Sichere OT-Netzwerke an allen Standorten: So machen Sie Ihre Produktion fit für die Zukunft

Wichtige Grundlagen und smarte Vorgehensweisen, um aus gewachsenen unklaren Strukturen einen zukunftsfähigen OT-Netzwerkstandard zu entwickeln.
Inhaltsverzeichnis

    In zunehmend komplexen Produktionsinfrastrukturen kommt dem Netzwerk eine immer wichtigere Rolle zu. Ein störungsfreier Datentransfer ist für die Verfügbarkeit der kritischen Prozesse essenziell. Architektur und Design eines OT-Netzwerks müssen aktuelle Security-Anforderungen erfüllen und die Integration neuer Technologien unterstützen. Vom Status Quo, der über Jahrzehnte hinweg gewachsen ist, hin zu einem zukunftsfähigen sicheren OT-Netzwerk ist es jedoch ein weiter Weg. Wir begleiten Sie mit Know-how und Fitting Practices, die Ihr Projekt voranbringen.

    Schlüsselrolle OT-Netzwerk

    Modernisierungen sind unumgänglich, um wettbewerbsfähig zu bleiben. Den Effizienzsteigerungen, die das IoT, Cloudanwendungen und viele andere Trends in der Automation ermöglichen, stehen erhebliche Aufwände und Kosten gegenüber. Bei deren Integration geht es nicht nur um Interoperabilität, sondern auch darum, den heterogenen Infrastrukturbestand in der OT bedarfsgerecht abzusichern.

    Damit neue Technologien sicher und nachhaltig die Mehrwerte liefern, die sie versprechen, braucht es eine stabile Grundlage. Und hier kommt Ihr OT-Netzwerk zum Tragen.

    Besondere Anforderungen in der OT

    Für IT-Systeme, die in der OT eingesetzt werden, gelten besondere Rahmenbedingungen. Systeme im Produktionsnetzwerk kommunizieren über Industrieprotokolle, sie sind sensibel und anfällig für Störungen. Im hochgradig vernetzten Produktionsprozess bestehen viele Abhängigkeiten zwischen den Netzwerkteilnehmern. Eine Störung oder ein Ausfall eines Systems kann ganze Anlagen oder Produktionslinien lahmlegen.

    Klassische Vorgehensweisen und Maßnahmen, wie sie in der IT üblich sind, müssen an die besonderen Anforderungen im 24/-Betrieb der Produktion angepasst werden. Oberste Priorität hat dort Sicherung der Verfügbarkeit. 

    Ist-Zustand OT-Netzwerke – dringender Handlungsbedarf

    In den meisten Unternehmen gleicht das Produktionsnetzwerk heute einem riesigen Patchwork aus heterogenen Systemen und Komponenten, es ist über lange Zeit gewachsen.

    Architektur und Infrastruktur

    Nicht selten ist das Produktionsnetzwerk nicht vom Enterprise-Netzwerk getrett und zudem unsegmentiert. Schadcode und technische Störungen können sich ungehindert ausbreiten. Die langlebigen Systeme, die darin vernetzt sind (und künftig noch werden), nutzen Technologien aus verschiedenen Jahrzehnten. Viele Legacy-Systeme können lokal nicht geschützt werden. Die Integration neuer Systeme findet auf einer unsicheren Grundlage mit vielen Schwachstellen statt.

    Im unsegmentierten Netzwerk verursachen immer mehr Datenströme eine hohe Netzwerklast, was die Effizienz beeinträchtigt.

    Verantwortung, Organisation & Prozesse

    Die Aufwände für den Betrieb komplexer OT-Netzwerke steigen, aber die Verantwortung zwischen IT und OT ist nicht klar geregelt. Es fehlen Standards und Vorgaben, wie und durch wen erforderliche Leistungen für die IT-Systeme erbracht werden.

