Freie Fahrt nur für Befugte

Nicht jede Straße ist für jedes Fahrzeug befahrbar. Vor allem Lkw-Fahrer erleben es immer wieder, dass sie von ihrem Navigationssystem zu für sie unpassierbaren Wegen gelotst werden. Mancherorts wurden deshalb sogar schon warnende „No Trucks“-Schilder aufgestellt. Bei Fernwartungszugängen zu Industrieanlagen verhält es sich ähnlich. Nicht jede technisch machbare Zugriffsmöglichkeit von außen ist für das Produktionsnetzwerk geeignet. Deshalb gilt es, die erlaubten Kommunikationswege OT-spezifisch zu reglementieren. Von Sandra Winter, x-technik

Die robusten und industrietauglichen Vertreter der mGuard-Produktfamilie beinhalten Firewall-, Routing- und VPN-Funktionalitäten zum Schutz vor Cyberattacken.

Die robusten und industrietauglichen Vertreter der mGuard-Produktfamilie beinhalten Firewall-, Routing- und VPN-Funktionalitäten zum Schutz vor Cyberattacken.

Erich Kronfuss
Industrial IoT-Security Specialist bei Phoenix Contact Österreich

„Gerade während einer Fernwartungsaktivität ist dafür zu sorgen, dass die Kommunikation zwischen der betroffenen Anlage und dem restlichen Produktionsnetzwerk zumindest auf ein Minimum beschränkt, wenn nicht sogar vollständig gekappt ist.“

Genauso wie es bei der Routenplanung von A nach B unter Umständen einen gehörigen Unterschied macht, ob man die dazwischen liegende Strecke in einem Lkw, einem herkömmlichen Pkw oder einem Geländewagen zu bewältigen versucht, gibt es auch beim Thema Fernwartung einige Dinge, auf die man bei der Suche nach einem passenden Lösungsweg zu achten hat. So gilt es beispielsweise im OT-Bereich nicht nur die IT-Security-Norm ISO 27001, sondern auch die Vorgaben der IEC 62443 und der IEC 63069 zu kennen bzw. zu beherzigen, um auf sicheren Pfaden unterwegs sein zu können. „Die internationale Normenreihe IEC 62443 befasst sich mit der Cyber Security von Industrial Automation and Control Systems (IACS), während der internationale Standard IEC TR 63069 eine Art Brückenfunktion in Richtung IEC 61508 erfüllt. Die Verschränkungen der Safety- und OT-Security-Anforderungen der Industrie sind ebenfalls in der IEC TR 63069 festgeschrieben“, erklärt Erich Kronfuss.

Der TÜV Süd hat per Zertifikat bestätigt, dass die Security-Spezialisten von Phoenix Contact Österreich Helmut Hagn und Erich Kronfuss sichere Automatisierungslösungen entsprechend der Norm IEC 62443-2-4 entwickeln und umsetzen können.

Der TÜV Süd hat per Zertifikat bestätigt, dass die Security-Spezialisten von Phoenix Contact Österreich Helmut Hagn und Erich Kronfuss sichere Automatisierungslösungen entsprechend der Norm IEC 62443-2-4 entwickeln und umsetzen können.

Zertifikat nach IEC 62443-2-4

Dass Erich Kronfuss und sein Kollege Helmut Hagn – die beiden Netzwerktechnik-und Cyber Security-Spezialisten bei Phoenix Contact Österreich – wirklich wissen, wie sich ein produzierendes Unternehmen bestmöglich vor unbefugten oder ungewollten Zugriffen auf das firmeneigene Netzwerk schützen kann, wurde am 19. Mai dieses Jahres auch vom TÜV Süd bestätigt: Es wurde mit einem sogenannten ICS Security Service Provider-Zertifikat beurkundet, dass die rot-weiß-rote Phoenix Contact-Mannschaft sichere Automatisierungslösungen entsprechend der IEC 62443-2-4 entwickeln und umsetzen kann. „Nachdem wir u. a. Cyber Security-Seminare abhalten und individuelle ICS-Security Trainings offerieren, wollten wir unseren Kunden gegenüber belegen können, dass wir dafür qualifiziert sind“, begründet Erich Kronfuss, warum auf die Zertifizierung nach IEC 62443-4-1 im Jahre 2018 nun jene nach IEC 62443-2-4 folgte. „Bei unserer Produktentwicklung ist Security-by-Design schon seit längerem ein fixer Bestandteil, jetzt ist der nächste Schritt getan. Die jüngste Zertifizierung unterstreicht die Phoenix Contact-Strategie, standardisierte Security in Produkten, Industrielösungen und Beratungsdienstleistungen anzubieten, um einen zukunftssicheren Betrieb von Maschinen, Anlagen und Infrastrukturen zu ermöglichen“, fügt er ergänzend hinzu.

