Ein sicherer Anlagenbetrieb liegt zwar in der Verantwortung des Betreibers, aber auch Hersteller tragen zur Sicherheit in Ihrem Netzwerk bei – oder eben nicht. Sollten Sie also die OT-Security im Maschinennetz mit Ihren Lieferanten diskutieren?
Die Entwicklung von „insecure by design“ zu „secure by design“ vollzieht sich erst allmählich. Um den Übergang abzusichern, sind Trends nur bedingt tauglich. Es braucht vielmehr eine bewusste Auseinandersetzung mit der Frage, wie weit Ihre Security-Betrachtung hinsichtlich der Maschinennetze gehen soll und kann. Daraus lassen sich Konzepte für wirtschaftlich sinnvolle Maßnahmen ableiten, die in Ihrem Betrieb funktionieren und die Ihre Infrastruktur fit für die Zukunft machen.
Die Rolle des Netzwerks im Kontext Security
Wenn es um Security geht, dann liegt im Netzwerk der größte Hebel: Weil die Absicherung an den Endpunkten oft nicht oder nur unzureichend möglich ist, muss bei der Netzwerkkommunikation angesetzt werden. Betreiber, die ihr Netzwerk im Griff haben, die darin ablaufende Kommunikation kennen, kontrollieren und absichern, haben einen wichtigen Grundstock für die Sicherung ihrer Anlagenverfügbarkeit gelegt.
Security bedeutet, Zugriffe und Kommunikation im Netzwerk auf ein Mindestmaß einzuschränken.
Es liegt in Ihrem Interesse, einerseits die Kommunikation in Ihrem Netzwerk abzusichern, und andererseits die Aufwände für die Administration stetig wachsender Netze überschaubar zu halten. Dafür gibt es verschiedene Ansätze:
- Netzwerkarchitektur
Ein klar definiertes Netzdesign mit einer Beschränkung der Kommunikation auf ein nötiges Mindestmaß ist ein wichtiger Schritt nicht nur für Security, sondern auch für die effiziente Administration. Die Aufwände dafür sind gut investiert, denn sie erzielen eine große Wirkung.
- Standardisierung
Je weniger Wildwuchs desto besser. Wenn alle Steuerungen des gleichen Typs beispielsweise die gleiche Firmware aufweisen, ist die Wahrscheinlichkeit unerwarteter Vorkommnisse, auf die Sie reagieren müssen, geringer. Eine Standardisierung im Netzwerk vereinfacht auch viele Prozesse, zum Beispiel für die Instandhaltung und das Ersatzteilmanagement.
Aber was ist mit den Maschinennetzen? Macht es Sinn, den Standard, den Hersteller mit der Anlage ausliefern, zu hinterfragen und aktiv zu beeinflussen oder baut man die Security im Greenfield besser „drumherum“? So viel vorab: Ein richtig oder falsch gibt es nicht, sondern nur eine individuell passende Vorgehensweise, die Ihrem Anwendungsfall entspricht.
OT-Security im Maschinennetz sichert Ihre Zukunftsfähigkeit
Die Digitalisierung führt zu immer größeren und komplexen Netzen mit vielen Abhängigkeiten zwischen Steuerungen und Komponenten, über die die Kommunikation mit den Endgeräten erfolgt. Produktionsumgebungen weisen heute eine Vielzahl von individuellen Maschinennetzen unterschiedlicher Hersteller auf, die ihre eigenen Komponenten für die industrielle Kommunikation schon mitbringen und die mit Ihrem Netzwerk verkabelt sind. Das sind Schattennetze in Ihrem Netzwerk.
Die Security-Betrachtung für die Maschinennetze sollte nicht erst dann erfolgen, wenn Störungen in der Netzwerkkommunikation im laufenden Betrieb auftreten. Wenn Ihr Security-Konzept schon im Beschaffungsprozess greift und Sie einen bewussten Umgang mit der Absicherung der Maschinennetze etablieren, können Sie das Potential für Störfälle deutlich verringern.