    Es besteht ein großer Nachholbedarf, um das OT-Netzwerk in einen Zustand zu überführen, der den aktuellen und auch den künftigen Anforderungen einer modernen Produktion gerecht wird. Für OT- und OT-Security-Projekte fehlt Transparenz, die Aufschluss über die einzelnen Assets, ihre Verortung im Netzwerk und Abhängigkeiten im Prozess liefert. Eine aussagefähige Dokumentation ist meist nicht vorhanden.

    Technische Innovation vs. Security

    Viele Anwendungen, die auf innovativen Technologien aufsetzen, können die Effizienz in der Automation steigern. Dafür werden immer mehr Daten im Produktionsprozess gesammelt, analysiert und verarbeitet. Das setzt eine umfassende Konnektivität voraus und bewirkt, dass die Zahl der Schnittstellen immer weiter zunimmt.

    Dem gegenüber stehen Security-Anforderungen, um die Verfügbarkeit der heterogenen Produktionsanlagen sicherzustellen. In vernetzten Supply Chains erweitern sich die Angriffsvektoren stetig. Das Netzwerk kann über viele ausnutzbare Schwachstellen zum Einfallstor in sensible Unternehmensbereiche werden. Dementsprechend werden die Security-Mindestanforderungen für regulierte Unternehmen ständig angepasst. Die NIS2 listet die Netzsegmentierung unter den “grundlegenden Praktiken der Cyberhygiene”. Darauf baut das Business Continuity Management (BCM) auf. Geeignete Security-Maßnahmen werden auf Basis eines Risk Assessments entsprechend der Kritikalität der Systeme und Komponenten konzipiert.

    Bei der Migration des OT-Netzwerks gilt es, beides in Einklang zu bringen: Das Etablieren der nötigen Grundlagen für die technologische Weiterentwicklung in der Automation und die Umsetzung von Security-Maßnahmen, um den Betrieb wirksam abzusichern.

    Soll-Zustand: Anforderungen an moderne OT-Netzwerke

    Wie Sie eine geeignete Netzwerkarchitektur in einer entsprechenden Topologie abbilden, hängt von den individuellen Anforderungen in Ihrem Betrieb ab. Es gibt jedoch praktikable Hilfestellungen, mit denen Sie das Zielbild definieren und bei der Umsetzung smart vorgehen können.

    Purdue Reference Model

    Die wichtigsten Maßnahmen zur Absicherung des Produktionsnetzes sind eine klare Trennung von der Enterprise-IT, die aus der Perspektive der OT als unsicher gilt, und eine Segmentierung entsprechend des Schutzbedarfs der Assets. 

    Um Transparenz und Struktur für ein komplexes Netzwerk zu bekommen, liefert das Purdue Reference Model eine hilfreiche Orientierung. Es abstrahiert ein Unternehmensnetzwerk, teilt es in einzelne Schichten und veranschaulicht allgemein, in welchen Ebenen typische ICS-Systeme angesiedelt sind, wo Safety-Aspekte relevant sind und wo die Grenze zum Office-Netz verläuft.  

    Das Modell dient als Ausgangsbasis, um die eigene OT-Infrastrukturen hierarchisch darzustellen. Davon ausgehend können Zonen (Enterprise LAN, Manufacturer LAN, Control LAN, Industrial DMZ, Production DMZ) und Übergänge konzipiert und erlaubte Kommunikationsbeziehungen bestimmt werden.

    IEC 62443

    Die internationale Industrienorm ISO/IEC 62443 beschreibt Security-Anforderungen für industrielle Automationssysteme in OT-Netzwerken.

    Die in der IEC 62443 beschriebenen Konzepte zur Erhöhung des Security-Niveaus im Netzwerk basieren auf einem risikobasierten Ansatz und einer ganzheitlichen Umsetzung:

    Zonen, Zellen und Übergänge

    Segmentierung des Netzwerks in logische Zonen und Zellen mit isolierter und kontrollierter Kommunikation und somit sicheren Übergängen.

