschleust wird. Das BSI empfiehlt diesbezüglich strikte Kontrollen, die von einer Inventarisierung und einem Whitelisting zugelassener Wechseldatenträger bis hin zur Einrichtung von Quarantänenetzwerken für den Zugang externer Dienstleister bzw. Schwachstellenscans bei mitgebrachten Devices reichen. Ein weiterer wichtiger Punkt ist der Schutz vor Schadcode. Das Automatisierungssystem muss die Fähigkeit haben, Schutzmechanismen zu verwenden, die die Wirkung von Schadcode oder nicht autorisierter Software verhindern, erkennen, melden und Abhilfe hiergegen schaffen. Außerdem muss es die Fähigkeit haben, diese Schutzvorkehrungen zu aktualisieren, heißt es zu diesem Thema im „Industrie 4.0 Security“-Praxisleitfaden des VDMA. Eine gut durchdachte Patch-Management-Strategie ist also ebenfalls essentiell für den Erhalt eines hohen Sicherheitslevels.

Sicherheit ist nichts Statisches

Sicherheit ist in Zeiten einer zunehmenden Vernetzung nichts Statisches, sondern ein kontinuierlicher Prozess. Etwas, das permanent neu geprüft und bewertet werden muss. „Zum einen sind die Hersteller gefordert, ihre Produkte so zu gestalten, dass sie die Vorgaben der IEC 62443 erfüllen. Zum anderen sind die Anwender gefordert, mit an sich sicher gestalteten Schnittstellen richtig umzugehen, damit diese auch sicher bleiben“, bringt Andreas Oberweger, Maschinensicherheitsexperte beim TÜV Austria, abschließend auf den Punkt, mit welchen Herausforderungen sich Hersteller, Integratoren und Anwender aktuell konfrontiert sehen. Als Hilfestellung hat der ZVEI eine Checkliste zum Thema Cybersicherheit erstellt, in dem u. a. auf die Wichtigkeit regelmäßiger Sicherheits- und Risikoanalysen, auf die Notwendigkeit eines Notfallplans, auf das Konzept der physikalischen Datensicherung und auf ein anforderungsgerechtes Rechte- und Rollenmanagement hingewiesen wird. Besonders interessant ist auch der letzte Punkt, der auf der ZVEI-Checkliste erwähnt ist: Wie stellen Sie sicher, dass gelieferte Produkte, die Sie selbst einsetzen oder weiterverarbeiten, keine gravierenden Schwachstellen haben? Ein Punkt, dem jetzt – nach dem Bekanntwerden der Sicherheitslücken Spectre und Meltdown – wohl noch mehr Beachtung geschenkt werden dürfte.

Filtern

Suchbegriff

Unterkategorie

Firmen

Inhaltstyp

Firmentyp

Land