Ein wichtiger Aspekt liegt auf der Zukunftsfähigkeit Ihres Betriebes: Innovative Anwendungen für Industrie 4.0 bringen noch mehr Vernetzung in Ihre Industrieumgebung und erfordern stabile Fundamente. Diese liegen in Ihrem Netzwerk.
Reagieren Sie auf die technologische Entwicklung
Die Industrie 4.0 verändert Ihre Automationsumgebungen. Im Maschinennetz wird die zunehmende Kommunikation über den Einsatz von IT-Komponenten realisiert und im Netzwerk wird über klassische IT-Protokolle kommuniziert. Diese Entwicklung bringt Security-Themen auf Ihre Tagesordnung, mit denen Sie sich auseinandersetzen müssen.
Risikobetrachtung
Nicht jedes System muss im Netzwerk kommunizieren und nicht jede Kommunikation muss kontrolliert und abgesichert werden. Bei Geräten, die einen eng begrenzten Funktionsumfang haben oder die in einer Zelle in einem segmentierten Netz platziert sind, kann die Kommunikation über Standardkomponenten wie unmanaged Switches praktikabel und unkritisch sein.
Legen Sie fest, welche Systeme in Ihrem Netzwerk über den eigenen Verbund hinaus kommunizieren müssen. Wo immer Kommunikation in Ihrem Netzwerk stattfindet, sollte sie sichtbar gemacht werden.
Im Rahmen einer Risikobetrachtung sollten Sie für Ihr Netzwerk definieren:
- Bis wohin muss die Security-Betrachtung reichen?
- Wie tief muss aus Security-Perspektive die Kommunikation überwacht werden?
Definieren Sie Ihren Anwendungsfall
Bevor Sie den für Ihr Unternehmen passenden Umgang mit Maschinennetzen festlegen, sollten Sie Klarheit über die Anwendungsfälle schaffen, die in Ihrem Betrieb bestehen. Bedenken Sie dabei, dass sich Anwendungsfälle ändern können, etwa weil sich die Unternehmensstrategie anpasst oder weil sich aus der (KRITIS-)Regulierung bestimmte Verpflichtungen ergeben. Und auch die Anforderungen für Ihren Betrieb können sich ändern. Eine regelmäßige Überprüfung Ihres tatsächlichen Bedarfs ist daher sinnvoll.
Anomalieerkennung
Um Abweichungen vom Normverhalten erkennen zu können, muss der Netzwerkverkehr und die Kommunikation auf den einzelnen Ports erfasst und an die Systeme zur Angriffserkennung übermittelt werden. Dafür sind managed Switches geeignet. Hersteller verbauen in Maschinennetzen standardmäßig unmanaged Switches, die eine Anomalieerkennung nicht unterstützen.
Kommunizieren Sie Ihre Anforderung für diesen Anwendungsfall an Ihren Hersteller und denken Sie auch daran, ein Betriebsmodell für managed Switches zu etablieren.
Fernwartung und Predictive Maintenance
Klären Sie, ob Fernwartung oder Predictive Maintenance jeweils für eine Maschine erforderlich ist. Externe Zugänge in Ihr Anlagennetz und der Datentransfer über das Internet müssen entsprechend abgesichert werden. Stellen Sie sicher, dass auch Ihre Prozesse auf Security-Anforderungen ausgerichtet sind. Dazu gehört eine aktive Freischaltung der Fernwartungsverbindung von innen nach außen durch einen Maschinenführer in Ihrem Betrieb.
Im Zweifel sollten Sie auf unnötige Kommunikation, auch für nicht notwendige Fernwartungsvorgänge, immer verzichten.
Sensorik und Cloudanwendungen
Der Datentransfer von Sensoren im Shopfloor in die Cloud erfolgt durch alle Ebenen Ihres Netzwerks hindurch (siehe Purdue-Modell). Davon sind die Steuerungsebene, die Prozessleitebene, die Betriebsleitebene, die DMZ und die Unternehmensebene betroffen.