    Multi-Vektorialer Sicherheitsansatz

    Durch Defense in Depth und Zero Trust wird die Wirksamkeit des Security-Konzepts gestärkt. Mehrstufig angelegte Maßnahmen, die Überprüfung und Authentifizierung jedes Datenverkehrs sowie strikte Berechtigungen (Least Privilege) decken unterschiedlichste Bedrohungen ab.

    Regulatorik

    Im Netzwerk-Konzept müssen die einschlägigen Vorgaben aus der aktuellen Gesetzgebung wie der NIS2 und anderer geltenden Gesetze wie beispielsweise der DSGVO berücksichtigt sein

    Was schafft Sicherheit in OT-Netzen?

    Netzsegmentierung 

    Die Netzsegmentierung ist eine Maßnahme, die das Sicherheitsniveau im Netzwerk massiv erhöht. Dabei ist die Trennung der Enterprise-IT vom OT-Netz der erste und wichtigste Schritt. Danach geht es um weitere Segmentierungen des OT-Netzwerks bis hin zu einer Mikrosegmentierung, teilweise bis auf Zellenebene.

    Um zu verhindern, dass sich Schadcode oder technische Störungen von einem betroffenen System oder Bereich im Netzwerk ausbreiten können, werden logisch getrennte eigenständige Zellen gebildet. Darin befinden sich jeweils Systeme mit denselben Sicherheitsanforderungen, deren Kommunikationsbeziehungen klar definiert sind. Die Kommunikation zwischen den Zellen wird über Firewalls und Gateways an den Übergängen und über spezielle Protokolle kontrolliert und abgesichert. Über das Defense-in-Depth-Konzept wird ein bedarfsgerechter Schutz der einzelnen Zellen gewährleistet. Im Rahmen von besonders schützenswerten Prozessen, kann es sinnvoll sein, sogar innerhalb einer Zelle zu segmentieren. Zur Einschätzung dafür hilft die BCM-Betrachtung und die IEC62443-3-3 zeigt geeignete Maßnahmen auf.

    Eine Netzsegmentierung unterstützt nicht nur die Security, sondern vereinfacht auch die Skalierung des Netzwerks und die Verwaltung der Systeme innerhalb der isolierten Zellen. Auch kann die Leistung innerhalb des Netzwerks durch die Trennung der Datenströme und die Verteilung der Last gesteigert werden.

    Zugriffs- und Kommunikationssteuerung

    In einem sicheren Netzwerk ist der Zugriff auf Systeme, vor allem auf solche, die an kritischen Prozessen beteiligt sind, beschränkt und wird entsprechend kontrolliert. Eine sichere und kontrollierte Zugriffssteuerung erfolgt über

    • Least Privilege
    • Authentifizierung
    • Autorisierung
    • Protokollierung
    • Physische Zugangskontrollen

    Eine sichere kontrollierte Kommunikation im Netzwerk wird unterstützt durch

    • Firewalls
    • Verschlüsselung
    • Intrusion Prevention System (IPS)
    • Monitoring und Logging
    • u.a.

    Die nicht-technischen Ebenen 

    Security funktioniert nicht nur Hardware-basiert. Es gibt zusätzlich nicht-technische Ebenen, die man nicht bei Herstellern kaufen kann. Dazu zählen beispielsweise organisatorische Grundlagen, die entscheidend für die Effektivität von Maßnahmen sind. Verantwortungen für IT-Systeme in der OT müssen definiert und das Naming und Wording einheitlich geregelt sein. Außerdem ist es wichtig, dass im Unternehmen ein ausgeprägtes Verständnis für Security-Anforderungen herrscht. Und darüber hinaus muss die Motivation für die konsequente Umsetzung über den gesamten Projektverlauf und später im Lifecycle-Management aufrecht erhalten werden.

    Wie setzt man sichere OT-Netzwerke erfolgreich um

    Für die Planung und die Implementierung eines OT-Netzwerks sowie für dessen Betrieb sollten konsistente strukturierte Vorgehensweisen im Unternehmen gelten. Technische Standards (IEC 62443), branchenspezifische Standards und bewährte Vorgehensweisen bieten Leitlinien für die Umsetzung.