Fernwartungs-Blueprint nach IEC 62443

Wenn Erich Kronfuss und seine Kollegen OT-Security-Risikobeurteilungen bei Kunden vornehmen, werden u. a. Fragen wie diese gestellt: Wie wird für die AUVA dokumentiert wer, wann, worauf online zugegriffen hat? Erfolgt eine Alarmierung bei einem unbefugten Fremdzugriff auf das Maschinennetzwerk oder auf eine bestimmte Steuerung? Gibt es einen Schalter, mit dem sich Fernwartungsaktivitäten aktiv zulassen bzw. nach getaner Arbeit auch wieder abdrehen lassen?

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte einen eigenen Leitfaden dafür, wie eine Fernwartung im industriellen Umfeld idealer Weise auszusehen habe. Empfohlen wird an dieser Stelle u. a., dass Fernwartungskomponenten möglichst in einer vorgelagerten Zone (DMZ) und nicht direkt im Produktionsnetz lokalisiert sein sollten, dass die Option bestehen sollte, Fernwartungszugriffe feingranular pro IP und Port zu regeln und dass der Verbindungsaufbau aus dem Unternehmen heraus passieren sollte. Es sollten also keine offenen Ports für einen Verbindungsaufbau von außen vorhanden sein. Phoenix Contact antwortete auf diese und zahlreiche weitere Anforderungen, die bei der Systemauslegung zu berücksichtigen sind, mit einem nach IEC 62442-3-3 zertifizierten Fernwartungs-Blueprint. Dieser basiert einerseits auf Security-Komponenten wie der FL mGuard-Produktfamilie und andererseits auf einem schlüsselfertigen mGuard Secure Remote-Service für eine sichere cloudbasierte Fernwartung. „Da in restriktiven Umgebungen eine VPN-Verbindung über die IPsec-Standard Ports oft nicht möglich ist, bietet der mGuard Secure Remote-Service mit dem Machine Path Finder die Möglichkeit, ‚Firewall-freundliche‘ VPN-Tunnel aufzubauen. Außerdem kann der Kunde jetzt eine automatische E-Mail-Benachrichtigung beim Aufbau des Maschinen-VPNs aktivieren. Geht ein solches VPN online, wird eine Mail an die hinterlegte Adresse gesendet“, beschreibt Erich Kronfuss einige besondere Features, mit denen die Version 2.9 von Phoenix Contacts cloudbasierter Fernwartungslösung aufwartet.

Plädoyer für eine tiefengestaffelte Verteidigung

Eine einzige Maßnahme reicht im Allgemeinen nicht, um die eigene Netzwerkinfrastruktur vor unbefugten Zugriffen zu schützen. Je mehr Barrieren zu durchdringen sind, desto besser. Deshalb setzen immer mehr Firmen auf eine tiefengestaffelte Verteidigung (Defense in Depth). Sie trennen das Internet vom Unternehmensnetzwerk, errichten eine Firewall zwischen IT und OT und segmentieren innerhalb der Produktion weiter. „Man soll, um bei der eingangs erwähnten Analogie zum Straßenverkehr zu bleiben, nicht durch das gesamte Werksgelände durchfahren müssen bzw. können, um an einen bestimmten Punkt zu gelangen. Gerade während einer Fernwartungsaktivität ist dafür zu sorgen, dass die Kommunikation zwischen der betroffenen Anlage und dem restlichen Produktionsnetzwerk zumindest auf ein Minimum beschränkt, wenn nicht sogar vollständig gekappt ist“, rät Erich Kronfuss abschließend.

Filtern

Suchbegriff

Unterkategorie

Firmen

Inhaltstyp

Firmentyp

Land