Damit diese Ebenen und Zonen mit ihren für die Geschäftsprozesse kritischen Systemen dadurch nicht angreifbar gemacht werden, müssen entsprechende Schutzmaßnahmen im Netzwerk etabliert werden. Eine saubere und strikte Netzwerkarchitektur ist die Grundvoraussetzung für Sensorik und Cloudanwendungen.
Zwei Wege zur Maschinennetz-Sicherheit im Greenfield
Um Ihr Netzwerk mitsamt der Maschinennetze wirksam abzusichern, können Sie generell zwei Wege beschreiten. Setzen Sie sich bewusst mit beiden Möglichkeiten auseinander. Es gibt keinen Königsweg, Sie müssen abwägen, welche Vorgehensweise für Ihren jeweiligen Anwendungsfall sinnvoll und umsetzbar ist.
1. Anforderungen mit Herstellern abstimmen
Maschinenhersteller liefern meistens ein Komplettpaket. Die Anlagen sind nach dem Herstellerstandard vorkonfiguriert, bringen gut und gerne 40 Steuerungen und 4 Switches mit und jede verfügt über ein eigenes Netzwerk. IP-Adressen sind standardmäßig vorvergeben und entsprechen der Routine, an der sich die Techniker des Herstellers später orientieren, wenn sie vor Ort an der Maschine arbeiten.
Wie erfolgversprechend ist es, vor allem bei großen Lieferanten, Security-Standards zu diskutieren und nötigenfalls auf Konfrontationskurs zu gehen?
Was Sie dabei bedenken sollten:
Motivation des Herstellers
Grundsätzlich sollten Sie Ihre Anforderungen für das Maschinenetz, das immerhin Teil Ihres Netzwerkes werden wird, in die Ausschreibung aufnehmen und sich darüber mit dem Hersteller abstimmen. Mit Security-Vorgaben rennen sie aber keine offenen Türen ein.
Bedenken Sie, dass für Hersteller vor allem die Kosten eine Rolle spielen, weil Ausschreibungen meistens über den Preis gewonnen werden. Verbaut wird, was funktional erforderlich und günstig ist, eine Absicherung der Netzwerkarchitektur beim Betreiber steht dabei nicht im Vordergrund.
Außerdem profitieren auch Hersteller von Standardisierung, wenn es um deren Prozesse und Komponenten geht. Eine Abweichung vom Standard liegt nicht im Interesse des Herstellers.
Folgen von Änderungen
Wenn Sie Abweichungen vom Herstellerstandard vereinbaren, so sind dafür meist Vertragsanpassungen nötig und es können sich Folgen für die Gewährleistung ergeben.
Wenn die Abstimmung mit dem Hersteller in Ihrem Sinne verläuft, dann denken Sie daran, dass Sie die Details im Lastenheft festhalten.
Denken Sie auch an die Dokumentation und an Ihre internen Ressourcen und Prozesse, um beispielsweise Switches nach Ihren Vorgaben zu verwalten.
Leitfaden IEC 62443
Die Normenreihe IEC 62443 ist im Markt angekommen. Sie gibt sowohl Rollen für Betreiber und Integratoren als auch für Hersteller vor. Es ist hilfreich, wenn Sie die Anforderungen der Norm für Produktsicherheit und sichere Produktentwicklungsprozesse kennen. Unser Whitepaper, das Sie über die Rubrik am Ende des Artikels downloaden können, liefert Ihnen einen Überblick, der Sie für die Diskussion mit Ihren Herstellern rüstet.
Weil Security nur durch die Mitwirkung aller Beteiligten funktioniert, sollten Sie sich darum bemühen, gemeinsame Security-Standards für Maschinenetze mit den Herstellern zu etablieren. Ein offener Austausch bietet die Möglichkeit, die unterschiedlichen Standpunkte und Interessen miteinander abzugleichen und Lösungen zu erarbeiten, die für beide Seiten akzeptabel sind.