    Architektur: Konzept auf Basis der IEC 62443

    Planungs- und Entscheidungsphase: “Was und Warum” – globaler Fokus

    Im Projekt werden zuerst wichtige Grundlagen gelegt. Die Anforderungen der IEC 62443 werden im individuellen Kontext des Unternehmens dargestellt. Damit ergibt sich die Definition des Zielbilds, die Prinzipien und die Rahmenbedingungen der Netzwerkinfrastruktur.

    Dafür sind folgende Kernfragen zu klären:

    • Was soll erreicht werden? (Zielbild, Scope, Anforderungen)
    • Warum wird es umgesetzt? (Geschäftlicher Nutzen, Strategie, Abhängigkeiten)
    • Wer sind die Stakeholder und Entscheidungsträger?
    • Wie wird grundsätzlich vorgegangen? (Leitlinien, Architekturrichtlinien)
    • Wann erfolgt die Umsetzung? (Rahmen-Timeline, Projektphasenstart)

    Design / Implementierungskonzept

    Operative Phase: “Wie und Wer“ der Umsetzung – lokaler Fokus

    Aus der Theorie wird Praxis: Im Projekt wird das Zielbild der Architektur aus Zonen, Zellen und Übergängen in eine konkrete Lösung für individuelle technische Anforderungen eines Werks übertragen. Dabei sind folgende Kernfragen im Fokus:

    • Was wird konkret gebaut? (Topologien, Komponenten, Konfigurationen)
    • Wie wird es umgesetzt? (Designentscheidungen, Tools, Prozesse)
    • Wer setzt um? (Teams, Rollen, Partner)
    • Wann erfolgt Rollout und Übergabe? (Zeitplan, Meilensteine)
    • Warum wurden bestimmte technische Entscheidungen getroffen? (Begründung auf Basis Architektur)

    Ein Proof of Concept (PoC) belegt, ob das erarbeitete Design, das den Architekturstandard umsetzt, in der Realität funktioniert. Als Pilot kann beispielsweise eine Zelle in einem Werk, in der eine Anlage platziert wird, fungieren. Während der Verprobung werden notwendige Änderungen oder Ergänzungen ins Design zurückgespielt, bis die Lösung den Anforderungen entspricht und ausgerollt werden kann.

    Migration/Rollout

    Der Ist-Zustand (CMO – Current Mode of Operation) wird zum Soll-Zustand (FMO – Future Mode of Operation): Anlagen werden in die zuvor konzipierten Zellen nach definierten Methoden und in festgelegten Abläufen von den dafür verantwortlichen Personen umgezogen. Auch werden aus Sicht der Zellen/Prozesse übergeordnete Funktionen (vgl. SCADA, MES etc.) in die von der Architektur vorgesehenen Zonen verschoben.

    Es erfolgt die Übergabe in den Betrieb (Betriebskonzept). .

    Wichtige Grundlagen für die Umsetzung

    Risk Assessment im Rahmen des BCM

    Bestehenden Risiken und ihre Auswirkungen auf kritische Geschäftsprozesse werden im Rahmen einer Risk Impact Analysis (RIA) und einer Business Impact Analysis (BIA) bewertet. Darauf baut die Erstellung von Security-Zonen und die Festlegung von Security-Level nach der IEC 62443-3-3 auf. Assets, die kritisch für den Produktionsprozess sind, können entsprechend gruppiert und bedarfsgerecht abgesichert werden.

    OT Asset Inventory

    Eine systematische und aktuelle Übersicht über alle vorhandenen Assets liefert wichtige Informationen zu Systemen und Komponenten und klärt deren Zugehörigkeit zu einer Anlage oder zu einem Prozess. Abhängigkeiten werden sichtbar und können im Netzwerkkonzept entsprechend berücksichtigt werden.