2. Schutzmaßnahmen außerhalb von Maschinennetzen etablieren
Wenn Sie keinen Einfluss auf das Anlagennetz nehmen (können), dann bleibt die Möglichkeit, wirksame Security-Maßnahmen um das Anlagennetz herum zu konzipieren. Dabei sollten Sie folgende Punkte beachten:
OT-Anforderungen berücksichtigen
Damit Maßnahmen greifen, müssen die besonderen Anforderungen in der OT berücksichtigt werden, denn was in der klassischen IT funktioniert, ist nicht 1:1 auf Industrieumgebungen übertragbar.
Im klassischen Maschinennetz erfolgt die Kommunikation zwischen Feldgeräten und Steuerungen über Industrieprotokolle wie zum Beispiel PROFINET. Typische IT-Security-Maßnahmen, wie verschlüsselte Kommunikation sind hier oft nicht etabliert oder nicht einfach umzusetzen. Auch sind beispielsweise regelmäßige Updates nicht mit der hohen Anforderung an die Verfügbarkeit zu vereinbaren oder schlichtweg wirtschaftlich nicht vertretbar.
Benötigten Funktionsumfang klären
Hinterfragen Sie, was Sie konkret kaufen und vom Hersteller geliefert bekommen. Anlagen verfügen mitunter über mehr Funktionalität, als Sie tatsächlich benötigen und haben dafür entsprechende Komponenten verbaut.
Kommunikation, die nicht notwendig ist, sollte vermieden werden. Was Sie nicht brauchen, sollten Sie aus dem Leistungsumfang herausnehmen oder gegebenenfalls deaktivieren.
Security-Maßnahmen auf Netzwerkebene
Netzsegmentierung
Unterteilen Sie Ihr Netzwerk in logische Segmente, die solche Maschinen und Anlagen zusammenfassen, die funktionell zusammengehören und miteinander kommunizieren müssen. Die Trennung der Segmente vom restlichen Netzwerk und die strikte Überwachung der Übergänge bietet ein hohes Maß an Sicherheit.
Firewalls, NAT-Gateways und Router
Kommunikation soll nur dort zugelassen werden, wo dies unbedingt notwendig ist. Über Firewalls, die vor dem Maschinennetz platziert werden, kann eine granulare Kommunikationssteuerung zwischen Endgeräten umgesetzt werden. Der Funktionsumfang der Firewall schließt auch eine Inhaltskontrolle der Datenpakete ein und prüft auf Schadcode.
Fernwartungsvorgänge können über NAT-Gateways und Router abgesichert werden, um die Maschine während des Fernzugriffs vom übrigen Netzwerk zu trennen.
Fazit
Die Maschinennetze in Ihren Automationsumgebungen haben Einfluss auf die Sicherheit Ihres gesamten Netzwerks. Daher sollten sie Teil Ihrer Security-Betrachtung sein.
Halten wir fest:
- Wer Innovationen nutzen und Industrie 4.0-Projekte erfolgreich umsetzen will, muss sich mit der Absicherung der Netzwerkkommunikation beschäftigen.
- Dafür müssen die Netzwerkanforderungen geklärt sein.
- Die IT-Abteilung sollte durchgehend involviert bleiben und die Anforderungen der OT kennen.
Bei der differenzierten Vorgehensweise beim Umgang mit Maschinennetzen ist immer Ihr Anwendungsfall ausschlaggebend.
IEC 62443 Guide: Besser diskutieren mit Herstellern
CEO & Founder
Die IEC 62443 nimmt weiter mehr Fahrt auf und wird immer öfters auch von Herstellern, Lieferanten und auch Betreibern referenziert.
In unserem Guide helfen wir Ihnen als Betreiber, wie sie die IEC 62443 zur besseren Diskussion mit Ihren Lieferanten und Komponentenherstellern nutzen können.