    OT-Organisation

    Der Anstieg der Komplexität im Netzwerk erfordert mehr Aufwände für den Betrieb und eine professionelle Verwaltung der Systeme. Die OT-Organisation ist für alle Belange des OT-Netzwerks und der Netzwerkteilnehmer verantwortlich. Der OT-Fachbereich stellt die nötigen Ressourcen und Expertise sowohl für die Migration auf eine neue OT-Netzwerkarchitektur als auch für das Betriebskonzept.

    Spin-off-Projekte steigern Mehrwerte und Security

    Darauf baut der Erfolg weiterer Projekte auf, durch die zusätzliche Mehrwerte generiert werden, sei es durch Optimierungen in der Produktion, neue Services oder auch um Endpoint-Security-Maßnahmen umzusetzen. 

    Kernfragen, die dafür zu klären sind:

    • Was kann auf Basis des bestehenden Netzwerks weiterentwickelt werden? (Optimierung, Automatisierung, neue Services)
    • Warum ist es sinnvoll, darauf aufzubauen? (Synergien, Effizienz, neue Anforderungen)
    • Wie werden neue Anforderungen integriert, ohne Grundarchitektur zu verletzen?
    • Wer verantwortet Weiterentwicklung und Betrieb?
    • Wann werden Spin-offs initiiert oder priorisiert?

    Einer für alle: globalen OT-Netzwerkstandard umsetzen

    Standardisierung ist ein wichtiges Fundament, auf dem Security aufbaut. Das Ausrollen eines Netzwerkstandards auf alle Werke erhöht außerdem die Interoperabilität und die Effizienz im Netzwerkbetrieb.

    Zu einem Netzwerkstandard gehören:

    • ein geeignetes Architekturmodell
    • Protokolle und Spezifikationen
    • Anforderungen für die Netzwerkausrüstung (Technologien und Schnittstellen)
    • definierte Regeln für die Interoperabilität der Systeme und Geräte
    • Vorgaben für die Überwachung und Verwaltung der Netzwerke
    • Sicherheitsrichtlinien
    • klare Verantwortlichkeiten für das Betriebskonzept und Prozesse

    In eigenen Projekten werden ein geeignetes Architekturmodell, ein Integrationskonzept sowie die Umsetzung des Rollouts auf die Werke erarbeitet. Welche konkreten Schritte dafür jeweils nötig sind, erläutern wir hier.

    Die gängigen Herausforderungen, die Sie im Projektverlauf erwarten und wie Sie diese meistern, erfahren Sie in diesem Artikel.

    Fazit

    Eine zukunftsfähige Produktion baut auf einem leistungsstarken sicheren Netzwerk auf. Für die Entwicklung und Implementierung eines Netzwerkstandards, der die Vorgaben aus der Regulierung erfüllt, bietet die Industrienorm IEC 62443 wertvolle Unterstützung. Das Ziel ist ein einheitliches Architekturmodell für segmentierte OT-Netzwerke in allen Standorten sowie klare Prozesse und definierte Verantwortlichkeiten für den Betrieb. Damit legen Sie eine solide Basis für die Zukunft, denn Sie erhöhen das Security-Niveau deutlich, optimieren die Leistung im Netzwerkbetrieb und bringen mehr Effizienz in die Administration.

    Veröffentlicht am
    Zuletzt aktualisiert am
    by Marco Frenk

    Schreiben Sie einen Kommentar

    Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    Feldgeschichten

    Keine Zeit? Machen Sie es, wie über 1.000 andere Anwender:innen und erhalten Sie wöchentlich relevante Beispiele der OT-Security!

    Ganz oldschool direkt via E-Mail in Ihr Postfach

    Footer Image
    Whitepaper herunterladen!

    Erhalten Sie in unserem Einsteigerguide eine unverfälschte und verständliche Orientierung in die OT-Security. Ganz ohne Buzzword-Bingo, vertriebsgeprägten Botschaften und Technik-Kauderwelsch. 

    Ihre Daten sind bei uns sicher. Datenschutzerklärung